──────────────────────────
■■SANS NewsBites Vol.16 No.04
（原版: 2021年 1月19日、22日）
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃１┃年┃３┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃で┃す┃！┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Japan 2021 Live Online】　★日英同時通訳付き★
　https://www.sans-japan.jp/events/sans_secure_japan_2021

◆開催日：2021年2月22日(月)～2021年2月27日(土)　6日間
　SEC760　Advanced Exploit Development for Penetration Testers

◆開催日：2021年3月1日(月)～2021年3月6日(土)　6日間
　SEC401　Security Essentials Bootcamp Style <日本語>
　SEC542　Web App Penetration Testing and Ethical Hacking
　SEC588　Cloud Penetration Testing
　FOR508　Advanced Incident Response, Threat Hunting, and Digital Forensics
　FOR610　Reverse-Engineering Malware: Malware Analysis Tools and Techniques

◆開催日：2021年3月8日(月)～2021年3月13日(土)　6日間
　SEC504　Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
　SEC511　Continuous Monitoring and Security Operations
　SEC545　Cloud Security Architecture and Operations (5日間)
　SEC560　Network Penetration Testing and Ethical Hacking

◆トレーニング価格
　SEC401、SEC504　　　　　　760,000円(税抜)★★特別キャンペーン価格★★
　SEC545　　　　　　　　　　760,000円(税抜)
　SEC760　　　　　　　　　　880,000円(税抜)
　上記4コースを除く6コース　810,000円(税抜)

◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_secure_japan_2021
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ 盗まれたCOVIDデータ、流出前に改ざん (2021.1.15 & 18)
欧州医薬品庁（EMA）からCOVID-19関連のデータを盗んだハッカーらが、ダークウ
ェブに投稿する前にデータを改ざんしていたことがわかった。データはPfizer社と
BioNTech社が共同開発したBNT162b2ワクチンに関するものである。EMAのサイバー
攻撃に関する最新の報告には、「データの一部は公開前に加害者によって書き換え
られており、ワクチンの信頼性を損ないかねない」と記されている。アムステルダ
ムに拠点を置くEMAは、欧州連合（EU）で販売される医薬品の申請を評価している
。
- https://arstechnica.com/information-technology/2021/01/hackers-alter-stolen-regulatory-data-to-sow-mistrust-in-covid-19-vaccine/
- https://www.bleepingcomputer.com/news/security/hackers-leaked-altered-pfizer-data-to-sabotage-trust-in-vaccines/
- https://www.zdnet.com/article/hackers-manipulated-stolen-vaccine-data-before-leaking-it-online/
- https://www.ema.europa.eu/en/news/cyberattack-ema-update-5

【編集者メモ】(Pescatore)
データの完全性は、「機密性、完全性、可用性」の3つの要素の中で見過ごされが
ちであるが、重要なデータを改ざんする攻撃（ほとんどは株価操作目的）は長年に
わたり数多く行われてきた。2019年のCybersecurity Moonshot　Initiativeで行わ
れた関係者向けのワークショップでは、「ディープフェイク」や偽情報との戦いが
焦点となった。今後、情報のハード二ングに向けた取り組みを強化する必要がある
。
【編集者メモ】(Murray)
デジタル署名、ハッシュ（TripWire）、ブロックチェーンに目を向けるべきだ。
【編集者メモ】(Neely)
公的な文書の改ざんを検出するためには、保管時および通信中のデータの暗号化に
加え、完全性を検証可能にする必要がある。公的な文書や記録へのデジタル署名を
検討すべきである。ソフトウェアの更新時にデジタル署名を確認するのと同じよう
な機能が、公的な文書を保護するためにも必要である。
─────────────

◆ FBI、ヴィッシングについて警告 (2021.1.14 & 18)
FBIはPrivate Industry Notification (PIN)を発行し、攻撃者がVoIPプラットフォ
ームを利用して世界中の企業の従業員に連絡を取り、個人情報を盗み出すwebペー
ジにアクセスさせようとしている、と警告した。攻撃者は、収集したアカウントの
資格情報を使用して企業のネットワークにアクセスしている。FBIが推奨する対策
としては、多要素認証と最小特権ポリシーの導入、ネットワークのセグメンテーシ
ョン、管理者への2つのアカウントの提供（システム変更用とメール用）、レポー
ト作成、アップデートの導入などが挙げられている。
- https://www.bleepingcomputer.com/news/security/fbi-warns-of-vishing-attacks-stealing-corporate-accounts/
- https://www.securityweek.com/fbi-warns-employee-credential-phishing-phone-chat
- https://assets.documentcloud.org/documents/20458329/cyber-criminals-exploit-network-access-and-privilege-escalation-bleepingcomputer-210115.pdf

【編集者メモ】(Neely)
リモートワークを促進するため、過去1年の間に多くのサービスがインターネット
にアクセスできるようになった。多くの場合、これらのサービスはADの資格情報だ
けで保護されているため、アカウントが侵害されたときに新たな攻撃を受ける可能
性がある。インターネットにアクセス可能なすべてのサービスに多要素認証を追加
し、特に電子メール、電話、VTC、チャットなど、機密情報を伝達するために使用
されるサービスにおける、予期せぬ動作を監視する必要がある。
【編集者メモ】(Murray)
これらの対策はここで述べられている攻撃ベクトルのみならず、他の多くの攻撃ベ
クトルに対しても有効であるため、効果が高いと言える。
─────────────

◆ Apache Velocity XSSの脆弱性 (2021.1.15)
Apacheは2020年10月、Javaベースのテンプレートエンジン「Velocity」にクロスサ
イトスクリプティングの脆弱性があると通知を受けた。11月上旬には公開された修
正版がGitHubに投稿されたが、Apache Velocity Toolsはまだこの問題について正
式には公開していない。
- https://www.bleepingcomputer.com/news/security/undisclosed-apache-velocity-xss-vulnerability-impacts-gov-sites/

【編集者メモ】(Neely)
この件はCVE-2020-13959にて追跡されている。公開を待たず、すぐにApache Velocity
ツールにアップデートを適用してほしい。また、アプリケーション配信のためのJava
の今後の使用について見直した方が良いだろう。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「自宅のWi-Fiを安全にする」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
在宅勤務が増えてくると、自宅のネットワークについても注意を払う必要があり
ます。その中でも、利便性が高いことから近年急速に普及してきた Wi-Fiをセキ
ュアにすることは、自身やご家族を守るためにも重要です。
今月は、自宅や家族のホームネットワークを安全にするための５つの簡単な手順
について、その理由とともに初心者にもわかりやすく解説します。社内の意識啓
発資料としてご活用ください。

https://www.sans.org/sites/default/files/2021-01/OUCH%21%20Jan%202021%20-%20Securing%20Wi-Fi%20at%20Home_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ SolarWinds侵害、FireEyeが緩和戦略と監査ツールを提供 (2021.1.19 & 20)
FireEyeは「UNC2452からMicrosoft 365を保護するための緩和およびハード二ング
戦略」のホワイトペーパーと共に、「Mandiant Azure AD Investigator」というツ
ールを公開した。UNC2452やその他の攻撃活動を指し示すアーティファクト（痕跡
）を検出する狙いがあるという。
- https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html
- https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf
- https://github.com/fireeye/Mandiant-Azure-AD-Investigator
- https://www.theregister.com/2021/01/19/fireeye_solarwinds_code/
- https://www.zdnet.com/article/fireeye-releases-tool-for-auditing-networks-for-techniques-used-by-solarwinds-hackers/
- https://www.govinfosecurity.com/free-auditing-tool-helps-detect-solarwinds-hackers-malware-a-15808

【編集者メモ】(Neely)
死角をなくすためには、現在のツール出力とFireEyeツールの結果を照合すること
が求められる。
─────────────

◆ SolarWinds侵害、新たな「Raindrop」マルウェアがCobalt Strikeを仕掛ける
(2021.1.19)
SolarWindsを侵害したハッカーらが使用した4つ目のマルウェアが検出された。Raindrop
と名付けられたこのマルウェアはバックドアのローダーであり、標的となるシステ
ムにCobalt Strikeを設置して、攻撃者がネットワーク内を移動できるようにする
という。Cobalt Strikeは市販の侵入テストツールであるが、「攻撃者はこのツー
ルを悪用して環境内に広がり、データを流出させたり、マルウェアを配信したりし
てネットワークを攻撃する方法を発見した」という。
- https://www.zdnet.com/article/fourth-malware-strain-discovered-in-solarwinds-incident/
- https://threatpost.com/solarwinds-malware-arsenal-raindrop/163153/
- https://duo.com/decipher/new-raindrop-tool-tied-to-solarwinds-attackers

【編集者メモ】(Neely)
Symantecのレポートには、Raindropを検出するためのIOC（セキュリティ侵害イン
ジケーター）とYARAルールが追加されており、同社のエンドポイント保護製品にも
組み込んでいる。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware
─────────────

◆ SolarWinds侵害、ハッカーらがMalwarebytesを攻撃 (2021.1.20)
SolarWinds Orionのサプライチェーン攻撃に関与したハッカーらが、Malwarebytes
のシステムとネットワークを攻撃した。Malwarebytesは1月19日のブログ記事で、
「Microsoft Office 365やAzure環境への特権アクセスを持つアプリケーションを
悪用する、別の侵入ベクトルの存在を確認した」と記している。なお、Malwarebytes
はSolarWinds製品を使用していない。
- https://blog.malwarebytes.com/malwarebytes-news/2021/01/malwarebytes-targeted-by-nation-state-actor-implicated-in-solarwinds-breach-evidence-suggests-abuse-of-privileged-access-to-microsoft-office-365-and-azure-environments/
- https://www.theregister.com/2021/01/20/malwarebytes_solarwinds_hack_latest/
- https://www.zdnet.com/article/malwarebytes-said-it-was-hacked-by-the-same-group-who-breached-solarwinds/
- https://arstechnica.com/information-technology/2021/01/security-firm-malwarebytes-was-infected-by-same-hackers-who-hit-solarwinds/
- https://threatpost.com/malwarebytes-solarwinds-attackers/163190/
─────────────

◆ SolarWinds侵害、攻撃者が検出を回避した方法についてMicrosoftが詳細に解説
(2021.1.20 & 21)
MicrosoftのセキュリティチームであるMicrosoft365 Defenderリサーチチーム、脅
威インテリジェンスセンター（MSTIC）、Microsoftサイバー防御オペレーションセ
ンター（CDOC）の研究者らが、SolarWindsの攻撃者が検出を回避するために使用し
た、運用セキュリティ技術とアンチフォレンジックに関する新たな情報を発表した
。Microsoftの目標は、「侵害の初期のアーティファクト（痕跡）を探し出し、こ
の脅威からネットワークを保護する能力を向上させることで、防御側のコミュニテ
ィを支援すること」だという。
- https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/
- https://www.zdnet.com/article/microsoft-this-is-how-the-sneaky-solarwinds-hackers-hid-their-onward-attacks-for-so-long/
- https://www.theregister.com/2021/01/21/microsoft_solarwinds_deep_dive/
- https://www.bleepingcomputer.com/news/security/microsoft-shares-how-solarwinds-hackers-evaded-detection/
- https://www.cyberscoop.com/solarwinds-hack-russia-spying-microsoft/

【編集者メモ】(Neely)
SolarWinds侵害から学んだのは、早期発見の重要性である。2021年のサプライチェ
ーン・セキュリティ計画に、検知能力と対応能力の検証やアップグレードを加える
必要がある。攻撃者がどのような方法で検出を逃れたのかを理解することが、将来
的な悪用を防ぐ鍵となる。
─────────────

◆ 2020年米国国家安全保障局、サイバーセキュリティを振り返る(2021.1)
米国国家安全保障局(NSA)のサイバーセキュリティ総局が、初のサイバーセキュリ
ティ年表を発表した。同文書は、NSAサイバーセキュリティの初年度に達成した主
要な出来事やミッションの成果を概説している。NSAサイバーセキュリティ総局は
2019年10月に設立され、防衛産業基盤を中心に、国家安全保障および主要インフラ
にとって重要なシステムをサイバー攻撃から保護し、根絶することを使命としてい
る。

- https://media.defense.gov/2021/Jan/08/2002561651/-1/-1/0/NSA%20CYBERSECURITY%202020%20YEAR%20IN%20REVIEW.PDF/NSA%20CYBERSECURITY%202020%20YEAR%20IN%20REVIEW.PDF

【編集者メモ】(Pescatore)
2020年にNSAが注力した2つの重要分野として、暗号化技術の最新化・採用の推進、
および防衛産業基盤におけるサプライチェーン・セキュリティがある。これらはNSA
が特に注意すべき重大インシデントの回避や防止につながる重要分野である。
【編集者メモ】(Neely)
同文書には、在宅勤務やホームネットワークセキュリティに関するガイドページへ
のリンクがある。数年前と比較し、在宅勤務は今後はるかに高い割合で利用される
ことが予測されるため、これらのガイダンスを活用しながら現在の運用を見直すこ
とを勧める。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼人材育成▼
〇2月3日(水)：ナショナルサイバートレーニングセンター長 園田様講演
　待ったなしのセキュリティ人材育成セミナー
　～ニューノーマル時代の人材育成とスキルアップの現実解～
　https://www.nri-secure.co.jp/seminar/2020/hr_development0203?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇2月5日(金)
　CISSPチャレンジセミナー
　～組織と実務者を繋ぐCISOを育成するために必要な考え方～
　https://www.nri-secure.co.jp/seminar/2021/cissp01?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

▼IoTセキュリティ・PSIRT▼
〇1月29日(金)：パナソニック様講演
　IoTセキュリティウェビナー
　～Panasonic PSIRTが語るIoTセキュリティの課題～
　https://www.nri-secure.co.jp/seminar/2021/iotsecurity0129?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

▼セキュリティ状況可視化・サプライチェーンセキュリティ▼
〇2月9日(火)
　セキュリティ状況可視化ウェビナー
　～国内外拠点・取引先のセキュリティを一元管理する現実解とは～
　https://www.nri-secure.co.jp/seminar/2021/security_visualization0209?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇2月3日(水)
　Secure SketCH PREMIUMプランWEB説明会
　https://www.nri-secure.co.jp/seminar/2021/securesketch0203?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇2月17日(水)
　Secure SketCH 活用術 WEB説明会
　https://www.nri-secure.co.jp/seminar/2021/securesketch0217?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の有料研修 　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇SANS Secure Japan 2021 - Live Online
　https://www.sans-japan.jp/events/sans_secure_japan_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇2021年2月、3月
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇2021年2月
　セキュアEggs
　（基礎／インシデント対応／フォレンジック／Webアプリセキュリティ）
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（無料ダウンロード)　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2020
　～企業における情報セキュリティ実態調査～
　https://www.nri-secure.co.jp/download/insight2020-report?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇テレワークのセキュリティ対策パンフレット
　https://www.nri-secure.co.jp/download/telework-202008?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇Boxまるわかりガイド ～働き方改革を支えるデジタルワークプレイス～
　https://www.nri-secure.co.jp/download/box_pamphlet?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説（NRIセキュア ブログ）　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【徹底比較】特権ID管理製品の選定ポイント｜方式ごとの長所・短所とは？
　https://www.nri-secure.co.jp/blog/points-to-choose-for-privileged-id-management-products?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇EDRへの移行ステップ｜従来型アンチウイルス製品からの乗り換えノウハウ
　https://www.nri-secure.co.jp/blog/legacyav-to-edr?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇【解説】中小企業を守る、ウィズコロナ時代に不可欠なセキュリティ対策３選
　https://www.nri-secure.co.jp/blog/three-security-measures-to-protect-smes?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、特権ID管理ソリューション「SecureCube Access Check」の
　新バージョンの販売を開始　
　https://www.nri-secure.co.jp/news/2021/0112?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇NRIセキュア、米大手独立系調査会社発行のレポートに
　不正管理ソリューションベンダーの1社として掲載
　https://www.nri-secure.co.jp/news/2020/1217?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇NRIセキュア、「企業における情報セキュリティ実態調査2020」を実施
　https://www.nri-secure.co.jp/news/2020/1215?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans

〇Secure SketCHサービス紹介資料：無料ダウンロード
　https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?utm_source=sans&utm_medium=mail&utm_campaign=20210127sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。