──────────────────────────
■■SANS NewsBites Vol.15 No.40
(原版: 2020年 11月17日、20日)
──────────────────────────
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
2┃0┃2┃0┃年┃1┃2┃月┃開┃催┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
明┃日┃、┃お┃申┃込┃み┃締┃切┃り┃で┃す┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
【SANS Tokyo December 2020 Live Online】 ★日英同時通訳付き★
https://www.sans-japan.jp/sans_tokyo_dec_2020
◆開催日:2020年11月30日(月)~2020年12月5日(土) 終日×6日間
SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling<日本語>
SEC560:Network Penetration Testing and Ethical Hacking
FOR508:Advanced Incident Response, Threat Hunting and Digital Forensics
◆開催日:2020年11月30日(月)~12月4日(金)、12月7日~11日(金) 半日×10日間
FOR578:Cyber Threat Intelligence
◆トレーニング費用
FOR578以外のコース 810,000円(税抜)
FOR578 760,000円(税抜)
◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします
https://www.sans-japan.jp/sans_tokyo_dec_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
2┃0┃2┃1┃年┃1┃月┃開┃催┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃!┃
━┛━┛━┛━┛━┛━┛━┛━┛
【SANS Tokyo January 2021 Live Online】 ★日英同時通訳付き★
https://www.sans-japan.jp/sans_tokyo_jan_2021
◆開催日:2021年1月18日(月)~2021年1月23日(土) 終日×6日間
SEC540:Cloud Security and DevOps Automation(5日間)
FOR500:Windows Forensic Analysis
FOR572:Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
ICS410:ICS/SCADA Security Essentials
◆トレーニング費用
SEC540 760,000円(税抜)
FOR500、FOR572 810,000円(税抜)
ICS410 820,000円(税抜)
◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします
https://www.sans-japan.jp/sans_tokyo_jan_2021
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 国家が支援する持続的標的型攻撃(APT)、COVID-19研究機関を狙う(2020.11.13)
ロシア政府と北朝鮮政府の支援を受けて活動するハッカー集団が、COVID-19ワクチ
ンの研究開発に関わる組織を標的にしていると、Microsoftが発表した。Microsoft
は、韓国、インド、フランス、カナダ、米国にある計7組織を標的にした3つのハッ
カー集団の証拠を発見したという。(以下WSJ記事は有料版)。
- https://arstechnica.com/information-technology/2020/11/hackers-sponsored-by-russia-and-north-korea-are-targeting-covid-19-researchers/
- https://www.zdnet.com/article/microsoft-says-three-apts-have-targeted-seven-covid-19-vaccine-makers/
- https://www.wsj.com/articles/covid-19-vaccine-makers-face-russian-north-korean-cyberattacks-microsoft-says-11605276003
- https://blogs.microsoft.com/on-the-issues/2020/11/13/health-care-cyberattacks-covid-19-paris-peace-forum/
【編集者メモ】(Neely)
効果的なワクチンをいち早く市場に出すことが求められる中、各国があらゆる手段
を講じて目標の実現に取り組んでいる。薬剤の開発に取り組む組織は、準備も資金
も不十分なまま、攻撃者の標的とされている。Microsoftは、医療機関向けに無料
サービス「AccountGuard」を提供し、電子メールアカウントのセキュリティレベル
の向上を支援している。(https://www.microsoftaccountguard.com/healthcare/)
さらに、通知やMicrosoftカスタマーセキュリティ&トラストチームとの直接連携
、セキュリティに関するウェビナーやワークショップも提供しており、限られたリ
ソースを集中的に活用し、多大な時間や費用をかけずにシステムを保護するための
準備を整えることができる。
─────────────
◆ 何十万ものWindowsシステムに、既知の重大な脆弱性に対するパッチ適用されず
(2020.11.17)
Internet Storm Center(ISC)によると、25万台近いWindowsシステムにBlueKeepリ
モートデスクトッププロトコル(RDP)の脆弱性に対するパッチが適用されていな
いことが判明した。BlueKeepは2019年春に公開されている。また、Server Message Block v3
プロトコルの脆弱性「SMBGhost」に対し、10万台以上のWindowsシステムがパッチ
未適用の状態である。「SMBGhost」は2020年3月に公開された。
- https://isc.sans.edu/diary/26798/
- https://www.zdnet.com/article/more-than-245000-windows-systems-still-remain-vulnerable-to-bluekeep-rdp-bug/
【編集者メモ】(Ullrich)
今回のケースをパンデミックのせいにする前に、Code RedとSQL Slammerの「初期
」にさかのぼってみよう。ほとんどのシステムが30日でパッチが適用されたが、残
りのシステムは一度もパッチが適用されていない。これを気にする組織もあれば、
気にしない組織もある。これらのシステムの多くは、意味のあるメンテナンスが行
われておらず、ランサムウェアやハードウェアを放置したままサーバー室の中で寂
しく忘れ去られ、ゆっくりと死んでいくのを待っている状態だ。パッチを当てるの
が難しいIoTデバイスの話をしているのではない。これらのデバイスは、ほとんど
がWindowsやLinuxシステムである。Microsoftはパッチ適用を簡単にする信頼性の
高い、リスクの少ないツールを提供してきた。 Linuxも同じである。しかし、組織
がこれらの新しいツールについて学ぼうとせず、いつもやっていることを続けるだ
け(つまり、何もしないということ)ならば、インターネット上に散らばる安全でな
いショットガンが、通りすがりの子供に拾われて使われるのを、ただただ待ってい
るようなものだと言える。
【編集者メモ】(Neely)
大多数の人がリモートで仕事をするようになる中、システムにパッチを当てること
は困難ではあるものの、実現は可能だ。成功率を高めるための方法としては、VPN
なしで認証されたシステムからアクセスできるアップデートサービスを提供するこ
とや、作業中にパッチを当てるのではなく、ユーザーにパッチ適用中にシステムを
接続したままにしておくよう通知すること、またキャッシュされたクレデンシャル
損失のリスクを軽減するために、ログイン前にVPN接続を許可するようにすること
などが挙げられる。
【編集者メモ】(Pescatore)
パンデミック前は強力な SLA を有していた組織でも、在宅勤務の稼働・維持でIT
運用が手一杯になる中、パッチのパフォーマンスが低下しているケースが多く見受
けられるようだ。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「ソーシャルエンジニアリング攻撃」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サイバー犯罪などを行う攻撃者は、圧倒的な技術をつねに使うとは限りません。
なぜなら、強固なシステムを突破するには、そのユーザを誘導して情報を聞き出
したり、攻撃者が望むように仕向けるほうが簡単だからです。
今月は、ソーシャルエンジニアリングとは何なのかという点から、攻撃だと見抜
くポイントなどを、初心者にもわかりやすく解説します。社内の意識啓発資料と
してご活用ください。
https://www.sans.org/sites/default/files/2020-10/OUCH%21%20Nov%202020%20-%20Social%20Engineering%20v.3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ IoTセキュリティ法案、政府が守るべきセキュリティ基準確立へ
(2020.11.18 & 19)
米上院が「IoTサイバーセキュリティ向上法」を全会一致で可決した。この法案は
、連邦政府が購入するIoTデバイスが、米国国立標準技術研究所(NIST)の定める
一定のサイバーセキュリティ基準を満たすことを要求するものである。また、各機
関はIoTデバイスの脆弱性開示プロセスを確立する必要がある。下院は9月に法案を
可決した。
- https://fcw.com/articles/2020/11/18/iot-cyber-bill-passes-senate.aspx
- https://threatpost.com/iot-cybersecurity-improvement-act-passed/161396/
- https://www.govtrack.us/congress/bills/116/hr1668/text
【編集者メモ】(Neely)
まだ法律にはなっていないが、IoT セキュリティの基準を設けることで、製造業者
の責任を明確にするためのベースラインとなる。また、現在と将来におけるデバイ
スのセキュリティや認証強度を測定することもできるようになる。米国政府機関は
、確立された基準に準拠していないデバイスを購入することが許可されなくなる。
─────────────
◆ Cisco Webexの欠陥を悪用、会議に不正に参加する可能性 (2020.11.18 & 19)
Cisco の Webex ビデオ会議アプリケーションにおいて 3 つの脆弱性が悪用され他
の会議参加者やホストに知られずにゴーストユーザーとして会議に参加できてしま
う可能性がある。攻撃者は、欠陥の1つを悪用して、会議参加者の名前、電子メー
ルアドレス、IPアドレスにアクセスすることができてしまう。また、別の欠陥を悪
用することで、ホストが退席させた後も、そのまま会議に参加し続けることができ
る。Ciscoは、この脆弱性に対するアップデートをリリースした。
- https://www.zdnet.com/article/cisco-webex-bugs-allow-attackers-to-join-meetings-as-ghost-users/
- https://arstechnica.com/information-technology/2020/11/cisco-rolls-out-fix-for-webex-flaws-that-lets-hackers-eavesdrop-on-meetings/
- https://www.darkreading.com/threat-intelligence/cisco-webex-vulns-let-ghost-attendees-spy-on-meetings/d/d-id/1339485
- https://threatpost.com/cisco-webex-flaw-snooping/161355/
- https://www.bleepingcomputer.com/news/security/cisco-fixes-webex-bugs-allowing-ghost-attackers-in-meetings/
- https://www.securityweek.com/cisco-webex-vulnerability-allows-ghost-access-meetings
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-auth-token-3vg57A5r
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-info-leak-PhpzB3sG
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-infodisc-4tvQzn4
【編集者メモ】(Pescatore)
ヨハネス・ウルリッヒ氏は、「2020 SANS Top New Attacks and Threat Report(
新たな攻撃と脅威に関するレポート)」の中で、WebexやZoomなどのアプリケーシ
ョンで使用されている多数の「Persistent and Promiscuous Web Agent(持続的で
無差別なwebエージェント)」に脆弱性のリスクがあると指摘している。また、イ
ンターネットセキュリティセンターは最近、ビデオ会議システムに関する優れたセ
キュリティガイドを公開した。
「CIS ビデオ会議セキュリティガイド」:www.cisecurity.org
【編集者メモ】(Neely)
Ciscoがクラウドベースのサーバーにパッチを適用した。オンプレミスのCisco Webex Meetings Server 3.0M3 Security Patch 4
以前、4.0MR3 Security Patch 3以前、および40.10.9以前のモバイル版にはパッチ
を当てるか、アップデートが必要だ。
─────────────
◆ 脆弱性のあるWordPressサイトをスキャンする攻撃者 (2020.11.17 & 18)
Epsilonのフレームワークに基づいたテーマを使用するWordPressサイトが、ハッカ
ーにスキャンされていることが判明した。ハッカーによって、複数のインジェクシ
ョンの脆弱性が一緒に悪用されると、リモートでコードを実行したり、脆弱なweb
サイトを乗っ取られる可能性がある。ユーザーは、使用するテーマの固定バージョ
ンがあれば、それにアップデートすることが強く求められる。Epsilon Framework
で構築されたテーマは、少なくとも15万のサイトで使用されている。
- https://www.wordfence.com/blog/2020/11/large-scale-attacks-target-epsilon-framework-themes/
- https://threatpost.com/widespread-scans-rce-bugs-wordpress-websites/161374/
- https://www.bleepingcomputer.com/news/security/hackers-are-actively-probing-millions-of-wordpress-sites/
【編集者メモ】(Neely)
現時点では探りを入れるための情報収集型の攻撃のように見えるが、だからと言っ
てその情報がただ悪用されるのを待っていてはならない。Wordfenceのサイトに、
脆弱性のあるテーマのバージョンが具体的にリストアップされている。テーマのア
ップデートがなく、もしくはテーマの切り替えが現実的でない場合は、アプリケー
ションファイアウォールを追加して攻撃をブロックするのが賢明だ。
─────────────
◆ COVID-19関連企業、サイバー攻撃を受ける (2020.11.18 & 19)
COVID-19の研究・治療に関わる2つの企業が、サイバー攻撃の標的となった。アト
ランタにあるAmericold社は、食品流通業者にCOVIDワクチンを保冷する保冷庫の提
供に取り組んでいるが、今月初めに同社のネットワークがサイバー攻撃を受けたこ
とを明らかにした。攻撃に関する事実は、米国証券取引委員会(SEC)のファイリ
ングの際に開示された。一方、Miltenyi Biotecはドイツに本拠を置くバイオテク
ノロジー企業でサイバー攻撃を受け、一部の業務プロセスが影響を受けたとしてい
る。Miltenyiは、COVID-19治療薬の開発に使用する抗原を研究会社に提供している
。
- https://healthitsecurity.com/news/hackers-hit-covid-19-biotech-firm-cold-storage-giant-with-cyberattacks
- https://threatpost.com/food-supply-americold-cyberattack/161402/
- https://www.miltenyibiotec.com/US-en/about-us/customer-technical-support-1.html
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼ゼロトラストセキュリティ実装ウェビナー
~これだけは対策しておきたい。ゼロトラスト実現の具体策~
<11月27日(金)>
https://www.nri-secure.co.jp/seminar/2020/zerotrust1127?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
▼CISSP講師によるパネルディスカッション
「CISSPはセキュリティ人材をこう考える」
<12月8日(火)>
https://www.nri-secure.co.jp/seminar/2020/cissp06?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
▼導入だけでは効果なし!CASB導入・運用の成功術
~CASBをフル活用するためのポイントとは~
<12月15日(火)>
https://www.nri-secure.co.jp/seminar/2020/casb_mss1215?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
▼脱VPN!次世代リモートアクセス実現ウェビナー
~ゼロトラストモデルを活用したセキュアなアクセスとは~
<12月23日(水)>
https://www.nri-secure.co.jp/seminar/2020/ac_netskope1223?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の有料研修 ※一部オンライン <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇12月
SANS Tokyo December 2020
https://www.sans-japan.jp/sans_tokyo_dec_2020?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
〇2021年1月
SANS Tokyo January 2021
https://www.sans-japan.jp/sans_tokyo_jan_2021?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
〇2021年1月、2月、3月
CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
〇2021年2月
セキュアEggs
(基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○クラウドサービスを安全に利用するためには
~CASBをいかに活用するか~
https://www.secure-sketch.com/ebook-download/casb-guide_202009?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
>>ダウンロード資料一覧
https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇脱PPAP?「パスワード付きzipファイル」の文化からどう脱却するべきか
https://www.nri-secure.co.jp/blog/break-away-from-the-password-protected-zip-file?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
〇【技術解説】「Zerologon」を振り返る|
過去最悪レベルと称された脆弱性の仕組みとは?
https://www.nri-secure.co.jp/blog/looking-back-on-the-vulnerability-zerologon?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
〇全ての通信を信頼しない「ゼロトラストセキュリティ」、何から手を付ければいいの
https://www.nri-secure.co.jp/blog/zero-trust-security-interview?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
>>ブログ記事一覧
https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、4年連続で「ジャパン マネージドセキュリティ サービス
プロバイダーオブザイヤー」を受賞
https://www.nri-secure.co.jp/news/2020/1119?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
〇NRIセキュア、「ゼロトラスト・コンサルティングサービス」を提供開始
~テレワークやマルチクラウド環境のセキュリティを大幅に強化~
https://www.nri-secure.co.jp/news/2020/1109?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20201125sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。
NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
