──────────────────────────
■■SANS NewsBites Vol.15 No.36
（原版: 2020年 10月13日、16日）
──────────────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃０┃年┃１┃１┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃！┃
　━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo November 2020 Live Online】　★日英同時通訳付き★
　https://www.sans-japan.jp/sans_tokyo_nov_2020

◆開催日：2020年11月9日(月)～2020年11月14日(土)
　SEC401:Security Essentials Bootcamp Style<日本語>
　SEC501:Advanced Security Essentials - Enterprise Defender
　SEC542:Web App Penetration Testing and Ethical Hacking
　SEC599:Defeating Advanced Adversaries & Purple Team Tactics & Kill Chain Defenses

◆トレーニング費用
　810,000円(税抜)

◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/sans_tokyo_nov_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃０┃年┃１┃２┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃！┃
　━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo December 2020 Live Online】　★日英同時通訳付き★
　https://www.sans-japan.jp/sans_tokyo_dec_2020
　
◆開催日：2020年11月30日(月)～2020年12月5日(土)　終日×6日間
　SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling<日本語>
　SEC560:Network Penetration Testing and Ethical Hacking
　FOR508:Advanced Incident Response, Threat Hunting and Digital Forensics

◆開催日：2020年11月30日(月)～12月4日(金)、12月7日～11日(金)　半日×10日間
　FOR578:Cyber Threat Intelligence

◆トレーニング費用
　FOR578以外のコース　810,000円(税抜)
　FOR578　　　　　　　760,000円(税抜)

◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/sans_tokyo_dec_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ CISA、ハッカーが既知の脆弱性を連鎖させて政府ネットワークを攻撃 と勧告
(2020.10.9 & 12)
米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、ハッカーがWindows Netlogon
の脆弱性に加え、複数の異なるVPNの脆弱性を組み合わせて政府ネットワークへア
クセスしようと狙っているとの勧告を発表した。CISAは「こういった活動により選
挙支援システムへの不正アクセスが発生した例もある」としながらも、選挙データ
の完全性は損なわれていないとしている。勧告には、システムを保護するためのア
ドバイスが含まれている。
- https://us-cert.cisa.gov/ncas/alerts/aa20-283a
- https://www.zdnet.com/article/hacker-groups-chain-vpn-and-windows-bugs-to-attack-us-government-networks/
- https://www.cyberscoop.com/foreign-hackers-targeting-federal-state-local-networks-feds-warn/

【編集者メモ】(Ullrich)
ちょうど1年前、米国家安全保障局（NSA）が全く同じ脆弱性(CVE-2018-13379など)
の悪用に関する勧告を発表した。この種の攻撃に対する追加の警告は、2月と5月、
さらに先月と今回も公開されている。とすると、この記事の見出しは「CISA：政府
ネットワークはまだVPNの脆弱性を管理する方法がわかっていない と勧告」とすべ
きではないだろうか。攻撃者からすると、この「VPN + Zerologon」という簡単に
悪用できる攻撃ベクトルを利用しない手はないだろう。
【編集者メモ】(Murray)
いわゆる「VPN」製品、サービス、および実装の弱点があるからといって、「仮想
プライベート接続」つまりエンドツーエンドのアプリケーション層における暗号化
の使用を避けるべきではない。「VPN」という用語は、地理的または政治的な制御
を避けるためにトラフィックの発信元を単に隠すことを目的とした市場に出回って
いるプロキシサービスと同義語になっているが、こういったサービスは、本来の意
味で「プライベート」ではない。また、真の意味で（ユーザからアプリケーション
への）エンドツーエンドでもない。
─────────────

◆ ランサムウェア攻撃から回復した独Software AG　(2020.10.9)
ドイツのソフトウェア会社Software AGが10月3日、ランサムウェアによる攻撃を受
けた。ランサムウェアの首謀者はファイルを暗号化し、復号鍵と引き換えに2000万
ドル以上を要求した。Software AGは交渉を試みたが、通信が途絶えた後、攻撃者
によって会社から盗まれたとされるデータのスクリーンショットを公開された。Software AG
は、攻撃は社内ネットワークに影響を与えたが、顧客サービスには影響がなかった
としている。
- https://www.theregister.com/2020/10/09/software_ag_ransomware/
- https://www.zdnet.com/article/german-tech-giant-software-ag-down-after-ransomware-attack/
- https://www.bleepingcomputer.com/news/security/software-ag-it-giant-hit-with-23-million-ransom-by-clop-ransomware/
─────────────

◆ 米上院議員、医療業界におけるランサムウェア攻撃に関する回答を要求
(2020.10.9)
ユニバーサル・ヘルス・サービス（UHS）の複数の医療施設がランサムウェア攻撃
で被害を受けたことから、米上院議員マーク・ワーナー氏（民主、バージニア州）
は、この攻撃について「重大な懸念」を表明する書簡をCEOに送った。ワーナー氏
は、UHSの脆弱性管理プロセスの説明や、さまざまなUHSのネットワークがどのよう
にセグメント化され隔離されているか、同社が身代金要求を支払ったかどうかなど
、多くの質問に対する回答を求めているという。
- https://thehill.com/policy/cybersecurity/520410-senate-democrat-raises-concerns-around-united-health-services-breach
- https://www.scmagazine.com/home/security-news/here-are-the-questions-congress-asks-after-a-ransomware-attack/
- https://www.warner.senate.gov/public/_cache/files/8/6/86b695e4-b032-44ad-8f8e-156381f7f1d8/F0A17385872CFF73A07075BE1D7D5641.letter-unitedhealthservices.pdf

【編集者メモ】(Neely)
インシデントが発生しそうなこの時期には、フォレンジック、システムリカバリー
、再発防止、システムやプロセスが攻撃を受けにくいようにコンティンジェンシー
プランを精緻化することに注力する必要がある。UHSには、将来的にインシデント
によって人命が脅かせることのないようにするための責任も加わる。これらのプロ
セスが完了すれば、外部からの質問や規制当局からの質問への対応がより正確で、
より価値のあるものになるだろう。
─────────────

◆ Carnival社、ランサムウェア攻撃によるデータ盗難を認める(2020.10.9)
クルーズライン運営会社Carnival Corporationは、8月に同社のネットワークに攻
撃を仕掛けたランサムウェアの犯人に個人データを盗まれた事実を認めた。同社は
2020年8月17日、米国証券取引委員会（SEC）の提出書類の中で、攻撃について公開
。2020年10月8日には、攻撃者が顧客や従業員の情報にアクセスしたことを認める
追加のSEC提出書類を提出した。
- https://www.bleepingcomputer.com/news/security/largest-cruise-line-operator-carnival-confirms-ransomware-data-theft/
─────────────

◆ ランサムウェアの犯人、学区のデータをオンラインで投稿 (2020.10.10 & 12)
Mazeランサムウェアの犯人らが、フェアファックス郡（バージニア州）の公立学校
から盗みとったデータを公開した。公開されたのは、2020年9月の攻撃で盗まれた
生徒や職員に関する情報だという。
- https://www.washingtonpost.com/local/education/hackers-post-stolen-information-from-fairfax-school-district/2020/10/10/edf5f050-0b1a-11eb-859b-f9c27abe638d_story.html
- https://www.securityweek.com/hackers-publish-public-school-districts-stolen-data-online
- https://statescoop.com/maze-ransomware-attackers-leak-data-stolen-from-suburban-washington-schools/

【編集者メモ】(Neely)
Mazeは身代金を払わない限り確実に公開する攻撃として知られている。どのデータ
を盗まれたかが特定できない限り、脅しが成り立つ。学区は、身代金を支払わずに
、影響を受けた人々にクレジットモニタリングを提供することで対応する模様。個
人情報だけでなく、会社の専有情報や記録も含めて、インシデントが発生する前に
、機密データの所在を把握し、文書化し、確認する必要がある。これらの情報が開
示されそうになった場合の対応プロセスを確認しておくことが賢明だ。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「フェイクニュース」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
世界中で発生するニュースも、今の私たちにとっては一瞬で共有される情報の一
つですが、このニュースに偽物があるとしたらどうでしょうか。このようなニュ
ースはフェイクニュースと呼ばれ、単なるいたずらの場合もあれば、何らかの意
図を持った組織・人物によるものであったりするため社会問題となっています。
今月は、そもそもフェイクニュースとは何なのかという点から、SNSなどで共有
する場合の注意点などを、初心者にもわかりやすく解説します。社内の意識啓発
資料としてご活用ください。

https://www.sans.org/sites/default/files/2020-10/OUCH%21%20October%202020%20-%20Fake%20News%20%28Jason%20Jordan%29_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 米軍サイバー戦争統括司令部、マルウェアTrickbot破壊措置で前例作る
(2020.10.14)
コロンビア大学のサイバー紛争研究者であるジェイソン・ヒーリー氏によると、米
軍サイバー戦争統括司令部（Cｙber Command）がTrickBotと呼ばれるボットネット
を破壊しようとする措置は、「サイバー攻撃犯によって、より大きな被害をもたら
される前に阻止するための、公然とした作戦の第一歩」であるという。Cyber Command
は、感染した機器とボットネットのコマンド・アンド・コントロール・サーバー（
C&Cサーバー）間の通信を切断し、TrickBotが盗んだ情報に、意味をなさないナン
センスなデータを注入した。ボットネットに深刻なダメージを与えることはできな
かったものの、Cyber Commandが取った措置は 「米軍のハッカーの守備範囲が広が
っていることを示す」と言える。
- https://www.wired.com/story/cyber-command-hackers-trickbot-botnet-precedent/

【編集者メモ】(Paller)
これは「氷山の一角」の話だ。ポール・ナカソネ氏は有能なリーダーシップチーム
を結成し、新たな米国家安全保障局（NSA）を設置。サイバーセキュリティの防御
と攻撃の両側において、静かながらも確実な効果を出そうとしている。米国土安全
保障省（DHS）内において、また他の組織とのパートナーシップを通じて、私たち
が長年待ち望んでいたNSAとサイバー司令部がようやく出現した形だ。ガレット・
グラフ氏はポール・ナカソネ氏の業績について、月曜日のWired誌に洞察に富んだ
レビューを掲載している。
「穏やかに話す男、そして大規模なサイバー軍を指揮する男」
https://www.wired.com/story/general-paul-nakasone-cyber-command-nsa/
【編集者メモ】(Neely)
本記事からは、米Cyber Commandの能力の高さだけでなく、TrickBotボットネット
の回復能力も読み取れる。TrickBotはTorを使ってC&Cサーバーを難読化し、EmerDNS
を使ってフェイルオーバーのためのバックアップサーバーを登録している。軍事的
な対応が適切であったかどうかは明らかではないが、Microsoftの声明（www.nytimes.com/2020/10/12/us/politics/election-hacking-microsoft.html. Microsoft
が選挙へのリスクを取り締まり、政府が同じことをしていることを発見）とCyber Command
の声明（https://www.washingtonpost.com/national-security/cyber-command-trickbot-disrupt/2020/10/09/19587aae-0a32-11eb-a166-dc429b380d10_story.html.
サイバーコマンドは、選挙への潜在的な影響を軽減するために、世界最大のボット
ネットを破壊する方法を模索してきた）は、共に選挙のセキュリティ上のリスク対
策をサポートしている。
─────────────

◆ MicrosoftのTrickBotに対する判決、今後のボットネット・テイクダウン作戦の
追い風となる(2020.10.13)
Microsoft社が複数のセキュリティ企業や金融サービス情報共有・分析センター（FS-ISAC
）とともに、TrickBotの活動を妨害するための措置を講じた。この取り組みにより
、一時的にボットネットの活動を妨げたに過ぎないが、今回の裁判でMicrosoftがTrickBot
のサーバー管理を認められたことで、将来的にボットネットに対してより迅速に対
策を講じるための前例を打ち出すことができた。
- https://www.zdnet.com/article/trickbot-botnet-survives-takedown-attempt-but-microsoft-sets-new-legal-precedent/

【編集者メモ】(Neely)
Microsoftは今回の訴訟で、TrickBotが「同社の評判、ブランド、顧客の善意を損
ない、同社に対し回復不能な損害を与えた」と主張した。要するに、TrickBotの挙
動はユーザーに対してMicrosoft製品の意図であるかのように見せかけているとい
う。ブライアン・クレブス氏が、本ケースに関する詳細な分析を提供している。
「Microsoft、商標法を利用してTrickbotボットネットを破壊する」
https://krebsonsecurity.com/2020/10/microsoft-uses-copyright-law-to-disrupt-trickbot-botnet/
【編集者メモ】(Murray)
このテイクダウン措置の法的根拠は議論の余地があるが、犯人が法廷に出廷して主
張することはないだろう。企業のアプリケーションには、このボットネットと同じ
くらいの高い回復力が求められる。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼セキュリティ状況可視化ウェビナー
　～国内外拠点・取引先のセキュリティを一元管理する現実解とは～

＜11月16日（月）＞
　https://www.nri-secure.co.jp/seminar/2020/security_visualization1116?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

▼【緊急開催】多要素認証の正しい取り入れ方
　　～ガイドラインと実装例から見る、
　　　BtoCサービスにおける認証強度のあるべき姿～

＜10月28日（水）＞
　https://www.nri-secure.co.jp/seminar/2020/uni-id1028?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

＜11月6日（金）＞
　https://www.nri-secure.co.jp/seminar/2020/uni-id1106?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

▼Secure SketCH

＜10月22日（木）＞
PREMIUMプランWEB説明会
　https://www.secure-sketch.com/seminar/premium-webinar-form-1022?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

＜11月5日（木）＞
経営層が納得するセキュリティ報告
https://www.nri-secure.co.jp/seminar/2020/sketch1105?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

＜11月19日（木）＞
省力的かつ効率的なセキュリティ実行サイクルの回し方
https://www.nri-secure.co.jp/seminar/2020/sketch1119?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の有料研修 ※一部オンライン　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇11月、12月、2021年1月、2月、3月
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

〇11月
　SANS Tokyo November 2020
　https://www.sans-japan.jp/sans_tokyo_nov_2020?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

〇12月
　SANS Tokyo December 2020
　https://www.sans-japan.jp/sans_tokyo_dec_2020?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

〇2021年2月
　セキュアEggs
　（基礎／インシデント対応／フォレンジック／Webアプリセキュリティ）
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（無料ダウンロード)　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○クラウドサービスを安全に利用するためには
　～CASBをいかに活用するか～
　https://www.secure-sketch.com/ebook-download/casb-guide_202009?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

〇テレワークのセキュリティ対策パンフレット
　https://www.secure-sketch.com/ebook-download/telework-202008?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

〇大規模ユーザを管理する「顧客ID統合プロジェクト」成功の秘訣
　～失敗に学ぶ3つのポイント～
　https://www.secure-sketch.com/ebook-download/points-for-integrating-customer-id?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

＞＞ダウンロード資料一覧
　https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム（Secure SketCH ブログ）　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇CSPMとは？クラウドの設定ミス防止ソリューション｜
　選定で失敗しない３つのポイント
　https://www.secure-sketch.com/blog/preventing-cloud-configuration-mistakes-with-cspm?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

〇【提言】ゼロトラスト実現の鍵は「段階的な移行」｜必要なのは中間地点のアーキテクチャ
　https://www.secure-sketch.com/blog/the-key-to-realizing-the-zero-trust-model?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

○【解説】テレワーク環境のリスク評価｜アーキテクチャ見直しの初めの一歩
　https://www.secure-sketch.com/blog/consideration-of-telework-security-and-after-corona-security-architecture?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

＞＞ブログ記事一覧
　https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、米国のガイドライン「CIS Benchmarks」 を用いた
　情報システムの堅牢化サービスを提供開始
　～システムを構成する製品・サービスごとに、設計から運用段階までの安全性を評価～
　https://www.nri-secure.co.jp/news/2020/1007?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

〇NRIセキュアのセキュリティ対策実行支援プラットフォーム「Secure SketCH」が、
　米国の2ガイドラインに対応
　～米国防総省CMMCとNIST SP800-171への準拠状況が把握可能に～
　https://www.nri-secure.co.jp/news/2020/0924?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

○NRIセキュア、ファイル転送／共有サービス 「クリプト便」がシェアNo.1を獲得
　https://www.nri-secure.co.jp/news/2020/0925?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20201021sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。