ニュースレター登録
資料ダウンロード
お問い合わせ

Newsletter SANS NewsBites Vol.16 No.16 2021.04.21 発行

更新日 2021. 04. 21

──────────────────────────
■■SANS NewsBites Vol.16 No.16
(原版: 2021年 4月13日、16日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 2┃0┃2┃1┃年┃7┃月┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃で┃す┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2021-Live Online】 ★日英同時通訳★
 https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021

◆開催日:2021年6月28日(月)~7月3日(土) 6日間
SEC401 Security Essentials Bootcamp Style <日本語>
SEC599 Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR500 Windows Forensic Analysis
FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
ICS515 ICS Active Defense and Incident Response (5日間)

◆開催日:2021年7月5日(月)~7月10日(土) 6日間
 SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
SEC555 SIEM with Tactical Analytics
SEC560 Network Penetration Testing and Ethical Hacking
FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics

◆トレーニング価格
 SEC401,SE504    810,000円(税込 891,000円)
 上記を除く7コース  840,000円(税込 924,000円)

◆お申込みについて
 各コースページのお申込みボタンより、お1人様ずつお願いいたします
 https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ 破壊活動によりイランのウラン濃縮施設Natanzが停止 (2021.4.12)
4月11日(日)、イランのNatanzウラン濃縮施設が破壊活動により停止した。同施
設で爆発が起こり、停電が発生したという。米国とイスラエルの情報機関は、イス
ラエルがこの事件に関与したと報じている。Natanzの施設は、10年前にスタックス
ネット(Stuxnet)と呼ばれるワームによって閉鎖されている。

- https://www.nytimes.com/2021/04/11/world/middleeast/iran-nuclear-natanz.html
- https://www.govinfosecurity.com/iranian-nuclear-site-shut-down-by-apparent-cyberattack-a-16382
- https://www.theregister.com/2021/04/12/iran_cyber_attack_theory/

【編集者メモ】(Pescatore)
この件の詳細はまだ明らかになっていないが、2つの面で注意が必要である。1つは
、電力システムやその他の重要インフラの運用者が、再び同様の攻撃にさらされな
いよう直ちに行動すること。2つ目は、2010年に発生したStuxnetマルウェア攻撃が
金融システムをはじめとする多くのネットワークに影響を与えたことを踏まえ、本
質的なセキュリティハイジーンの欠陥に迅速に対処する必要があるということであ
る。
【編集者メモ】(Neely)
重要インフラがサイバー攻撃から適切に保護されているか、確認する必要がある。
制御システムは適切に隔離され、インターネットから直接アクセスできないように
しなければならない。また、信頼できるシステムへのアクセスを制限するだけでな
く、異常な動作がないか監視する必要がある。電源や冷却装置などのサポートシス
テムも同様に保護・監視されているか確認してもらいたい。最後に、強力な運用上
のセキュリティ対策(OPSEC)を実践すること。Stuxnet事件の教訓として覚えておく
べきことの一つは、制御システムのPR写真から使用技術が特定され、正確な攻撃が
可能になったということだ。
─────────────

◆ レックDNSの脆弱性 (2021.4.12)
ForescoutとJSOFの研究者らは、広く使われている4つのTCP/IPスタックに影響を与
える9つの脆弱性を公開した。これらの脆弱性を悪用されると、サービス不能状態
となり、機器がオフラインになったり遠隔操作されたりする恐れがあるという。こ
の問題により、1億台の機器が影響を受けると推定される。
- https://www.forescout.com/company/blog/forescout-and-jsof-disclose-new-dns-vulnerabilities-impacting-millions-of-enterprise-and-consumer-devices/
- https://www.wired.com/story/namewreck-iot-vulnerabilities-tcpip-millions-devices/

【編集者メモ】(Ullrich)
今すぐパッチを当てる必要があるが、ベンダーのファームウェアが更新されないと
、エンドユーザーが適用できないかもしれない。より良いのは、すべての内部デバ
イスが内部の再帰的リゾルバを使用するよう強制するアーキテクチャである。すべ
ての脆弱性は緩和できないかもしれないが、少なくともDNSトラフィックを可視化
できる。限定的なロギングしか提供していないデバイスにとって重要である。
【編集者メモ】(Neely)
脆弱性のあるバージョンのNucleus NET、FreeBSD、NetXはアップデートされている
が、これらを組み込みOSとして搭載している機器は、ベンダーのアップデートを待
つ必要がある。対策として、脆弱なTCP/IPスタックを搭載した機器を特定してセグ
メント化することや、機器が既知の良好な内部DNSサーバーを使用するよう設定す
ることや、悪質・不正なDNSトラフィックを監視してブロックすることなどが挙げ
られる。
─────────────

◆ Zoomの重大欠陥、ユーザーの操作なしにリモートコードが実行可能
(2021.4.8 & 9)
2人のオランダのセキュリティ研究者が、Zoomデスクトップクライアントの欠陥を
悪用すると、ユーザーのコンピューターを制御できることを実証した。この脆弱性
は、Zoomに存在する3つの脆弱性を連鎖させ、ユーザーの操作を伴わずにリモート
コードの実行を可能にする。PCおよびMac用のZoomデスクトップクライアントで動
作することがわかっている。
- https://mail.google.com/mail/u/0/#search/SAns/FMfcgxwLtQWskrvdWWGcJPfGJDfPrqCV
- https://www.zdnet.com/article/critical-zoom-vulnerability-triggers-remote-code-execution-without-user-input/

【編集者メモ】(Pescatore)
ブラウザ版のZoomは影響を受けないため、パッチが利用できるようになるまではブ
ラウザ版を使って回避してほしい。Zoomがこの問題を発見したPwn2Ownコンテスト
のスポンサーとなっていたことは喜ばしい。
【編集者メモ】(Ullrich)
本欠陥はPwn2Ownのイベントで発表され、デモが行われた。脆弱性はZoomに報告さ
れており、詳細は公表されていない。Pwn2Ownイベントは研究者が責任を持ってス
キルを発揮できる良い機会である。毎年ほとんどのターゲットが突破されるのを見
るのは気が滅入るが、このイベントは脆弱性の詳細について責任を持って公開して
おり、重要な情報源となっている。
【編集者メモ】(Neely)
この脆弱性は、Zoom MeetingやZoom Video Webinarsの一部であるセッション中の
チャットではなく、Zoom Chat製品の弱点を悪用している。攻撃者は許可された外
部の連絡先か、他の組織のユーザーである必要がある。修正プログラムがリリース
されるまでは、ウェブクライアントを使用することが最善策だ。オンラインミーテ
ィングの安全性を確保するベストプラクティスに従っていることを確認し、外部か
らの連絡先のリクエストは、知人や信頼できる人からのみ受け入れるようにしても
らいたい。
【編集者メモ】(Murray)
「ブラウザよりも専用のアプリケーションを優先すべき」というルールにおいて、
稀に見る例外のケースだ。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「プライバシー」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
昨今のデジタル化された社会において、皆さんの情報を収集したり、その情報を
合法的に共有または販売している組織があることをご存じでしょうか。通常は、
購買履歴からおすすめを提案したり、ローンの与信などに使われますが、攻撃者
が情報を悪用した場合、ユーザーを標的にして攻撃を仕掛けてくる可能性があり
ます。
今月は、プライバシーの保護について基本的な考え方を紹介し、具体的にプライ
バシーを保護するためのステップを、初心者にもわかりやすく解説します。社内
の意識啓発資料としてご活用ください。

https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/bltc6f239c86dee6f81/606490fbbc3ffc1037a408d8/OUCH_Apr_2021_-_Privacy-Protecting_Your_Digital_Footprint_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ FBI、感染したExchangeサーバーからWebシェルを遠隔削除 (2021.4.13 & 14)
FBIは4月9日(金)以降少なくとも米国8つの州で、感染したオンプレミスのExchange
サーバーからWebシェルを削除した。テキサス州の連邦裁判所は、FBIがシステムの
所有者や運営者に連絡を試みた上で、この操作を一方的に行うことを許可する令状
を出した。今回、Microsoft Exchangeサーバーのゼロデイ脆弱性へのパッチ適用や
、攻撃グループがWebシェルを利用してネットワークに置いたと見られるマルウェ
アやハッキングツールの捜索・削除は行われなかった。
- https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-effort-disrupt-exploitation-microsoft-exchange
- https://www.justice.gov/opa/press-release/file/1386631/download
- https://www.wired.com/story/fbi-takes-drastic-step-to-fight-china-hacking-spree/
- https://www.darkreading.com/risk/fbi-operation-remotely-removes-web-shells-from-exchange-servers/d/d-id/1340679
- https://www.govinfosecurity.com/fbi-removing-web-shells-from-infected-exchange-servers-a-16399
- https://www.zdnet.com/article/fbi-blasts-away-web-shells-on-us-servers-in-wake-of-exchange-vulnerabilities/

【編集者メモ】(Pescatore)
本件はいくつか重要な点がある。1つ目は、消防士が隣の建物に火が広がるのを防
ぐために、燃えている建物に許可なく入るのは良いことに見えるが、燃焼している
建物に甚大な水害を引き起こす可能性もある。今回のFBIの例もこれと似ており、
危険にさらされたシステムを外部から許可なく修正されることは、ビジネスの観点
からも好ましいことではない。2つ目は、FBIを装ったフィッシング・キャンペー
ンに備え、サプライチェーンに警告を発信することである。制限的なDMARCアンチ
スプーフィングポリシーに移行できていない人は、マネジメントの承認を得るため
に今回の件を例として活用すると良いだろう。
【編集者メモ】(Neely)
本件は良い点もあるが不安な点もある。裁判所の命令で支援が認められるよりも、
自分でシステムを保護するか、支援業者を探す方が良いだろう。なお、FBIはシス
テム所有者に対応策をメールで通知する予定だが、偽のフィッシングメールには注
意が必要である。これらの措置にはパッチの適用は含まれておらず、フォレンジッ
ク調査でシステムの他の侵害を調べていないことも忘れないように。
─────────────

◆ CISA、Exchangeサーバーの新脆弱性に即座にパッチを適用するよう要求
(2021.4.13)
Microsoftの今月火曜のパッチは、オンプレミスのExchangeサーバに存在する4つの
追加の脆弱性の修正が含まれている。脆弱性は米国家安全保障局が検出された。米
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米国連邦政府機関に対
し、4月16日(金)午前12時1分(米国東部標準時)までにMicrosoftの更新プログ
ラムを導入するよう指示している。また、各省庁は、コントロールの適用・維持を
行い、4月16日正午(米国東部標準時)までに完了を報告するとともに、関連する
サイバーインシデントや侵害の兆候を直ちに報告するよう求められている。
- https://cyber.dhs.gov/ed/21-02/#supplemental-direction-v2
- https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617
- https://www.bleepingcomputer.com/news/security/cisa-gives-federal-agencies-until-friday-to-patch-exchange-servers/
- https://www.bleepingcomputer.com/news/security/nsa-discovers-critical-exchange-server-vulnerabilities-patch-now/

【編集者メモ】(Neely)
これらの脆弱性は悪用されていないと見られるものの、CISAは深刻に捉え、直ちに
パッチを当てるだけでなく、今日の正午までにパッチを当てられなかったシステム
はすべて切断するよう要求している。CISAは、修正プログラムが公開されるとその
弱点が逆に悪用される可能性があると指摘している。現在、Exchangeサーバーの悪
用が問題となっていることもあり、官民を問わず、今すぐパッチを適用することを
勧める。
─────────────

◆ Microsoft火曜日のパッチ(2021.4.13)
4月13日(火)、Microsoftは110件以上のセキュリティ問題の修正プログラムを公
開した。修正した脆弱性の中には、オンプレミスのExchangeサーバーに影響を与え
る4つの追加の欠陥が含まれる。その他にも、今回の更新で修正された脆弱性には
、頻繁に悪用されているWindowsの特権昇格の欠陥も含まれる。
- https://msrc.microsoft.com/update-guide
- https://isc.sans.edu/forums/diary/Microsoft+April+2021+Patch+Tuesday/27306/
- https://krebsonsecurity.com/2021/04/microsoft-patch-tuesday-april-2021-edition/
- https://www.theregister.com/2021/04/13/patch_tuesday_april/
- https://www.zdnet.com/article/microsofts-april-patch-tuesday-download-covers-114-cves-including-new-exchange-server-bugs/

【編集者メモ】(Ullrich)
パッチを当てるべきExchangeの脆弱性がさらに4つあるため、本件は確認が必要だ
。脆弱性はNSAによって発見・報告されたもので、まだ悪用方法や詳細は公表され
ていないが、Microsoftは悪用の可能性が高いと考えているようである。
─────────────

◆ SAPアップデート情報 (2021.4.14)
4月13日(火)、SAPはBusiness Client、Commerce、NetWeaverの重大な脆弱性を修
正するアップデートを含む、計19件のセキュリティ事項を公開した。このうち5件
は、以前リリースされた事項のアップデートだという。
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=573801649
- https://www.bleepingcomputer.com/news/security/sap-fixes-critical-bugs-in-business-client-commerce-and-netweaver/

【編集者メモ】(Ullrich)
ERPシステムの脆弱性は通常あまり報道されない。しかし、これらの製品は何度も
狙われており、過去にSAP(または類似製品)の脆弱性は数多くの組織に侵害され
てきた。エクスプロイトの開発には数日しかかからないことも多い。パッチを当て
るのは難しいと思うが、早めの対応が求められる。
【編集者メモ】(Neely)
SAPはすでに悪用可能なプラットフォームとして注目されており、パッチリストに
は重要度高(最新)や優先度高の脆弱性に対する修正が含まれている。これらの修
正は、認証チェックの欠落、情報漏洩、その他の欠陥に対応しており、早急な対応
が求められる。
【編集者メモ】(Pescatore)
SolarWinds侵害によって、市場シェアが高く機密性の高い場所に置かれているアプ
リは、高度な攻撃者にとって価値の高いターゲットであり、優先的にパッチを適用
すべきだということが分かった。また、パッチ適用後は高リスクのシステムの監視
を強化し、アップデートの侵害の検出をより迅速にできるようにすべきである。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼リモートワーク/SWG/IDaaS▼
〇4月27日(火)録画再配信
 ゼロトラスト時代のリモートワークとセキュリティ<SlackJapan社講演>
 ~SaaS活用で成功させるワークスタイル変革~
 https://www.nri-secure.co.jp/seminar/2021/zerotrust_remote0427?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

▼セキュリティ可視化・評価/サプライチェーンセキュリティ▼
〇4月21日(水)
 Secure SketCH GROUPSプランWEB説明会
 グループ会社や外部委託先のセキュリティ評価を効率的に一元管理
 https://www.secure-sketch.com/seminar/groups-webinar-form-20210421?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

〇4月28日(水)
 Secure SketCH PREMIUMプランWEB説明会
 自社セキュリティレベルの自動診断・可視化・評価・比較などの機能を紹介
 https://www.secure-sketch.com/seminar/premium-webinar-form-20210428?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

▼5月13日(木)
 特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
 ~失敗しない製品選定の3つのポイントと導入効果~
 https://www.nri-secure.co.jp/seminar/2021/ac_id0513?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月~7月
 SANS Cyber Defence Japan 2021 - Live Online
 https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

〇6・8・11月・2022年1・3月
 セキュアEggs
 https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

〇7月より毎月開催
 CISSP CBKトレーニング
 https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇マイナンバー収集ガイドブック
 https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

〇クリプト便活用ハンドブック
 https://www.nri-secure.co.jp/download/crypto_utilization_handbook?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

〇ゼロトラストセキュリティ入門
 https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

>>ダウンロード資料一覧
 https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇決済サービスのセキュリティリスクを解説|攻撃者が狙う"Weakest Link"
 https://www.nri-secure.co.jp/blog/explaining-the-security-risks-of-cashless-payment?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

〇テレワーク時代のセキュリティ|ペリメタモデルからゼロトラストモデルへ
 https://www.nri-secure.co.jp/blog/perimeter-to-zerotrust?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

〇IoTと金融サービスの連携が生み出す未来|最新の国際標準「CIBA」の全貌
 https://www.nri-secure.co.jp/blog/iot_ciba?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

>>ブログ記事一覧
 https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●ゼロトラスト座談会
 ニューノーマル時代のいま、鎖国型ITでのセキュリティだけではもう限界
 開国型ITでゼロトラストの実装を
 ~ゼロトラストを実装するための5つのSTEPとは~
 https://www.nri-secure.co.jp/service/zerotrust-interview?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

●ゼロトラスト・セキュリティとは
 https://www.nri-secure.co.jp/service/zerotrust?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

〇NDIAS、自動車セキュリティのハンズオントレーニング・サービスを提供開始
 https://www.nri-secure.co.jp/news/2021/0419?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

〇NRIセキュア、クレジットカード製造におけるセキュリティ基準「PCI CP」の
 準拠支援および審査サービスを提供開始
 https://www.nri-secure.co.jp/news/2021/0415?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

>>ニュース一覧
 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
 業務に役立つ情報を月に3~4回お届けします。
 https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210420sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。