──────────────────────────
■■SANS NewsBites Vol.15 No.21
(原版: 2020年 6月 9日、12日)
──────────────────────────
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
2┃0┃2┃0┃年┃7┃月┃東┃京┃開┃催┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃配┃信┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃E┃C┃5┃0┃4┃・┃S┃E┃C┃4┃0┃1┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
ま┃だ┃間┃に┃合┃い┃ま┃す┃!┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛
【SANS Japan Live Online July 2020】
https://www.sans-japan.jp/sans_japan_live_online_2020
日本ローカル講師による日本語でのLive Online形式で、トレーニングを開催い
たします。
専用プラットフォームを使ったオンライントレーニング環境で、インターネット
経由でどこからでもご受講いただけます。通常の教室での講義と同様に質疑応答
(Slack等のテキストチャット)も可能で、ハンズオンやCTFの実施もございます。
また、コース開始日から4ヶ月間、ライブ配信録画、ハンズオン用のラボ環境に
アクセスすることができます。
◆開催コース・開催日程
SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling<日本語>
開催日程 2020年6月29日-7月3日、7月6日-11日(半日×11日間)
https://www.sans-japan.jp/sans_japan_live_online_2020/sec504
お申込締切日 2020年6月22日
SEC401:Security Essentials Bootcamp Style<日本語>
開催日程 2020年7月6日-11日(全日×6日間)
https://www.sans-japan.jp/sans_japan_live_online_2020/sec401
お申込締切日 2020年6月29日
◆トレーニング費用(税抜)
810,000円
◆お申込みについて
各コースページのお申し込みボタンより、お1人様ずつお願いいたします。
https://www.sans-japan.jp/sans_japan_live_online_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ QNAP NASデバイスを標的としたランサムウェア攻撃 - 危険 (2020.6.5)
eCh0raixランサムウェアの攻撃者が、QNAPネットワーク接続ストレージ(NAS)デバイスを標的とした活動を開始した。攻撃者は、既知の脆弱性やブルートフォースパスワード攻撃を通じてデバイスにアクセスしている。
- https://www.zdnet.com/article/qnap-nas-devices-targeted-in-another-wave-of-ransomware-attacks/
【編集者メモ】(Ullrich)
QNAPまたは同様のストレージデバイス(Netgear、Synology、Western Digital...)をお持ちなら、今日中に次の作業を行う必要がある。(1)パッチを当てる。これらのデバイスはパッチを当てるのが難しい傾向にある。ユーザーが作業中のドキュメントを保存するためにデバイスを使用したり、仮想環境でデバイスをiSCSIドライブとして使用したりする場合は、作業を中断しないように注意する必要がある。(2)デバイスがインターネットにさらされていないことを確認する。(3)デバイスの操作に必要のないすべてのコンポーネントをアンインストールする。これらのデバイスには、多くの場合、脆弱性のあるWebアプリケーションがプリインストールされている。できるだけ多くのアプリケーションをアンインストールするべきだ。ベンダーは、これらの機能を同梱されている機能の数で売り込もうとする。ランダムなオープンソースのコンポーネントをデバイスに追加して機能を追加するのは簡単で安価だ。しかし、ベンダーはこれらのコンポーネントの安全性を確保できていないことが多く、パッチを当てることが難しいため、インターネットにさらされてしばらくすると、これらのデバイスは危険にさらされることになるだろう。
【編集者メモ】(Neely)
QNAP OTSとSecurity Counselorソフトウェアをアップデートし、より強力な管理者パスワードを使用し、ネットワークへのアクセスを制限し、Telnetと未使用のSSHサービスを無効にし、QNAPスナップショットサービスを有効にするべきだ。eCh0raixの欠陥が修正され、BloodDollyがリリースした無料の復号化オプションが無力化された。
【編集者メモ】(Murray)
NASデバイスは、パブリックネットワークに接続したり、エンドツーエンドのアプリケーション層の暗号化によって隠されたりしてはならない。
────────────────
◆ SMBGhostの概念実証のエクスプロイトコードが公開 - 重要 (2020.6.5, 6 & 8)
米国土安全保障省のサイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は、Microsoft Windowsの既知の脆弱性を悪用する「機能的な概念実証コード」が公に利用可能であると警告している。SMBGhostという欠陥は、Microsoft Server Message Blockプロトコルのバージョン3.1.1にあり、Windows 10とWindows Server 2019に影響を与える。Microsoftは2020年3月にこの問題の修正版をリリースしている。
- https://threatpost.com/smbghost-rce-exploit-corporate-networks/156391/
【編集者メモ】(Ullrich)
これは、私たちは皆、Patch Tuesday(今日...)にWindowsシステムにパッチを当てているので、大したことではなく、SMBが我々の境界線をトラバースすることは絶対に許さない。もしこの文があなたの組織に当てはまらない場合、パニックになる。おそらく、あなたの組織は、他の数十の脆弱性を標的としたエクスプロイトによって、すでに危険にさらされているだろう。
【編集者メモ】(Neely)
3月12日に公開されたCVE-2020-0796の重要なMicrosoftパッチは、Windows 10とWindows Serverのバージョン1903と1909の両方に影響を与える。SMB圧縮を無効化し、ポート445をブロックすることでリスクを若干緩和することはできるが、特にリモートワーカーの割合が増加している中では、完璧な修正方法はパッチを適用することである。
────────────────
◆ DARPAがバグ報奨プログラムを発表 (2020.6.8)
米国防総省の国防高等研究プロジェクト機関(DARPA)は、バグ報奨プログラムを発表した。焦点は、DARPAのSystem Security Integration Through Hardware and Firmware(SSITH)にある。このプログラムでDARPAと提携しているセキュリティ企業のSynackは、2020年6月15日から29日まで実施されるCTF(Capture-the-Flag)予選大会を開催している。DARPAのバグ報奨プログラムは2020年7月~9月に実施される。
- https://www.darpa.mil/news-events/2020-06-08a
- https://go.synack.com/darpa-ctf-registration-page.html
- https://www.cyberscoop.com/darpa-bug-bounty-hardware-synack/
【編集者メモ】(Pescatore)
これは見ていて面白いものになるだろう。国防総省が、長年に渡るHack-the-Pentagonの管理するバグ報奨プログラムの成功に基づいて構築しているのは良いことだが、これまでのほとんどすべてのバグ報奨プログラムとは異なる焦点、つまり特殊なハードウェアの脆弱性の発見である。これは非常に必要とされていることであり、AppleのA4チップやPCのマザーボード、基盤の管理コントローラの脆弱性がこのことを明確にした。もっと専門的なスキルが必要だが、ハードウェアデバイスは、あまりにも多くの場合、曖昧なセキュリティに頼ってきた。このようなプログラムは、なぜそれがうまくいかないのかに明るい光を当てることができる。
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
テレワークをするにあたってセキュリティを意識していますか。オフィスと同じ
ように注意すべきポイントさえ押さえれば、サイバー・セキュア・ホームの構築
は可能です。今月は安全にテレワークを行うための考え方や準備について、初心
者にもわかりやすく解説します。社内の意識啓発資料としてご活用ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Microsoft Patch Tuesday (2020.6.9 & 10)
6月9日火曜日、Microsoftは複数の製品にある129件のセキュリティ問題の修正プログラムを公開した。Microsoftが定期的に実施しているセキュリティアップデートで100件以上の脆弱性を修正したのは、これで4カ月連続となる。今回のパッチには、Server Message Block(SMB)v1プロトコルにおける重大なリモートコード実行の脆弱性の修正が含まれている。MicrosoftはこのほかにもSMBv3の2つの脆弱性の修正もリリースした。
- https://isc.sans.edu/forums/diary/Microsoft+June+2020+Patch+Tuesday/26220/
- https://krebsonsecurity.com/2020/06/microsoft-patch-tuesday-june-2020-edition/
- https://www.theregister.com/2020/06/09/june_2020_patch_tuesday/
- https://www.zdnet.com/article/microsoft-june-2020-patch-tuesday-fixes-129-vulnerabilities/
- https://duo.com/decipher/critical-flaw-patched-in-windows-smb
【編集者メモ】(Pescatore)
現在の環境では、2つの重要なポイントがある。(1)Rapid7が80%以上のMicrosoft Exchangeサーバに2月のクリティカルパッチがインストールされていないことを発見したという先週のNewsBitesの記事では、ITスタッフが在宅勤務をしている間は、ITオペレーションがサーバへのパッチ適用に注力していない可能性があることを示している。そして(2)自宅のPCで仕事をしている従業員は、自動更新がオンになっていることと、これらの大規模なパッチリリースが正常にインストールされていることを確認するように注意すべきだ。
【編集者メモ】(Ullrich)
MicrosoftはSMBv1から離れてSMBv2を導入し、もはや使われていない多くのレガシー機能によって作られた攻撃の一部を減らすために導入した。SMBv3では、Microsoftは圧縮などの機能を追加し始めたが、明らかに過去の過ちから学ぶことができず、組み合わせれば壊滅的な被害をもたらす可能性のある3つの脆弱性を抱えることになってしまった。結局のところ、古いルールはまだ適用される。SMBが、絶対に境界線を通過することを許可せず、入念に内部のSMBトラフィックを監視するべきだ。3月には、SMBGhost(CVE-2020-0796)があった。SMBGhostはリモートコード実行の脆弱性だが、悪用するのが難しく、PoCのエクスプロイトが公開されるのには、5月までかかった。今月、MicrosoftはSMBv3の全く同じ機能にある別の脆弱性を修正した。SMBleed(CVE-2020-1206)は、情報の開示を許可するだけで、最初はそれほど深刻ではないようだ。しかし、開示される情報はカーネルのメモリで、SMBGhostと組み合わせて特権を昇格させることで、SMBleedは壊滅的な攻撃につながる可能性がある。そして最後に、そう、SMBv1で別のRCEを入手した(SMBLost、CVE-2020-1301)。しかし、SMBv1はずっと前に無効化されているはずだ。
【編集者メモ】(Neely)
SBMGhostのパッチが適用されたことを確認した上で、MSのリリースではSMBの修正が追加された。SMBは従来の企業境界内に含まれているが、現在の職場環境では、それほど十分に含まれていないかもしれないので、タイムリーなパッチ適用が不可欠だ。Johnが私たちに思い出させてくれるように、我々の環境はまた、更新を維持する必要がある個人所有のシステムによってさらに複雑になっている。可能であれば、パッチチェックをVPNの挙動チェックに組み込むべきだ。パッチが適用されていないシステムを使用しようとした場合の施行スケジュールと期待値をユーザーに知らせるようにする必要がある。
【編集者メモ】(Murray)
今のところ、そしてほとんどの企業にとって、「パッチ適用」は必須である。それを怠ると、自分が危険にさらされるだけでなく、隣人をも危険にさらすことになる。どの時点で、パッチ適用のコストが高すぎると判断するのだろうか?これらの広く使われている製品の攻撃面は非常に大きく、均質で、多孔性があり、それらがインフラストラクチャ全体を弱体化させていることに気づくのはいつなのだろうか? 私たちが使用しているアーキテクチャ(例: von Neumann)、言語、開発プロセスに根本的な欠陥があることに気づくのはいつなのだろうか?これらの製品をローカルのファイアウォールやエンドツーエンドのアプリケーション層の暗号化の背後に隠すことが、より効率的な戦略であることに気づくのだろうか?ハードウェアとソフトウェアの両方を構築し、購入し、支払い、使用する方法を根本的に改革しなければならないことを認めるのはいつなのだろうか?どの時点で、私たちはセキュリティへの道にパッチを当てることができないことを認めるのだろうか?
────────────────
◆ MicrosoftがWindows Group Policyの脆弱性に対する修正をリリース(2020.6.9 & 10)
Microsoftが予定されている月例セキュリティアップデートでパッチを当てた問題の1つに、Windows Group Policyの特権昇格の欠陥がある。CyberArk社はこの脆弱性を発見し、1年以上前にMicrosoftに通知した。この問題は、現在サポートされているWindowsのすべてのバージョンに影響を及ぼす。
- https://www.cyberark.com/resources/threat-research-blog/group-policies-going-rogue
【編集者メモ】(Neely)
CVE-2020-1317の修正は、今月のMicrosoftのパッチに含まれている。CyberArk社は、この脆弱性はシステムにログインしてしまえば簡単に悪用できることを特徴としているが、Microsoftは、専門的なソフトウェアも必要だと主張している。いずれにしても、今月のアップデートを適用することで問題は解決する。
────────────────
◆ Adobeが複数製品の欠陥に対する修正プログラムをリリース (2020.6.9)
Adobeは、Flash Player、Experience Manager、Framemakerのセキュリティ問題の修正プログラムをリリースした。今回のアップデートでは、全部で10件の脆弱性が修正されている。このうち4つの脆弱性は重大と評価されており、パッチが適用されていないシステム上でリモートからコードを実行される可能性がある。重大な欠陥のうち3つは、メモリ破損と境界外からの書き込みの脆弱性はFramemakerに影響を与え、4つ目の脆弱性はFlash Playerに影響する。
- https://threatpost.com/adobe-warns-critical-flaws-flash-player-framemaker/156417/
- https://helpx.adobe.com/security.html
【編集者メモ】(Pescatore)
もう一つ、在宅勤務の従業員にパッチを当てることをリマインドさせるもので、追加の注意事項がある。AdobeとMcAfeeは、Adobeのパッチ適用プロセスの一環として、AdobeのソフトウェアユーザーにMcAfeeのソフトウェアをインストールするように説得し続けている。ユーザーには、Adobeの更新要求に「はい」をクリックするだけではいけないことを明示的に伝えるべきだ。このAdobe/McAfeeの取引が続くとは信じがたい。バンドエイド社がユーザーを騙してホームアラームサービスにサインアップしようとした場合を想像してみよう。
【編集者メモ】(Neely)
私はまだコンテンツを表示するためにFlashを有効にしてくださいというプロンプトが時々出てくるので、今確認したみた。Flashのサポート終了日はまだ2020年12月31日なので、まだ使用されているところは更新しておく必要がある。Flashベースのコンテンツを廃止させる計画、またはそれを使用するための隔離されたブラウザを提供する計画は、今年も終了していることを確認するべきだ。
────────────────
◆ WordPress 5.4.2がより多くの脆弱性を修正 (2020.6.11)
WordPressは、コンテンツ管理システムのバージョン5.4.2をリリースした。新バージョンでは、クロスサイトスクリプティング攻撃によって悪用される可能性のある6つの脆弱性を含む、多くのセキュリティ問題に対処している。このアップデートはセキュリティとメンテナンスのリリースであり、WordPressは次のメジャーアップデートであるWordPress 5.5を2020年8月にリリースする予定である。
- https://portswigger.net/daily-swig/wordpress-security-release-addresses-multiple-xss-vulnerabilities
- https://wordpress.org/news/2020/06/wordpress-5-4-2-security-and-maintenance-release/
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇7月8日(水)
これからの時代のOT/ICSセキュリティ
~今こそ考えたい、OTネットワークのあるべき姿~
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月29日~7月11日:オンライン(ライブ配信)
SANS Japan Live Online July 2020
〇9月、10月、11月、12月、2021年1月、2月、3月
CISSP CBKトレーニング
〇8月、2021年2月 ※一部オンライン開催
セキュアEggs
(基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇デジタルサービスの生命線、「脅威情報」との付き合い方
○テレワークで情報システム管理を実施する前に考慮すべき3つのこと
〇テレワークにおける特権ID管理のポイント|目指すは接続環境に依存しない統制
〇アフターコロナに不可欠なテレワークのセキュリティ
>>ブログ記事一覧
https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200617sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- テレワークのセキュリティ対策 特別割引でキャンペーン中
○NRIセキュア、防衛産業サプライチェーン向けガイドライン「NIST SP800-171」
に準拠するための支援サービスを強化
〇セキュアファイル転送/共有サービス「クリプト便」、
クラウドサービスに関する国際規格であるISO認証を取得
〇「新型コロナウイルス感染拡大に伴う医療のサイバーセキュリティ」
に関する提言を発表
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200617sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20200617sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。