──────────────────────────
■■SANS NewsBites Vol.15 No.27
(原版: 2020年 7月 21日、24日)
──────────────────────────
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
2┃0┃2┃0┃年┃8┃月┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
日┃本┃語┃同┃時┃通┃訳┃付┃き┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃で┃す┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛
【SANS Japan Bi-Lingual Live Online 2020】
https://www.sans-japan.jp/sans_japan_bilingual_live_online_2020
◆開催日:2020年8月31日(月)~2020年9月5日(土)
<英語コース/日本語同時通訳(音声)付き>
SEC560: Network Penetration Testing and Ethical Hacking
FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics
◆トレーニング費用
810,000円(税抜)
◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://www.sans-japan.jp/sans_japan_bilingual_live_online_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ オンタリオ州ブランプトンが初の「サイバー人材」都市に (2020.7.20)
オンタリオ州ブランプトンの学生500人が、ロジャース・コミュニケーションズ、ブランプトン市、ライアソン、サイバースキュール・カタリストの官民パートナーシップによる「カタリスト・サイバーキャンプ」を通じて、COVID-19の最中、コンピュータサイエンスとサイバーセキュリティのキャリアに向けての準備を始めている。このユニークなキャンプは、オンタリオ州ブランプトンの13歳から18歳の青少年を対象に、市とそのコミュニティ・パートナーを通じて無料でオンライン・プログラミングを提供している。キャンプ参加者は、セキュリティの課題を解決する方法、コンピュータ・プログラムの書き方、ウェブサイトの欠陥を見つける方法を学びながら、最先端のゲーム、アクティビティ、複雑さを増していくパズルなど最大400時間にわたって行う。生徒たちは、途中でポイントを集めて賞品を獲得するために競い合う。トップパフォーマーは、キャンプでの成功と新しいスキルの習得により、市やビジネスリーダーたちから表彰される。
- https://mobilesyrup.com/2020/07/20/rogers-cybersecure-catalyst-cybersecurity-camp-brampton/
───────────────
◆ ランサムウェアNetwalkerがメリーランド州の保健サービス機関を襲う (2020.7.20)
メリーランド州の高齢者介護・看護サービス組織、Lorien Health Servicesのコンピュータシステム/ネットワークが、6月にNetwalkerランサムウェアに襲われた。攻撃者はデータを盗み、暗号化した。Lorienは身代金を支払わなかったため、マルウェアの攻撃者は、盗まれたデータをオンラインで公開し始めた。漏洩した情報には、氏名、社会保障番号、医療診断や治療方法などが含まれている。この事件は5万人近くに影響を与えている。
- https://www.lorienhealth.com/contact/security-incident
────────────────
◆ ランサムウェアSodinokibiの攻撃者がアルゼンチンのISPに750万ドルを要求(2020.7.20)
インターネットサービスプロバイダーであるTelecom Argentina社の社内ネットワークが、7月18日土曜日にSodinokibi (REvil)ランサムウェアに襲われた。攻撃者は750万ドルの支払いを要求している。ランサムウェアは1万8000台以上のワークステーションに影響を与えた。攻撃によりインターネット接続や電話、ケーブルに影響はなかったが、土曜日以降、一部の企業のウェブサイトが利用できなくなっている。Telecom Argentina社は声明を発表しておらず、従業員はソーシャルメディア上で事件に関する情報を共有している。
- https://www.zdnet.com/article/ransomware-gang-demands-7-5-million-from-argentinian-isp/
────────────────
◆ WordPress All in One SEOのプラグインがXSSの欠陥修正により更新(2020.7.16 & 17)
All in One SEO PackのWordPressプラグインのクロスサイトスクリプティングの脆弱性が悪用され、ウェブサイトを乗っ取られる可能性がある。このプラグインは200万回以上インストールされている。開発者はこの問題をAll in One SEO Packバージョン3.6.2で修正した。
- https://www.theregister.com/2020/07/17/all_in_one_seo_pack_javascript_sanitisation_vuln/
【編集者メモ】(Neely)
WordPress アプリケーションのファイアウォールに依存している場合は、この弱点を悪用する痕跡を確認してほしい。プラグインのアップデートも忘れずに。核心的な問題は、HTMLの注入を許可する入力サニタイズの欠如だった。
【編集者メモ】(Muraay)
ウェブ(およびその他の)開発者は、自分が書いたすべてのコード品質だけでなく、他のソースから取り込んだすべてのコード品質にも責任がある。これは、「WordPressのプラグイン」を使用しているWebサイト開発者にとって、特に問題があることが証明されている。
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「ランサムウエア」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Wannacryを覚えていますか? そしてランサムウエアの対策にはどのようなもの
があったのかを説明できますか? 世間を騒がせたランサムウエアですが、攻撃
者にとって金銭を獲得する有用な手段のため、さまざまな亜種や新種が登場して
います。今月はランサムウエアの基本から振り返り、どのような対策を取れば良
いのか初心者にもわかりやすく解説します。社内の意識啓発資料としてご活用く
ださい。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ CISAとNSAが重要インフラ運用技術と制御システムの安全確保に向けて「早急な対応」を要請 (2020.7.23)
サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)と国家安全保障局(NSA)は、諸外国ハッカーが米国の重要インフラを支えるシステムを標的にしているとの共同勧告を発表した。この勧告では、重要インフラ事業者に対し、運用技術と制御システムのセキュリティを可能な限り早急に確保するよう促している。勧告には、スピアフィッシング、ランサムウェア、初期アクセスに認証を必要としないインターネットアクセス可能なPLCSへの接続、PLC制御ロジックとパラメータの変更などを含む、「最近観測された戦術、技術、および手順」がいくつか挙げられている。
- https://media.defense.gov/2020/Jul/23/2002462846/-1/-1/1/OT_ADVISORY-DUAL-OFFICIAL-20200722.PDF
【編集者メモ】(Pescatore)
今は、フィッシング対策に改めて注力する重要な時期だ。2019年までに、80%以上の企業がなりすましメール対策としてDMARCサービスを少なくとも有効にしていたが、アクティブプリベンションポリシーに移行した企業は約20%にとどまっている。アクティブプリベンションを有効にした企業の混乱は最小限にとどまり、セキュリティ上の利益は莫大なものとなっている。また、ユーザー教育を再検討し、特に在宅勤務で使用されているすべての新しいメッセージング/会議/共同作業チャネルについて再検討するべきだ。最後に、少なくともIT管理者が二要素認証に移行し、その後、より広い採用にむけ戦うための対策を立ててもらいたい。
【編集者メモ】(Neely)
「インターネットアクセス可能なPLC」を読んで戦慄した。PLCはインターネットに接続できるように設計されているわけではない。根本的にOTとITを分離し、さらに実験制御システムと環境衛生・安全システムを分離する。例えば、C&C装置と酸素安全モニターを分離し、どちらも直接アクセスできないようにする。制御されたインターフェース、またはエアギャップを使用する。現在の業務環境ではリモートアクセスが望ましいが、ある程度のリモートアクセスを提供しないことも含めて、これらのシステムへの直接攻撃を防ぐために制御を維持しなければならない。加えて、マルウェアの侵入を防ぐために、これらのシステム間データやソフトウェア転送を検証するプロセスを用意するべきだ。
【編集者メモ】(Murray)
週の初めに、公共ネットワークに接続されたインフラ制御には強力な認証が不可欠であると推奨したが、さらに、DMARCの導入に加えて、電子メールやブラウジングを運用ネットワークから隔離することを強く検討するべきである。
────────────────
◆ 中国のハッカーが知的財産を盗んだとして複数の容疑で起訴 (2020.7.7 & 21)
米司法省(DoJ)は2020年7月7日、10年に及ぶハッキングに関連して2人の中国人を起訴する起訴状を公開した。Li XiaoyuとDong Jiazhiは、世界中の多数企業のネットワークにハッキングし、知的財産やその他の機密データを盗んだとされている。被告は、個人的な利益のために、また中国の様々な政府機関のためにハッキングを行ったとされている。彼らはまた、盗んだソースコードをオンラインで公開すると脅すことで、暗号通貨をゆすろうとしたとも言われている。Li被告とDong被告は、コンピュータ詐欺の共謀、企業秘密窃盗の共謀、電信送金詐欺の共謀、コンピュータ不正アクセス、および重度の個人情報窃盗の容疑で起訴されている。
- https://www.wired.com/story/chinese-hackers-charged-decade-long-crime-spying-spree/
- https://www.theregister.com/2020/07/21/feds_charge_chinese_hackers/
- https://www.justice.gov/opa/press-release/file/1295981/download
【編集者メモ】(Paller)
これらの人々が、刑務所の中を(ましてや法廷よりも)見る機会はほとんどないが、これらのような起訴は、移動の柔軟性を制限し、行動に着目し、それにより攻撃のコストを上げることができる。
────────────────
◆ 謎の「ニャー」攻撃でデータベースが消去される (2020.7.22 & 23)
ハッカーは、インターネット上でアクセス可能であること以外に明らかな理由がないのに、誤って設定されたデータベースを消去していった。攻撃者は「ニャー」という言葉でデータを上書きしている。少なくとも1,800のデータベースが影響を受けた。
- https://www.infosecurity-magazine.com/news/1000-exposed-databases-wiped-meow/
【編集者メモ】(Neely)
これらの攻撃は、メッセージや身代金要求メモを残さず、ただ上書きするだけである。セキュリティ保護されていないクラウドリソースの発見が増加しているようだが、これは少なくとも一部では、在宅勤務をより良くサポートするためにアプリケーションやサービスを移動させ、企業ネットワークへのアクセスを制限するアクセス制御を変更したことが原因となっている。セキュリティのスキャンと確認のプロセスには、クラウドストレージに適切なACLが実装されているかどうかの検証を含める必要がある。企業ネットワークの外部からのアクセスをスキャンして、公開されているサービスを特定することを検討してほしい。最後に、これらのサービスの復元方法がわかっていることを確認したバックアップがあることを確認するべきだ。
【編集者メモ】(Ullrich)
ある意味では、これらの攻撃は保護されていない、おそらくすでに流出したデータをその悲惨な状態から取り除くことによって、私たち全員に恩恵を与えているのではないだろうか?
【編集者メモ】(Murray)
デフォルトのアクセス制御ルールである「読み/書き」は、大規模な「共有リソース」コンピュータのために書かれたルールである「読み取り専用」や「実行専用」に置き換えなければならない。今では子供でも自分のものを持つほどコンピュータは安価になったが、そのルールが推奨された当時には想像すらできなかった規模で、アプリケーションやネットワーク、データを共有しているのである。
────────────────
◆ NYの金融規制当局がデータ流出でファースト・アメリカン・ファイナンシャルを告発 (2020.7.21, 22 & 23)
ニューヨーク州金融サービス局(NYSDFS)は、2014年10月から2019年5月までの間に機密情報を含む数百万件の文書を公開したとして、ファースト・アメリカン・ファイナンシャル・コーポレーションを告発した。漏洩したデータには、運転免許証、銀行口座、社会保障番号などが含まれている。これは、NYSDFSがサイバーセキュリティの執行措置を取った最初のものである。
- https://krebsonsecurity.com/2020/07/ny-charges-first-american-financial-for-massive-data-leak/
- https://www.theregister.com/2020/07/23/american_title_insurance_ny/
- https://www.dfs.ny.gov/system/files/documents/2020/07/ea20200721_first_american_notice_charges.pdf
【編集者メモ】(Neely)
特にインターネットに面するアプリケーションについては、アクセス制御が機能しており、包括的なものであることを全て検証してほしい。問題は、顧客データへのアクセスを提供するアプリケーションが、有効なImageDocumentID番号が提供されると、アクセス制御を必要としないことにある。さらに、予測可能なID番号が使用され、検索エンジンによってインデックス化されていた。
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月7日(金)
コロナ&テレワーク、攻撃しやすい環境は整った!
直面するリスクとその対応のポイント
~技術対策だけでは守れない今こそ活用すべき脅威インテリジェンスとその事例~
〇8月20日(木)
アフターコロナ時代のテレワークとセキュリティ
~今、企業に求められるセキュアな働き方改革とは~
〇9月24日(木)
アフターコロナ時代のテレワークとセキュリティ
~今、企業に求められるセキュアな働き方改革とは~
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の有料研修 ※一部オンライン <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月、2021年2月
セキュアEggs
(基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)
〇10月、11月、12月、2021年1月、2月、3月
CISSP CBKトレーニング
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇DXを支えるセキュリティ
〇EDR導入ガイド
- インシデント前提社会の最適解 -
〇新任システム管理者のための特権ID管理入門書
>>ダウンロード資料一覧
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇ゼロトラストネットワークアクセス(ZTNA)とは?
「脱VPN」の最有力ソリューションを解説
〇テレワーク時代のインシデント対応|事故事例から考える理想の対策
〇対面決済のニューノーマル|クレジットカードの「非接触決済」を徹底解説
>>ブログ記事一覧
https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200728sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- テレワークのセキュリティ対策 特別割引でキャンペーン中
〇NRIセキュア、電子契約や電子署名の安全性と信頼性を高めるトラストサービス
「iTrust」の取り扱いを開始
~押印手続きが必要な文書のペーパーレス化を支援~
〇NRIセキュア、暗号鍵の設計・運用レベルを評価するサービスを提供開始
~ DXで利用が拡大する暗号鍵のセキュリティ強化を支援 ~
〇NRIセキュア、安全で効率的なリモートアクセスを実現する
「Zscaler Private Accessマネージドサービス」を提供開始
~ゼロトラストモデルの実装で、テレワークなど多様な業務環境を支援~
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200728sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20200728sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。