──────────────────────────
■■SANS NewsBites Vol.16 No.14
（原版: 2021年 3月30日、4月2日）
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃１┃年┃７┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃を┃開┃始┃い┃た┃し┃ま┃し┃た┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2021-Live Online】　★日英同時通訳★
　https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021

◆開催日：2021年6月28日(月)～7月3日(土)　6日間
SEC401 Security Essentials Bootcamp Style <日本語>
SEC599 Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR500 Windows Forensic Analysis
FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
ICS515 ICS Active Defense and Incident Response (5日間)

◆開催日：2021年7月5日(月)～7月10日(土)　6日間
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
SEC555 SIEM with Tactical Analytics
SEC560 Network Penetration Testing and Ethical Hacking
FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics

◆トレーニング価格
　SEC401，SE504　　　　810,000円（税込 891,000円）
　上記を除く7コース　　840,000円（税込 924,000円）

◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ iPhone、iPad、Apple Watch緊急アップデート (2021.3.26 & 27)
AppleがiOS、iPadOS、watchOSの緊急アップデートを公開した。本アップデートは
頻繁に悪用されているAppleのブラウザエンジン「WebKit」の脆弱性に対応するも
ので、ユーザーはiOS 14.4.2、iPadOS 14.4.2、watchOS 7.3.3のアップデートを促
されている。Appleは古いiPhone向けのアップデートiOS 12.5.2もリリースしてい
る。
- https://www.zdnet.com/article/apple-releases-emergency-update-for-iphones-ipads-and-apple-watch/
- https://arstechnica.com/gadgets/2021/03/apple-addresses-webkit-security-flaw-with-ios-and-ipados-14-4-2/
- https://support.apple.com/en-us/HT212256
- https://support.apple.com/en-us/HT212257
- https://support.apple.com/en-us/HT212258

【編集者メモ】(Neely)
iOS 14.4.1のアップデートと異なり、Appleはこの脆弱性が頻繁に悪用されている
と伝えている。ADEデバイスを更新すると、ユーザーはアップデートのインストー
ルを促すプロンプトが表示される。今回のアップデートではiOS 14.5およびiPadOS
14.5のベータ版が少なくとももう1つ導入されると予想されるため、同OSの迅速な
リリースは期待できない。さらに、iOS 14.5とiPadOS 14.5は、リリース前に確認
すべき変更点がいくつかあるとのこと。
─────────────

◆ PHPコードリポジトリ侵害 (2021.3.29)
3月28日（日）、PHPのGitサーバーが侵害された。PHPの開発者兼保守担当者でもあ
るNikita Popov氏とPHPの開発者であるRasmus Lerdorf氏の名で、PHP-SRCリポジト
リに不正なアクセスがあったという。攻撃者は修正が必要な誤植を装ったが、本番
環境に侵入する前に検出され、現在PHPの保守担当者はコードベースをGitHubに移
行している。
- https://threatpost.com/php-infiltrated-backdoor-malware/165061/
- https://www.zdnet.com/article/official-php-git-server-targeted-in-attempt-to-bury-malware-in-code-base/
- https://www.theregister.com/2021/03/29/php_repository_infected/
- https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/
- https://www.vice.com/en/article/xgzne4/hackers-backdoor-php-source-code

【編集者メモ】(Ullrich)
今回の不正アクセスはバックドアを実際に注入しようとしたのではなく、発見され
ることを意図し、「侵入手段があることを証明」しようとしたものだと考える。
PHPチームにはこの不正アクセスの根本的な原因を特定するために、徹底的に調査
してほしい。これまでに確認された2つの攻撃の他にも、隠れたバックドアが残っ
ている可能性がある。
gitを使用している人は、セルフホスティングでもgithub経由でも構わないので、
開発者を特定するために強力な多要素認証(MFA)又はキーを使用していることを確
認し、開発者のなりすましを難しくするよう署名付きのコミットを使用すべきだ。
幸い今回の不正侵入はすぐに発見され、現在リリースされているPHPには影響がな
かったようである。PHPユーザーは、今のところ何も対応する必要はない。
【編集者メモ】(Neely)
既存のプロセスで不正なアップデートを検知でき、セキュリティレビューを行うき
っかけを作った。公開サービスをインソーシングすることに対し、ホスティングさ
れたソリューションを利用するリスクは、差が少ない上に、目まぐるしく変化する
セキュリティ環境の中で変化してきた。GitHubのようなサービスプロバイダーは、
自分たちの提供するサービスのセキュリティを強化する方法を学んできた。しかし
、だからといって利用者が自社のリポジトリを設定したりセキュリティを確保した
りする責任が軽減されるわけではない。GitHubの9つのベスト・セキュリティ・プ
ラクティスを参照
(https://resources.github.com/whitepapers/Nine-software-security-best-practices/)
─────────────

◆ SolarWinds侵害、攻撃者がDHS電子メールアカウントにアクセス (2021.3.29)
SolarWindsのサプライチェーン侵害に関わった攻撃者が、米国土安全保障省（DHS
）の高官の電子メールアカウントにアクセスした。攻撃者は元エネルギー長官の個
人的なスケジュールなど、他の連邦政府高官の個人情報にもアクセスしたという。

- https://thehill.com/policy/cybersecurity/545405-hackers-accessed-emails-of-top-dhs-officials-as-part-of-solarwinds
─────────────

◆ 悪質なAndroidシステムアップデートアプリがRATであったと判明
(2021.3.26 & 29)
悪質なAndroidアプリが、システムアップデートを装って実際はあらゆる種類のデ
ータを盗み、ユーザーの位置情報を監視し、デバイスの検索履歴にアクセスするリ
モートアクセスのトロイの木馬（RAT）であったことが判明した。このアプリは、
電話の通話を録音したり、写真を撮ったり、連絡先リストや通話ログを盗んだりし
ており、サードパーティのアプリストアで発見されたという。
- https://gizmodo.com/dangerous-android-app-pretends-to-be-a-system-update-to-1846574044
- https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/

【編集者メモ】(Neely)
悪質なAndroidアプリの多くはサードパーティのアプリストアで配信されるが、中
にはGoogle Playストアに追加されるものもある。ユーザーガイダンスを更新し、
サードパーティのアプリストアからアプリをダウンロードしないようにするだけで
なく、不明な開発者やよく知らない開発者のアプリを避けることだ。また、サイド
ローディングや開発者モードを必要とするアプリも警戒が必要である。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「プライバシー」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
昨今のデジタル化された社会において、皆さんの情報を収集したり、その情報を
合法的に共有または販売している組織があることをご存じでしょうか。通常は、
購買履歴からおすすめを提案したり、ローンの与信などに使われますが、攻撃者
が情報を悪用した場合、ユーザーを標的にして攻撃を仕掛けてくる可能性があり
ます。
今月は、プライバシーの保護について基本的な考え方を紹介し、具体的にプライ
バシーを保護するためのステップを、初心者にもわかりやすく解説します。社内
の意識啓発資料としてご活用ください。

https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/bltc6f239c86dee6f81/606490fbbc3ffc1037a408d8/OUCH_Apr_2021_-_Privacy-Protecting_Your_Digital_Footprint_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Exchangeサーバー侵害、CISAが各省庁にMicrosoft Safety Scannerの実行を要求
(2021.3.25 & 31 & 4.1)
米サイバーセキュリティ・インフラセキュリティ庁（CISA）は連邦機関に対し、Microsoft
Safety Scanner（MSERT）の現行バージョンをダウンロードしフルスキャンモード
で実行すること及び、Test-ProxyLogon.ps1スクリプトを管理者としてダウンロー
ドして実行し、ExchangeとIISのログを分析して潜在的な攻撃活動を発見するよう
指示した。各連邦機関は、4月5日（月）正午（米国東部標準時（夏時間））までに
これらのアクションを実行しなければならない。また、2021年6月28日までに実施
しなければならないセキュリティ強化要件もあるという。この新しい要件は、CISA
が3月3日に発表した緊急指令21-02の追加条項として発表された。
- https://www.zdnet.com/article/exchange-server-attacks-run-this-microsoft-malware-scanner-now-cisa-tells-government-agencies/
- https://www.bleepingcomputer.com/news/security/cisa-gives-federal-agencies-5-days-to-find-hacked-exchange-servers/
- https://cyber.dhs.gov/ed/21-02/#supplemental-direction
- https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

【編集者メモ】(Ullrich)
Microsoftからパッチがリリース後すぐにパッチを当てた人も含め、全員がMicrosoft
Safety Scanner for Exchangeを実行した方が良い。このスキャナは完璧ではない
が、パッチがリリースされる前日にシステムが侵害されている可能性がある上、実
行が簡単である。
【編集者メモ】(Neely)
MSERTスクリプトは頻繁に更新されているため、スキャン実行前に必ず最新のもの
をダウンロードする必要がある。新しい要件として、サーバーのOSを強化するだけ
でなく、Exchangeサーバーのアカウントが最小特権の原則を適用しているか確認す
ることが挙げられる。また、OSとExchangeのバージョンがサポートされているだけ
でなく、リリースから48時間以内にパッチを適用することが求められていることに
も注意。リグレッションテストのための時間がほとんどなく、検証済みのロールバ
ック手順が必要となる。
─────────────

◆ 北朝鮮の国家支援ハッカーらが偽のセキュリティ会社を設立(2021.3.31 & 4.1)
北朝鮮の国家支援を受けたハッカーらがまたもセキュリティ研究者を標的にしてい
る。今回はウェブサイトやソーシャルメディアのアカウントを備えた、攻撃に使用
する偽のセキュリティ会社を設立した。SecuriEliteと呼ばれるこの会社は、トル
コに拠点を置き、ペネトレーションテスト、ソフトウェアのセキュリティ診断、エ
クスプロイトを提供するとしている。同じグループの攻撃者らが今年初めに行った
攻撃では、ソーシャルメディアのアカウントを使い、ターゲットである研究者にプ
ロジェクトの協力を呼びかけていた。
- https://www.zdnet.com/article/google-north-korean-hackers-targeting-researchers-now-pretend-to-be-from-offensive-security-firm/
- https://arstechnica.com/gadgets/2021/04/north-korean-hackers-return-target-infosec-researchers-in-new-operation/
- https://threatpost.com/north-korean-apt-security-researchers/165155/
- https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/

【編集者メモ】(Neely)
家庭で利用するサービスと同様に、セキュリティ会社を利用する際はリファレンス
を注意深くチェックする必要がある。リファレンスはよく知られた信頼できる情報
源を使用しなければならない。同業者がその会社を聞いたことがなかったり、直接
の関わりがなかったりする場合は、慎重に判断し、選定し直す必要がある。
─────────────

◆ Ubiquiti情報漏洩、「報告よりも壊滅的に深刻」と内部告発
(2021.3.30 & 31 & 4.1)
ある内部告発者が欧州個人データ保護機関に宛てた書簡の中で、Ubiquitiが2021年
1月に開示した情報漏洩について「実際は報告されたものよりも壊滅的に状況は深
刻で、顧客を保護しようとする努力を法的に黙殺し、無効にした」と述べた。Ubiquiti
は3月31日に更新された「2021年1月のアカウント通知」において、1月に失敗に終
わった攻撃の標的になったと伝えている。
- https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/
- https://www.zdnet.com/article/whistleblower-claims-ubiquiti-networks-data-breach-was-catastrophic/
- https://www.theregister.com/2021/04/01/ubiquiti_data_breach/
- https://arstechnica.com/gadgets/2021/03/ubiquiti-breach-puts-countless-cloud-based-devices-at-risk-of-takeover/
- https://www.bleepingcomputer.com/news/security/ubiquiti-confirms-extortion-attempt-following-security-breach/
- https://community.ui.com/questions/Update-to-January-2021-Account-Notification/3813e6f4-b023-4d62-9e10-1035dc51ad2e

【編集者メモ】(Ullrich)
他の類似製品とは異なり、Ubiquitiのネットワーク製品やビデオ製品のコントロー
ラー機能はオンプレミスで実行される。しかし、認証は通常Ubiquitiのクラウド認
証サービスを介して行われる。また、ウェブベースのコントローラソフトウェアは
、Ubiquitiのサイトからコンポーネントを取得する場合もある。私の方でコントロ
ーラーのウェブインターフェースを確認した際、例えば、Ubiquitiは「任意のユー
ザー調査」のためにdelighted.comのJavaScriptを含んでいることがわかった。攻
撃者は、Ubiquitiのソースコードとクラウドインフラに完全にアクセスできたと思
われるため、コードを悪質なものにすり替えることができたかもしれない。Ubiquiti
製品を使用している場合は、コントローラーのリモートアクセスを無効にすべきで
ある。
【編集者メモ】(Neely)
侵害が発生した場合は透明性が最重要であり、影響を受けたシステムの範囲や関連
性、復旧作業について明確にしなければならない。顧客やユーザーとの関係を維持
するために、新たな情報を入手したら開示内容を更新すべきである。第三者との契
約においては、セキュリティ要件が下請け業者まで浸透していることや、補償条項
や責任条項がビジネスを保護するのに十分であることを確認してほしい。Ubiquiti
のクラウド管理サービスを利用中で、1月11日以降パスワードを変更していない人
は、パスワードの変更とMFA導入を両方行うと良いだろう。
─────────────

◆ ランサムウェア攻撃、メリーランド大学のデータ流出 (2021.3.30)
ランサムウェアの攻撃者が、メリーランド大学ボルチモア校とカリフォルニア大学
マーセド校のシステムから盗んだ思われるデータを流出させている。漏洩したデー
タは、税務書類、パスポート番号、社会保障番号（SSN）、健康貯蓄プランの登録
用紙などが含まれる。
- https://www.zdnet.com/article/ransomware-group-targets-universities-of-maryland-california-in-new-data-leaks/

【編集者メモ】(Neely)
Clopグループは、AccellionのFTAエクスプロイトを介してデータを収集している。
このデータは従業員と学生の両方のデータを含んでおり、大学は再発防止策を講じ
ているが、従業員と学生は自分自身に加え、給付金、授業料、助成金の申請書に記
載されている家族の個人情報の漏洩対策も講じているか確認する必要がある。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇4月14日(水)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2021/cissp0325?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

〇4月21日(水)
　待ったなしの脱PPAPセミナー（再配信）
　～セキュリティ専門会社が提案する代替手段とは～
　https://www.nri-secure.co.jp/seminar/2021/ppap0421?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

〇4月27日(火)
　ゼロトラスト時代のリモートワークとセキュリティ（再配信）
　～SaaS活用で成功させるワークスタイル変革～
　https://www.nri-secure.co.jp/seminar/2021/zerotrust_remote0427?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月～7月
　SANS Cyber Defence Japan 2021 - Live Online
　https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

〇6・8・11月・2022年1・3月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

〇7月より毎月開催
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（無料ダウンロード)　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇ワークプレイスモダナイゼーションのすすめ
　https://www.nri-secure.co.jp/download/workplace-modernization?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

〇ゼロトラストセキュリティ入門
　https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

〇【解説書】セキュリティ担当者のためのCSPM導入・運用のポイント
　https://www.nri-secure.co.jp/download/cspm_introduction-operation?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇決済サービスのセキュリティリスクを解説｜攻撃者が狙う"Weakest Link"
　https://www.nri-secure.co.jp/blog/explaining-the-security-risks-of-cashless-payment?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

〇テレワーク時代のセキュリティ｜ペリメタモデルからゼロトラストモデルへ
　https://www.nri-secure.co.jp/blog/perimeter-to-zerotrust?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

〇IoTと金融サービスの連携が生み出す未来｜最新の国際標準「CIBA」の全貌
　https://www.nri-secure.co.jp/blog/iot_ciba?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇野村総合研究所とNRIセキュア、村田製作所の生産拠点に、ネットワーク監視
　ソリューション「SCADAfence Platform」をグローバル展開
　https://www.nri-secure.co.jp/news/2021/0406?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

〇～次世代エンドポイントセキュリティ対策と保険による備えを一体で提案～
　新たなサイバーセキュリティソリューションの提供に向けた協業を開始
　https://www.nri-secure.co.jp/news/2021/0331?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

〇NRIセキュア、「コンテナ」を安全に利用するためのセキュリティ評価サービスを提供開始
　～コンテナのセキュリティレベルの評価から、対策の実行までを支援～
　https://www.nri-secure.co.jp/news/2021/0325?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210407sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。