ニュースレター登録
資料ダウンロード
お問い合わせ

Newsletter SANS NewsBites Vol.16 No.07 2021.02.17 発行

更新日 2021. 02. 17

──────────────────────────
■■SANS NewsBites Vol.16 No.07
(原版: 2021年 2月9日、12日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 2┃0┃2┃1┃年┃3┃月┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 ま┃だ┃間┃に┃合┃い┃ま┃す┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Japan 2021 Live Online】 ★日英同時通訳付き★
 https://www.sans-japan.jp/events/sans_secure_japan_2021

【お知らせ】SEC504、FOR610は、満席のためお申込受付を終了させていただきました

◆開催日:2021年2月22日(月)~2021年2月27日(土) 6日間
 SEC760 Advanced Exploit Development for Penetration Testers
 ※お申込締切日 2021年2月18日(木)15時まで延長しております!

◆開催日:2021年3月1日(月)~2021年3月6日(土) 6日間
 SEC401 Security Essentials Bootcamp Style <日本語>
 SEC542 Web App Penetration Testing and Ethical Hacking
 SEC588 Cloud Penetration Testing
 FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
<満席御礼>FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
 ※お申込締切日 2021年2月19日(金)

◆開催日:2021年3月8日(月)~2021年3月13日(土) 6日間
<満席御礼>SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
 SEC511 Continuous Monitoring and Security Operations
 SEC545 Cloud Security Architecture and Operations (5日間)
 SEC560 Network Penetration Testing and Ethical Hacking
  
◆トレーニング価格
 SEC401、SEC504      760,000円(税抜)★★特別キャンペーン価格★★
 SEC545          760,000円(税抜)
 SEC760          880,000円(税抜)
 上記4コースを除く6コース 810,000円(税抜)

◆お申込みについて
 各コースページのお申込みボタンより、お1人様ずつお願いいたします
 https://www.sans-japan.jp/events/sans_secure_japan_2021
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ フロリダ浄水場、ハッカーが化学プロセス制御を改ざん (2021.2.8)
2月5日、ハッカーがフロリダ州オールズマーの水道に含まれる水酸化ナトリウム(
灰汁)の量を100ppmから11,100ppmに変更した。郡の保安官によるとハッカーは、
従業員がIT問題のトラブルシューティングに使用する無名のリモートソフトウェア
プログラムを介しアクセスしたという。このプログラムは画面監視機能を備えてお
り、最初に侵入に気づいたオペレーターは、別の作業員がリモートアクセスを行っ
たのではないかと疑ったという。プラントのオペレーターが変更に気付き、汚染水
が自治体の水道に入る前に変更を元に戻した。当局はリモートアクセスシステムを
無効化し、FBIとシークレットサービスが調査を続けている。
- https://www.vice.com/en/article/88ab33/hacker-poison-florida-water-pinellas-county
- https://www.wired.com/story/oldsmar-florida-water-utility-hack/
- https://arstechnica.com/information-technology/2021/02/computer-intruder-tried-to-poison-drinking-water-for-a-small-florida-city/
- https://www.cyberscoop.com/florida-hacker-water-plant-sodium-hydroxide/
- https://www.scmagazine.com/home/security-news/network-security/security-gaps-in-operational-tech-exposed-with-hacker-attempt-to-poison-florida-city-water/

【編集者メモ】(Neely)
多くのベンダーはリモートサポートと監視を提供しており、システムのメンテナン
スに役立てることができる。サポートの仕組みをよく理解しておくことが重要だ。
内部サービスの監視・管理のためにアクセスを公開しなければならない場合は、多
要素認証(MFA)や、アクセス可能なアカウントの定期的なレビュー、アクティビ
ティのキャプチャだけでなく、SIEM//SOCに転送されるログなど、適切にセキュリ
ティが確保されているかを確認すること。MFAができないアカウントは特に注意を
払い、可能であればリモートアクセスを許可しないようにすべき。携帯電話や他の
プライベートネットワークが使用されている場合は、それらのネットワーク上に何
があるかを確認し、通信がどのように保護されているかをしっかりと理解する必要
がある。
【編集者メモ】(Murray)
公共事業者は利便性を追求するあまり、公共事業のセキュリティを疎かにしてはな
らない。
【編集者メモ】(Honan)
多くの組織でベンダーやスタッフがリモートで作業できるようリモートアクセスソ
リューションが導入され、パンデミック下において増加傾向だ。リモートアクセス
ソリューションが安全な方法で設定されているかどうか、またMFAが有効になって
いるかを見直す良い機会である。


◆ ブラジルの電力会社、ランサムウェアに感染 (2021.2.5)
ブラジルの電力会社2社のネットワークがランサムウェア攻撃を受けた。攻撃者は
ネットワークアクセスの認証情報やエンジニアリング計画などの情報を含むデータ
を、少なくとも1社から盗み出したと見られる。Centrais Eletricas Brasileiras
(Eletrobras)とCompanhia Paranaense de Energia (Copel)は管理業務の一部を一
時停止したが、電力供給に影響はなかったという。
- https://www.bleepingcomputer.com/news/security/eletrobras-copel-energy-companies-hit-by-ransomware-attacks/
- https://threatpost.com/ransomware-attacks-major-utilities/163687/
─────────────

◆ Google、オープンソースの脆弱性サイトを開設 (2021.2.3 & 4 & 8)
Googleが「オープンソースの管理者と利用者の両方を支援する、オープンソースプ
ロジェクトのための脆弱性データベースとトリアージのインフラストラクチャ」で
あるOpen Source Vulnerabilitiesのウェブサイトを立ち上げた。また、Googleは
「オープンソースの脆弱性における議論を深めるためのフレームワーク」を提案し
、オープンソースプロジェクトのセキュリティに関する会話を促進している。
- https://www.zdnet.com/article/google-our-new-tool-makes-open-source-security-bugs-easier-to-spot/
- https://osv.dev/
- https://www.zdnet.com/article/open-source-google-wants-new-rules-for-developers-working-on-critical-projects/
- https://www.scmagazine.com/home/security-news/google-pitches-security-standards-for-critical-open-source-projects/
- https://opensource.googleblog.com/2021/02/know-prevent-fix-framework-for-shifting-discussion-around-vulnerabilities-in-open-source.html

【編集者メモ】(Murray)
本取り組みは非常に重要であり、このテーマに関するGoogleのブログの情報は有益
である。オープンソースも自社開発も、どちらも必要とされる信頼性や品質を十分
に提供していない。壊れかけているインフラを補強するためには、コードの品質を
劇的かつ緊急に向上させなければならない。透明性と説明責任の両方が必要だが、
現行ではどちらも提供されていない。
【編集者メモ】(Pescatore)
堅実なコンセプトである。2014年にHeartbleed OpenSSLの脆弱性が発見されたとき
、GoogleはCore Infrastructure Initiativeの創設メンバーの1人だったが、2016
年頃に休眠状態になってしまった。こうした自主的な取り組みは、継続的な実行機
能がないと活動が止まってしまうケースが多い。食品業界では、お店で害虫が蔓延
したり毒のある食材が発見されたりしてお店を一時閉店しなければならない場合、
飲食店業界団体のウェブサイトで告知するよりも、新聞や店舗で告知した方が、売
上は下がるものの、結果として店舗の衛生面は強化されるようだ。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「ハックされてしまったらどうする?」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティのことを考えるとき、いかにして安全にするかといったことは熱心
に語られますが、実際にハックされるなど被害にあったときのことを教えてくれ
る人は少ないかもしれません。ハックされてしまうと、とても混乱して何も考え
られなくなるにも関わらず…です。
今月は、ハッキングされてしまった場合に気づきやすい兆候や、どのような対応
をすれば良いのかについて、その理由とともに初心者にもわかりやすく解説しま
す。社内の意識啓発資料としてご活用ください。

https://www.sans.org/sites/default/files/2021-01/Ouch%21%20Feb%202021%20-%20I%27m%20Hacked%2C%20Now%20What_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ フロリダ州の水処理システム侵害、従業員は1つのTeamViewerパスワードを共有
(2021.2.9 & 10)
ハッカーがフロリダ州の浄水場のネットワークにアクセスし、飲料水の化学添加物
の添加量に変更を加えた。FBIはPrivate Industry Notificationを発行し「攻撃者
はセキュリティレベルの低いパスワードや時代遅れのWindows7オペレーティングシ
ステムなど、サイバーセキュリティにおける弱点を悪用し、水処理の遠隔管理に使
用するソフトウェアを侵害してシステムにアクセスした可能性が高い」と発表した
。攻撃者はデスクトップ共有ソフトウェアTeamViewerを使用し、システムに不正ア
クセスした可能性が高いという。
- https://arstechnica.com/information-technology/2021/02/breached-water-plant-employees-used-the-same-teamviewer-password-and-no-firewall/
- https://www.zdnet.com/article/following-oldsmar-attack-fbi-warns-about-using-teamviewer-and-windows-7/
- https://krebsonsecurity.com/2021/02/whats-most-interesting-about-the-florida-water-system-hack-that-we-heard-about-it-at-all/
- https://www.vice.com/en/article/akdqxk/why-cybersecurity-experts-hate-teamviewer-the-software-used-to-tamper-with-florida-water-supply

【編集者メモ】(Neely)
TeamViewerなどのリモートアクセスアプリケーションは、各ユーザー固有の資格情
報を設定するべきであり、インターネットに接続するエントリーポイントは、MFA
を導入しファイアウォールを設定する必要がある。これらはすべて、悪用されない
よう念入りに監視する必要がある。Windows7のような古くサポートされていないオ
ペレーティングシステムは、Windows10へのアップデートができないため、最新の
攻撃から保護するために外部ファイアウォールなど追加の対策が必要だ。CISAアラ
ートAA21-042Aには、制御システムへのリモートアクセスを許可する場合の分析と
、組み込むべき論理的・物理的緩和策が記載されている。
https://us-cert.cisa.gov/ncas/alerts/aa21-042a
【編集者メモ】(Ullrich)
TeamViewerアカウントに新規登録する際、2要素認証を設定するよう促される。ま
た、TeamViewerは企業向けのシングルサインオンシステムとの連携も提供している
。どちらかだけでも今回の違反を防げたのではないかと思うが、有効にされていな
かったようだ。Windowsの古いバージョンが特定のソフトウェアを実行するために
必要だった可能性もあり、それが特に今回の違反の原因となったとは思えない。
【編集者メモ】(Pescatore)
「ルービンの花瓶」という錯視を見たことがあるだろう。ある人には花瓶のように
見え、別の人にはお互いを見つめる2人の顔のように見える絵だ。オールズマー浄
水場のインシデントはよくあるケースで、2つの異なる観点が伺える。1つ目は、セ
キュリティに不注意な従業員が、一般的なセキュリティポリシーに違反するという
危険を冒し、攻撃を許してしまったという点。2つ目は、業務にリモートアクセス
が必要な中、安全なアプローチが提供されず、従業員が水処理システムを稼働させ
続けるための業務を遂行せざるを得なかったという点である。パンデミックにより
在宅勤務への急速な移行が余儀なくされ、特に小規模な組織では後者の事例が多く
発生しているようだ。
【編集者メモ】(Murray)
公共ネットワークに接続する全てのユーティリティー制御には、必ず強力な認証を
採用するようにすべきである。この措置により、リスクを80~90%削減できるだろ
う。一方、共有パスワードは責任の所在を不明瞭にし、リスクを増大させてしまう

─────────────

◆ Microsoftの火曜日のパッチ、早急にインストールすべき (2021.2.9)
Microsoftは2月9日(火)、Windowsと関連ソフトウェアの56件の脆弱性に対処する
アップデートを公開した。このうち11件の欠陥は「重大」とされている。不具合の
1つであるWin32kの特権昇格の脆弱性が頻繁に悪用されているという。
- https://isc.sans.edu/forums/diary/Microsoft+February+2021+Patch+Tuesday/27080/
- https://www.zdnet.com/article/microsoft-february-2021-patch-tuesday-fixes-56-bugs-including-windows-zero-day/
- https://www.darkreading.com/vulnerabilities---threats/microsoft-fixes-windows-zero-day-in-patch-tuesday-rollout/d/d-id/1340114
- https://krebsonsecurity.com/2021/02/microsoft-patch-tuesday-february-2021-edition/
- https://threatpost.com/exploited-windows-kernel-bug-takeover/163800/
- https://msrc.microsoft.com/update-guide
-
【編集者メモ】(Ullrich)
今回の火曜日のパッチで修正される脆弱性の数は少ないが、早急にパッチを当てる
必要のある脆弱性がいくつも含まれていた。最も注目すべきはDNSサーバの問題だ
。TCP/IPスタックの問題も迅速な対応が必要だ。境界ファイアウォールやルータが
、IPオプションでIPv4パケットを通さないようにすること。すでにこれはデフォル
ト設定になっているはずだが、それでも通過してしまうデバイスは驚くほど多い。

いまだにこういった基本的なTCP/IPの実装の問題が発生しているのは悲しいことで
ある。TCP/IPスタックは40年前から使われており、Microsoftは、Windows98とNT4.0
からデフォルトでTCP/IPを含むようになった。そろそろ、ほとんどのオペレーティ
ングシステムに正しく実装されるようになっても良い頃だろう。Forescoutは今週
の記事に、いまだに多くのTCP/IP実装がTCPシーケンス番号を正しく取得していな
いと概説する論文を発表した。
https://www.forescout.com/company/resources/numberjack-weak-isn-generation-in-embedded-tcpip-stacks/
─────────────

◆ Windows Defenderの12年前の脆弱性を修正 (2021.2.11)
Microsoftが2月の火曜日のパッチで修正した脆弱性の中には、Windows Defenderの
12年前の特権昇格の欠陥も含まれている。この欠陥は、基本的なユーザー権限を持
つ攻撃者に悪用される可能性があるという。このアップデートは、機能を有効にし
ているユーザーに自動的にインストールされる。
- https://www.wired.com/story/windows-defender-vulnerability-twelve-years/
- https://www.bleepingcomputer.com/news/security/12-year-old-windows-defender-bug-gives-hackers-admin-rights/

【編集者メモ】(Neely)
この脆弱性はBTR.sysドライバに存在するもので、インストール時の名前はランダ
ムで実行後にパージされるため、発見が困難であった。BTR.sysは、悪質なファイ
ルやレジストリエントリのブート時にクリーンアップを実行する。この修正は、
Microsoft Malware Protection Engine 1.1.17800.5以降に含まれる。
【編集者メモ】(Murray)
古い未発見の脆弱性に関連するリスクは、脆弱性が公開されて、修正プログラムが
公開された後で劇的に上昇する。このような脆弱性は適時対処すべきだ。特権昇格
の脆弱性は、複数のユーザーが使用・管理するシステム上で見られる問題である。
─────────────

◆ Bloomberg、Super Micro Computer製品にスパイチップが発見されたと発表
(2021.2.12)
Bloombergの報道によると、米国の情報機関は、中国がSuper Micro Computer製品
を改ざんしていることを10年近く前から知っていたという。つまり「アメリカ企業
が中国で製造する製品は、悪質な改ざんをされる可能性がある」ことを示している

- https://www.bloomberg.com/features/2021-supermicro/
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2月17日(水)
 Secure SketCH 活用術 WEB説明会
 https://www.nri-secure.co.jp/seminar/2021/securesketch0217?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

〇3月25日(木)
 CISSP講師によるパネルディスカッション
「CISSPは3年後のセキュリティをこう考える」
 https://www.nri-secure.co.jp/seminar/2021/cissp0325?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇SANS Secure Japan 2021 - Live Online
 https://www.sans-japan.jp/events/sans_secure_japan_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

〇2021年3月
 CISSP CBKトレーニング
 https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2020
 ~企業における情報セキュリティ実態調査~
 https://www.nri-secure.co.jp/download/insight2020-report?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

〇テレワークのセキュリティ対策パンフレット
 https://www.nri-secure.co.jp/download/telework-202008?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

〇Boxまるわかりガイド ~働き方改革を支えるデジタルワークプレイス~
 https://www.nri-secure.co.jp/download/box_pamphlet?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

>>ダウンロード資料一覧
 https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説(NRIセキュア ブログ)          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇金融関連サービスの連携における本人確認の在り方
 https://www.nri-secure.co.jp/blog/identity-verification-in-collaboration-with-financial-services?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

〇クラウドの「管理者アカウント」を管理する方法|
 ポイントはクラウドの責任分界点
 https://www.nri-secure.co.jp/blog/manage-cloud-administrator-accounts?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

〇【提言】SOCを高度化させるための自己評価|「MITRE ATT&CK」の活用スキーム
 https://www.nri-secure.co.jp/blog/solving-soc-issues-with-the-mitre-att-ck-framework?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

>>ブログ記事一覧
 https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、「マネージドEDRサービス」を拡充し、
 マルウェアに感染したPCやサーバの復旧をリモートで支援可能に
 ~「復旧支援対応」と「ログ長期保存対応」の2機能を追加~
 https://www.nri-secure.co.jp/news/2021/0210?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

〇NRIセキュア、Netskope製品のマネージドサービスにおいて、
 リアルタイム監視とリモートアクセス機能を提供開始
 ~「Netskope Security Cloud管理サービス」として、サービスを刷新~
 https://www.nri-secure.co.jp/news/2021/0204?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

〇NRIセキュア、サイバー・セキュリティ・コンサルティングの7つの分野で
 シェアNo.1を獲得
 https://www.nri-secure.co.jp/news/2021/0129?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

>>ニュース一覧
 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に3~4回お届けします。
 https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans

〇Secure SketCHサービス紹介資料:無料ダウンロード
 https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?utm_source=sans&utm_medium=mail&utm_campaign=20210217sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。

他のニュースレターはこちら

2022.06.01

■■SANS 月間セキュリティ啓発ニュースレター OUCH!
JUNE2022

2022.04.27

■■SANS NesBites Vol.17 No.17

2022.04.20

■■SANS NesBites Vol.17 No.16

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。