──────────────────────────
■■SANS NewsBites Vol.15 No.23
(原版: 2020年 6月 23日、26日)
──────────────────────────
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
2┃0┃2┃0┃年┃8┃月┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
同┃時┃通┃訳┃付┃き┃ラ┃イ┃ブ┃配┃信┃に┃て┃開┃催┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
【Japan Bi-Lingual Live Online】全2コース実施予定
8月31日より、SEC560とFOR508の英語コースについて、同時通訳付きの
Live Online形式で開催をいたします。
詳細のご案内は、今しばらくお待ちくださいませ。
開催日:2020年8月31日(月)~2020年9月5日(土)
SEC560: Network Penetration Testing and Ethical Hacking
FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 首相:オーストラリアは国家支援によるサイバー攻撃を受けている(2020.6.19)
6月19日金曜日の記者会見で、オーストラリアのスコット・モリソン首相は、同国の公共機関が国家を背景とした者からのサイバー攻撃を受けていると警告した。攻撃の標的となっているのは、政府、民間企業、教育、医療および必要不可欠なサービス、重要インフラの運営者など、さまざまな分野の組織。モリソン首相は、攻撃に責任があると考えている国を明言しなかった。参謀本部国防信号局 (ASD)からの技術的勧告には、「オーストラリアの複数のネットワークを標的とするために使用された戦術、技術、および手順」が記述されている。
- https://www.theregister.com/2020/06/19/australia_state_cyberattack/
【編集者メモ】(Pescatore)
ASDの勧告からの2つの効果的な引用:(1)「オーストラリア政府は現在、巧妙な国家を基盤とする当事者によるオーストラリア政府と企業の持続的な標的化を認識し、これに対応している」(2)「ACSCの推奨する優先順位付けされた緩和策...インターネットに接続されているソフトウェア、オペレーティングシステム、デバイスへの迅速なパッチ適用を促している。この攻撃活動の過程で当事者が利用したすべてのエクスプロイトは公に知られており、パッチや緩和策が利用可能であった。攻撃は高度なものであったが、基本的なセキュリティ衛生管理(パッチ適用)を行っていれば、これらの攻撃は無効化されていたであろう。」 ASDは、「上位4つ」の基本的なセキュリティ衛生管理だけで、洗練された標的型サイバー攻撃の85%を軽減できるというデータを示している。
【編集者メモ】(Neely)
帰属を持つことは良いことだが、システムのセキュリティを十分に確保し、攻撃からの回復を図ることは重要な活動だ。以下のASD/ACSCの勧告書では、優先順位の高い緩和策として、パッチ適用とMFAの実装から始まり、その後に必須の8つのコントロールが示されている。
これらは常識的な変更であり、攻撃対象を劇的に減らすことができるだろう。
────────────────
◆ グループが米国法執行機関のデータベースから盗み出した269GBのデータを投稿 (2020.6.22)
Distributed Denial of Secretsと名乗るグループが、269ギガバイトの警察のデータをオンラインで公開した。ブライアン・クレブス氏が入手した全米フュージョンセンター協会のメモによると、このデータは、州が所有し運営する法執行機関のフュージョンセンターから取得されたもので、州、地方、連邦、部族、領土、民間の法執行機関のパートナー間の通信を調整する役割を果たしている。メモには、「この漏洩に含まれるデータの予備分析によると、全米の複数のフュージョンセンター、法執行機関、その他政府機関が使用するウェブサービス会社であるNetsential社が侵害の元になっていることを示唆している」と記されている。
- https://krebsonsecurity.com/2020/06/blueleaks-exposes-files-from-hundreds-of-police-departments/
- https://www.wired.com/story/blueleaks-anonymous-law-enforcement-hack/
- https://www.cyberscoop.com/blue-leaks-police-database-ddosecrets/
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
テレワークをするにあたってセキュリティを意識していますか。オフィスと同じ
ように注意すべきポイントさえ押さえれば、サイバー・セキュア・ホームの構築
は可能です。今月は安全にテレワークを行うための考え方や準備について、初心
者にもわかりやすく解説します。社内の意識啓発資料としてご活用ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Microsoft:今すぐExchangeサーバにパッチ適用を(2020.6.24 & 25)
最近のブログ記事で、Microsoft Defender ATP研究チームは、Microsoft Exchange
サーバを標的とした攻撃が最近増加していることを説明している。この攻撃は、Exchange
サーバのIIS(Internet Information Service)コンポーネントの重大な欠陥を悪
用している。この脆弱性に対する修正プログラムは、2020年2月から提供されてい
る。
- https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-servers-under-attack/
- https://www.zdnet.com/article/microsoft-patch-your-exchange-servers-theyre-under-attack/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688
【編集者メモ】(Neely)
最初の攻撃ではクライアントからのアクセスを利用してExchangeサーバにアクセスしていたが、今回の攻撃ではサーバのIISコンポーネントの欠陥を利用してWebシェルを起動している。さらに、一度アクセスすると、誤って設定されたサーバがクレデンシャルハーベスティングを許してしまう。2つのアクションが必要だ。まず、サーバにパッチを適用する。次に、セキュリティ設定を見直す。Microsoft社は、Exchange用のセキュリティガイドを公開しており、CIS (www.cisecurity.org) にも設定ガイドがあるので、そちらも参考にしてほしい。
【編集者メモ】(Pescatore)
3週間前にRapid7がExchangeサーバのパッチが適用されていない割合が高いことを指摘し、我々はNewsBitesに記事を掲載した。また、この問題についてNewsBitesを掘り下げて、ITスタッフが在宅勤務のサポートに追われている間にも、サーバへのパッチ適用が実際に行われているかどうかを再確認するための一般的な注意喚起を行った。
www.sans.org/blog:2020年6月5日に終了する週のNewsBites Drilldown ────────────────
◆ Lion醸造所がランサムウェア攻撃の後、再び操業開始 (2020.6.26)
オーストラリアの飲料会社Lionは、すべての醸造所が稼働しており、乳製品やジュースの施設も稼働していると述べている。Lion社は今月初めにランサムウェア攻撃を受けた。
- https://www.lionco.com/media-centre/lion-update-re-cyber-issue
- https://www.zdnet.com/article/lion-gets-breweries-up-and-running-following-ransomware-attack/
【編集者メモ】(Neely)
すべてのランサムウェア攻撃が報告されている中で、復旧に関するニュースがあるのは喜ばしい。Lion社はまだITのクリーンアップ作業を終えておらず、その過程に関連した混乱があるかもしれないが、顧客へのサービスの復旧により、これを気づかせないだろう。オーストラリアは依然としてランサムウェア攻撃の活発な標的となっているため、再発防止のためのLion社の緩和策が引き続き検証されることになるだろう。
────────────────
◆ Mazeランサムウェアの悪用者が、LG Electronics社ネットワークからデータを盗んだと主張 (2020.6.25)
Mazeランサムウェアの悪用者らは、LG Electronics社のデータを盗んだと主張している。また、同社のネットワークを暗号化したとも主張している。6月25日木曜日午後の時点で、LG社はコメントしていない。
────────────────
◆ Sodinokibi/REvilランサムウェアグループが、侵害されたPOSシステム用ネットワークをスキャン (2020.6.23 & 24)
Symantec社の研究者らは、Sodinokibi/REvilランサムウェアの活動を検出したが、この活動は、場合によっては、感染したネットワークをスキャンしてPOS(Point-of-Sales)ソフトウェアを探すこともあるという。Sodinokibi/REvilの悪用者がPOSシステムを暗号化しようとしているのか、それともペイメントカードのデータを盗もうとしているのかは不明。
- https://threatpost.com/sodinokibi-ransomware-now-scans-networks-for-pos-systems/156855/
【編集者メモ】(Neely)
Symantec社のブログ記事は、REvilの侵入を試みた場合の成功の可能性を減らすことができる緩和策を検討するために使用すべきIOCと同様に、配布、制御、搾取に使用されるTTPについての洞察が記載されている。Sodinokibiの悪用者は、どのようなデータにアクセスしても、支払いを確実にするためにそれを活用する準備ができていることを実証している。侵害されたカードデータは、十分な量であり、ビジネス特有のデータとは独立した市場性の高い商品である。
【編集者メモ】(Murray)
システムが侵害されると、加害者がその侵害を収益化する方法は複数ある。リスクの一部を保険の引受人に割り当てることもできるかもしれないが、そもそも、侵害に抵抗し、最初の場所で、すべてのリスクに抵抗する方が効率的である。
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇7月2日(木)
テレワーク時代に求められるセキュリティ業務改革
〇7月8日(水)
これからの時代のOT/ICSセキュリティ
~今こそ考えたい、OTネットワークのあるべき姿~
〇7月9日(木)
テレワーク時代のWEB開発セミナー
~コロナ禍でもDevSecOpsを実現するには~
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の有料研修 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月、2021年2月 ※一部オンライン開催
セキュアEggs
(基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)
〇9月、10月、11月、12月、2021年1月、2月、3月
CISSP CBKトレーニング
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇DXを支えるセキュリティ
〇EDR導入ガイド
- インシデント前提社会の最適解 -
〇新任システム管理者のための特権ID管理入門書
>>ダウンロード資料一覧
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇テレワークが浮き彫りにする、ダウンロード後の「ファイル独り歩き」問題
〇テレワークにおけるファイル共有で気を付けるべきポイントは?
〇デジタルサービスの生命線、「脅威情報」との付き合い方
>>ブログ記事一覧
https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200701sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- テレワークのセキュリティ対策 特別割引でキャンペーン中
〇NRIセキュア、工場向けに特化したセキュリティ教育・インシデント対応
訓練プログラムを提供開始
〇セキュアファイル転送/共有サービス「クリプト便」、
クラウドサービスに関する国際規格であるISO認証を取得
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200701sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20200701sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。
