──────────────────────────
■■SANS NewsBites Vol.16 No.12
（原版: 2021年 3月16日、19日）
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃１┃年┃７┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
　間┃も┃な┃く┃お┃申┃込┃み┃を┃開┃始┃し┃ま┃す┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2021-Live Online】　★日英同時通訳★
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021

※お申込み受付開始およびトレーニング価格のご案内は、4月上旬を予定しております。
　
◆開催日：2021年6月28日(月)～7月3日(土)　6日間
SEC401 Security Essentials Bootcamp Style <日本語>
SEC599 Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR500 Windows Forensic Analysis
FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
ICS515 ICS Active Defense and Incident Response (5日間)

◆開催日：2021年7月5日(月)～7月10日(土)　6日間
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
SEC555 SIEM with Tactical Analytics
SEC560 Network Penetration Testing and Ethical Hacking
FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
FOR578 Cyber Threat Intelligence
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ 大学が相次いでランサムウェア攻撃の標的に (2021.3.16)
3月16日、FBIは米国の12の州と英国の教育機関を標的としたランサムウェア「PYSA
」の攻撃が急増していることを、FLASHレポートにて発表した。PYSAはMespinozaと
も呼ばれ、データを流出させたり、重要なファイルやシステムに保存されているデ
ータを暗号化したりするマルウェアである。攻撃者の正体は不明で、高等教育機関
、K-12学校、神学校を標的としているという。攻撃者らは、標的のシステムを暗号
化する前にPYSAを使用してデータを流出させ、身代金の支払いを要求している。

FBI認証パートナーグループに加盟していない大学は、学生のサイバークラブを通
じて報告書のコピーを入手できる。学生らはこの報告書を利用して学校を支援し、
4月5日に開催される「National Cyber Scholarship」の準備のために、IOC(侵害指
標)を特定する訓練をしているという。120の大学で構成されるサイバーファストト
ラック大学連合は、FBIのFLASHレポートとCyberStartの学習ラボゲームに含まれる
100以上の練習問題を提供している。大学のサイバークラブの会長宛、 haya@nationalcyberscholarship.org
にメールを送りFBI FLASHレポート（および学習ラボ）を入手することができる。
─────────────

◆ 侵害されたExchangeサーバー、ランサムウェアの標的に (2021.3.12)
オンプレミスのExchangeサーバー攻撃の新たな局面として、すでに侵害されたシス
テムがランサムウェアの標的となっている。Microsoftは、「Ransom:Win32/DejoCrypt.A
あるいはDearCryとして知られるこの攻撃から保護する」と述べている。
- https://arstechnica.com/gadgets/2021/03/ransomware-gangs-hijack-7000-exchange-servers-first-hit-by-chinese-hackers/
- https://www.zdnet.com/article/microsoft-watch-out-for-this-new-ransomware-threat-to-unpatched-exchange-email-servers/
- https://www.scmagazine.com/home/security-news/ransomware/ransomware-may-be-targeting-microsofts-hafnium-exchange-server-vulnerabilities/
- https://duo.com/decipher/dearcry-ransomware-hitting-exchange-servers
- https://twitter.com/MsftSecIntel/status/1370236539427459076

【編集者メモ】(Ullrich)
これらのExchangeサーバー侵害は、国家による攻撃→組織犯罪→コモディティラン
サムウェア攻撃の順に、新しい犯罪者に次々と利用されている。繰り返しになるが
、パッチが未適用の場合は、侵害されていると考えるべきだ。また、BEC攻撃(ビジ
ネスメール詐欺）も考えられる。これらの攻撃は検出が難しく、すぐにニュースに
ならないことが多い。
【編集者メモ】(Honan)
Microsoftは、企業(特に中小企業)を対象に侵害されたかどうか、あるいは脆弱性
があるかどうかを確認し、脆弱性がある場合は修復するためのワンクリックツール
を公開した。このツールは msrc-blog.microsoft.comで公開されている。
(One-Click Microsoft Exchange On-Premises Mitigation Tool - 2021.3)
─────────────

◆ Linuxカーネルの脆弱性を悪用、root権限取得の恐れ (2021.3.12 & 13)
LinuxカーネルのiSCSIモジュールに存在する3つの脆弱性が悪用され、ユーザーア
カウントを持つ全ての人にroot権限が与えられる恐れがあることがわかった。この
3つの脆弱性は2006年から存在しており、すべてのLinuxディストリビューションに
影響するという。これらの脆弱性は最近になってGRIMMの調査により発見されたも
ので、2月中旬にLinuxセキュリティチームに通知された。この問題は、5.11.4、
5.10.21、5.4.103、4.19.179、4.14.224、4.9.260、および4.4.260のカーネルリリ
ースで修正されているという。
- https://blog.grimm-co.com/2021/03/new-old-bugs-in-linux-kernel.html
- https://www.scmagazine.com/home/security-news/vulnerabilities/three-flaws-that-sat-in-linux-kernel-since-2006-could-deliver-root-privileges-to-attackers/
- https://www.bleepingcomputer.com/news/security/15-year-old-linux-kernel-bugs-let-attackers-gain-root-privileges/

【編集者メモ】(Ullrich)
本件は非常事態とは言えず、アップデートが利用可能になったらパッチを当てれば
良い。残念なことに特権昇格の脆弱性はよくあることなので、そんなに心配する必
要はない。
【編集者メモ】(Neely)
SCSIやiSCSIのデバイスがなくなっても、ロード可能なモジュールはOSと一緒にイ
ンストールされている。カーネルモジュールは特権を持たないユーザーもロード可
能なので、プロセスをハード化し、許可・承認されたモジュールのみをロードでき
るようにすると良い。Linuxディストリビューションごとに若干の違いはあるが、
modprobe設定ファイルを編集して、モジュールのロードを防止するだけでなく、特
定のモジュールのインストール先を/bin/falseに変更することで、モジュールを拒
否することができる。
【編集者メモ】(Pescatore)
Linuxの脆弱性の一番の課題は、ユーザー環境、特にアプライアンスやICSタイプの
機器に応じて様々な種類のLinuxがあることだ。脆弱性の重要度だけでなく、パッ
チの可用性や時期にも影響する。この種の脆弱性は、あまり使用されていないにも
かかわらず、後方互換性を確保するためにソフトウェアに残されている「痕跡」機
能であり、これらのOSが動作するハードウェアの基盤が広く、また発売から長い年
月が経過しているため、攻撃者にとってWindowsやLinuxの継続的な攻撃の対象とな
っている。今こそ、ITのライフサイクルや減価償却の計画を、メインフレームの時
代に立てられたスケジュールではなく、モバイル機器の短い時間軸に変えるべきだ
。
─────────────

◆ セキュリティ機関、より優れたPDFサニタイズを採用する必要性
(2021.3.12 & 15)
グルノーブル（フランス）・アルプ大学とフランスの国立情報学自動制御研究所(
INRIA)の研究者らは、セキュリティ機関が発行したPDFデータの流出疑惑を詳細に
分析した論文を発表した。47カ国のセキュリティ機関が発行した4万件のPDFを分析
した結果、PDFから機密情報を取り除くためにサニタイズを行った機関はわずか7社
で、サニタイズ済みファイルの65％は機密情報が残っていたという。PDFは何層に
もわたって隠れたデータを含み、不適切なサニタイズでは「著者名、情報システム
やアーキテクチャの詳細などの機密情報」を隠しきれない恐れがある。研究者らは
、各機関にサニタイズの方法を変更するよう促している。
- https://www.securityweek.com/research-security-agencies-expose-information-improperly-sanitized-pdfs
- https://arxiv.org/pdf/2103.02707.pdf

【編集者メモ】(Neely)
情報を再編集するときは、迂回可能なメカニズムを使わないよう、ツールや技術を
慎重に選ぶ必要がある。PDFをはじめとする最新のドキュメントは、埋め込まれた
ファイルや、著者や組織、さらには使用したソフトウェアのバージョンに関する情
報など、デフォルトで含まれている隠れたデータを見落としがちである。今回発表
された論文は、PDFファイルに含まれる11種類の隠れたデータが列挙されている。
PDFファイルからメタデータを削除するための最良のツールは、Adobe Acrobatだろ
う。NSAは、Adobe Acrobat Proを使ってファイルを再編集するためのガイドを公開
している。(apps.nsa.gov：Adobe Acrobat Professional Xを用いたPDFファイルの
再編集）
【編集者メモ】(Ullrich)
PDFの数を減らす必要があるかもしれない。読みやすいプレーンテキスト文書の作
成を復活させた方が、PDFのサニタイズよりも簡単で効果的である。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「情報が盗まれる　～自分自身を保護する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
インターネットサービスを利用する機会が増えてきましたが、IDの管理はどのよ
うに行っていますか？攻撃者によってIDが盗まれると、ひとつひとつのIDが被害
に遭うだけではなく、あなた自身の個人情報が明らかになってしまうリスクがあ
ります。
今月は、IDが盗まれてしまった場合に、不正利用などを遅らせるといった被害を
最小限にする方法や。ID盗難を検出するためにできることを、初心者にもわかり
やすく解説します。社内の意識啓発資料としてご活用ください。

https://www.sans.org/sites/default/files/2021-03/OUCH%20Mar%2C%202021%20-%20Identity%20Theft_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 2020年米選挙に関するODNIレポート、ロシアの関与 (2021.3.16)
米国家情報会議（NIC）の2020年米選挙に関する情報コミュニティアセスメントに
よると、外国（特にロシア）の攻撃者が選挙に影響を与え、選挙プロセスの信頼を
損ねようとした証拠があるという。今回の選挙におけるモスクワの戦略の注目すべ
き点は、ロシア情報機関に紐づくプロキシを利用して、米国のメディア機関、米国
政府関係者、米国の著名人（一部は前大統領や当時の政権に近い人物）に影響を与
える諸説を押し付けたことだという。NICは、「2020年の米国選挙において、外国
の攻撃者が投票プロセスを技術的に変更しようとした兆候はない」としている。
- https://www.washingtonpost.com/national-security/intelligence-assessment-2020-election-russia-iran/2021/03/16/a2650478-8662-11eb-bfdf-4d36dab83a6d_story.html
- https://www.wired.com/story/odni-russia-iran-2020-election-interference/
- https://www.dni.gov/files/ODNI/documents/assessments/ICA-declass-16MAR21.pdf

【編集者メモ】(Pescatore)
1950年代後半、映画館で上映される映画のサブリミナル広告に関する実験が問題に
なったことがある。2000年代初頭、サブリミナル広告が知らず知らずのうちに強い
影響を与えることが科学的に証明されたため、多くの国で禁止されたが、米国では
FCCが使用を「制限」しただけに留まった。国家やテロリストがソーシャルメディ
ア上で行っている手法の多くは、本質的にサブリミナル広告と同じであり、法律を
整備する必要がある。市場が対処できる問題ではない。
【編集者メモ】(Neely)
ソーシャルエンジニアリングとは、自分が望む結果を得るために他者に影響を与え
ることであり、今に始まったものではない。ソーシャルエンジニアリングは、正当
性を見分けるのが難しい広告やソーシャルメディアへの投稿でよく見られる。法の
改正により投稿が困難になり、規制が加わったりしているが、情報が正しいかどう
か確認するのは情報を受け取る消費者側の責任である。
─────────────

◆ FBIインターネット犯罪報告書2020 (2021.3.18)
FBIのインターネット犯罪苦情センター（IC3）が発表したインターネット犯罪報告
書2020によると、2020年、IC3に寄せられたインターネット関連犯罪に関する苦情
は79万件以上に上るという。最も多く報告された犯罪はフィッシング詐欺、次いで
未払い・未配達、その次に恐喝であり、IC3に報告された被害総額は40億ドルにの
ぼるという。中でもビジネスメールの漏洩が最も多く、18億ドルを占める。
- https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf
- https://www.zdnet.com/article/fbi-one-type-of-scam-is-costing-business-the-most/
- https://www.bleepingcomputer.com/news/security/fbi-over-42-billion-officially-lost-to-cybercrime-in-2020/

【編集者メモ】(Pescatore)
被害総額40億ドルという数字が出されているが、2020年の全米小売業協会の損失調
査によると、2019年の損失（万引き、従業員の窃盗、供給元のミス・不正、レジの
ミスなどによる在庫のロス）は、小売業だけで620億ドルにのぼると推定される。
ここで3つ注意すべき点がある。1つは、FBIのIC3データはFBIに提出された苦情に
基づいており、損失全体を反映した数字ではないこと。2つ目は、多くの業界で依
然としてサイバー犯罪よりも従来型の犯罪の方が、事業にはるかに大きな影響を与
えていること。3つ目は、小売業は長年にわたり損失を1.5～2％の範囲に抑えてき
たが、一方でロス防止・損失制御のために売上の1～1.5％を費やしてきたため、3
％の収益損失は、ビジネスを行う上で許容範囲であるということである。ロス防止
の費用を増やすと、損失の絶対量が減ったとしても、利益は減ってしまう。損失額
を減らすためにセキュリティ対策の支出を増額するのも、同じだと言える。
─────────────

◆ Mimecast、SolarWinds攻撃者がソース証明書と顧客サーバー接続情報を盗んだ
と発表 (2021.3.16 & 17 & 18)
クラウドベースのメール管理会社であるMimecastは、SolarWindsのサプライチェー
ン侵害に関わった攻撃者がMimecastのプロダクショングリッド環境の一部にアクセ
スし、さらにMimecastが発行した特定の証明書とそれに関連する顧客のサーバー接
続情報にアクセスしたと発表した。この攻撃者は、いくつかのMimecastのソースコ
ードリポジトリにアクセスし、ダウンロードしたという。
- https://www.mimecast.com/incident-report/
- https://www.zdnet.com/article/mimecast-reveals-source-code-theft-in-solarwinds-hack/
- https://www.scmagazine.com/home/email-security/solarwinds-threat-actor-gains-access-to-mimecasts-production-grid-environment/
- https://arstechnica.com/gadgets/2021/03/mimecast-says-solarwinds-hackers-breached-its-network-and-spied-on-customers/
- https://www.darkreading.com/attacks-breaches/mimecast-says-solarwinds-attackers-accessed-its-source-code-repositories/d/d-id/1340447
- https://threatpost.com/mimecast-solarwinds-attackers-stole-source-code/164847/

【編集者メモ】(Neely)
多要素認証(MFA)を導入する際は、例外がないようにすること。常に有効であるか
を確認し、証明書を含むクレデンシャル情報は、必要な場合にのみアクセスできる
ようにすべきだ。ここで疑問が生じる。クレデンシャル情報が侵害されていること
を発見して修正した後、まだシステム内に攻撃者がいることを発見した場合、再度
更新するのか、それとも、攻撃者がいなくなったことが確定するまで、アップデー
トを待つべきか。
【編集者メモ】(Murray)
秘密鍵は、使わないときはオンラインで保管すべきではない。
─────────────

◆ CISAのCHIRPツールがSolarWindsの侵害指標(IoC)を検出 (2021.3.18)
米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、オンプレミス環境
のSolarWindsに関連する侵害指標(IoC)を検出できるツールを公開した。このツー
ルはセキュリティ研究者がTEARDROPとRAINDROPとして特定したマルウェアの存在、
つまりクレデンシャルダンピングによる証明書の取得、攻撃に関連する持続型メカ
ニズム、システム、ネットワーク、M365の列挙、ラテラルムーブメントなどの指標
を探すことができるという。

【編集者メモ】(Neely)
MS365やAzureでAPT侵害の兆候をスキャンするSparrowツールと同様に、CHIRPはオ
ンプレミス環境でAPT侵害の兆候をスキャンする。CHIRPは、PowerShellスクリプト
やコンパイルされた実行ファイルとして利用できるコマンドラインツールである。
Microsoftのツールとは異なりCHIRPはシステムに変更を加えず、実行に1～2時間か
かる。JSONの結果をSEIMに取り込むと良い。
【編集者メモ】(Murray)
このようなツールを使えば大体の侵害は検出することができるが、すべての侵害を
検出することはできない。「証拠がないことは、侵害がないことの証拠ではない」
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇3月25日(木)マイナビニュース主催
　3社の事例から学ぶ、ゼロトラスト・アーキテクチャを構築するには!?
　https://news.mynavi.jp/itsearch/seminar/467?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

〇3月25日(木)
　CISSP講師によるパネルディスカッション
　「CISSPは3年後のセキュリティをこう考える」
　https://www.nri-secure.co.jp/seminar/2021/cissp0325?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（無料ダウンロード)　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇ワークプレイスモダナイゼーションのすすめ
　https://www.nri-secure.co.jp/download/workplace-modernization?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

〇ゼロトラストセキュリティ入門
　https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

〇【解説書】セキュリティ担当者のためのCSPM導入・運用のポイント
　https://www.nri-secure.co.jp/download/cspm_introduction-operation?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇IoTと金融サービスの連携が生み出す未来｜最新の国際標準「CIBA」の全貌
　https://www.nri-secure.co.jp/blog/iot_ciba?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

〇【徹底解説】特権ID管理製品の選定ポイント｜導入時に確認すべき２つの論点
　https://www.nri-secure.co.jp/blog/difference-in-id-management-method?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

〇2021年コロナ禍のサイバーセキュリティ月間｜重要視される９つの対策
　https://www.nri-secure.co.jp/blog/cyber-month-2021?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇「ITロードマップ 2021年版」発刊のお知らせ
　～NRIセキュアが「ニューノーマル時代のセキュリティ」を解説～
　https://www.nri-secure.co.jp/news/2021/0318?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

〇NRIセキュアの吉江瞬が、AWSヒーローに認定
　https://www.nri-secure.co.jp/news/0317?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

〇NRIセキュア、電子決済サービスに伴うセキュリティリスクを評価する
　サービスを提供開始
　https://www.nri-secure.co.jp/news/2021/0310?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210324sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。