──────────────────────────
■■SANS NewsBites Vol.15 No.34
（原版: 2020年 9月29日、10月2日）
──────────────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃０┃年┃１┃１┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃！┃
　━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo November 2020 Live Online】　★日英同時通訳付き★
　https://www.sans-japan.jp/sans_tokyo_nov_2020

◆開催日：2020年11月9日(月)～2020年11月14日(土)
　SEC401:Security Essentials Bootcamp Style<日本語>
　SEC501:Advanced Security Essentials - Enterprise Defender
　SEC542:Web App Penetration Testing and Ethical Hacking
　SEC555:SIEM with Tactical Analytics
　SEC599:Defeating Advanced Adversaries & Purple Team Tactics & Kill Chain Defenses

◆トレーニング費用
　810,000円(税抜)
　
◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/sans_tokyo_nov_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃０┃年┃１┃２┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃！┃
　━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo December 2020 Live Online】　★日英同時通訳付き★
　https://www.sans-japan.jp/sans_tokyo_dec_2020

◆開催日：2020年11月30日(月)～2020年12月5日(土)
　SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling<日本語>
　SEC530:Defensible Security Architecture and Engineering
　SEC560:Network Penetration Testing and Ethical Hacking
　FOR508:Advanced Incident Response, Threat Hunting and Digital Forensics
　FOR578:Cyber Threat Intelligence<5日間>

◆トレーニング費用
　6日間コース　810,000円(税抜)
　5日間コース　760,000円(税抜)
　
◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/sans_tokyo_dec_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆UHS病院ネットワークにおける、最大のランサムウェア攻撃か (2020.9.28)
Universal Health Service（UHS）が週末にランサムウェア攻撃を受けた。この攻
撃により、同組織は米国内の医療施設のシステムを停止した。UHSの従業員の報告
によると、カリフォルニア州、テキサス州、フロリダ州を含む米国の複数の州の施
設で、電話システムやコンピューターにアクセスできない状況が発生したという。
影響を受けた施設では、救急車を他の病院に誘導し、手術を必要とする患者の搬送
を行っている。UHSは「UHS施設全体のITネットワークが、ITセキュリティの問題に
より、現在オフラインになっている」とする公式声明を発表した。
- https://www.wired.com/story/universal-health-services-ransomware-attack/
- https://www.zdnet.com/article/uhs-hospital-network-hit-by-ransomware-attack/
- https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/
- https://www.theregister.com/2020/09/28/united_health_services_ransomware/
- https://www.scmagazine.com/home/security-news/uhs-confirms-hospitals-hit-by-cyber-attack-some-systems-down/
- https://www.uhsinc.com/statement-from-universal-health-services/
─────────────

◆ ランサムウェアが多くの州政府や地方自治体に影響（Tyler Technologies）
(2020.9.26 & 28)
米国の州政府や地方自治体にITサービスを提供している企業が、先週報告されたサ
イバーインシデントがランサムウェア攻撃であったことを確認した。Tyler Technologies
社の顧客からは、不審なログインを検知したという報告も出ている。同社は顧客に
対し、リモートアクセスアカウントのパスワードを変更するよう促している。
- https://www.zdnet.com/article/suspicious-logins-rats-reported-after-ransomware-attack-on-us-govt-contractor/
- https://www.bleepingcomputer.com/news/security/tyler-technologies-warns-clients-to-change-remote-support-passwords/
- https://statescoop.com/tyler-technologies-confirms-cyberattack-ransomware/
- https://www.reuters.com/article/us-tyler-tech-cyber/tyler-technologies-says-clients-reported-suspicious-logins-after-hack-idUSKBN26H13I
- https://statescoop.com/tyler-customers-report-suspicious-logins-after-ransomware-attack-on-vendor/
- https://www.tylertech.com/

【編集者メモ】(Neely)
Tyler Technologies社は 未だに、攻撃の復旧作業を続けている。ウェブサイトに
は 内部リソースが漏洩したとのみ記載されている。Tyler Technologiesと信頼性
の高い通信手段がある人も、現在の状況を見つつ接続のリスクを評価する必要があ
る。リモートサポートアカウントを含むリモートアクセスアカウントは、クレデン
シャル盗難攻撃による不正アクセスを防ぐために多要素認証を用いる必要がある。
サービスプロバイダーとネットワークの信頼関係を築いている場合は、接続を継続
するために必要な保証を含めたインシデント対応計画を確認し、それが満たせない
場合は接続を切断することを勧める。
─────────────

◆ ランサムウェアの要求に支払わず、学校データが流出 (2020.9.28 & 29)
クラーク郡（ネバダ州）の学区がランサムウェアの身代金の支払いを拒否したため
、ランサムウェアの攻撃者により盗まれたデータが公開された。クラーク郡学区に
は32万人の生徒がおり、流出したデータには社会保障番号、成績、その他の個人情
報が含まれている。(注意：下記WSJ記事は有料)
- https://www.zdnet.com/article/nevada-school-district-refuses-to-submit-to-ransomware-blackmail-hacker-responds-by-publishing-student-data/
- https://www.wsj.com/articles/hacker-releases-information-on-las-vegas-area-students-after-officials-dont-pay-ransom-11601297930

【編集者メモ】(Northcutt)
学校が新型コロナ対応でテクノロジーや遠隔アクセスへの依存度を高める中、攻撃
を受ける可能性も高まっている。データを公開することで、学校システムの可用性
リスク（暗号化されたシステム上のデータが失われる可能性がある）、および機密
性リスクが高まっている。無許可で学校システムのデータが公開されると、事後対
応や法的コストが増大する可能性がある。
【編集者メモ】(Neely)
ランサムウェア攻撃者は、学校関係者が新型コロナへの対応を行い、攻撃の新たな
機会が生み出されていることをよく認識している。新規システムおよびレガシーシ
ステムのセキュリティ設定を見直し更新することでリスクを軽減するとともに、UAT
が最新の状態を保っていることを確認し、ユーザーが警戒心を持って、適切な選択
ができるようにすることが求められる。
─────────────

◆ HIPAAデータ侵害で685万ドルの制裁金 (2020.9.28)
米国保健社会福祉省（HHS）公民権局（OCR）は、医療保険の携行と責任に関する法
律（HIPAA）に違反したとして、Premera Blue Cross社に685万ドルの制裁金を課し
た。2014年のデータ侵害は、1040万人の患者の保護対象健康情報（PHI）に影響を
与えた。侵害に関するOCRの調査では、HIPAAの規則に対する「システム的な不遵守
」が発見された。
- https://www.infosecurity-magazine.com/news/ocr-imposes-685m-penalty-over-data/

【編集者メモ】(Neely)
福利厚生提供者を評価する場合でも、PHIの処理にアウトソースやクラウドサービ
スを利用する場合でも、サービス提供者のHIPAAやHITRUSTの認証を必ず評価するこ
とを勧める。どの認証を取得しているかだけでなく、コンプライアンスをどのよう
に監視し、必要に応じて修正しているかを理解することだ。州の報告要件には、多
くのPIIとPHIの管理事項が含まれているため、COVIDテストラボを作成する場合は
、特に重要である。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「フェイクニュース」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
世界中で発生するニュースも、今の私たちにとっては一瞬で共有される情報の一
つですが、このニュースに偽物があるとしたらどうでしょうか。このようなニュ
ースはフェイクニュースと呼ばれ、単なるいたずらの場合もあれば、何らかの意
図を持った組織・人物によるものであったりするため社会問題となっています。
今月は、そもそもフェイクニュースとは何なのかという点から、SNSなどで共有
する場合の注意点などを、初心者にもわかりやすく解説します。社内の意識啓発
資料としてご活用ください。

https://www.sans.org/sites/default/files/2020-10/OUCH%21%20October%202020%20-%20Fake%20News%20%28Jason%20Jordan%29_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 米財務省が注意喚起、ランサムウェア事業者への支払いに制裁リスク
(2020.10.1)
米財務省外国資産管理局が最近出した勧告によると、ランサムウェア攻撃を受け、
要求に従い特定のグループに身代金を支払った組織は、もしもその支払い先が経済
制裁を受けている場合、罰金を科せられる可能性があるという。この規則は攻撃を
受けた組織だけでなく、対応のために組織が委託した第三者企業にも適用される。
- https://krebsonsecurity.com/2020/10/ransomware-victims-that-pay-up-could-incur-steep-fines-from-uncle-sam/
- https://arstechnica.com/tech-policy/2020/10/paying-ransomware-demands-could-land-you-in-hot-water-with-the-feds/
- https://www.bleepingcomputer.com/news/security/us-govt-warns-of-sanction-risks-for-facilitating-ransomware-payments/
- https://www.darkreading.com/risk/us-treasury-warns-of-sanctions-violations-for-paying-ransomware-attackers/d/d-id/1339066
- https://www.securityweek.com/treasury-department-warns-ransomware-payment-facilitators-legal-implications
- https://www.cyberscoop.com/ransomware-payments-treasury-ofac-notice/
- https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf

【編集者メモ】(Paller)
これは非常に重要な問題だ。組織のトップレベルが、今年度CIS重要セキュリティ
対策を導入する正当な理由となる。
【編集者メモ】(Neely)
米国OFACの規制と、制裁対象団体に対する海外取引をめぐる影響は相当なものにな
りそうだ。ジョンが示しているように、事件が発生する前に今すぐ漏洩リスクのあ
る機密情報を勘案した上で、リスクに基づいて支払いを決定するアプローチを策定
しておく必要がある。さらに、法執行機関への報告と協力体制を対応計画に盛り込
むことで、OFACの罰則の執行を少しでも軽減することができる。
【編集者メモ】(Pescatore)
これは、2019年10月に発表されたランサムウェアへの対処に関するFBIの新ガイダ
ンスと一致している。「企業が機能不全に陥った場合に、経営者が株主や従業員、
顧客を守るためにあらゆる選択肢を検討することをFBIは理解している。経営者や
企業が身代金を支払うことに決めたかどうかにかかわらず、FBIはランサムウェア
攻撃について法執行機関に報告することを強く推奨する。」 制裁対象団体への支
払いには罰金が発生する可能性がある、という注意喚起はこの部分に追加された。
しかし、財務省の勧告には、「OFACは、金融機関やその他の企業に対し、制裁に関
連する違反へのリスクを軽減するための、リスクベースのコンプライアンスプログ
ラムを実施することを奨励している」とし、2019年5月のコンプライアンスの枠組
みとして、(1)経営陣のコミットメント、(2)リスク評価、(3)内部統制、(4)テスト
と監査、(5)トレーニング、つまり基本的にはサイバー衛生を実践することを要求
している、と指摘する。結論として、ランサムウェアの予防コストは、攻撃に成功
した場合に支払うことを余儀なくされる費用よりも、必ず低く抑えられると言える
だろう。
【編集者メモ】(Murray)
ランサムウェア攻撃は単に軽減するだけでなく、対抗しなければならない。単に
保険業者に委託するだけではなく、積極的にリスクを削減することを考える必要が
ありそうだ。
─────────────

◆ Universal Health Services、ランサムウェア攻撃後もシステムの復旧作業継続
(2020.10.1)
10月1日（木）の時点で、Universal Health Services (UHS)社 はまだ「マルウェ
アが引き起こしたITネットワークセキュリティ問題の対処をしている」としている
。攻撃は週末に始まり、UHSはマルウェアが広がるのを防ぐためにネットワークを
遮断した。UHSは英国と米国に施設があるが、今回の問題は米国の施設にのみ影響
している。
- https://www.uhsinc.com/statement-from-universal-health-services/
- https://www.reuters.com/article/us-universal-health-cyber/universal-health-services-says-its-network-is-still-down-spokeswoman-idUSKBN26M6QT

【編集者メモ】(Neely)
病院はセキュリティ対策にかかるコストを含む、ユーザビリティとセキュリティ
のトレードオフという難しい課題に直面している。医師や医療スタッフは、コンピ
ューターにログインできず、迅速に指示が出せないことで救急医療が阻害されるこ
とを避けたいと考えている。医師や医療スタッフは、何百という病院システムへア
クセスしなければならない。機密性の高いサービスに対し、認証を追加した非接触
カードが一般的に使用されるようになり、導入コストだけでなく、サービスを中断
させることなく実装することも大きな課題となっている。セキュリティ対策を強化
するROIを検討する際には、受け入れができなかった場合の患者の命の代償を含め
、UHSの回復にかかる膨大なコストを念頭に置いてもらいたい。
─────────────

◆ ローレンス総合病院、「データセキュリティ侵害」を調査中 (2020.10.1)
マサチューセッツ州のローレンス総合病院（LGH）は、9月中旬に発生した「データ
セキュリティ侵害」の調査を第三者のフォレンジック機関と共同で行っている。イ
ンシデント発生中、LGHはデータの安全性を確保するためにシステムをオフライン
にした。病院は患者の治療を継続することはできたが、救急車で到着した患者は約
36時間にわたり他の施設に移送されることとなった。
- https://www.govtech.com/security/Massachusetts-Hospital-Investigates-Data-Security-Incident.html

【編集者メモ】(Murray)
例えば患者ケアシステムのような重要システムは、電子メールやブラウザを実行す
る脆弱性のあるシステムから隔離する必要がある。とはいえ、報告書には、病院が
侵害に直面した場合でも重要な治療を維持するための計画を策定していたと書かれ
ている。「計画とは能力であり、計画がなければできないことをできるようにする
能力を指す。事件が起きてから取り出して読むための文書ではない（ロバート・H
・コートニーJrの引用）。」
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
－－－＜CISSP／人材育成＞－－－
〇10月8日(木)
　CISSPチャレンジセミナー
　「Withコロナ時代のセキュリティの考え方 ～そして、将来も通用する考え方～」
　https://www.nri-secure.co.jp/seminar/2020/cissp04?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

－－－＜Secure SketCH＞－－－
〇10月8日(木)　GROUPSプランWEB説明会
　グループ会社や外部委託先のセキュリティリスクを継続的に一元管理
　－2020年度から始める効率的なサプライチェーンリスク管理－

〇10月22日(木)　PREMIUMプランWEB説明会　
　PREMIUM機能中心にご紹介！8月リリースの新機能も

https://www.secure-sketch.com/seminar?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の有料研修 ※一部オンライン　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇11月、12月、2021年1月、2月、3月
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

〇11月
　SANS Tokyo November 2020
　https://www.sans-japan.jp/sans_tokyo_nov_2020?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

〇12月
　SANS Tokyo December 2020
　https://www.sans-japan.jp/sans_tokyo_dec_2020?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

〇2021年2月
　セキュアEggs
　（基礎／インシデント対応／フォレンジック／Webアプリセキュリティ）
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（無料ダウンロード)　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○クラウドサービスを安全に利用するためには
　～CASBをいかに活用するか～
　https://www.secure-sketch.com/ebook-download/casb-guide_202009?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

〇テレワークのセキュリティ対策パンフレット
　https://www.secure-sketch.com/ebook-download/telework-202008?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

〇大規模ユーザを管理する「顧客ID統合プロジェクト」成功の秘訣
　～失敗に学ぶ3つのポイント～
　https://www.secure-sketch.com/ebook-download/points-for-integrating-customer-id?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

＞＞ダウンロード資料一覧
　https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム（Secure SketCH ブログ）　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【提言】ゼロトラスト実現の鍵は「段階的な移行」｜
　必要なのは中間地点のアーキテクチャ
　https://www.secure-sketch.com/blog/the-key-to-realizing-the-zero-trust-model?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

〇【解説】テレワーク環境のリスク評価｜アーキテクチャ見直しの初めの一歩
　https://www.secure-sketch.com/blog/consideration-of-telework-security-and-after-corona-security-architecture?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

〇【提案】EDRを活用した資産管理｜”野良端末”の効率的な見つけ方
　https://www.secure-sketch.com/blog/proposal-for-asset-management-using-edr?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

＞＞ブログ記事一覧
　https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュアのセキュリティ対策実行支援プラットフォーム「Secure SketCH」が、
　米国の2ガイドラインに対応
　～米国防総省CMMCとNIST SP800-171への準拠状況が把握可能に～
　https://www.nri-secure.co.jp/news/2020/0924?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

〇NRIセキュア、ファイル転送／共有サービス 「クリプト便」がシェアNo.1を獲得
　https://www.nri-secure.co.jp/news/2020/0925?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの業務
に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20201007sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。