──────────────────────────
■■SANS NewsBites Vol.15 No.25
(原版: 2020年 7月 7日、10日)
──────────────────────────
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
2┃0┃2┃0┃年┃8┃月┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
同┃時┃通┃訳┃付┃き┃ラ┃イ┃ブ┃配┃信┃に┃て┃開┃催┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
【Japan Bi-Lingual Live Online】全2コース実施予定
8月31日より、SEC560とFOR508の英語コースについて、同時通訳(音声)
付きのLive Online形式で開催をいたします。
間もなくお申込み受付を開始しますので、今しばらくお待ちください。
◆開催日:2020年8月31日(月)~2020年9月5日(土)
SEC560: Network Penetration Testing and Ethical Hacking
FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 米国サイバー軍がPalo Alto TechnologiesのOSの脆弱性に警告;今すぐパッチ適用を! (2020.6.30)
6月29日、米国サイバー軍は、Palo Alto Networks社のファイアウォールやVPNアプライアンス上で動作するオペレーティングシステムである、同社のPAN-OSに影響を及ぼす重大な欠陥に関するサイバーセキュリティの警告を発表した。この警告では、「CVE-2020-2021の影響を受けるすべてのデバイス、特にSAMLが使用されている場合は、直ちにパッチを適用するように」とユーザーに呼びかけている。米国サイバー軍は、外国の敵対者が間もなくこの脆弱性を悪用し始める可能性が高いと予想している。
- https://twitter.com/CNMF_CyberAlert/status/1277674547542659074
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK
- https://security.paloaltonetworks.com/CVE-2020-2021
【編集者メモ】(Murray)
残念なことだが、「パッチを適用する」ことは今や必須で、費用がかかり、継続的な業務となってしまっている。しかし、すべてのパッチは対等ではない。積極的に悪用されている脆弱性には今すぐパッチを適用しよう。
───────────────
◆ NSAがIPsec VPNのセキュリティ確保に関するガイダンスを発行 (2020.7.2)
米国国家安全保障局(NSA)は、組織がIPsecバーチャル・プライベート・ネットワーク(VPN)のセキュリティを確保するためのガイダンスを発表した。多くの組織では、従業員が自宅で仕事ができるようにするためにこれらを使用している。またBNSAも、IPsec VPNの設定に関する情報を記載した文書を公開した。
【編集者メモ】(Pescatore)
この記事と、サイバー軍がPalo Alto Networks社のPAN-OSベースの製品に致命的な脆弱性があると警告したことに関連して、SANSのヨハネス・ウルリッヒ氏は今年の初めに、セキュリティとVPNアプライアンスの致命的な脆弱性についての素晴らしいガイダンスを発表し、認定を受けた。SANSは、以下のリンクで入手可能なSANS 2020 New Attack and Threat Reportの一部として、そのガイダンスを発表した。
https://www.sans.org/reading-room/whitepapers/threats/paper/38908
【編集者メモ】(Murray)
このガイダンスでは、すべてのVPNがネットワークの「ゲートウェイ」で終了することを想定しているようだ。在宅勤務の状況では、こういったことは多くあるだろうが、ネットワークやオペレーティングシステム上ではなく、アプリケーション上でVPNを終了させることをお勧めする。
────────────────
◆ 新しいmacOSのランサムウェアであるThiefQuestがTorrentサイトで発見される(2020.7.1)
Malwarebytesの研究者らが、macOSを実行しているデバイスを標的とした新たなランサムウェアを検出した。ThiefQuestと名付けられたこのランサムウェアはスパイウェアとしての機能も持っており、ファイルを流出させたり、暗号通貨のウォレットやパスワードを検索したり、キーストロークを記録したりすることができる。ThiefQuestは、torrentサイトで他のソフトウェアとバンドルされていることが発見されている。
- https://blog.malwarebytes.com/mac/2020/06/new-mac-ransomware-spreading-through-piracy/
- https://twitter.com/dineshdina04/status/1277668001538433025
- https://threatpost.com/evilquest-inside-mac-malware/157074/
- https://www.wired.com/story/new-mac-ransomware-thiefquest-evilquest/
- https://www.theregister.com/2020/07/01/evilquest_ransomware/
────────────────
◆ マネージド・サービス・プロバイダーのXchanging社がランサムウェア被害に (2020.7.6)
米国証券取引委員会(SEC)に提出した8-Kフォームで、DXC Technology社は、子会社のひとつにあるシステムがランサムウェア攻撃を受けたことを明らかにした。そのXchanging社は、主に保険業界に焦点を当てたマネージド・サービス・プロバイダーだが、他の分野にも顧客を持っている。書類によると、「DXC社は、影響を受けた顧客と積極的に連携し、可能な限り迅速に動作環境へのアクセスを回復するよう努めている」という。
- https://www.sec.gov/Archives/edgar/data/1688568/000119312520187244/d942699dex991.htm
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「ランサムウエア」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Wannacryを覚えていますか? そしてランサムウエアの対策にはどのようなもの
があったのかを説明できますか? 世間を騒がせたランサムウエアですが、攻撃
者にとって金銭を獲得する有用な手段のため、さまざまな亜種や新種が登場して
います。今月はランサムウエアの基本から振り返り、どのような対策を取れば良
いのか初心者にもわかりやすく解説します。社内の意識啓発資料としてご活用く
ださい。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Zoomのゼロデイは、旧Windowsバージョンを実行しているクライアントに影響を及ぼす (2020.7.9)
Zoomは、7月9日木曜日に公開されたゼロデイ脆弱性の修正に取り組んでいる。この任意コード実行の欠陥は、Windows 7、Windows Server 2008 R2、およびそれ以前のバージョンのオペレーティングシステム上で動作するZoomクライアントに影響を及ぼす。Windows 8およびWindows 10で動作するZoomクライアントは影響を受けない。
- https://threatpost.com/unpatched-zoom-bug-rce/157317/
- https://www.zdnet.com/article/zoom-working-on-patching-zero-day-disclosed-in-its-windows-client/
- https://www.cyberscoop.com/zoom-zero-day-windows-7-acros/
【編集者メモ】(Ullrich)
このバグは現行ではWindows 7に限定される。まだWindows 7を使っているなら、ZoomやWebブラウジングなどのタスクは使用してはいけない。Windows 7を特定のシステム上で実行する必要がある特定のタスクにのみ使用するべきだ。
【編集者メモ】(Neely)
より完全な修正方法は、サポートされているWindowsのバージョンにアップグレードすることだ。Windows 7とServer 2008のサポートは、今年の1月14日に終了した。どうしても古いOSを稼働しなければならない場合は、電子メールやブラウジング、テレビ会議などのインターネットを利用した業務には使用せず、アクセスを制限して悪用をより困難にするべきだ。
───────────────
◆ Palo Alto Networks社が新たなPAN-OS脆弱性アップデートをリリース(2020.7.8 & 9)
Palo Alto Networks社は、PAN-OS GlobalProtectポータルに存在する重大なコマンドインジェクションの脆弱性を修正するアップデートをリリースした。この脆弱性は、9.1.3以前のPAN-OSバージョン9.1、8.1.15以前のPAN-OSバージョン8.1、9.0.9以前のPAN-OSバージョン9.0、およびPAN-OS 8.0とPAN-OS 7.1のすべてのバージョンに影響を及ぼす。PAN-OS 8.0、7.1についてはサポート終了のため、修正プログラムのリリースは行われない。
- https://www.theregister.com/2020/07/09/palo_alto_fix/
- https://security.paloaltonetworks.com/CVE-2020-2034
【編集者メモ】(Neely)
このパッチは、未認証のリモート攻撃者が、パッチが適用されていないデバイス上で、root権限で任意のOSコマンドを実行することを可能にするCVE-2020-2034に対処するものだ。サポートされていない古いバージョンの PAN-OSを使用している場合、直ちに前進する時だ。つまり新しいハードウェアが必要になるかもしれない。
【編集者メモ】(Ullrich)
これらのデバイスの管理インターフェースが外部から見えないようにするためのも
う一つの理由だ。
────────────────
◆ Citrix社がネットワーク製品の脆弱性11件をパッチで修正;誰かが既に脆弱性のあるインストールをスキャン (2020.7.7,8 & 9)
今週初め、Citrix社は、Citrix ADC、Citrix Gateway、およびCitrix SD-WAN WANOPアプライアンスの11の脆弱性修正プログラムをリリースした。脆弱性には、情報公開、ローカル特権の昇格、コードインジェクション、クロスサイトスクリプティング、認証バイパス、サービス拒否などが含まれている。NSAのTailored Access Operations(TAO)チームの元責任者であるロブ・ジョイス氏は、ユーザーに対しできるだけ早くパッチを適用するよう促している。脆弱性のあるインストールのアクティブスキャンが検出されている。
- https://www.theregister.com/2020/07/09/citrix_bugs_exploit/
- https://duo.com/decipher/citrix-patches-11-vulnerabilities-in-several-products
- https://threatpost.com/citrix-bugs-allow-unauthenticated-code-injection-data-theft/157214/
- https://www.theregister.com/2020/07/08/citrix_eleven_patches/
- https://twitter.com/RGB_Lights/status/1280616246015340546
- https://support.citrix.com/article/CTX276688
【編集者メモ】(Ullrich)
ここで特に気になるのがXSSの脆弱性である。XSS脆弱性の影響は過小評価されがちだ。今回のケースでは、XSS脆弱性を利用して、デバイス上でコードを実行することができてしまう。エクスプロイトはYouTubeの動画で実証されているが、完全なエクスプロイトコードはまだ公開されていない。現在システムにログインしている管理者である被害者は、悪意のあるウェブサイトにアクセスしてエクスプロイトチェーンをもたらす必要がある。その結果、攻撃者はデバイスにフルアクセスすることになってしまう。
【編集者メモ】(Neely)
攻撃は脆弱性のあるデバイスにアクセスして悪用する必要があるため、緊急性をめぐる議論が発生する。XSSを使用して管理インターフェースを標的にすると、侵害につながる可能性がある。また、仮想IPは、DOS攻撃や内部ネットワークスキャンを開始するために使用される可能性もある。パッチの適用に加えて、管理インターフェースへのアクセスを制限しよう。
【編集者メモ】(Honan)
コロナウイルスが大流行している間、多くの人々がリモートで仕事をしていることを考えると、Citrix Gatewayなどのリモートアクセスポイントに対する攻撃が増加している。これらの脆弱性はすでに積極的に悪用されており、できるだけ早くパッチを適用する必要がある。
────────────────
◆ WordPressプラグインの致命的な欠陥 (2020.7.8)
WordPressのAdning Advertisingプラグインにある重大なリモートコード実行の欠陥が悪用され、脆弱性のあるサイトを完全に乗っ取られる可能性がある。この欠陥が悪用され、実際に被害が出ている。ユーザーは、 Adningバージョン1.5.6にアップデートするよう強く求められており、このバージョンでは、パストラバーサル脆弱性を経由した厳格に認証されていない任意のファイル削除も修正されている。
- https://threatpost.com/advertising-plugin-wordpress-full-site-takeovers/157283/
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇7月17日(金)
『業務』で選ぶクラウドサービスの勘所
~ファイル転送かファイル共有か。サービス選定を簡単にする判断ポイント~
〇7月21日(火)
OTネットワークに求められる特権ID管理とは
~重要システムの特権を守るベストプラクティスソリューションのご紹介~
〇7月22日(水)
テレワークでBoxを安全に使う方法とは
~無料アカウントに潜む情報漏えいリスクと対策~
〇7月28日(火)
アフターコロナ時代のテレワークとセキュリティ
~今、企業に求められるセキュアな働き方改革とは~
〇8月7日(金)
コロナ&テレワーク、攻撃しやすい環境は整った!
直面するリスクとその対応のポイント
~技術対策だけでは守れない今こそ活用すべき脅威インテリジェンスとその事例~
〇8月20日(木)
アフターコロナ時代のテレワークとセキュリティ
~今、企業に求められるセキュアな働き方改革とは~
〇9月24日(木)
アフターコロナ時代のテレワークとセキュリティ
~今、企業に求められるセキュアな働き方改革とは~
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の有料研修 ※一部オンライン <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月、2021年2月
セキュアEggs
(基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)
〇9月、10月、11月、12月、2021年1月、2月、3月
CISSP CBKトレーニング
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇DXを支えるセキュリティ
〇EDR導入ガイド
- インシデント前提社会の最適解 -
〇新任システム管理者のための特権ID管理入門書
>>ダウンロード資料一覧
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇テレワーク時代のインシデント対応|事故事例から考える理想の対策
〇対面決済のニューノーマル|クレジットカードの「非接触決済」を徹底解説
〇テレワークが浮き彫りにする、ダウンロード後の「ファイル独り歩き」問題
>>ブログ記事一覧
https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200714sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- テレワークのセキュリティ対策 特別割引でキャンペーン中
〇NRIセキュア、安全で効率的なリモートアクセスを実現する
「Zscaler Private Accessマネージドサービス」を提供開始
~ゼロトラストモデルの実装で、テレワークなど多様な業務環境を支援~
〇NRIセキュア、工場向けに特化したセキュリティ教育・インシデント対応
訓練プログラムを提供開始
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200714sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20200714sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。