──────────────────────────
■■SANS NewsBites Vol.16 No.13
（原版: 2021年 3月23日、26日）
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃１┃年┃７┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
　間┃も┃な┃く┃お┃申┃込┃み┃を┃開┃始┃し┃ま┃す┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2021-Live Online】　★日英同時通訳★
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021

※お申込み受付開始およびトレーニング価格のご案内は、4月上旬を予定しております。
　
◆開催日：2021年6月28日(月)～7月3日(土)　6日間
SEC401 Security Essentials Bootcamp Style <日本語>
SEC599 Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR500 Windows Forensic Analysis
FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
ICS515 ICS Active Defense and Incident Response (5日間)

◆開催日：2021年7月5日(月)～7月10日(土)　6日間
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
SEC555 SIEM with Tactical Analytics
SEC560 Network Penetration Testing and Ethical Hacking
FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ Exchangeサーバー侵害、パッチ済のシステムを一部悪用 (2021.3.22)
米サイバーセキュリティ・インフラセキュリティ庁（CISA）の代理エグゼクティブ
ディレクターのBrandon Wales氏は、パッチ適用済み数千台のExchangeサーバーが
すでに侵害されていたと述べた。同氏は、侵害されたシステムがランサムウェア攻
撃や他の組織への攻撃に使用される可能性があると指摘し、システムに侵害の痕跡
(IoC)や悪質な活動の痕跡がないか確認するよう企業に呼びかけている。重要な脆弱
性に対するアップデートは3月2日に公開されたが、多くのシステムはまだパッチが
適用されていない。F-Secureの研究者らは、Exchangeサーバーが「確認しきれない
ほどの速さで」攻撃されていると述べた。
- https://www.cyberscoop.com/brandon-wales-exchange-server-patch-dhs/
- https://www.scmagazine.com/home/security-news/ransomware/the-race-is-on-cisa-raises-alarm-bells-about-ransomware-attacks-against-microsoft-exchange-servers/
- https://www.zdnet.com/article/microsoft-exchange-server-attacks-theyre-being-hacked-faster-than-we-can-count-says-security-company/

【編集者メモ】(Neely)
まずはパッチを当てた後、侵害の痕跡(IoC)がないか確認することだ。脆弱性は頻
繁に悪用されているため、リリース当日にパッチを適用した後もシステムが正常で
あるか確認する必要がある。MicrosoftとCISAは、システムをスキャンするための
無料ツールを公開している。MicrosoftのEMOTツールは以前のバージョンよりも簡
単かつ効果的になり、MS Security Scannerをダウンロードしてインストールする
ことができる。
https://github.com/microsoft/CSS-Exchange/tree/main/Security
─────────────

◆ Exchangeサーバー侵害、ランサムウェア攻撃が多発 (2021.3.21 & 22)
脆弱なMicrosoft Exchangeサーバーに対するランサムウェア攻撃が増加している。
DearCryと呼ばれるランサムウェアは、早くも3月9日にExchangeサーバーへの攻撃
を開始し、BlackKingdomと呼ばれるランサムウェアも、最近この脆弱性を悪用する
ようになったという。
- https://www.wired.com/story/dearcry-ransomware-exchange-server-china-hack/
- https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-now-targeted-by-black-kingdom-ransomware/

【編集者メモ】(Neely)
DearCryは短期間で開発されたパッケージであると見られ、データだけでなく実行
ファイルやDLLも暗号化し、システムを使用不能にする。一方BlackKingdomはより
円熟した従来型のランサムウェアであり、セキュリティ企業は必要に応じてファイ
ルの復旧を支援できる。パッチの適用、侵害痕跡(IoC)のスキャン、悪用の即時検
出を確実に行うことで、リスクを軽減できる。
─────────────

◆ Exchangeサーバー侵害、 Microsoft Defender Antivirusが脆弱性の1つを緩和
(2021.3.19)
MicrosoftはオンプレミスサーバーにおけるExchangeサーバーの脆弱性の1つを緩和
するため、2つのウイルス対策ツールを更新した。Microsoft Defender Antivirus
とSystem Center Endpoint Protectionは、Microsoftが今月初めにパッチをリリー
スした4つのExchangeサーバーの脆弱性の1つを緩和するという。この脆弱性（CVE-
2021-26855）を緩和することで、ハッカーらの現在の攻撃モデルを阻止できる。
- https://www.scmagazine.com/home/security-news/vulnerabilities/microsoft-antivirus-now-automatically-mitigates-hafnium-exchange-server-vulnerability/
- https://www.zdnet.com/article/microsoft-defender-antivirus-now-patches-exchange-server-vulnerabilities/
- https://www.bleepingcomputer.com/news/security/microsoft-defender-adds-automatic-exchange-proxylogon-mitigation/

【編集者メモ】(Neely)
Defenderの緩和策は、ProxyLogonの脆弱性に対応している。なお、Defenderによる
緩和策を適用した場合でも、パッチを適用して包括的な修正を行うとともに、シス
テムが危険にさらされていないか確認するためにスキャンを行う必要がある。Microsoft
EMOTツールを使用すればこの作業がさらに容易になり、発見された問題を修正で
きるだろう。
─────────────

◆ CISA、GEの電源管理機器に複数の脆弱性があると警告 (2021.3.16 & 22)
米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、GEの電力管理装置
「Universal Relay」に複数の脆弱性があると警告した。これらの脆弱性が悪用さ
れると、機密情報へのアクセス、特権アクセスの取得、サービス拒否状態の発生、
デバイスの再起動などが行われる可能性があるという。GEは、影響を受けたデバイ
スのファームウェアをURのファームウェアバージョン8.10以降にアップデートする
よう、ユーザーに呼びかけている。
- https://threatpost.com/cisa-security-flaws-ge-power-management/164961/
- https://us-cert.cisa.gov/ics/advisories/icsa-21-075-02

【編集者メモ】(Pescatore、Paller)
GEのファームウェアに見つかった脆弱性のリストは、2005年に発表されたOWASPの
ソフトウェアの脆弱性トップ10と類似している。これは、現在公開されている運用
技術や「モノのインターネット(IoT)」の脆弱性の多くに当てはまる。セキュリテ
ィよりも利便性（簡単なインストール）を優先したために発生した脆弱性が多く、
パッチを当てるのも難しい。重要なセキュリティ衛生、あるいは少なくとも強力な
セグメンテーション、パッチの提供期間を優先すべきだ。OTチームによるコンピュ
ータ化された設備保全管理システム（CMMS）への支出は、年間10億ドル規模にのぼ
る。自社がCMSS製品を使用しているか確認し、ファームウェアのアップデートを定
期メンテナンスの一部に組み込むことを試みてもらいたい。
【編集者メモ】(Neely)
公開された脆弱性のリストは長く、何年も前に回避方法を学んだものばかりだ。な
お、バージョン7.4のファームウェアアップデートではSSH V1がサポートされ、バ
ージョン8.1xでは弱いSSHアルゴリズムがサポートされている。脆弱なプロトコル
を無効にできるかどうかは不明であるため、ファームウェアをアップデートするだ
けでなく、ネットワークセグメンテーション、ファイアウォール、隔離を使用し、
アクセスを許可されたデバイスのみに制限すると良い。インターネットや社内ネッ
トワークからの直接アクセスを許可しないでほしい。ICSの深層部での防御とICS全
体のサイバーセキュリティの向上に関する参考資料「CISA制御システムの推奨事項
」はこちら： https://us-cert.cisa.gov/ics/recommended-practices
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「情報が盗まれる　～自分自身を保護する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
インターネットサービスを利用する機会が増えてきましたが、IDの管理はどのよ
うに行っていますか？攻撃者によってIDが盗まれると、ひとつひとつのIDが被害
に遭うだけではなく、あなた自身の個人情報が明らかになってしまうリスクがあ
ります。
今月は、IDが盗まれてしまった場合に、不正利用などを遅らせるといった被害を
最小限にする方法や。ID盗難を検出するためにできることを、初心者にもわかり
やすく解説します。社内の意識啓発資料としてご活用ください。

https://www.sans.org/sites/default/files/2021-03/OUCH%20Mar%2C%202021%20-%20Identity%20Theft_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Exchangeサーバー侵害、92%パッチ適用（まだ不十分） (2021.3.24)
今週初め、Microsoftは脆弱性のあるオンプレミスのExchangeサーバーの92％が、
重要なProxyLogonの欠陥に対する緩和策を提供し、パッチを適用したと発表した。
なお、すでにサーバーが侵害されていた場合はパッチを当てても感染は除去できな
いため、IT管理者はシステムに侵害の痕跡（IOC）がないか確認する必要がある。
Microsoftは、3月2日に4つの脆弱性の修正プログラムを公開している。
- https://www.zdnet.com/article/microsoft-92-of-vulnerable-exchange-servers-are-now-patched-mitigated/
- https://threatpost.com/microsoft-exchange-servers-proxylogon-patching/165001/

【編集者メモ】(Ullrich)
92％の緩和率は一見素晴らしいように思えるが、攻撃者が侵害したサーバーにとど
まるために脆弱性を緩和したとなれば話は別である。繰り返しになるが、パッチを
当てる前に侵害されている可能性が非常に高いため、パッチ適用前に綿密にExchange
サーバーを検査することが重要だ。
【編集者メモ】(Neely)
DHSの緊急指令（ED 21-02）は、今回のようなシナリオを避けるため、パッチを当
てる前にシステムをフォレンジックでイメージングし分析するよう求めている。脆
弱性にパッチを当てる前に悪用がないか確認する作業が抜けがちなため、チェック
を忘れた場合はCISAやMicrosoftのツールを実行して問題がないか確認し、SIEMの
クロスチェックを行うと良い。また、エンドポイント保護が脆弱性への侵入をリア
ルタイムで監視できているかも確認すべきである。現在使っているソリューション
にこの機能がない場合は、Windows Defenderを使用すると良いだろう。
・「ワンクリックでできるMicrosoft Exchangeオンプレミス緩和ツール(2021.3)」
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/
・「CHIRP IOC検出ツールを使用した侵害後の攻撃の検出」
https://us-cert.cisa.gov/ncas/alerts/aa21-077a
【編集者メモ】(Pescatore)
長い間、セキュリティベースのプロセスやセキュリティプログラムと、コンプライ
アンスベースの比較において問題とされてきた点がある。脆弱性を発見した後、緩
和する前に悪用されていないかを確認しているか。古い例になるが、セキュアWeb
ゲートウェイが更新され、悪質で危険なウェブサイトのURLが追加された場合、内
部機器に不審な通信履歴がないかをきちんと確かめたか。多くの検査では、脆弱性
のスキャンやパッチの適用、URLの更新、ブロックが済んでいるかをチェックする
だけで、「金庫の扉が開いているのを発見した後『現金がなくなっているかを確認
する』」というステップが抜け落ちている。
─────────────

◆ Exchangeサーバー侵害、豪サイバーセキュリティセンターが脆弱なシステムを
スキャン (2021.3.24)
豪サイバーセキュリティーセンター（ACSC）の責任者であるAbigail Bradshaw氏に
よると、Microsoft Exchangeサーバーの脆弱性に関して、システム上に侵害の痕跡
（IOC）を検出した機関からACSCに連絡があったという。ACSCは、脆弱性が残存す
るシステムがどれだけあるか確認するため、外部からインターネット接続のスキャ
ンを行っている。
- https://www.zdnet.com/article/acsc-running-scans-to-find-vulnerable-microsoft-exchange-servers-in-australia/

【編集者メモ】(Neely)
ACSCは、脆弱性があるシステムを追跡するだけでなくパッチの適用や緩和を支援す
る活動も行っている。ACSCは、Microsoftや連邦政府のCISO、州・準州政府と連携
してコミュニケーションチャネルを確保し、問題解決に必要な専門スキルを開発し
ている。
─────────────

◆ NCSC、ランサムウェアの対策強化を学校に要請 (2021.3.23)
英国サイバーセキュリティセンター（NCSC）は、教育機関を標的としたランサムウ
ェアの攻撃が増加していると警告している。NCSCは学校に対し、ランサムウェアの
攻撃経路を分断し、攻撃から十分に回復できる措置を講じるよう求めている。
- https://www.ncsc.gov.uk/news/alert-targeted-ransomware-attacks-on-uk-education-sector
- https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks
- https://www.theregister.com/2021/03/23/ransomware_targeting_education_ncsc_warning/
─────────────

◆ CIO、サイバー人材の取り組みを強化 (2021.3.23)
CIO Instituteは「サイバーセキュリティのエリート人材を発掘するために: 最高
情報責任者（CIO）が実践すべきこと」と題した新たなレポートを今週、4,800人の
CIOに配布した。このレポートは、CIOがサイバー人材管理において重要な役割を果
たしている様子が示されており、サイバー教育プログラムのエリート人材輩出率が
非常に低いことや、雇用主がセキュリティ認証を利用して求人時の面接者を決定し
ている、といった驚くべき結果が示されている。また、IT分野以外でのサイバー人
材の発掘に関する情報も含まれている。
- https://www.cio.org/elite.html
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇4月14日(水)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2021/cissp0325?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（無料ダウンロード)　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇ワークプレイスモダナイゼーションのすすめ
　https://www.nri-secure.co.jp/download/workplace-modernization?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

〇ゼロトラストセキュリティ入門
　https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

〇【解説書】セキュリティ担当者のためのCSPM導入・運用のポイント
　https://www.nri-secure.co.jp/download/cspm_introduction-operation?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇テレワーク時代のセキュリティ｜ペリメタモデルからゼロトラストモデルへ
　https://www.nri-secure.co.jp/blog/perimeter-to-zerotrust?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

〇IoTと金融サービスの連携が生み出す未来｜最新の国際標準「CIBA」の全貌
　https://www.nri-secure.co.jp/blog/iot_ciba?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

〇【徹底解説】特権ID管理製品の選定ポイント｜導入時に確認すべき２つの論点
　https://www.nri-secure.co.jp/blog/difference-in-id-management-method?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇～次世代エンドポイントセキュリティ対策と保険による備えを一体で提案～
　新たなサイバーセキュリティソリューションの提供に向けた協業を開始
　https://www.nri-secure.co.jp/news/2021/0331?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

〇NRIセキュア、「コンテナ」を安全に利用するためのセキュリティ評価サービスを提供開始
　～コンテナのセキュリティレベルの評価から、対策の実行までを支援～
　https://www.nri-secure.co.jp/news/2021/0325?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

〇「ITロードマップ 2021年版」発刊のお知らせ
　～NRIセキュアが「ニューノーマル時代のセキュリティ」を解説～
　https://www.nri-secure.co.jp/news/2021/0318?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210331sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。