──────────────────────────
■■SANS NewsBites Vol.15 No.17
(原版: 2020年 5月 12日、15日)
──────────────────────────
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
2┃0┃2┃0┃年┃7┃月┃東┃京┃開┃催┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃配┃信┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃E┃C┃5┃0┃4┃・┃S┃E┃C┃4┃0┃1┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃!┃
━┛━┛━┛━┛━┛━┛━┛━┛
【SANS Japan Live Online July 2020】
https://www.sans-japan.jp/sans_japan_live_online_2020
SEC504とSEC401の2コースについて、日本ローカル講師による日本語での
Live Online形式*でトレーニングを開催いたします。
*Live Online形式
専用プラットフォームを使ったオンライントレーニング環境で、インターネット
経由でどこからでもご受講いただけます。通常の教室での講義と同様に質疑応答
(Slack等のテキストチャット)も可能で、ハンズオンやCTFの実施もございます。
また、コース開始日から4ヶ月間、ライブ配信録画、ハンズオン用のラボ環境に
アクセスすることができます。
◆開催コース・開催日程
SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling<日本語>
開催日程 2020年6月29日-7月3日、7月6日-11日(半日×11日間)
SEC401:Security Essentials Bootcamp Style<日本語>
開催日程 2020年7月6日-11日(全日×6日間)
◆トレーニング費用(税抜)
早期割引価格:760,000円
※早期割引期間 SEC504:2020年5月29日まで
SEC401:2020年6月5日まで
通常価格:810,000円
◆お申込みについて
各コースページのお申し込みボタンより、お1人様ずつお願いいたします。
https://www.sans-japan.jp/sans_japan_live_online_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ ランサムウェア攻撃の分析から得た教訓 (2020.5.7 & 11)
FireEye社は、脅威調査報告書「Navigating the MAZE: Tactics, Techniques and Procedures Associated With MAZE Ransomware Incidents」の中で、MAZEランサムウェアについて詳しく説明している。この報告書は、FireEye Mandiant Threat Intelligenceが複数のインシデントに対応した経験と、「MAZEのエコシステムと運用に関する調査 」に基づいて作成されている。
- https://www.cyberscoop.com/maze-ransomware-mandiant-lessons-learned/
【編集者メモ】(Neely)
FireEye社の報告書は、様々なMazeチームがどのように運営されているか、また侵害の指標についての洞察を提供している。Maze配信のアフィリエイトモデルは、TTPが時間の経過とともに変化し続けることを示唆している。注目すべきは、最初の侵害はユーザーがフィッシング攻撃に引っかかるだけではなく、侵害されたアカウントを使用してRDPやVDIサービスなどの露出した脆弱性のあるサービスを経由している可能性があることだ。行動を促すのはランサムウェア対策であり、特にインターネットに面したサービスのセキュリティについては、ユーザーの意識向上と適切な注意の両方を含む。少なくとも、多要素認証を有効にし、アカウントへのアクセスを制限して、漏洩した資格情報を容易に悪用できないようにするべきだ。
【編集者メモ】(Pescatore)
本号のNewsBitesでは、いくつかのランサムウェアに関するニュース記事が掲載されている。MAZEに関するFireEye社の報告書は、ほとんどのランサムウェアインシデントの良い要約となる。初期の侵害は主に2つの方法で行われた。(a)電子メールによる標的型フィッシング、(b)パッチ適用、サーバ設定、特権管理における基本的なセキュリティ衛生が著しく欠如していたことを利用したものだ。ラテラルムーブメント(横方向移動)に使用された技術には、洗練された「地に足がついていない」エクスプロイトも含まれているが、「password」というテキストを含むファイルを検索するような単純な技術でも多くの成功を収めている。SANSは、SANSのインストラクターであるEd Skoudis氏、Heather Mahalik氏、Johannes Ullrich氏から、この脅威と関連する脅威の分野についてアドバイスを受けた「2020年脅威動向報告書」を発表した:https://www.sans.org/reading-room/whitepapers/threats/paper/38908
【編集者メモ】(Murray)
興味深い発見の一つは、攻撃は複数の熟練した当事者が参加し、闇市場を利用して協力、共同、調整を行うチーム努力であるということだ。
────────────────
◆ 国家レベルのハッカーがCOVID-19の治療薬の製薬会社を標的にした (2020.5.8)
国家レベルのハッカーらが、COVID-19に苦しむ患者の回復を早めることが期待されているRemdesivirを製造している会社の従業員を標的にしたと報告されている。ハッカーは、Gilead Science社の従業員を騙して電子メールアカウントの資格情報を開示させようとした。米国食品医薬品局(FDA)は先週、同薬の緊急使用を承認した。米国と英国は最近、国家を背景としたハッカーがCOVID-19の治療法開発に関わる組織を標的にするケースが増えていると警告している。
【編集者メモ】(Murray)
重要な知的財産を持つ企業は、強力な認証を使用するべきだ。
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本来であれば、5月号「アップデートの威力」をご紹介するところですが、世界的
な Covid-19の影響により、OUCH! もグローバルで業務縮退を行い、各国語版を作
成しておりません。 毎月楽しみにされている皆さまにはご不便をおかけいたしま
すが、原文である英語版をご覧いただくようにお願いをいたします。
なお、6月号以降については、これまで通り各国語版を作成して配信予定です。
https://www.sans.org/security-awareness-training/ouch-newsletter
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ スーパーコンピュータ「ARCHER」がオフライン (2020.5.13 & 14)
英国の学術研究に使用されているスーパーコンピュータ「ARCHER」が、5月11日月曜日からオフラインになっている。ARCHERのウェブサイトによると、「今回の事件は、英国内および国際的な他の多くのサイトが関与する、より広範な問題の一部である」としている。ARCHERはエジンバラ大学にある。
- https://www.cyberscoop.com/archer-supercomputer-security-incident/
- https://www.theregister.co.uk/2020/05/13/uk_archer_supercomputer_cyberattack/
- https://www.archer.ac.uk/status/
【編集者メモ】(Neely)
リソースの不正使用やスーパーコンピュータ上で実行されている予期せぬジョブはすぐに警告を発するが、キャンパスのデータセンターのリソースは現在のところ、クリプトマイニングの標的となっている。認証のレベルを上げることが適切である。多要素認証を追加し、SSHキーを意図的に更新することは、これを抑制するために大いに訳立つことになる。
────────────────
◆ 月例パッチ公開:MicrosoftとAdobe (2020.5.12 & 13)
Microsoftの5月の月例パッチには110以上の修正が含まれている。そのうち、Microsoftは16件を緊急と評価しており、残りは重要と評価している。AdobeのPatch Tuesdayのリリースには、AcrobatとReaderの24件の問題の修正とAdobe DNGソフトウェア開発キットの12件の修正が含まれる。
- https://krebsonsecurity.com/2020/05/microsoft-patch-tuesday-may-2020-edition/
- https://www.theregister.co.uk/2020/05/13/patch_tuesday_may/
- https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-May
- https://www.zdnet.com/article/adobe-issues-patches-for-36-vulnerabilities-in-dng-reader-acrobat/
- https://helpx.adobe.com/security/products/dng-sdk/apsb20-26.html
- https://helpx.adobe.com/security/products/acrobat/apsb20-24.html
【編集者メモ】(Pescatore)
いくつかの重要なポイントがある。(1)今回のMicrosoftのパッチリリースでは、通常よりも多くの「アプリケーションエラーコード 0X...」のエラーが発生したとの報告があるが、これはアップデート失敗したか、メモリの必要量を超えていたか、接続に問題があったことを意味している。アップデートの大きさや、家庭でのWiFi接続が不十分な場合にアップデートされるビジネス用WindowsノートPCの数が問題の一端を担っている可能性がある。今月は、すべてのビジネスPCが実際にアップデートをインストールしたかどうかを再確認するのに良い月である。(2)SAPは、いくつかのSaaSクラウドベースのアプリケーションに多くの脆弱性があることを指摘し、CiscoはASAアプライアンスやFirepowerソフトウェアに対するパッチのリストを発表した。
【編集者メモ】(Neely)
Adobeはこのアップデートの優先度を「2」としており、これは、リスクは高いが既知のエクスプロイトはなく、近いうちに予想されるものもないことを意味している。つまり、帯域外のパッチではなく、毎月のパッチサイクルでパッチを適用すれば十分であり、Microsoftの大型アップデートの適用に支障をきたすことはない。
【編集者メモ】(Murray)
公開されている「修正」の割合は、これらの一般的な製品(例: オペレーティングシステム、ブラウザ、リーダ、コンテンツマネージャ)に既知、および未知の脆弱性が蓄積されていることを示唆している。これらの製品は、それらが使用されているアプリケーションよりもはるかに大きな攻撃対象となっており、これらの攻撃に対抗することはできない。これらは、パブリックネットワークにさらされるべきではない。ファイアウォールやエンドツーエンドのアプリケーション層の暗号化の背後に隠すことは、「良い」実践から「必須」へと変化する。
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の無オンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇5月21日(木)、6月11日(木)
<オンラインセミナー>
特権ID管理ツールの導入検討支援セミナー ~成功の秘訣と導入効果~
〇5月22日(金)
<オンラインセミナー>
情報セキュリティプロフェッショナル認定資格 「CISSP」のご紹介
〇5月26日(火)
<オンラインセミナー>
テレワークでBoxを安全に使う方法とは
~無料アカウントに潜む情報漏えいリスクと対策~
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月29日~7月11日:オンライン(ライブ配信)
SANS Japan Live Online July 2020
〇6月:オンライン(ライブ配信)
9月、10月、11月、12月、2021年1月、2月、3月:オンサイト(会場型)
CISSP CBKトレーニング
〇8月、2021年2月
セキュアEggs
(基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。