──────────────────────────
■■SANS NewsBites Vol.15 No.33
（原版: 2020年 9月22日、24日）
──────────────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃０┃年┃１┃０┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
ま┃だ┃、┃間┃に┃合┃い┃ま┃す┃！┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo Autumn 2020 Live Online】　★日英同時通訳付き★
　https://www.sans-japan.jp/sans_tokyo_autumn_2020

◆開催日：2020年10月5日(月)～9日(金)、10月12日(月)～16日(金) 半日×10日間
　SEC487:Open-Source Intelligencce (OSINT) Gathering and Analysis<初開催>
SEC545:Cloud Security Architecture and Operations

◆開催日：2020年10月5日(月)～2020年10月10日(土) 終日×6日間
　SEC504:Hacker Tools, Techniques, Exploits and Incident Handling<日本語>
SEC511:Continuous Monitoring and Security Operations
FOR500:Windows Forensics Analysis

◆開催日：2020年10月12日(月)～2020年10月17日(土) 終日×6日間
　SEC660:Advanced Penetration Testing Exploit Writing and Ethical Hacking
FOR610:Reverse-Engineering Malware: Malware Analysis Tools and Techniques

　※SEC501:Advanced Security Essentials - Enterprise Defenderは
　　11月開催(11月9日～11月14日)に変更となりました

◆トレーニング費用
　SEC545以外のコース　810,000円(税抜)
　SEC545　　　　　　　760,000円(税抜)

◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/sans_tokyo_autumn_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃０┃年┃１┃１┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃！┃
　━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo November 2020 Live Online】　★日英同時通訳付き★
　https://www.sans-japan.jp/sans_tokyo_nov_2020

◆開催日：2020年11月9日(月)～2020年11月14日(土)
　SEC401:Security Essentials Bootcamp Style<日本語>
　SEC501:Advanced Security Essentials - Enterprise Defender
　SEC542:Web App Penetration Testing and Ethical Hacking
　SEC555:SIEM with Tactical Analytics
　SEC599:Defeating Advanced Adversaries & Purple Team Tactics & Kill Chain Defenses

◆トレーニング費用
　810,000円(税抜)
　
◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/sans_tokyo_nov_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃０┃年┃１┃２┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃！┃
　━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo December 2020 Live Online】　★日英同時通訳付き★
　https://www.sans-japan.jp/sans_tokyo_dec_2020

◆開催日：2020年11月30日(月)～2020年12月5日(土)
　SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling<日本語>
　SEC530:Defensible Security Architecture and Engineering
　SEC560:Network Penetration Testing and Ethical Hacking
　FOR508:Advanced Incident Response, Threat Hunting and Digital Forensics
　FOR578:Cyber Threat Intelligence<5日間>

◆トレーニング費用
　6日間コース　810,000円(税抜)
　5日間コース　760,000円(税抜)

◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/sans_tokyo_dec_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ 米国国防総省のサイバーセキュリティ情報シート (2020.9.21)
米国国家安全保障局（NSA）が、2つのサイバーセキュリティ情報シートを発表した
。1つ目の文書である「侵害された個人ネットワークの指標と対策」は、政府の在
宅勤務者向けであり、「GFE (政府支給の機器) を個人ネットワークに接続する権
限を与えられたユーザーへのガイダンス」というもの。2つ目の文書である「帯域
外ネットワーク管理」は、システム管理者向けに、管理トラフィックを運用トラフ
ィックから分離するための情報を提供するという内容。
- https://www.securityweek.com/nsa-issues-cybersecurity-guidance-remote-workers-system-admins
- https://media.defense.gov/2020/Sep/17/2002499615/-1/-1/0/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF
- https://media.defense.gov/2020/Sep/17/2002499616/-1/-1/0/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF

【編集者メモ】(Neely)
多くの人が個人ネットワークや企業以外の管理ネットワークにデバイスを接続して
おり、また家庭のネットワークが侵害された場合、IoC（痕跡情報）や対応措置な
どが積極的に在宅ユーザーに提供されている。そのため、1つ目の文書には、我々
全員にとって役立つ情報が記載されている。2つ目の文書は、帯域外の管理方法を
概説しているだけでなく、物理的または仮想的な分離の代替案も提供しており、企
業のITデバイスやサービスの安全水準を高めるのに役立つだろう。
【編集者メモ】(Honan)
非常に優れたリソースだ。
─────────────

◆ FERC/NERC報告書、電力会社のサイバーインシデント対応を調査 (2020.9.21)
米国連邦エネルギー規制委員会（FERC）と北米電力信頼度協議会（NERC）の報告書
に、サイバーセキュリティインシデント対応のベストプラクティスが概説されてい
る。この報告書は、米国の8つの電力会社のサイバーセキュリティインシデント対
応計画から得られた情報を基にしている。
- https://www.securityweek.com/ferc-nerc-conduct-study-cyber-incident-response-electric-utilities
- https://www.smart-energy.com/industry-sectors/cybersecurity/cybersecurity-incident-response-best-practices-from-the-us/
- https://cms.ferc.gov/sites/default/files/2020-09/FERC%26NERC_CYPRES_Report.pdf

【編集者メモ】(Neely、Murray、Honan)
本レポートは、ベストプラクティスと成功事例に関する素晴らしい情報源だ。本レ
ポートを活用して、見落としている点がないかを確認するだけでなく、自分では得
られなかった解決策を探る機会にもなり、「目から鱗」な新発見につなげることが
できる。
【編集者メモ】(Pescatore)
FERC/NERC は、インタビューを受けた 8つの電力会社それぞれのセキュリティプロ
グラムに共通する成功事例を取り上げている。セキュリティの失敗に関する情報は
いくらでもあるが、本当に必要なのは、障壁を乗り越え、より高いレベルのセキュ
リティを実現する方法を見つけることだ。私がGartnerに在籍していた頃、Gartner
の文書の中で最も閲覧数が高いものの一つが、ケーススタディの研究ノートであっ
た。「これは考えつかなかった」ではなく、「なるほど、そうやって、そんなこと
が実現できたのか」と気づくことに価値がある。
─────────────

◆ Windows Serverの脆弱性に関するCISA緊急指令　(2020.9.18 & 20 & 21)
9月18日(金)、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、
連邦政府機関に緊急指令を出し、Microsoftが8月に修正プログラムを発表したWindows Server
の重大な脆弱性にパッチを当てるよう命令した。この脆弱性は、Microsoft Windows Netlogon Remote Protocol
(MS-NRPC)と呼ばれるActive Directory認証コンポーネントに存在する。連邦政府
機関は、「2020年9月21日(月)午後11時59分(EDT)までに、ドメインコントローラの
役割を持つすべてのWindowsサーバーを更新するよう」指示を受けた。特権昇格の
脆弱性は、CVSSスコア10とされている。
- https://www.zdnet.com/article/us-govt-orders-federal-agencies-to-patch-dangerous-zerologon-bug-by-monday/
- https://fcw.com/articles/2020/09/21/cisa-windows-flaw-federal-networks.aspx
- https://www.theregister.com/2020/09/21/cisa_zerologon_emergency_directive/
- https://www.cyberscoop.com/cisa-netlogon-microsoft-vulnerability-emergency/
- https://www.scmagazine.com/home/security-news/vulnerabilities/critical-zerologon-bug-uses-weak-cryptography-to-spoof-network-users/
- https://cyber.dhs.gov/ed/20-04/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

【編集者メモ】(Neely)
この欠陥を利用して、認証されていない攻撃者がドメインコントローラの管理者権
限を取得できてしまう可能性がある。すべてのドメインコントローラに更新プログ
ラムが適用されていることを再確認する必要がある。修正は、Windows Server 200
8以降に適用される。次に、2021年第1四半期のDC施行フェーズ前までにパッチ適用
後の活動計画を立て、デバイスがアクセスできなくなることを防がなければならな
い。
https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
【編集者メモ】(Murray)
ほとんどの企業が、デフォルトでWindowsのパッチを適用すべき時期に来ている。
今や、そうしないことのリスクの方が、アプリケーションへの影響をテストせずに
パッチを適用することのリスクを上回ると言える。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「子供向けオンラインセキュリティ」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
子供たちの生活がこれまで以上にオンライン化されている中で、親としては安心
して任せられるようにしてあげたいものです。しかし、親世代の多くは今の子供
達のようなオンライン環境で育っていないため、どのようにして教えていくべき
かわからないことが多く難しい問題と言えます。
今月は子供たちにオンラインセキュリティを教えるための方法について、初心者
にもわかりやすく解説します。社内の意識啓発資料としてご活用ください。
https://www.sans.org/sites/default/files/2020-08/September%202020%20-%20Securing%20Kids%20Online%20%28Chris%20Pizor%29_v5-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ CISA報告：連邦政府機関がハッキングされ、データが流出 (2020.9.24)
米サイバーセキュリティ・インフラセキュリティ機関（CISA）が分析報告書の中で
、連邦政府機関の企業ネットワークが受けたサイバー攻撃の詳細について発表した
。攻撃者は、匿名機関のシステムにアクセスしてデータを流出させたという。報告
書には、ネットワークへのアクセスに使用された方法が詳述されている。今回の侵
害は、CISA の侵入検知システムである EINSTEIN によって検知された。攻撃者は
、逆Socket Secureプロキシを使用して、持続的にネットワークにアクセスするこ
とができた。
- https://www.zdnet.com/article/cisa-says-a-hacker-breached-a-federal-agency/
- https://us-cert.cisa.gov/ncas/analysis-reports/ar20-268

【編集者メモ】(Pescatore)
政府機関への攻撃がどのように成功したかについて、DHS/CISAが詳細な公開報告書
を出すのを見たのは、今回初めてだ。報告書は、基本的なセキュリティ対策の数々
の失敗を記している：攻撃者は管理者の資格情報を使用していること、管理者アカ
ウントはリモートアクセスのための2FAを必要としていなかったこと、ファイアウ
ォールが設置されていたものの、明示的に拒否されたポリシー以外のすべてを許可
していたこと、VPNパッチが適用されていなかったことなどだ。攻撃者の手順を見
ると、Ed Skoudis氏が今年のRSAで行ったSANS の「Most Dangerous New Attacks
」の基調講演で詳述した「Living off the Land」の数々のテクニックを使ってい
るように見受けられる。
【編集者メモ】(Neely)
システムがどのようにして侵害されたか、また攻撃者がどのようにして利用可能な
リソースを適合してシステムに侵入し、搾取し続けたかについて書かれた優れた報
告書だ。また、インターネットにアクセス可能なサービス、電子メール、リモート
アクセス（VPNなど）の2FAの必要性を再認識させてくれた。身辺のネットワークを
よく見て、強力な認証が必要なだけでなく、パッチが適用されていることを確認す
る必要がある。
─────────────

◆ DisrupTor作戦で179人を逮捕 (2020.9.22)
6カ国の規制当局が、ダークウェブ活動に関与したとして合計179人を逮捕した。「
Operation DisrupTor」として知られるこの取り締まりによって、500キログラムの
麻薬と共に、650万ドルの現金と暗号通貨が押収された。容疑者は米国、ドイツ、
オランダ、英国、オーストリア、スウェーデンで逮捕された。
- https://www.wired.com/story/operation-disruptor-179-arrested-global-dark-web-takedown/
- https://www.europol.europa.eu/newsroom/news/international-sting-against-dark-web-vendors-leads-to-179-arrests

【編集者メモ】(Neely)
規制当局は取り締まり活動に慣れてきており、ダークウェブが再び繰り返されたと
しても、取り締まりをより頻繁に行えるようになるだろう。
─────────────

◆ ポーランドのハッカー集団をシャットダウン (2020.9.24)
ポーランドの規制当局は、様々なサイバー犯罪に関与していたとされるハッキング
グループを解散に追い込んだ。4人が逮捕され、さらに4人が捜査を受けている。同
グループが行ったとされる活動には、ランサムウェアやその他のマルウェアの拡散
、SIMスワップ、銀行詐欺などが含まれているという。
- https://www.zdnet.com/article/polish-police-shut-down-hacker-super-group-involved-in-bomb-threats-ransomware-sim-swapping/
- https://www.europol.europa.eu/newsroom/news/4-hackers-arrested-in-poland-in-nation-wide-action-against-cybercrime
─────────────

◆ 雇用者のシステムを使って暗号通貨を採掘した請負業者に判決　(2020.9.22)
オーストラリアのある男性が、前雇用主のシステムを使って暗号通貨を採掘したと
して判決を受けた。この男は、オーストラリア連邦科学産業研究機構（CSIRO）のIT
請負業者として働いていた。仕事は、データのアーカイブとソフトウェアのサポー
トであり、男はコンピュータを使用して9,400豪ドル（6,800米ドル）の暗号通貨を
採掘するためにデータを改ざんし、計算時間に7万6,000豪ドル（5万5,000米ドル）
の会社のコストを使用した。この匿名の男は15ヶ月の禁固刑を受けた。
- https://www.theregister.com/2020/09/22/contractor_convicted_of_pinching_supercomputer/

【編集者メモ】(Murray)
従業員には、解雇時に撤回できない特権を与えないことが不可欠だ。ハードウェア
・トークンベースの強力な認証を全ての箇所に検討すべきだ。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

－－－＜メール攻撃対策＞－－－
〇10月6日(火)
　【事例で解説】"訓練"だけで終わらせない！ 　
　～効率的かつ実践的な訓練サイクルから生み出される、真の不審メール対策とは～
　https://www.nri-secure.co.jp/seminar/2020/mail_training1006?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

－－－＜CISSP／人材育成＞－－－
〇10月8日(木)
　CISSPチャレンジセミナー
　「Withコロナ時代のセキュリティの考え方 ～そして、将来も通用する考え方～」
　https://www.nri-secure.co.jp/seminar/2020/cissp04?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

－－－＜Secure SketCH＞－－－
〇10月8日(木)　GROUPSプランWEB説明会
　グループ会社や外部委託先のセキュリティリスクを継続的に一元管理
　－2020年度から始める効率的なサプライチェーンリスク管理－

〇10月22日(木)　PREMIUMプランWEB説明会　
　PREMIUM機能中心にご紹介！8月リリースの新機能も
https://www.secure-sketch.com/seminar?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の有料研修 ※一部オンライン　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇11月
　SANS Tokyo November 2020
　https://www.sans-japan.jp/sans_tokyo_nov_2020?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

〇12月
　SANS Tokyo December 2020
　https://www.sans-japan.jp/sans_tokyo_dec_2020?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

〇11月、12月、2021年1月、2月、3月
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

〇2021年2月
　セキュアEggs
　（基礎／インシデント対応／フォレンジック／Webアプリセキュリティ）
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（無料ダウンロード)　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○クラウドサービスを安全に利用するためには
　～CASBをいかに活用するか～
　https://www.secure-sketch.com/ebook-download/casb-guide_202009?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

〇テレワークのセキュリティ対策パンフレット
　https://www.secure-sketch.com/ebook-download/telework-202008?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

〇大規模ユーザを管理する「顧客ID統合プロジェクト」成功の秘訣
　～失敗に学ぶ3つのポイント～
　https://www.secure-sketch.com/ebook-download/points-for-integrating-customer-id?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

＞＞ダウンロード資料一覧
　https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム（Secure SketCH ブログ）　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【解説】テレワーク環境のリスク評価｜アーキテクチャ見直しの初めの一歩
https://www.secure-sketch.com/blog/consideration-of-telework-security-and-after-corona-security-architecture?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

〇【提案】EDRを活用した資産管理｜”野良端末”の効率的な見つけ方
　https://www.secure-sketch.com/blog/proposal-for-asset-management-using-edr?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

〇顧客向けID＆アクセス管理（CIAM）システムがもたらす新しい顧客体験
　https://www.secure-sketch.com/blog/new-customer-experience-with-customer-id-and-ciam?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

＞＞ブログ記事一覧
　https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュアのセキュリティ対策実行支援プラットフォーム「Secure SketCH」が、
　米国の2ガイドラインに対応
　～米国防総省CMMCとNIST SP800-171への準拠状況が把握可能に～
　https://www.nri-secure.co.jp/news/2020/0924?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

〇NRIセキュア、ファイル転送／共有サービス 「クリプト便」がシェアNo.1を獲得
　https://www.nri-secure.co.jp/news/2020/0925?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの業務
に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20200930sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。