ニュースレター登録
資料ダウンロード
お問い合わせ

Newsletter SANS NewsBites Vol.16 No.11 2021.03.16 発行

更新日 2021. 03. 16

──────────────────────────
■■SANS NewsBites Vol.16 No.11
(原版: 2021年 3月9日、12日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 2┃0┃2┃1┃年┃7┃月┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 間┃も┃な┃く┃お┃申┃込┃み┃を┃開┃始┃し┃ま┃す┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2021-Live Online】 ★日英同時通訳★
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021

※お申込み受付開始およびトレーニング価格のご案内は、4月上旬を予定しております。
 
◆開催日:2021年6月28日(月)~7月3日(土) 6日間
SEC401 Security Essentials Bootcamp Style <日本語>
SEC599 Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR500 Windows Forensic Analysis
FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
ICS515 ICS Active Defense and Incident Response (5日間)

◆開催日:2021年7月5日(月)~7月10日(土) 6日間
 SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
SEC555 SIEM with Tactical Analytics
SEC560 Network Penetration Testing and Ethical Hacking
FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
FOR578 Cyber Threat Intelligence
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ Microsoft MSERTツール、Exchangeサーバーの侵害の兆候を検出可能に
(2021.3.6 & 7)
Microsoftが、最近Exchangeサーバー攻撃で使用されたWebシェルスクリプトの検出
を可能にする、セキュリティスキャンツール「MSERT」を更新した。
- https://www.bleepingcomputer.com/news/security/microsofts-msert-tool-now-finds-web-shells-from-exchange-server-attacks/
- https://www.zdnet.com/article/check-to-see-if-youre-vulnerable-to-microsoft-exchange-server-zero-days-using-this-tool/
- https://github.com/microsoft/CSS-Exchange/tree/main/Security

【編集者メモ】(Neely)
Windows DefenderもWebシェルを検出できるようにアップデートされた。MSERTと呼
ばれるMicrosoft Safety Scanner (https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
)を使用すれば、埋め込まれたWebシェルを検出し、/N引数で起動しない限り自動で
削除することができる。ただしMSERTはリアルタイムの防御ツールではなく、スポ
ットチェックのみを実行することに注意してほしい。少し時間を要するが、フルス
キャンオプションを選択すると良いだろう。また、MicrosoftはExchangeとOWAのロ
グファイル内のIOC(侵害指標)を検索するPowerShellスクリプト「Test-ProxyLogin.ps1
」をリリースしている。(以下のGitHub CSS-Exchangeのリンクを参照)
【編集者メモ】(Honan)
これらの脆弱性の性質と、広く悪用されている点を見据え、まだパッチ適用してい
ない会社は侵害されたという前提で、適切に対応すべきだ。パッチを適用すると脆
弱性は修正されるが、パッチ適用前に攻撃者が仕掛けた侵害や追加のバックドアは
対処できない。
─────────────

◆ 30,000以上のExchangeサーバーが侵害 (2021.3.4 & 5 & 6)
米国で少なくとも3万の組織がMicrosoft Exchangeサーバーの脆弱性を侵害され、
Microsoftは3月2日(火)、侵害に対処するための緊急アップデートを公開した。
先週、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦政府の
民間部門や機関に対し、パッチを適用するか、脆弱性のあるシステムをインターネ
ットから切断するよう指示する緊急指令を発表している。
- https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/
- https://www.wired.com/story/china-microsoft-exchange-server-hack-victims/
- https://arstechnica.com/gadgets/2021/03/tens-of-thousands-of-us-organizations-hit-in-ongoing-microsoft-exchange-hack/
- https://www.scmagazine.com/home/security-news/data-breach/government-briefed-on-breach-of-at-least-30000-microsoft-exchange-servers/
- https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
─────────────

◆ Exchangeサーバーの脆弱性の代替緩和策発表 (2021.3.5)
Microsoftが3月2日のExchangeサーバー緊急アップデートを適用できない組織向け
に、緩和策を発表した。Microsoftは「これらの緩和策はExchangeサーバーがすで
に侵害されている場合の救済策ではなく、攻撃から完全に保護するものでもない」
と注意を促している。
- https://us-cert.cisa.gov/ncas/current-activity/2021/03/05/microsoft-releases-alternative-mitigations-exchange-server
- https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

【編集者メモ】(Neely)
緩和策を導入することで使用中のサービスが無効になる場合があるため、実装前に
慎重に検討する必要がある。また導入を決定した場合でも完全な修正のためにセキ
ュリティパッチを適用し、IOC(侵害指標)を確認するためにサービスをチェック
する必要がある。
─────────────

◆ Exchangeサーバー攻撃のタイムライン列挙 (2021.3.8)
Brian Krebs氏は、DEVCOREが2021年1月5日にExchangeサーバーの脆弱性をMicrosoft
に開示してから、被害者への通知、改善策の調整、本攻撃の「ステージ2」に備え
るまでの一連の出来事を列挙した。ZDNetの記事は「何が起きたのか」「脆弱性と
は何か、なぜ重要なのか」「どうすればいいのか」などの質問に回答している。
- https://krebsonsecurity.com/2021/03/a-basic-timeline-of-the-exchange-mass-hack/
- https://www.zdnet.com/article/everything-you-need-to-know-about-microsoft-exchange-server-hack/

【編集者メモ】(Neely、Paller)
Brian Krebs氏の記事はこれらのバグについて、どのようにして火曜日のパッチ更
新によるバグ開示から、すぐに対応を必要とする状況に変わったのかを分かりやす
く時系列でまとめている。Exchangeサービスをそのまま放置せず、Microsoftの緩
和・修復オプションの導入を検討すべきである。多くの攻撃者は常に攻撃の機会を
探していると仮定し、60,001を悪用されないように。
─────────────

◆ Exchangeサーバー攻撃の被害者多数 (2021.3.5 & 7 & 8)
Exchangeサーバー攻撃の影響を受けた組織は、米国の防衛請負業者、国際援助機関
、シンクタンク、攻撃を受けて電子メールシステムをオフラインにした欧州銀行庁
などにのぼる。チェコの捜査官らは、プラハ市とチェコ労働省に影響を与えた電子
メールシステム攻撃とExchangeサーバーの脆弱性の関連性を調査中である。
- https://www.bleepingcomputer.com/news/security/european-banking-authority-discloses-exchange-server-hack/
- https://www.securityweek.com/eu-banking-regulator-hit-microsoft-email-hack
- https://www.cyberscoop.com/microsoft-exchange-server-czech-republic-norway-hafnium-chinese-hackers/
- https://www.eba.europa.eu/cyber-attack-european-banking-authority
- https://www.reuters.com/article/us-czech-cyber/czech-capital-prague-labour-ministry-face-cyber-attacks-idUSKBN2AX16B

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「情報が盗まれる ~自分自身を保護する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
インターネットサービスを利用する機会が増えてきましたが、IDの管理はどのよ
うに行っていますか?攻撃者によってIDが盗まれると、ひとつひとつのIDが被害
に遭うだけではなく、あなた自身の個人情報が明らかになってしまうリスクがあ
ります。
今月は、IDが盗まれてしまった場合に、不正利用などを遅らせるといった被害を
最小限にする方法や。ID盗難を検出するためにできることを、初心者にもわかり
やすく解説します。社内の意識啓発資料としてご活用ください。

https://www.sans.org/sites/default/files/2021-03/OUCH%20Mar%2C%202021%20-%20Identity%20Theft_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Exchangeサーバー侵害、一部の被害者に複数のバックドアが仕込まれる
(2021.3.9 & 10 & 11)
Exchangeサーバーの脆弱性を悪用した攻撃がさらなる被害を生む前に、被害に遭っ
た組織への通知・支援が専門家により進められている。侵害を受けた組織の中には
、複数のグループに複数のバックドアを仕掛けられたケースもあるという。本攻撃
により、ノルウェーの国会や欧州銀行監督局などが被害を受けた。
- https://krebsonsecurity.com/2021/03/warning-the-world-of-a-ticking-time-bomb/
- https://www.govinfosecurity.com/list-hacked-exchange-servers-may-boost-recovery-efforts-a-16151
- https://www.theregister.com/2021/03/11/stortinget_attack/
- https://www.bleepingcomputer.com/news/security/norway-parliament-data-stolen-in-microsoft-exchange-attack/
- https://www.theregister.com/2021/03/09/eba_exchange_breach/
- https://www.eba.europa.eu/cyber-attack-european-banking-authority-update-3
- https://www.zdnet.com/article/microsoft-exchange-server-hack-european-banking-authority-on-heightened-alert-after-being-hit-by-cyber-attackers/
- https://www.reuters.com/article/us-usa-cyber-microsoft-germany/up-to-60000-computer-systems-exposed-in-germany-to-microsoft-flaw-bsi-idUSKBN2B2262

【編集者メモ】(Ullrich, Paller)
概念実証コードが出回っている以上、バックドアが仕掛けられていても不思議では
ない。攻撃者らは、他のグループにロックされる前にできるだけ多くのシステムを
コントロールしようと競い合っている。攻撃者はシステム管理者よりもはるかに行
動が速いため、対応が遅れるとクリーンアップ作業が非常に困難になるだろう。
【編集者メモ】(Honan)
恐れていた通り、攻撃はすでに次の段階へ進み、攻撃者らは感染したシステムを足
場にRansom:Win32/DejoCrypt.AやDearCryなどのランサムウェア攻撃を開始してい
る。(Microsoft Exchange攻撃でパッチ未適用のサーバーを狙う新たなランサムウ
ェア攻撃に注意。www.zdnet.com)オンプレミスのExchangeサーバーをチェックし
ていない場合は、Microsoftが提供するガイダンスを参考に、早急にチェックが必
要である。「Microsoft Exchangeサーバー脆弱性の緩和。更新日:2021年3月9日」
msrc-blog.microsoft.com
─────────────

◆ 複数の攻撃者がExchangeサーバーの脆弱性を悪用していることが判明
(2021.3.10 & 11)
ESETの分析によると、少なくとも10組のAPTグループがMicrosoft Exchangeサーバ
ーの脆弱性を悪用しており、多くは中国とつながりがある。このうち6組のグルー
プは、Microsoftが3月2日(火)に緊急パッチをリリースする前から、この脆弱性
を悪用していたという。
- https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/
- https://www.cyberscoop.com/microsoft-exchange-china-exploitation-eset/
- https://threatpost.com/microsoft-exchange-servers-apt-attack/164695/
- https://arstechnica.com/gadgets/2021/03/security-unicorn-exchange-server-0-days-were-exploited-by-6-apts/
- https://www.zdnet.com/article/microsoft-exchange-server-cybersecurity-warning-apply-patches-now-because-more-hacking-groups-are-trying-to-exploit-the-vulnerabilities/
- https://www.bleepingcomputer.com/news/security/more-hacking-groups-join-microsoft-exchange-attack-frenzy/
- https://www.washingtonpost.com/politics/2021/03/11/cybersecurity-202-more-hackers-jump-take-advantage-widespread-microsoft-security-flaw/
- https://www.wired.com/story/microsoft-exchange-patch-hacks-ransomware/

【編集者メモ】(Neely)
Hafniumが最初にシステムを侵害してから短期間のうちに、他のAPTグループが次の
攻撃を開始したことを考えると、各グループが独自に脆弱性を発見し、別々にエク
スプロイトを開発したとは到底思えない。おそらく1月よりも前にHafniumが最初に
攻撃を仕掛け、その後、Tick、LuckyMous、Calypso、Webslic、APT41などの他のグ
ループに共有したのであろう。今回発見された侵害の範囲を考えると、さらに広範
囲に共有されている恐れもある。すべてのExchangeサーバーが標的だという前提で
、パッチを適用するだけでなく侵害の兆候がないかを注意深くチェックする必要が
ある。現在のエンドポイント保護にExchangeの脆弱性とIOC(侵害指標)が含まれて
いるか確認するように。
【編集者メモ】(Pescatore)
今週のNewsBitesでは、Windows、MacOS、Exchange、F5 BigIPなど、ITの重要イン
フラに存在する様々な脆弱性を取り上げているが、SolarWinds Orionについては触
れていない。ここで、「ゼロ・トラスト」などのバズワードを考える上で前提とな
る2つの大きな問題に注目したい。1つは、攻撃に備え、脆弱性がビジネスのどの分
野に最も影響を与えるかと言う点と共に、誰が攻撃を仕掛けてくるかという点に焦
点を当てたリスク分析をしなければならないということ。2つ目は、重要なITイン
フラを必須のセキュリティ衛生レベル(意味のあるセグメンテーション、迅速なパ
ッチ適用、構成管理)に引き上げられなければ、他の信頼性を評価することはでき
ないということである。
【編集者メモ】(Murray)
John Pescatore氏の意見に賛成だが、緊急性と深刻さをさらに強調したい。今、我
々のインフラは、インフラ侵害の罪でつかまるリスクを厭わない国家の前に無防備
にさらされている。国家は自分の優位性を第一に考えており、有事の際には攻撃す
る可能性があると想定しなければならない。
─────────────

◆ Microsoft、旧バージョンのExchangeサーバーのパッチをリリース
(2021.3.8 & 9)
3月8日(月)、Microsoftはサポートされていない旧バージョンのExchangeサーバ
ーを使用している企業を攻撃から保護するパッチをリリースした。追加の修正プロ
グラムをリリースしたことから、事態の深刻さが伺われる。Microsoftは、パッチ
のリリースに伴うブログ記事の中で、この新たなアップデートは活発に悪用されて
いる4つの脆弱性のみを対処するものであると警告し、サポートされているExchange
サーバーにアップグレードするようユーザーに呼びかけている。
- https://www.zdnet.com/article/microsoft-exchange-attacks-now-microsoft-rushes-out-a-patch-for-these-unsupported-exchange-servers-too/
- https://www.cyberscoop.com/amid-widespread-exchange-server-attacks-microsoft-issues-patch-for-older-versions/
- https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020

【編集者メモ】(Neely)
古いバージョンのExchangeを使用している場合は、パッチを適用するだけでなく、
Microsoft Safety Scanner(MSERT)などの検出ツールを使用し、Webシェルを検出
して削除する必要がある。次に、サポートされているExchangeまたはExchangeオン
ラインサービスへの移行を開始するべきである。
─────────────

◆ Apple、コード実行の問題修正のためmacOS、iOS、iPadOSをアップデート
(2021.3.9)
Appleは任意コード実行の恐れのある脆弱性を修正する、各種アップデートを公開
した。ユーザーは、macOS Big Sur 11.2.3、iOS 14.4.1、iPadOS 14.4.1へのアッ
プデートが推奨されている。
- https://www.zdnet.com/article/iphone-ipad-and-mac-security-apple-releases-fixes-for-bug-that-could-allow-code-execution-via-malicious-web-content/
- https://support.apple.com/en-us/HT212220
- https://support.apple.com/en-us/HT212221

【編集者メモ】(Ullrich)
Appleが脆弱性を1つだけ修正するためにアップデートをリリースすることは異例で
あり、この脆弱性はすでに悪用されている可能性があると推測される。
【編集者メモ】(Neely)
本アップデートはWebkitのCVE-2021-1844を修正するもので、iOS/iPadOSおよびwatchOS
のほか、SafariやmacOS 11(BigSur)のアップデートが必要になる。アップデート
は今すぐ可能で、iOSとiPadOS 14.5は間もなく適用される予定。デバイス管理ソリ
ューションを利用し、自動デバイス登録(ADE、旧DEP)にアップデートを適用すれ
ば、影響を最小限に抑えることができる。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇3月25日(木)
 3社の事例から学ぶ、ゼロトラスト・アーキテクチャを構築するには!?
 https://news.mynavi.jp/itsearch/seminar/467?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

〇3月25日(木)
 CISSP講師によるパネルディスカッション
 「CISSPは3年後のセキュリティをこう考える」
 https://www.nri-secure.co.jp/seminar/2021/cissp0325?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2020
 ~企業における情報セキュリティ実態調査~
 https://www.nri-secure.co.jp/download/insight2020-report?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

〇Boxまるわかりガイド ~働き方改革を支えるデジタルワークプレイス~
 https://www.nri-secure.co.jp/download/box_pamphlet?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

〇【解説書】セキュリティ担当者のためのCSPM導入・運用のポイント
 https://www.nri-secure.co.jp/download/cspm_introduction-operation?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

〇NRIセキュア ソリューションガイド 2021年3月号
 https://www.nri-secure.co.jp/download/nrisecure-solution-guide?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

>>ダウンロード資料一覧
 https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【徹底解説】特権ID管理製品の選定ポイント|導入時に確認すべき2つの論点
 https://www.nri-secure.co.jp/blog/difference-in-id-management-method?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

〇2021年コロナ禍のサイバーセキュリティ月間|重要視される9つの対策
 https://www.nri-secure.co.jp/blog/cyber-month-2021?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

〇企業の情報セキュリティ実態調査レポート|
 DXとテレワークが加速するもセキュリティに課題
 https://www.nri-secure.co.jp/blog/nri-secure-insight2020?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

>>ブログ記事一覧
 https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、電子決済サービスに伴うセキュリティリスクを評価する
 サービスを提供開始
 https://www.nri-secure.co.jp/news/2021/0310?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

〇NRIセキュア、ID管理・認証基盤ソリューション「Okta Identity Cloud」の
 導入支援サービスを提供開始
 ~IDやパスワードの管理負担を低減し、安全で快適なアプリ利用環境を実現~
 https://www.nri-secure.co.jp/news/2021/0224?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

>>ニュース一覧
 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に3~4回お届けします。
 https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210317sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。

他のニュースレターはこちら

2022.06.01

■■SANS 月間セキュリティ啓発ニュースレター OUCH!
JUNE2022

2022.04.27

■■SANS NesBites Vol.17 No.17

2022.04.20

■■SANS NesBites Vol.17 No.16

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。