ニュースレター登録
資料ダウンロード
お問い合わせ

Newsletter SANS NewsBites Vol.16 No.15 2021.04.14 発行

更新日 2021. 04. 14

──────────────────────────
■■SANS NewsBites Vol.16 No.15
(原版: 2021年 4月6日、9日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 2┃0┃2┃1┃年┃7┃月┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃で┃す┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2021-Live Online】 ★日英同時通訳★
 https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021

◆開催日:2021年6月28日(月)~7月3日(土) 6日間
SEC401 Security Essentials Bootcamp Style <日本語>
SEC599 Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR500 Windows Forensic Analysis
FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
ICS515 ICS Active Defense and Incident Response (5日間)

◆開催日:2021年7月5日(月)~7月10日(土) 6日間
 SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
SEC555 SIEM with Tactical Analytics
SEC560 Network Penetration Testing and Ethical Hacking
FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics

◆トレーニング価格
 SEC401,SE504    810,000円(税込 891,000円)
 上記を除く7コース  840,000円(税込 924,000円)

◆お申込みについて
 各コースページのお申込みボタンより、お1人様ずつお願いいたします
 https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ FBIとCISA共同声明、APT攻撃グループが米Fortinet社のFortiOS脆弱性を悪用
(2021.4.2 & 3)
FBIおよび米サイバーセキュリティ・インフラセキュリティ庁(CISA)が、米Fortinet
社のFortiOS SSL VPNの既知の脆弱性をポート4443、8443、10443でスキャンするAPT
攻撃について、警告を発表した。攻撃者はこの脆弱性を悪用し政府、商業、技術サ
ービスのネットワークにアクセスする可能性があり、ユーザーはアップデートを適
用するよう求められている。
- https://www.scmagazine.com/home/security-news/network-security/apts-targeting-fortinet-cisa-and-fbi-warn/
- https://arstechnica.com/gadgets/2021/04/feds-say-hackers-are-likely-exploiting-critical-fortinet-vpn-vulnerabilities/
- https://fcw.com/articles/2021/04/02/cisa-fbi-warn-fortinet-exploit-old.aspx
- https://www.govinfosecurity.com/fbi-cisa-apt-groups-targeting-government-agencies-a-16335
- https://threatpost.com/fbi-apts-actively-exploiting-fortinet-vpn-security-holes/165213/
- https://www.cyberscoop.com/fortinet-apt-exploit-cisa-fbi/
- https://www.ic3.gov/Media/News/2021/210402.pdf

【編集者メモ】(Ullrich)
これらの脆弱性は古く、APT攻撃関係者以外にも悪用されている可能性がある。全
員が自宅で仕事をしているときに、リモートアクセスデバイスにパッチを当てるの
はリスクがあるが、パッチを当てないと、デバイスが侵害された場合さらに悪い結
果を招くため、パッチを当てるように!
【編集者メモ】(Neely)
CVE-2018-13379で悪用された脆弱性は2019年5月のパッチで解決されたが、攻撃者
は二要素認証(2FA)を迂回できる。Fortinetのデバイスが最新で、2FAの実装が無効
にされていないか確認してほしい。重要な緩和策については、IC3ガイダンスを確
認すると良い。デバイスを更新し多要素認証(MFA)を有効にする以外にも、ソフト
ウェアのインストールに管理者権限を必要とすること、ネットワークセグメンテー
ションを使用すること、管理者アカウントの利用を監査すること、最小特権の原則
を念頭に置いてシステムを構成することなども重要だ。
─────────────

◆ マルウェアが自動車検査を妨害 (2021.4.5)
自動車の排ガス検査会社である米Applus Technologies社を標的としたマルウェア
攻撃で、米国の8つの州で車両検査ができなくなっている。3月30日の攻撃で、同社
は社内ネットワークをインターネットから切断した。検査の再開が未定であること
から、影響を受けた州の担当者は法執行機関に状況を通知し、排出ガス検査終了証
の期限切れを理由とした取り締まりを行わないよう要請している。またApplus Technologies
社は顧客と協力し、自動車の所有者に罰金や罰則が課せられないようにしている。
- https://www.bleepingcomputer.com/news/security/malware-attack-is-preventing-car-inspections-in-eight-us-states/
- https://www.ctpost.com/news/article/Cyberattack-disables-CT-DMV-emissions-testing-16077304.php
- https://www.prnewswire.com/news-releases/applus-provides-update-301261787.html
─────────────

◆ LinkedIn求職者を標的としたスピアフィッシング攻撃 (2021.4.5)
攻撃者らは、偽の求人情報でLinkedInユーザーを標的にしている。LinkedInユーザ
ーを操り、more_eggsとして知られるファイルレス・バックドア型トロイの木馬を
インストールする、悪質なZIPファイルをクリックさせるスピアフィッシング攻撃
だという。マルウェアが追加のマルウェアをさらにダウンロードし、攻撃者がユー
ザーのコンピュータにアクセスできるようになる恐れもあるという。
- https://threatpost.com/linkedin-spear-phishing-job-hunters/165240/
- https://www.darkreading.com/threat-intelligence/linkedin-phishing-ramps-up-with-more-targeted-attacks/d/d-id/1340590
- https://www.esentire.com/security-advisories/hackers-spearphish-professionals-on-linkedin-with-fake-job-offers-infecting-them-with-malware-warns-esentire

【編集者メモ】(Neely)
まさに求職者個人に狙いを定めた攻撃である。攻撃の対策をするには、専門家組織
など職場以外の団体を通じて指導するか、就職・転職活動している知人に個別に注
意を呼び掛ける必要がある。攻撃に気付くこと、またシステムに最新のエンドポイ
ント・プロテクションを導入することが大切だ。攻撃の目的は、侵害したシステム
へのアクセスを他人に売り、次の攻撃に利用させる「一時的な乗っ取り」だと思わ
れる。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「プライバシー」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
昨今のデジタル化された社会において、皆さんの情報を収集したり、その情報を
合法的に共有または販売している組織があることをご存じでしょうか。通常は、
購買履歴からおすすめを提案したり、ローンの与信などに使われますが、攻撃者
が情報を悪用した場合、ユーザーを標的にして攻撃を仕掛けてくる可能性があり
ます。
今月は、プライバシーの保護について基本的な考え方を紹介し、具体的にプライ
バシーを保護するためのステップを、初心者にもわかりやすく解説します。社内
の意識啓発資料としてご活用ください。

https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/bltc6f239c86dee6f81/606490fbbc3ffc1037a408d8/OUCH_Apr_2021_-_Privacy-Protecting_Your_Digital_Footprint_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ DC Care First BC/BS医療保険会社、サイバー攻撃で臨床情報や患者のPII漏洩
(2021.4.8)
米CareFirst BlueCross BlueShield Community Health Plan District of Columbia
(CHPDC)は、2021年1月のサイバー攻撃で、過去・現在の登録者や従業員のデータ
が漏洩したことを公表した。漏洩したデータは、氏名、社会保障番号、請求情報、
臨床情報が含まれていたという。
- https://thehill.com/policy/cybersecurity/547250-major-dc-insurance-provider-hacked-by-foreign-cybercriminals
- https://www.chpdcanswers.com/CHPDC/

【編集者メモ】(Neely)
CHPDCの対応は、透明性と積極的な対応を兼ね揃えている。通知だけでなくFAQを公
開し、2年間の無料クレジット・モニタリングを提供し、さらに専門家の協力のも
と、再発防止のための対応・封じ込め・修復を提供した。攻撃が完全に把握できる
のは良いことであり、これらの措置は、顧客、同業者、プロバイダーとのビジネス
関係を維持・強化するための具体的かつ測定可能な方法である。
─────────────

◆ 攻撃グループ、パッチ未適用のSAPアプリケーションを悪用 (2021.4.6 & 7)
攻撃者らがSAPアプリケーションの既知の脆弱性を悪用しており、独SAP社と米Onapsis
社は共同報告の中で「重大なSAPの脆弱性が、パッチリリースから72時間の間に武
器として悪用されている」と指摘した。攻撃者はこれらの脆弱性を悪用し、データ
の盗用、詐欺行為、マルウェアの配信、業務の妨害などを行っているという。ユー
ザーは、SAPアプリケーションのアップデートを求められている。
- https://onapsis.com/active-cyberattacks-mission-critical-sap-applications?__cf_chl_jschl_tk__=a2011d78eea9b9fbc0231bf5981fa1491f27e617-1618049543-0-Ad_9zNpC0CTSQcxzGk58TAmqEkIumru60wGvJXuPeT0frQqtJ55wJ6lXfwkuQc-MKPmsSi0dpeK9hSB1wyRIFrFtz_6lJF1f0-3AhWSCQFGIikCwm6w32Y0B-lL4C3wS4XU6DGqRMqGIqX4UJepeiWBqAlgIzwkMfucwzk200Xdy85vr2znL1XhiZA9V2GEh_obzKnbaFWz3w8Ae0UxrZb4EO79WqRChgN94uxP4yNj_VBGq9xGMX0n7fmFRHmhgcxIwmE6A1fu5-h4UW6OwZU9tHFcauQyUTQ1yWfRA4wzicf_s4jQqb2-vnB0nsrUvWawo_hkpN3ISeVE0m3vTo2xYKBijZ1E3tkzwwmoyhT1ZW6seG9bRK5AqKyROvv88puP2Ly2Ns1XdQy-X71w4uVU_617z1CJ7wD1jewPhpv-6MwPv4CC4-gULMFautw2KqA
- https://www.zdnet.com/article/sap-issues-advisory-on-vulnerable-applications-being-widely-targeted-by-hackers/
- https://www.theregister.com/2021/04/06/sap_patch_attacks/
- https://www.scmagazine.com/home/patch-management/hackers-actively-targeting-unsecured-sap-installs-dhs-sap-and-onapsis-warn/
- https://www.darkreading.com/threat-intelligence/attackers-actively-seeking-exploiting-vulnerable-sap-applications/d/d-id/1340602
- https://threatpost.com/sap-bugs-cyberattack-compromise/165265/
- https://us-cert.cisa.gov/ncas/current-activity/2021/04/06/malicious-cyber-activity-targeting-critical-sap-applications

【編集者メモ】(Neely)
攻撃者らは現在、保護されていないSAPアプリケーションを特に狙っている。CVE-
2020-6287とCVE-2020-6207は遠隔地から不正なシステムアクセスが行われる可能性
があるため高リスクである。ERPシステムのパッチ適用は優先順位をつけて十分な
リグレッションテストを行う必要があるが、このような攻撃を受けた場合は、外部
のサービスを利用してパッチ適用を促進することが必要である。パッチが適用され
ていないSAPシステムがインターネットに接続可能な場合は、直ちにアクセスを制
限するように。
【編集者メモ】(Pescatore)
AWS/Azureベースのフルサイズのテスト環境を簡単に立ち上げられるようになった
ことで、パッチ適用はますます迅速になり、SAPのような影響の大きいアプリケー
ションには重要である。Solar Winds侵害では、これらの影響力の大きいアプリケ
ーションは、欠陥や隠れた機能についてもテストすべきであり、本番インスタンス
が異常な動作をしていないか監視すべきだと分かった。最新のツールを使用すれば
誤検知を管理可能なレベルに抑えることもでき、作業が容易になる。
【編集者メモ】(Murray)
これまでは、いち早くパッチを当てるよりも、完全にパッチを当てることの方が重
要だった。しかし、最近は変わりつつある。いずれにしても、広範囲に悪用される
までの時間は短くなっている。
─────────────

◆ 攻撃者がコラボレーション・アプリでマルウェア拡散 (2021.4.7)
SlackやDiscordなどのコラボレーションアプリを標的に、マルウェアを拡散する攻
撃が発生している。リモートワークが増えたことでこれらのアプリの利用が拡大し
、攻撃者はこのプラットフォームを使ってマルウェアを配信し、データを流出させ
ているという。本攻撃はコラボレーション・アプリの脆弱性を利用したものではな
く、既存の機能やプラットフォームの信頼を利用したものである。
- https://blog.talosintelligence.com/2021/04/collab-app-abuse.html
- https://www.wired.com/story/malware-discord-slack-links/
- https://www.scmagazine.com/application-security/threat-actors-targeted-slack-and-discord-as-the-pandemic-raged-on/
- https://threatpost.com/attackers-discord-slack-malware/165295/

【編集者メモ】(Neely)
これらのプラットフォームはファイルの共有や配布に適しており、ファイルリンク
をメールに簡単に添付できる。こういったサービスの利用が当たり前になり、リン
クが貼られることが自然になった。Discordにアクセスするためにトークンを盗む
ような攻撃は簡単には緩和できない。コラボレーション・アプリを仕事であまり使
用していない場合は、ドメインをブロックし、クライアントソフトウェアをアプリ
ケーション拒否リストに追加することを検討してもらいたい。使用している場合は
、ベスト・セキュリティ・プラクティスに従った実装がなされており、保存・交換
されるデータが十分保護されているか確認した方が良いだろう。
─────────────

◆ VMware Carbon Blackの重大な脆弱性 (2021.4.1 & 6)
VMware Carbon Black Cloud Workload機器の重大な脆弱性の悪用で、認証を回避し
特権を昇格させることが可能だという。この問題は、不正なURL処理に起因する。
ユーザーは、VMware Carbon Black Workload機器のバージョン1.0.2にアップグレ
ードすることが推奨されている。
- https://threatpost.com/critical-cloud-bug-vmware-carbon-black/165278/
- https://www.vmware.com/security/advisories/VMSA-2021-0005.html
- https://docs.vmware.com/en/VMware-Carbon-Black-Cloud-Workload/1.0/rn/cbc-workload-102-release-notes.html
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼PPAP/メール・ファイルセキュリティ▼
〇4月21日(水)録画再配信
 待ったなしの脱PPAPセミナー
 ~セキュリティ専門会社が提案する代替手段とは~
 https://www.nri-secure.co.jp/seminar/2021/ppap0421?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

▼リモートワーク/SWG/IDaaS▼
〇4月27日(火)録画再配信
 ゼロトラスト時代のリモートワークとセキュリティ<SlackJapan社講演>
 ~SaaS活用で成功させるワークスタイル変革~
 https://www.nri-secure.co.jp/seminar/2021/zerotrust_remote0427?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

▼セキュリティ可視化・評価/サプライチェーンセキュリティ▼
〇4月21日(水)
 Secure SketCH GROUPSプランWEB説明会
 グループ会社や外部委託先のセキュリティ評価を効率的に一元管理
 https://www.secure-sketch.com/seminar/groups-webinar-form-20210421?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

〇4月28日(水)
 Secure SketCH PREMIUMプランWEB説明会
 自社セキュリティレベルの自動診断・可視化・評価・比較などの機能を紹介
 https://www.secure-sketch.com/seminar/premium-webinar-form-20210428?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

▼5月13日(木)
 特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
 ~失敗しない製品選定の3つのポイントと導入効果~
 https://www.nri-secure.co.jp/seminar/2021/ac_id0513?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月~7月
 SANS Cyber Defence Japan 2021 - Live Online
 https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

〇6・8・11月・2022年1・3月
 セキュアEggs
 https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

〇7月より毎月開催
 CISSP CBKトレーニング
 https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇ワークプレイスモダナイゼーションのすすめ
 https://www.nri-secure.co.jp/download/workplace-modernization?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

〇ゼロトラストセキュリティ入門
 https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

〇【解説書】セキュリティ担当者のためのCSPM導入・運用のポイント
 https://www.nri-secure.co.jp/download/cspm_introduction-operation?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

>>ダウンロード資料一覧
 https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇決済サービスのセキュリティリスクを解説|攻撃者が狙う"Weakest Link"
 https://www.nri-secure.co.jp/blog/explaining-the-security-risks-of-cashless-payment?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

〇テレワーク時代のセキュリティ|ペリメタモデルからゼロトラストモデルへ
 https://www.nri-secure.co.jp/blog/perimeter-to-zerotrust?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

〇IoTと金融サービスの連携が生み出す未来|最新の国際標準「CIBA」の全貌
 https://www.nri-secure.co.jp/blog/iot_ciba?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

>>ブログ記事一覧
 https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇野村総合研究所とNRIセキュア、村田製作所の生産拠点に、ネットワーク監視
 ソリューション「SCADAfence Platform」をグローバル展開
 https://www.nri-secure.co.jp/news/2021/0406?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

〇~次世代エンドポイントセキュリティ対策と保険による備えを一体で提案~
 新たなサイバーセキュリティソリューションの提供に向けた協業を開始
 https://www.nri-secure.co.jp/news/2021/0331?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

〇NRIセキュア、「コンテナ」を安全に利用するためのセキュリティ評価サービスを提供開始
 ~コンテナのセキュリティレベルの評価から、対策の実行までを支援~
 https://www.nri-secure.co.jp/news/2021/0325?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

>>ニュース一覧
 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
 業務に役立つ情報を月に3~4回お届けします。
 https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210414sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。