NRI Secure SANS NewsBites 日本版

Vol.15 No.19 2020年6月2日発行

──────────────────────────

■■SANS NewsBites Vol.15 No.19

(原版: 2020 5 26日、29日)

──────────────────────────

 

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓

 2┃0┃2┃0┃年┃7┃月┃東┃京┃開┃催┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

  S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃配┃信┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

  S┃E┃C┃5┃0┃4┃・┃S┃E┃C┃4┃0┃1┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

 お┃申┃込┃み┃受┃付┃中┃!┃

 ━┛━┛━┛━┛━┛━┛━┛━┛

 

SANS Japan Live Online July 2020

 https://www.sans-japan.jp/sans_japan_live_online_2020

 

日本ローカル講師による日本語でのLive Online形式で、トレーニングを開催い

たします。

専用プラットフォームを使ったオンライントレーニング環境で、インターネット

経由でどこからでもご受講いただけます。通常の教室での講義と同様に質疑応答

(Slack等のテキストチャット)も可能で、ハンズオンやCTFの実施もございます。

また、コース開始日から4ヶ月間、ライブ配信録画、ハンズオン用のラボ環境に

アクセスすることができます。

 

SEC401の早期割引は、65()までとなります。ぜひ、この機会をお見逃し

ないようご検討ください。

 

 

◆開催コース・開催日程

 

  SEC504Hacker Tools, Techniques, Exploits, and Incident Handling<日本語>

     開催日程 2020629-73日、76-11(半日×11日間)

     https://www.sans-japan.jp/sans_japan_live_online_2020/sec504

 

 SEC401Security Essentials Bootcamp Style<日本語>

     開催日程 202076-11(全日×6日間)

     https://www.sans-japan.jp/sans_japan_live_online_2020/sec401

 

◆トレーニング費用(税抜)

 

 早期割引価格:760,000

  ※早期割引期間 SEC401202065日まで★★今週末までとなります★★

          SEC504の早期割引は終了致しました(通常価格で受付中です)

 

 通常価格:810,000

 

◆お申込みについて

 

 各コースページのお申し込みボタンより、お1人様ずつお願いいたします。

 https://www.sans-japan.jp/sans_japan_live_online_2020

 

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 

 

◆ ランサムウェアが検出を回避するために仮想マシンを展開 (2020.5.22)

Sophosの研究者たちが、RagnarLockerランサムウェアグループがOracle VirtualBoxアプリをインストールして、標的のコンピュータ上で仮想マシン(VM)を実行していることを発見した。攻撃者はVMを利用してランサムウェアを実行し、検出を回避している。RagnarLockerを用いたこのグループは、企業や政府機関のネットワークのみに焦点を当てて、慎重にターゲットを選択している。

 - https://www.theregister.co.uk/2020/05/22/byovm_ransomware_in_virtualbox/

 - https://www.scmagazine.com/home/security-news/ransomware/attackers-use-of-virtual-machine-to-hide-ransomware-is-a-first-say-researchers/

 - https://www.zdnet.com/article/ransomware-deploys-virtual-machines-to-hide-itself-from-antivirus-software/

 - https://www.bleepingcomputer.com/news/security/ransomware-encrypts-from-virtual-machines-to-evade-antivirus/

 - https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/

 

【編集者メモ】(Neely)

選ばれた標的はVirtualBoxを実行している可能性が高いため、その存在だけでは必ずしも危険信号とはならない。この攻撃は、2009年の署名のないSunxVM VirtualBox MSIをインストールしており、これがエンドポイント防御のトリガーになるはずだ。バックアップやリモート管理ユーティリティの意図しない無効化も、追跡調査の対象になる。このグループはデータを流出させることでも知られているため、身代金の要求に伴うデータ漏洩の脅威を予期するべきだ。

────────────────

 

Microsoft:悪質なExcelファイルを用いたコロナウイルス関連フィッシン グ詐欺を警告 (2020.5.18,19 & 22

Microsoft Security Intelligence Teamは、正規のリモートアクセスツールであるNetSupport Managerをユーザーのコンピュータにインストールしようとする「大規模なキャンペーン」に警告を発している。このフィッシングキャンペーンは、Johns Hopkins Centerを装い、世界保健機関のコロナウイルス関連の状況報告書が含まれているという。この詐欺は、悪意のあるExcelマクロが含まれている電子メールの添付ファイルを開かせようとする。

 - https://www.zdnet.com/article/microsoft-beware-this-massive-phishing-campaign-using-malicious-excel-macros-to-hack-pcs/

 - https://www.bleepingcomputer.com/news/security/microsoft-warns-of-massive-phishing-attack-pushing-legit-rat/

 - https://twitter.com/MsftSecIntel/status/1262504864694726656

 

【編集者メモ】(Neely)

この攻撃は、米国でのコロナウイルスに関連した死亡事例についての最新情報を提供するJohns Hopkins Centerからの電子メールを偽装したもので、「covid_usa_nyt_8072.xls」というタイトルのExcelファイルを添付している。さらに、Microsoftは、COVID-19関連の脅威インテリジェンスの一部をオープンソース化し、攻撃者の戦術、技術、および手順(TTP)のより完全な考え方をコミュニティに提供することで、顧客の自己防衛を支援することを発表した。情報は、Azure Sentinelの顧客向けに脅威インテリジェンスの共有フィードを介して提供され、GitHub上の一般向けにも提供されている。

参照: https://www.microsoft.com/security/blog/2020/05/14/open-sourcing-covid-threat-intelligence/

────────────────

 

◆ アプリの大半にオープンソースライブラリ経由の欠陥がある (2020.5.25

オープンソースライブラリはどこにでもあり、開発者がより迅速にアプリを開発するのに役立っている。Veracodeからの報告書「State of Software Security Open Source Edition」によると、現在使用されているアプリの70%には、オープンソースライブラリに起因する脆弱性が少なくとも1つ存在している。オープンソースライブラリで発見された脆弱性の最も一般的なタイプは、アクセス制御の問題、クロスサイトスクリプティング、機密データの漏洩、インジェクションの4つである。

 - https://threatpost.com/70-of-apps-open-source-bugs/156040/

 - https://www.veracode.com/sites/default/files/pdf/resources/reports/state-of-software-security-open-source-edition-veracode-report.pdf

 

【編集者メモ】(Neely)

Veracodeの報告書では、言語の種類ごとに欠陥を分類しているが、PHPには、少なくともPOCProof of Concept)エクスプロイトを含んだ最も多くの欠陥がある。これにより、オープンソースライブラリを監視して更新するだけでなく、これらのリリースを現在のソフトウェアライフサイクルの更新プロセスに統合するという負担が生じる。幸いなことに特定されたオープンソースの欠陥の大部分は、アプリケーションを破壊する可能性の低い小さなアップデートで対処されており、最新の状態を維持するリスクと困難さを軽減している。

【編集者メモ】(Pescatore)

オープンソースソフトウェアには、商用ソフトウェアと同じように脆弱性がある可能性が高いことをよく思い出させるものだ。Veracodeの報告書からの重要な注意点は、「ほとんどのアプリケーションでライブラリに起因する欠陥を修正することは、マイナーバージョンの更新だけで可能である。ライブラリのメジャー・アップグレードは通常必要ない!」ということだ。

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃OUCH! 5月号について

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本来であれば、5月号「アップデートの威力」をご紹介するところですが、世界的

Covid-19の影響により、OUCH! もグローバルで業務縮退を行い、各国語版を作

成しておりません。 毎月楽しみにされている皆さまにはご不便をおかけいたしま

すが、原文である英語版をご覧いただくようにお願いをいたします。

 

なお、6月号以降については、これまで通り各国語版を作成して配信予定です。

https://www.sans.org/security-awareness-training/ouch-newsletter

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

◆ ミシガン州立大学がランサムウェア攻撃に苦しむ (2020.5.27 & 28)

ミシガン州立大学(MSU)のコンピュータネットワークが今週初め、ランサムウェアに襲われた。NetWalkerとして知られるマルウェアを使ったランサムウェアの攻撃者は、MSUに身代金を支払うために1週間の猶予を与えた。NetWalkerの攻撃者は、与えられた期間内に支払いが行われなかった場合、MSUのネットワークから盗まれたデータを公開すると脅している。NetWalkerを調査しているSophosの研究者らは、このランサムウェアが「合法的で一般に公開されているソフトウェア(TeamViewerなど)、公開されているコードリポジトリ(Githubなど)から切り取ったファイル、そして攻撃者自身が作成したと思われるスクリプト(PowerShell)などのツール」を使用していることを発見した。

 - https://edscoop.com/michigan-state-hit-by-ransomware-threatening-leak-of-student-and-financial-data/

 - https://www.zdnet.com/article/michigan-state-university-hit-by-ransomware-gang/

 - https://www.bleepingcomputer.com/news/security/michigan-state-university-network-breached-in-ransomware-attack/

 - https://www.darkreading.com/attacks-breaches/netwalker-ransomware-tools-reveal-attacker-tactics-and-techniques/d/d-id/1337929

 - https://news.sophos.com/en-us/2020/05/27/netwalker-ransomware-tools-give-insight-into-threat-actor/

 

【編集者メモ】(Pescatore)

バージニア工科大学のCISOでシニアSANSインストラクターのRandy Marchany氏は、最近のSANSのウェビナーで、ランサムウェア攻撃が増加している現状を前にして、その中で彼のチームがどのようにしてセキュリティ運用を維持してきたかを詳しく説明してくれている。録音されたバージョンを見ることができ、またRandyのリンクを含む.pdfバージョンをダウンロードすることができる。

https://www.sans.org/webcasts/making-keeping-work-home-operations-safe-productive-114490

:在宅業務の安全と生産性の確保と維持

────────────────

 

MicrosoftPonyFinalランサムウェアをユーザーに警告 (2020.5.27 & 28

Microsoft Security Intelligenceは、PonyFinalとして知られるJavaベースのランサムウェアについて、組織に警告を発している。Microsoftは、「組織はこのペイロードよりも、このペイロードがどのように配信されるかに注目すべきである」と述べている。PonyFinalは感染したシステムの情報を収集して流出させ、ファイルを暗号化するタイミングを待つという。

 - https://threatpost.com/ponyfinal-ransomware-enterprise-servers/156083/

 - https://www.darkreading.com/attacks-breaches/microsoft-shares-ponyfinal-threat-data-warns-of-delivery-tactics/d/d-id/1337919

 - https://www.zdnet.com/article/microsoft-warns-about-attacks-with-the-ponyfinal-ransomware/

 - https://www.scmagazine.com/home/security-news/ransomware/ponyfinal-deployed-in-human-operated-ransomware-attacks/

 - https://twitter.com/MsftSecIntel/status/1265674287404343297

 

【編集者メモ】(Neely)

PonyFinalは、エンドポイントやユーザーが悪意のあるリンクをクリックするより、システム管理サーバに対するブルートフォース攻撃によってアクセスを獲得する。そのため、多要素認証を含むシステム管理サービスの安全性を確保することが最善の緩和策となる。在宅ワークをより良くサポートするために、インターネットにさらされている可能性のあるサービスのアクセス制御と監視を検証する必要がある

【編集者メモ】(Murray)

明確でありながらも侵害されない防御は、これらのサーバ、全てのサーバ上での強力な認証だ。企業が強力な認証を使用しないと、私たち全員が危険にさらされることになる。

────────────────

 

◆ 米ニューメキシコ州政府がランサムウェア攻撃を受ける (2020.5.27

ニューメキシコ州リオアリバ郡政府のコンピュータがランサムウェアに襲われた。報道発表によると、「ファイルやデータベースが保存されているほぼすべての郡のサーバが何らかの形で影響を受けており、その中には同郡のバックアップサーバーも含まれている。」という。当局が発見したのは526日火曜日だった。

 - https://losalamosreporter.com/2020/05/27/rio-arriba-county-commission-chair-leo-jaramillo-says-fbi-investigating-tuesdays-cyber-attack-on-county/

 - https://www.santafenewmexican.com/news/local_news/rio-arriba-county-hit-in-ransomware-cyberattack/article_225861d0-a06c-11ea-b10f-9329a7451c3d.html

────────────────

 

WordPress PageLayerの脆弱性 (2020.5.28

PageLayerWordPressプラグインにある2つの欠陥が悪用され、脆弱性のあるサイトを乗っ取ったり、さらには消去したりする可能性があるという。56日にリリースされたPageLayerのバージョン1.1.2では、この問題に対処している。このプラグインは20万以上のアクティブなインストール数を誇っている。527日の時点で、プラグインの更新版は85,000回ダウンロードされており、この数には更新版と新規インストールの両方が含まれている。

 - https://www.wordfence.com/blog/2020/05/high-severity-vulnerabilities-in-pagelayer-plugin-affect-over-200000-wordpress-sites/

 - https://www.bleepingcomputer.com/news/security/200k-sites-with-buggy-wordpress-plugin-exposed-to-wipe-attacks/

 

【編集者メモ】(Murray)

Verizon DBIRの報告によると、「侵害」の43%はWebアプリケーションが関与していたという。

【編集者メモ】(Paller)

WordPressのようなコンテンツ管理システムほど危険なアプリケーションはほとんどない。

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃申込受付中のオンラインセミナー(無料)         NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

610()

 『業務』で選ぶクラウドサービスの勘所 ~ファイル転送かファイル共有か。

 サービス選定を簡単にする判断ポイント~

 https://www.nri-secure.co.jp/seminar/2020/online_file01?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

611()

 特権ID管理ツールの導入検討支援セミナー ~成功の秘訣と導入効果~

 https://www.nri-secure.co.jp/seminar/2020/online_ac02?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

617()

 テレワークでBoxを安全に使う方法とは

 ~無料アカウントに潜む情報漏えいリスクと対策~

 https://www.nri-secure.co.jp/seminar/2020/box03?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

78()

 これからの時代のOT/ICSセキュリティ

 ~今こそ考えたい、OTネットワークのあるべき姿~

 https://www.nri-secure.co.jp/seminar/2020/ot_security01?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃申込受付中の研修                                 NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

629日~711日:オンライン(ライブ配信)

 SANS Japan Live Online July 2020

 https://www.sans-japan.jp/sans_japan_live_online_2020?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

9月、10月、11月、12月、20211月、2月、3月:オンサイト(会場型)

 CISSP CBKトレーニング

 https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

8月、20212

 セキュアEggs

 (基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)

 https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃コラム(Secure SketCH ブログ)                    NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

〇【技術解説】OpenID Connect CIBA 実装の具体例と考慮すべきポイント

 https://www.secure-sketch.com/blog/openid-connect-ciba-implementation?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

〇アフターコロナに不可欠なテレワークのセキュリティ

 https://www.secure-sketch.com/blog/telework-security-for-after-corona?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

○テレワークで情報システム管理を実施する前に考慮すべき3つのこと

 https://www.secure-sketch.com/blog/points-to-manage-systems-with-teleworking?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

>>ブログ記事一覧

 https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃お知らせ                     <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

〇テレワークのセキュリティ対策 特別割引でキャンペーン中

 https://www.nri-secure.co.jp/service/telework-security?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

NRIセキュア、防衛産業サプライチェーン向けガイドライン「NIST SP800-171

 に準拠するための支援サービスを強化

  https://www.nri-secure.co.jp/news/2020/0520?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

〇「新型コロナウイルス感染拡大に伴う医療のサイバーセキュリティ」

 に関する提言を発表

 https://www.nri-secure.co.jp/news/2020/0528-1?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

〇セキュアファイル転送/共有サービス「クリプト便」、

 クラウドサービスに関する国際規格であるISO認証を取得

 https://www.nri-secure.co.jp/news/2020/0529?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

>>ニュース一覧

 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃NRIセキュア メールマガジン 無料購読        <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの業務に役立つ情報を月に3~4回お届けします。

 https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20200602sans

 

--

 

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。

https://www.nri-secure.co.jp/news_letter

 

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。