ニュースレター登録
資料ダウンロード
お問い合わせ

Newsletter SANS NewsBites Vol.16 No.18 2021.05.12 発行

更新日 2021. 05. 12

──────────────────────────
■■SANS NewsBites Vol.16 No.18
(原版: 2021年 4月27日、30日、5月4日、7日)
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃2021年7月開催 SANSオンライントレーニング お申込み受付中です 
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Cyber Defence Japan 2021-Live Online】★日英同時通訳★
 https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021

〇開催日:2021年6月28日(月)~7月3日(土) 6日間
SEC401 Security Essentials Bootcamp Style <日本語>
SEC599 Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR500 Windows Forensic Analysis
FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
ICS515 ICS Active Defense and Incident Response (5日間)

〇開催日:2021年7月5日(月)~7月10日(土) 6日間
 SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
SEC530 Defensible Security Architecture and Engineering
SEC555 SIEM with Tactical Analytics
SEC560 Network Penetration Testing and Ethical Hacking
FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics

〇トレーニング価格
 SEC401,SE504    810,000円(税込 891,000円)
 上記を除く8コース  840,000円(税込 924,000円)

〇お申込みについて
 各コースページのお申込みボタンより、お1人様ずつお願いいたします
 https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ iOS、広告トラッキングのオプトアウトを可能に (2021.4.26)
Appleの最新アップデート版であるiOS14.5に、新機能「App Tracking Transparency
」が搭載された。他社アプリやwebサイト上のユーザーの行動の追跡を許可するか
を、ユーザー自身が選択できる機能である。アプリのトラッキングを透明化するこ
とで、ユーザーはアプリごとにきめ細かいコントロールが可能になる。
- https://www.apple.com/newsroom/2021/04/ios-14-5-offers-unlock-iphone-with-apple-watch-diverse-siri-voices-and-more/
- https://www.wired.com/story/ios-app-tracking-transparency-advertising/
- https://www.washingtonpost.com/technology/2021/04/26/iphone-ask-app-not-to-track-ios-update/

【編集者メモ】(Pescatore)
重要なのは(当然の権利として)ユーザーが個人情報の公開範囲を自分で選択でき
るようになってきており、公開範囲を制限することを選ぶ人が増えているというこ
とである。ユーザーの要望やニーズに焦点をあてるアプリ開発グループやDevOpsに
とっては朗報である。ソフトウェアアーキテクトやDevOpsが、コアビジネス要件の
1つとして「プライバシー」を掲げるのは良いことだ。
【編集者メモ】(Neely)
初期のAppleはIDFAを利用し、デバイスの識別子を無効にすることができた。iOS14
.5は、アプリがトラッキングの許可を求めるプロンプトを表示し、ユーザーはオプ
ションとしてトラッキングの理由を説明するメッセージを表示し、「トラッキング
拒否」を選択することができる。ただし、開発者が自社の一連のサービス上でユー
ザーを追跡している場合、このプロンプトは表示されないという点には注意してほ
しい。例えば、FacebookがメインプラットフォームからMessengerやInstagramまで
ユーザーを追跡しているようなケースなど。
【編集者メモ】(Murray)
ネイティブクッキー(アプリケーションの状態を保存するために使用されるもの)
とトラッキングクッキーを区別せずに、クッキーの使用について一般的な警告を出
している現状より、有用である。
─────────────

◆ Codecov侵害、HashiCorpキーの悪用 (2021.4.22 & 24 & 26)
HashiCorpによるとCodecovのサプライチェーン攻撃により、同社のGPGコードサイ
ンおよび検証キーが侵害されたという。鍵はローテーションされている。Codecov
は今月初め、攻撃者がBash Uploaderのスクリプトにアクセスして改変し、機密情
報を流出させたことを確認した。
- https://discuss.hashicorp.com/t/hcsec-2021-12-codecov-security-event-and-hashicorp-gpg-key-exposure/23512
- https://www.theregister.com/2021/04/26/hashicorp_reveals_exposure_of_private/
- https://www.bleepingcomputer.com/news/security/hashicorp-is-the-latest-victim-of-codecov-supply-chain-attack/

【編集者メモ】(Pescatore)
暗号化やデジタル署名をより有効なものにするためには、秘密鍵を中心とした強力
なアクセス制御を実施する本質的なセキュリティ衛生が必要である。コード署名を
使用する場合は、失効処理を行うためのプロセスやプレイブックを確立し、定期的
にテストする必要がある。
【編集者メモ】(Ullrich)
サプライチェーン攻撃はエンドユーザー(消費者)だけでなく、サプライヤーにも
影響を与えるため、非常に危険である。重要なサプライヤーが1つ侵害されると、
顧客が全く違う他のサプライヤーも雪ダルマ式に侵害される可能性がある。
【編集者メモ】(Murray)
秘密鍵を使用していない時は、オンラインで保管してはいけない。そのためにサム
ドライブがある。
─────────────

◆ Passwordstateパスワードマネージャー、サプライチェーン攻撃を受ける
(2021.4.23 & 24)
Passwordstateのアップデートメカニズムがサプライチェーン攻撃を受けたことに
より、Passwordstateパスワードマネージャーのユーザーはパスワードのリセット
を指示されている。この件により4月20日午後8時33分から4月22日午前0時30分(UTC
)の間にアップグレードを実施したユーザーに影響を与えるという。なお、手動ア
ップグレードに影響はない。
- https://arstechnica.com/gadgets/2021/04/hackers-backdoor-corporate-password-manager-and-steal-customer-data/
- https://www.cyberscoop.com/passwordstate-breach-csis-security-supply-chain/
- https://thehackernews.com/2021/04/passwordstate-password-manager-update.html

【編集者メモ】(Neely)
侵害されたコードの影響は大きい。個人ユーザー向けのものではなく、企業向けの
パスワードマネージャーだからである。企業向けパスワードマネージャーを提供す
ることは、ユーザーが適切なパスワードを設定し、再利用を最小限に抑えるのに有
効である。また、重要な機密情報の中心的なリポジトリであるため、アップデート
が本物であることを確認するだけでなく、セキュリティ管理が完璧に実施されてい
ることを確認するためにも、デューデリジェンスが不可欠である。Passwordstate
の製造元であるClick Studiosは、不正なDLLのチェックサム、推奨される対処法、
流出データの説明、状況などを含む勧告と最新情報を掲載している。
(https://clickstudios.com.au/advisories/default.asp)豪州のユーザーは、豪
サイバーセキュリティセンター(ACSC)(ASD.Assist@defence.gov.au)または130
0 CYBER1に問い合わせると良いだろう。
【編集者メモ】(Pescatore)
パスワードマネージャーは、「同じカゴに卵を全部入れた場合は、そのカゴを本当
にしっかりと観察したほうが良い」という分野だ。今回の事例は感染範囲が狭いよ
うに見えるものの、深刻度は高いため、検査が終わるまで感染したPasswordstate
ソフトウェアを使用しているすべてのPCが感染していると考えた方が良い。
【編集者メモ】(Murray)
またもサプライヤーが悪質なコード、自分が書いていないコードを配布し、他企業
に大きな混乱をもたらしたケースである。SolarWindsと異なり、このコードは企業
ではなくエンドユーザー(少なくとも一部の企業ユーザー)に配布された。サプラ
イチェーンのリスクをすべてエンドユーザーに押し付けてはならない。悪質なコー
ドを配布したサプライヤーが責任を負うべきである。自分で作成したコードだけを
配布する方が、エラーや脆弱性のあるコードを絶対に配布しないことよりはるかに
簡単である。
─────────────

◆ Bytecode Alliance、サプライチェーンセキュリティ向上にWebAssemblyを推進
(2021.4.28)
Bytecode Allianceは、サプライチェーンのセキュリティ向上のためにWebAssembly
とWebAssembly System Interfaceを促進する取り組みに参加する組織を募集してい
る。参加組織は、ソフトウェア基盤の欠陥を修正するWebAssemblyエコシステムの
ビジョンを共有し、業界とソフトウェアサプライチェーンが安全でパフォーマンス
に優れ、横断型のプラットフォーム・デバイスとなることを目指す。
- https://bytecodealliance.org/press/calling-for-new-members
- https://www.scmagazine.com/home/security-news/cloud-security/can-the-bytecode-alliance-secure-the-supply-chain-with-webassembly/
- https://www.zdnet.com/article/microsoft-google-back-bytecode-alliance-to-move-webassembly-beyond-the-browser/

【編集者メモ】(Pescatore)
大手ブラウザベンダーは、Web上のさまざまなプロセッサで動作する高速かつ安全
なバイナリの共通規格を打ち出すため、2017年からWebAssemblyと協力体制を組ん
でいる。「安全」への取り組みが、「速さ」と同レベルで追及されている点は良い
ことだ。
─────────────

◆ Linuxカーネルの脆弱性 (2021.4.28)
Linux カーネルのカーネルアドレス空間レイアウトランダム化(KASLR)の脆弱性
を悪用し、カーネルスタックメモリを閲覧される可能性がある。影響を受けるバー
ジョンのLinuxカーネルを使用しているユーザーは、最新のビルドにアップグレー
ドすることが推奨される。
- https://blog.talosintelligence.com/2021/04/vuln-spotlight-linux-kernel.html
- https://threatpost.com/linux-kernel-bug-wider-cyberattacks/165640/
- https://www.zdnet.com/article/linux-kernel-vulnerability-exposes-stack-memory/

【編集者メモ】(Neely)
本エクスプロイトは読み取り操作であるため、ネットワークからはほとんど検出で
きない。ローカルで/syscall procfsの読み込みを検出すると、大量のトラフィッ
クと誤検知が発生する。このパッチは12月3日にコードベースにマージされ、アッ
プデートを適用する際にLinuxディストリビューションに含まれているはずだ。カ
ーネルバージョン5.10-rc4、5.4.66、5.9.8を使用している場合は再確認が必要で
ある。
【編集者メモ】(Ullrich)
主要なディストリビューションにはパッチが用意されている。再起動が必要になる
可能性が高いことを覚えておくと良いだろう。緊急ではないが、通常のパッチや定
期メンテナンススケジュールの一部に入れる必要がある。
─────────────

◆ Google Cloudのサービスアカウント認証について (2021.4.27)
Googleは、Google Cloudのサービスアカウント(人操作以外のユーザー用アカウン
ト)の使用と、適切な認証方法の選択に関するガイドラインを提供している。推奨
事項として適切な場合のみサービスアカウントを使用すること、可能な場合は添付
のサービスアカウントを使用することが挙げられている。
- https://cloud.google.com/blog/products/identity-security/how-to-authenticate-service-accounts-to-help-keep-applications-secure

【編集者メモ】(Pescatore)
サービスアカウントは、基本的にパスワードの入力や認証チャレンジの回答といっ
た「人間」の操作ができない「機械」のアカウントだが、人間の認証が強化されて
いるにもかかわらず、見過ごされがちな分野である。Googleがガイダンスの冒頭に
、「サービスアカウントは適切な場合にのみ使用するべき」だという最も重要なメ
ッセージを記載している点は良い。ハードコーディングされた埋め込みパスワード
と同じようにサービスアカウントが使用されているケースは多くあるが、開発者に
とってだけでなく、攻撃者にとっても扱いやすいものとなってしまっている。
【編集者メモ】(Neely)
本ドキュメントは、サービスアカウントと人間のユーザーアカウントの使い分けに
関する良いガイダンスである。サービスアカウントは、インタラクティブなログイ
ンサービスを使用せず、アクセスが必要な特定のサービスに対してのみ権限を付与
することができるため、監視や異常検知が簡単で実用的である。このモデルは、オ
ンプレミスのシステムにも適用できる。可能な限りエンドユーザーとして実行され
るビジネスプロセスを排除し、公開された標準やベストプラクティスを活用するよ
うだ。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「ビッシング(電話による攻撃や詐欺)について」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サイバー犯罪といえば、インターネット上で高度な攻撃を仕掛ける、コンピュータ
の前に座っている人たちを思い浮かべるかもしれませんが、多くは被害者をだます
だけであり、その手段として電話を使うパターンがあります。電話を使うことは被
害者をだますことができる確率が高くなるといったメリットがあるからです。
今月は、これらの攻撃について典型的なパターンを紹介するとともに、これらの攻
撃を察知して被害を未然に防ぐための方法について、初心者にもわかりやすく解説
します。社内の意識啓発資料としてご活用ください。

https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt914b9a44ed4b66b6/60902aa57b4f5110164a4b2d/OUCH-Japanese_May_2021_-_Vishing_Phone_Call_Attacks_and_Scams_v3-English.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 運用技術のサイバーセキュリティ向上に関するNSAガイダンス (2021.4.29)
米国家安全保障局(NSA)は運用技術(OT)の所有者や運営者に対し、セキュリテ
ィ向上のための対策を促すサイバーセキュリティ勧告を発表した。勧告は「OTコン
ポーネントが情報技術(IT)に接続される中、ITが悪用されOTに破壊的な影響を与
えるケースが増えている」と指摘している。NSAは管理者がITとOTの接続の必要性
を慎重に検討し、接続を強固にすることを推奨している。
- https://media.defense.gov/2021/Apr/29/2002630479/-1/-1/0/CSA_STOP-MCA-AGAINST-OT_UOO13672321.PDF
- https://www.govinfosecurity.com/nsa-offers-ot-security-guidance-in-wake-solarwinds-attack-a-16505
- https://www.nextgov.com/cybersecurity/2021/04/nsa-defense-sector-think-twice-connecting-operational-technology-internet/173740/
- https://www.cyberscoop.com/nsa-warns-defense-contractors-operational-technology-connections-russia-solarwinds/

【編集者メモ】(Neely)
NSAの勧告はわずか4ページに過ぎない。ITとOTの接続にまつわるリスク評価と、OT
システムのセキュリティ向上のガイダンスに焦点を当てている。OTコンポーネント
へのアクセスを理解し、監視し、文書化するとともに、必要に応じて復元できるゴ
ールドイメージと構成を備えている。セグメント化し、一部のアクセスのみをOTに
許可すると良い。このガイダンスを利用してセキュリティが保護されていることを
確認するとともに、サイバー衛生を改善するための計画を立て、その計画を必要に
応じて更新しよう。OTを評価する際、ライフサイクルを数年から数十年に変更する
ことを忘れずに。
【編集者メモ】(Pescatore)
この短い勧告は2015年に発生したウクライナの電力網の攻撃を分析して生まれたも
ので、国防総省、FBI、カナダ当局、産業界・学界の専門家による過去のガイダン
スを更新し、まとめたものである。エグゼクティブサマリーの最初の段落は、CXO
や取締役会に働きかける際の材料として使えそうである。
─────────────

◆ Microsoft研究者、IoT・OTデバイスのメモリ割り当ての脆弱性を発見
(2021.4.29 & 30)
Microsoftの研究者らがIoTおよびOTデバイスに影響を与える25のメモリ割り当ての
脆弱性を検出した。このリモートコード実行の脆弱性は、不適切な入力検証が原因
。研究者は、影響を受けるベンダーに調査結果を共有している。
- https://msrc-blog.microsoft.com/2021/04/29/badalloc-memory-allocation-vulnerabilities-could-affect-wide-range-of-iot-and-ot-devices-in-industrial-medical-and-enterprise-networks/
- https://www.scmagazine.com/home/security-news/iot/microsoft-warns-of-damaging-vulnerabilities-in-dozens-of-iot-operating-systems/
- https://www.zdnet.com/article/microsoft-finds-memory-allocation-holes-in-range-of-iot-and-industrial-technology/
- https://threatpost.com/microsoft-warns-25-critical-iot-industrial-devices/165752/
- https://www.cyberscoop.com/microsoft-azure-iot-badalloc-vulnerabilities/

【編集者メモ】(Neely)
MSRCのブログは、これらの脆弱性がどのように機能するかを説明し、緩和策を提案
している。この提案を、前述したNSAによるOTのサイバーセキュリティの向上に関
するガイダンスと組み合わせることで、OTのセキュリティ確保のための全体的なア
プローチが可能になる。他の脆弱性と同様に、利用可能な場合はパッチを当て、活
動を監視し、セグメント化し、許可された接続のみが正しく行われているか確認す
るように。
【編集者メモ】(Pescatore)
CISA ICS CERTアドバイザリーは、この欠陥が存在するリアルタイムOSのバージョ
ンを20以上挙げている。(us-cert.cisa.gov: ICS Advisory (ICSA-21-119-04) Multiple
RTOS)このリストは、Amazon、Apache、ARM、Google、Redhat、Samsung、Windriver
/VXWorksなどの有名どころに加え、ニッチなRTOSバージョンも多数含んでいる。よ
く知られる安全なコーディング方法でも、メモリやプロセッサに制約のある製品に
非対応なことはよくある。自動車メーカーが小さなエンジンを搭載した車に、オイ
ルや燃料フィルターを付けないのと似ている。
─────────────

◆ Pulse Secure、頻繁に悪用されている重大な脆弱性修正プログラムをリリース
(2021.5.3)
Pulse Secureは世界中の防衛関連企業や政府機関などの機密ネットワークのアクセ
スに悪用されているPulse Secure VPNアプライアンスの重要なゼロデイを含む、複
数の脆弱性修正プログラムを発表した。Pulse Secureは数週間前にPulse Connect
Secure Integrity Toolをリリースしており、ユーザーは悪質な活動の痕跡を確認
できる。
- https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/SA44784/s
- https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
- https://www.bleepingcomputer.com/news/security/pulse-secure-fixes-vpn-zero-day-used-to-hack-high-value-targets/
- https://www.securityweek.com/pulse-secure-ships-belated-fix-vpn-zero-day
- https://www.scmagazine.com/home/security-news/government-and-defense/pulse-secure-releases-patch-for-zero-day-used-to-target-defense-industrial-base/

【編集者メモ】(Ullrich)
この脆弱性は先週公開され、その時点ですでに活発に悪用されていた。いつもの通
り、パッチをあてて終わりにするのではなく、侵害されたと想定する必要がある。
Pulse Secureファームウェアの整合性を検証するツールが先週公開されている。
【編集者メモ】(Pescatore)
古い脆弱性へのパッチをまだ適用していない場合、最近の脆弱性へのパッチが利用
可能になった今こそ、すべてのパッチ適用が完了するまでの間VPNサービスを停止
する必要がある。米国連邦政府は期限を4月23日に設定している。
【編集者メモ】(Neely)
Pulse Connect Secure 9.0RXまたは9.1RXを使用している場合は、Pulse Secure
Integrity Toolで問題がないか確認した後、直ちにバージョン 9.1R11.4にアップ
デートするように。インテグリティツールを実行すると、デバイスが再起動される
ことも忘れないように。9.1R8.x以前のバージョンからアップデートする場合は、
期限切れの証明書に関するガイダンスに必ず従ってもらいたい。
─────────────

◆ Apple、ゼロデイの欠陥を修正するiOS 14.5.1リリース (2021.5.3)
Appleは、頻繁に悪用されているWebKitエンジンの2つの重要なリモートコード実行
脆弱性に対処する複数のアップデートをリリースした。更新されたバージョンは、
iOS 14.5.1、iOS 12.5.3、macOS Big Sur 11.3.1、watchOS 7.4.1。
- https://support.apple.com/en-us/HT212336
- https://arstechnica.com/gadgets/2021/05/apple-reports-2-ios-0days-that-let-hackers-compromise-fully-patched-devices/
- https://www.zdnet.com/article/you-should-update-your-iphone-and-ipad-to-ios-14-5-1-right-away/
- https://www.bleepingcomputer.com/news/apple/apple-fixes-2-ios-zero-day-vulnerabilities-actively-used-in-attacks/
- https://www.cyberscoop.com/apple-security-update-webkit-flaws-iphone-ipad-ipod/

【編集者メモ】(Neely)
先週iOS 14.5とmacOS 11.3のアップデートをリリースしたばかりであるにもかかわ
らず、CVE-2021-30665とCVE-2021-30663は、iOS 14.5、iPadOS 14.5、watchOS 7.4
、macOS 11.3に適用される。これらは積極的に悪用されているため、すでに14.5や
11.3にアップデートしたユーザーも、再びアップデートする必要がある。該当する
ユーザーは、1ステップでアップデート可能である。iOS 12搭載の古いデバイスを
使っている人向けのアップデートも用意されている。Appleがセキュリティアップ
デートをリリースする中、アプリケーションベンダーはiOS 12のサポートを中止し
ているため、古いデバイスは買い替えたほうが良い。
【編集者メモ】(Ullrich)
Appleは、必要がない限りポイントリリースから数日以内にパッチをリリースする
ことはない。アップデートしよう。
【編集者メモ】(Honan)
Appleは、Microsoftの火曜日パッチと同じスケジュールでパッチをリリースする段
階を過ぎたようである。Appleデバイスは、多くの組織内のニッチなデバイスから
、タブレットやスマートフォン、ノートPCの形式で広く使用されるようになってい
る。
─────────────

◆ バイデン政権、SolarWindsを皮切りに大統領令を最終調整 (2021.4.29)
SolarWindsサプライチェーン攻撃を受け、バイデン政権が米国政府と取引を行う企
業のサイバーセキュリティ基準を定めた大統領令(EO)を発表する。EOはソフトウ
ェア開発基準や、サイバーインシデントの調査計画などを含む予定。基本的にEOは
連邦政府の調達プロセスを利用し、開発プロセスを変えるのが狙い。
- https://www.npr.org/2021/04/29/991333036/biden-order-to-require-new-cybersecurity-standards-in-response-to-solarwinds-att
- https://thehill.com/policy/cybersecurity/550902-biden-prepping-cybersecurity-executive-order-in-response-to-solarwinds

【編集者メモ】(Pescatore)
米国政府が購買力を活用し、サイバーセキュリティの基準向上を推進するのは良い
ことだが、単に成熟度モデルやプロセスの認証書類の要件を増やすだけでは足りな
い。製品やサービスのセキュリティテストを義務化する必要がある。また、「サイ
バーNTSB」のアイデア(何年も前にSteve Bellovinが最初に提起し、最近Bellovin
とAdam Shostackが提起したもの)は、重要なイニシアチブであり、効果を発揮す
るために連邦レベルで行われる必要がある。
【編集者メモ】(Murray)
法を使わずに正しい方向へ向かうための良い一歩だ。とはいえ、バックドアを含む
悪質なコードを配布した業者には責任を取らせるべきである。それには法律が必要
かもしれない。
─────────────

◆ Google、ユーザーに2要素認証導入を促す (2021.5.6 & 7)
Googleがユーザーに2要素認証(2FA)の導入を促している。すでに2FAを導入して
いるユーザーは、自分のIDを適合させることが求められる。ゆくゆくは、ユーザー
のアカウントが2FAを許可している場合は自動的に2FAに登録する予定だという。
- https://blog.google/technology/safety-security/a-simpler-and-safer-future-without-passwords
- https://www.vice.com/en/article/93yyqe/google-wants-to-make-everyone-use-two-factor-authentication
- https://www.bleepingcomputer.com/news/security/google-wants-to-enable-multi-factor-authentication-by-default/
- https://www.zdnet.com/article/google-is-going-to-start-automatically-enrolling-users-in-two-step-verification/
- https://www.theregister.com/2021/05/07/google_password_purge/

【編集者メモ】(Pescatore)
この「ゆくゆくは」を「来月」とし、「Google」を「Google、Microsoft、Facebook
、Paypal...」に書き換えて欲しい。再利用しているパスワードを、携帯電話のテ
キストメッセージのようなシンプルな(完全ではない)2FAに置き換えることで、9
9.9%のフィッシング攻撃に効果があるというMicrosoftの研究結果の通り、情報漏
洩やランサムウェア攻撃の大半はフィッシングによって起きる。実際、役員の90%
は自宅の個人デバイスや金融機関のアカウントには2FAを採用しているのだ。
【編集者メモ】(Neely)
例外を除き、2FAをデフォルトで有効にするとなお良い。Googleに限らず、すべて
のアカウントで可能な限り2FAを有効にしておこう。また、自分のアカウントでア
プリのパスワードや、信頼されログインされているデバイスをチェックし、それら
が最新でまだ必要なものか確認するように。近所の人や同僚にあげたノートパソコ
ン、去年下取りに出したスマホなども確認した方が良いだろう。
【編集者メモ】(Ullrich)
Googleはエンドユーザーにとって使いやすいソリューションを開発し、2FAを普及
させてきたチャンピオンである。取り組みは、2FAがほぼすべてのフィッシング攻
撃を防いでいるというデータに裏付けられている。Googleのような広大で多様なユ
ーザーベースでもできたということは、他社でもできるということだ。
【編集者メモ】(Honan)
メールアカウントが他のすべてのオンライン活動の中心となっている点を考えると
、これは非常に歓迎すべき動きであり、Googleのような企業が2FAなどのセキュリ
ティ対策を標準化するのは良いことである。
【編集者メモ】(Murray)
不正パスワードの再利用により、多くの不正アクセスが発生している。Googleがユ
ーザーに強力な認証を提供することは、他社にとって良いロールモデルとなる。ユ
ーザーに十分な選択肢を提供し、最小限の手間で効果的なセキュリティを実現する
。デフォルトでの使用は、正しい一歩である。今や、企業内の強力な認証はデフォ
ルトとなっているはずである。Googleの強力な認証を自主的に採用した結果がどう
だったのか、ぜひ知りたい。強固な認証は難しすぎるという一般的な意見を証明す
るのか、はたまたその逆か。
─────────────

◆ Eximメールサーバー脆弱性に対する修正プログラム (2021.5.4 & 5 & 6)
Qualysの研究者らは、Eximメールサーバーに21のセキュリティ欠陥を検出した。い
くつかの欠陥は連鎖しており、リモート未認証コードを実行し、ルート権限を獲得
できるという。管理者はメール転送エージェントの脆弱性に対処するため、Eximバ
ージョン4.94.2にアップデートするよう求められている。また、Eximのメンテナは
、3.xのリリースは古いためもう使用すべきではないと述べている。
- https://blog.qualys.com/vulnerabilities-research/2021/05/04/21nails-multiple-vulnerabilities-in-exim-mail-server
- https://www.exim.org
- https://www.theregister.com/2021/05/05/21_nails_in_exim_mail/
- https://www.scmagazine.com/home/security-news/vulnerabilities/21-vulnerabilities-in-exim-mail-server-leave-web-cloud-operations-exposed/
- https://www.zdnet.com/article/security-researchers-found-21-flaws-in-this-widely-used-email-server-so-update-immediately/
- https://threatpost.com/exim-security-linux-mail-server-takeovers/165894/

【編集者メモ】(Neely)
脆弱性の中には、2004年にリリースされたEximのオリジナルバージョンまで遡るも
のもある。新しいバージョンにだけ欠陥があると思わず、すべてのバージョンをア
ップデートするように。Qualys Security Advisoryは技術的な情報だけでなくPoC
コードも含むため、外部に面しているEximサーバーにすぐにパッチを当てる必要が
ある。残りのEximインストールの更新も忘れないでほしい。セキュリティーアドバ
イザリの情報を利用して、エクスプロイトがどのように動作するかを学び、テスト
やラボのシステムでアップデートしたバージョンが影響を受けないかも確認するよ
うに。
【編集者メモ】(Ullrich)
Eximは、約2年前にも同様の重大な脆弱性があった。その後、「EHLO」を使ってExim
サーバーを侵害する件が相次ぐ。簡単に使えるエクスプロイトが登場するまでには
約1ヶ月かかった。要は、Exim(多くのLinuxシステムで使用)を使っている場合、
すぐにパッチを当てる必要があるということだ。
─────────────

◆ Dellのファームウェアアップデートドライバーの脆弱性 (2021.5.4 & 5)
Sentinel labsの研究者らが、2009年以降数億台のDellシステムにインストールさ
れたファームウェアアップデートドライバーに、重要性の高い5つの脆弱性を発見
した。5つの脆弱性のうち2つはメモリ破壊の欠陥、2つは入力検証欠如の欠陥、最
後の1つはコードロジックの問題だという。Dellは改善策を提示している。
- https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws/
- https://www.dell.com/support/kbdoc/ja-jp/000186019/dsa-2021-088-dell-client-platform-security-update-for-dell-driver-insufficient-access-control-vulnerability
- https://www.dell.com/support/kbdoc/ja-jp/000186020/additional-information-regarding-dsa-2021-088-dell-driver-insufficient-access-control-vulnerability
- https://arstechnica.com/gadgets/2021/05/dell-patches-a-12-year-old-privilege-escalation-vulnerability/
- https://www.zdnet.com/article/patch-issued-to-tackle-critical-security-issues-present-in-dell-driver-since-2009/
- https://www.darkreading.com/threat-intelligence/hundreds-of-millions-of-dell-computers-potentially-vulnerable-to-attack/d/d-id/1340910
- https://www.govinfosecurity.com/millions-dell-devices-vulnerable-to-update-driver-flaw-a-16522

【編集者メモ】(Ullrich)
本欠陥は、特権昇格の脆弱性「だけ」である。しかし、このユーティリティが広く
使われていることや、ファームウェアを変更できることを考えると、より永続的な
バックドアをインストールされる恐れがある。手当たり次第パッチを当てる必要が
ある。難しいのは、このドライバーのすべてのインスタンスを見つける点である。
【編集者メモ】(Neely)
Dellの影響を受けるシステムは多く、気が滅入る結果になりそうである。5月10日
にはDellの通知ソリューションを活用して更新プログラムを自動展開することがで
きる。企業以外のユーザーも利用可能な更新プログラムが通知されるため、お見逃
しなく。
www.dell.com:通知アプリケーションのダウンロード
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
 ~失敗しない製品選定の3つのポイントと導入効果~

 6月9日(水)
 https://www.nri-secure.co.jp/seminar/2021/ac_id0609?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans
 
 7月8日(木)
 https://www.nri-secure.co.jp/seminar/2021/ac_id0708?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月~7月
 SANS Cyber Defence Japan 2021 - Live Online
 https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

〇6・8・11月・2022年1・3月
 セキュアEggs
 https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

〇7月より毎月開催
 CISSP CBKトレーニング
 https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇マイナンバー収集ガイドブック
 法人が使える マイナンバー受け渡し手段とは?
 https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

〇クリプト便活用ハンドブック
 ユースケースに学ぶ課題解決のアプローチ
 https://www.nri-secure.co.jp/download/crypto_utilization_handbook?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

〇ゼロトラストセキュリティ入門
 https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

>>ダウンロード資料一覧
 https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇PCI CPとは?クレジットカード製造時に求められるセキュリティ基準を解説
 https://www.nri-secure.co.jp/blog/explanation-of-pcicp?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

〇パブリッククラウドの包括的なセキュリティに向けて|CSPM, CWPP, CNAPPs
 https://www.nri-secure.co.jp/blog/comprehensive-public-cloud-security?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

〇Azureのセキュリティを堅牢にする方法|CIS Benchmarksを活用した実践的対策
 https://www.nri-secure.co.jp/blog/cis-microsoft-azure-benchmark?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

>>ブログ記事一覧
 https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●ゼロトラスト座談会
 ニューノーマル時代のいま、鎖国型ITでのセキュリティだけではもう限界
 開国型ITでゼロトラストの実装を
 ~ゼロトラストを実装するための5つのSTEPとは~
 https://www.nri-secure.co.jp/service/zerotrust-interview?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

●ゼロトラストを実現するための要素
 ~7つの要件と4つのソリューション~
 https://www.nri-secure.co.jp/service/zerotrust?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

〇NRIセキュア、パロアルトネットワークスの「PrismaR Cloud」を活用した運用監視サービスと、
 クラウド設定評価サービスを開始
 https://www.nri-secure.co.jp/news/2021/0426?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

〇NRIセキュア、DX時代に必要な情報セキュリティの研修コースを8月に開講
 ~システムの開発・運用とセキュリティを一体化させる“DevSecOps”手法に特化~
 https://www.nri-secure.co.jp/news/2021/0421?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

>>ニュース一覧
 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
 業務に役立つ情報を月に3~4回お届けします。
 https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210512sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。