──────────────────────────
■■SANS NewsBites Vol.16 No.20
(原版: 2021年 5月18日、21日)
──────────────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃2021年7月開催 SANSオンライントレーニング お申込み受付中です
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Cyber Defence Japan 2021-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021
〇開催日:2021年6月28日(月)~7月3日(土) 6日間
SEC401 Security Essentials Bootcamp Style <日本語>44
SEC599 Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR500 Windows Forensic Analysis
FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
ICS515 ICS Active Defense and Incident Response (5日間)
〇開催日:2021年7月5日(月)~7月10日(土) 6日間
SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
SEC530 Defensible Security Architecture and Engineering
SEC555 SIEM with Tactical Analytics
SEC560 Network Penetration Testing and Ethical Hacking
FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
〇トレーニング価格
SEC401,SEC504 810,000円(税込 891,000円)
上記を除く8コース 840,000円(税込 924,000円)
〇お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 航空・旅行関連団体を標的とするマルウェアRAT (2021.5.13 & 14)
航空会社や旅行会社を標的に、ITシステムをリモートアクセストロイの木馬(RAT
)に感染させるマルウェア攻撃が行われている。システムに最初の足場を築くため
スピアフィッシングメールが使われ、スクリーンショット、キーストローク、ブラ
ウザデータ、その他の情報を抜き取られるという。
- https://www.zdnet.com/article/microsoft-warns-watch-out-for-this-new-malware-that-steals-passwords-webcam-and-browser-data/
- https://www.scmagazine.com/home/security-news/phishing/revengerat-and-aysncrat-target-aerospace-and-travel-sectors/
- https://threatpost.com/loader-aviation-spy-rats/166133/
【編集者メモ】(Neely)
警戒が解除され、ユーザーが旅行や休暇の計画を立て始める今こそ、意識向上のた
めのトレーニングと技術的なコントロールを両面で強化する必要がある。未知の添
付ファイルやリンクだけでなく、メールによる不自然な要求にも注意するよう、ユ
ーザーに促さなければならない。また、アンチフィッシングツールが有効か確認し
、エンドユーザーに届く前に添付ファイルやURLをチェックするツールを追加する
ように。ツールがない場合は、外部ソースを検討する前に、有効化・ライセンス化
できる既存のオプションがあるかも確認するように。
【編集者メモ】(Pescatore)
大きく2つの注意事項がある。1つは、派手なランサムウェア攻撃が大きく報道され
る裏で、身代金の支払いを要求せずに情報を盗む悪質なマルウェア攻撃が、いまだ
に活発に行われているということ。2つ目は、昔ながらのマルウェア攻撃やランサ
ムウェア攻撃も、フロントエンドで再利用可能な認証情報を入手したり、マルウェ
アを侵入させたりするために、同じフィッシングの手法が使われており、リスクを
軽減するには、本質的に同じセキュリティコントロールが必要ということだ。今回
のような話題性の高いケースを、情報をしっかりと保護する変更を行うための根拠
として有効活用しよう。
【編集者メモ】(Murray)
ある企業が標的として「意図的に狙われた」場合、強力な認証(少なくとも2種類
、そのうち少なくとも1つはリプレイに耐性があるもの)だけでは十分な保護措置
と言えないかもしれないが、たまたま「隙があったために標的となってしまう」よ
うな事態は避けられる。ユーザーがエサ(フィッシング)をクリックするのを防ぐ
ことは不可能なまでも、パスワードの再利用は防げる。モバイル機器はほぼ全世界
で使用されており、コストも下がり、使いにくさもなくなった。効果も効率も高く
、広く適用できる。
─────────────
◆ CISA、SolarWinds侵害の復旧のためのガイダンスを公開 (2021.5.14 & 17)
米国土安全保障省(DHS)のサイバーセキュリティーインフラセキュリティ庁(CISA
)は、SolarWindsおよびAD/M365侵害の影響を受けたネットワーク向けに、復旧の
ためのガイダンスを公開した。このガイダンスは、侵害されたオンプレミスクラウ
ド環境から攻撃者を排除するための段階的な手順を示している。
- https://us-cert.cisa.gov/ncas/analysis-reports/ar21-134a
- https://us-cert.cisa.gov/ncas/current-activity/2021/05/14/cisa-publishes-eviction-guidance-networks-affected-solarwinds-and
- https://mail.google.com/mail/u/0/#search/SANS/FMfcgzGkXSSTDXcNvJPKZrJdTRFnmbrM
【編集者メモ】(Neely)
SolarWinds侵害の影響を受けたシステムを復旧し、攻撃者を排除するための包括的
なアプローチだ。リソースを必要とする規範的なプロセスでもあるため、実行に移
す前に全文を読んでもらいたい。Orionを使っている人は、このガイダンスを読み
、基盤がカバーされているか確認しておくように。また、適切に保護されているこ
と、現時点で侵害されていないこと、また将来的に検知・対応が可能か確認する必
要がある。
─────────────
◆ DISAのゼロトラスト・リファレンス・アーキテクチャ (2021.4.28 & 5.17)
米国防情報システム局(DISA)は、国防総省(DoD)のゼロトラスト・リファレンス・
アーキテクチャバージョン1.0を公開した。本文書は、DoDにとって「持続的なサイ
バー攻撃に直面しても、データを実行可能な情報に変換し、信頼できる任務の遂行
を保証する。そしてより安全で協調的、シームレスかつ透明性があり、コスト効率
の高いITアーキテクチャとして共通のガイダンス」となる。
- https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v1.1(U)_Mar21.pdf
- https://www.fedscoop.com/disa-issues-zero-trust-reference-architecture-for-defense-department/
- https://www.meritalk.com/articles/disa-establishes-zero-trust-cybersecurity-reference-architecture/
【編集者メモ】(Pescatore)
17ページの、米国防情報システム局(DISA)のゼロトラスト成熟度モデルを見てみよ
う。準備段階とベースラインの段階で、基本的な多要素認証(MFA)や機密データの
暗号化を含むCIS(CSC)のすべてを実装することが要求される。ゼロトラストを達
成するには、まず基礎となる信頼できるインフラがなければならない。基本的なコ
ントロールとスキルが備わっていないシステムやプロセスの上にスプレーのように
振りかけるだけでは十分でない。
【編集者メモ】(Neely)
本アーキテクチャは、実装の鍵となる既存のDOD ICAMリファレンス・アーキテクチ
ャをベースにしている。ゼロトラストのアーキテクチャと実装を計画する際に活用
できる成熟度モデルも含まれている。実装を試みる前に、コンセプト、信条、必要
とされる能力を必ず理解してほしい。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「ビッシング(電話による攻撃や詐欺)について」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サイバー犯罪といえば、インターネット上で高度な攻撃を仕掛ける、コンピュータ
の前に座っている人たちを思い浮かべるかもしれませんが、多くは被害者をだます
だけであり、その手段として電話を使うパターンがあります。電話を使うことは被
害者をだますことができる確率が高くなるといったメリットがあるからです。
今月は、これらの攻撃について典型的なパターンを紹介するとともに、これらの攻
撃を察知して被害を未然に防ぐための方法について、初心者にもわかりやすく解説
します。社内の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt914b9a44ed4b66b6/60902aa57b4f5110164a4b2d/OUCH-Japanese_May_2021_-_Vishing_Phone_Call_Attacks_and_Scams_v3-English.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ SolarWindsサプライチェーン攻撃、米国の防衛産業基盤37社に影響(2021.5.19)
米上院軍事サイバー委員会において、Rear Adm.William Chase III少将が、防衛産
業基盤37社がSolarWindsサプライチェーン攻撃の影響を受けたと証言した。なお、
米国防総省(DOD)はSolarWindsとHafniumの影響を受けていないという。
- https://www.nextgov.com/cybersecurity/2021/05/37-defense-industrial-base-companies-affected-solarwinds-intrusion/174152/
【編集者メモ】(Pescatore)
重要なのは「...防衛産業基盤のサイバーセキュリティを向上させるための米国防
総省(DOD)の初期プログラムである、サイバーセキュリティ成熟度モデル認証(CMMC
)も、侵入を防げなかったであろう」という点だ。成熟度モデルは、セキュリティ
プロセスにおける最も危険なギャップを特定して伝えるには最適だが、実際のテス
トや継続的なモニタリングには焦点を当てていない。例えば、ソフトウェア能力成
熟度モデル(CMM)で最高レベルを達成した多くのソフトウェアベンダーが、よく知
られた脆弱性を持つコードを提供し続けている。ソフトウェアサプライチェーン攻
撃に対処するには、積極的な監視とテストが必要である。
─────────────
◆ ハッカーが、公開後すぐにExchangeサーバーの脆弱性をスキャン(2021.5.19)
Palo Alto networksの研究者らによると、Microsoftが4つのゼロデイ脆弱性を公開
してから数分後に、ハッカーが脆弱なExchangeサーバーをスキャンしていたという
。また、セキュリティ問題のうち32%がリモートデスクトッププロトコル(RDP)に
起因するという。
- https://www.theregister.com/2021/05/19/hafnium_scans_5_mins_post_disclosure/
- https://www.zdnet.com/article/cybercriminals-scanned-for-vulnerable-microsoft-exchange-servers-within-five-minutes-of-news-going-public/
【編集者メモ】(Pescatore)
在宅勤務をサポートするため多くの組織が急いでRDPベースのアプローチを推し進
めており、攻撃者はそれを悪用している(下記Sophosの記事参照)。「ニューノー
マル」が訪れた今、オフィスでの仕事をある程度再開する計画の中で、最優先事項
としてリモートアクセスを安全にサポートする措置を検討すべきだ。
【編集者メモ】(Neely)
Exchangeの脆弱性は最新の攻撃対象として注目されているが、他のさほど注目され
ていない脆弱性も忘れてはいけない。社内ITの電子メール担当は、すでにExchange
のパッチ適用を迅速に行っているはずだ。クラウド電子メールソリューションへの
移行を開始するよう依頼している場合も、他のチームがいつも通りOSやアプリケー
ションの定期的なパッチ適用に集中することができる。万一見逃した人のために伝
えておくが、Wind RiverがVxWorksのアップデートをリリースしており、多くのOT
システムに影響を与える可能性がある。
─────────────
◆ CNA、3月の攻撃後に4,000万ドルの身代金を支払う (2021.5.20)
シカゴに拠点を置く保険会社CNA Financial Corporationは、今年初めにネットワ
ークがランサムウェア攻撃を受けた後、4,000万ドルの身代金を支払ったと報じら
れている。CNAは、攻撃によって従業員がネットワークから締め出され、顧客デー
タが危険にさらされた2週間後にこの金額を支払ったという。同社の広報担当者は
、「CNAは身代金についてコメントは控える」と述べている。
- https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack
- https://www.swfinstitute.org/news/86466/cna-financial-pays-40-million-in-ransom-after-cyberattack
【編集者メモ】(Pescatore)
この事件は、Colonial Pipelineに保険を提供していた大手サイバー保険会社の仏AXA
が襲われ、身代金を支払うことになった最近のランサムウェア攻撃よりも前に発生
したものだ。AXAは最近、身代金支払いをカバーする保険の提供を中止すると発表
しており、他の保険会社も同様の対応をすると思われる。CNA Financialは年間売
上高100億ドル以上で、サイバー保険の保険証券発行会社のトップ10に入っている
。保険契約者に、持続的もしくは新しい攻撃の特定、軽減、対応を支援する、先を
見越したサイバーリスクサービスプログラムである「CyberPrep」サービスも提供
している。CAN Financialが自社のサービスを利用していたのか、またどこで失敗
したのか聞いてみたい。
【編集者メモ】(Neely)
身代金を支払う前に、CNAはガイダンスを確認し、外国政府、テロリスト、麻薬密
売人に対し経済・貿易制裁を実施する米財務省外国資産管理局(OFAC)、FBIなどの
規制当局に報告した。支払いは望ましくはないが、法律や規制の指針に沿って行動
することで、未来の反発を最小限に抑えることができる。ユーザーだけでなく、従
業員、取締役、株主、そして必要に応じて規制当局に対し一貫したメッセージを発
信する必要があるため、攻撃や対応措置を透明化することが最良の選択肢である。
現在、ランサムウェアの身代金払いが大量に発生しているため、規制当局は阻止に
注力している。意思決定を行う前に、関連するガイダンスに変更がないか確認して
もらいたい。
【編集者メモ】(Spitzner)
すごい金額だ。ただし、ランサムウェアは単なるマルウェアの一種であることを忘
れないように。ランサムウェアは新しい「攻撃手法」ではない。非常に収益性が高
いため、最近飛躍的な成長を遂げている新しい「収益化の方法」である。CEO詐欺
のように、コストは同じくらいかかるが世間的にあまり知られていない攻撃がある
ことも覚えておこう。この攻撃手法で年間数十億ドルの損害が発生しているが、発
生しても企業が公表することはほとんどないため、ニュースになることはない。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
~失敗しない製品選定の3つのポイントと導入効果~
6月9日(水)
https://www.nri-secure.co.jp/seminar/2021/ac_id0609?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
7月8日(木)
https://www.nri-secure.co.jp/seminar/2021/ac_id0708?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
▼6月14日(月)
(ISC)2 認定講師によるパネルディスカッション
「本格運用開始10年経って、クラウドセキュリティを改めて考える!」
https://www.nri-secure.co.jp/seminar/2021/cissp0614?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
▼6月25日(金)
CISSPチャレンジセミナー
「組織と実務者を繋ぐCISOを育成するために必要な考え方」
https://www.nri-secure.co.jp/seminar/2021/cissp0625?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月~7月
SANS Cyber Defence Japan 2021 - Live Online
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
〇6・8・11月・2022年1・3月
セキュアEggs
https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
〇7月より毎月開催
CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇マイナンバー収集ガイドブック
法人が使える マイナンバー受け渡し手段とは?
https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
〇クリプト便活用ハンドブック
ユースケースに学ぶ課題解決のアプローチ
https://www.nri-secure.co.jp/download/crypto_utilization_handbook?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
〇ゼロトラストセキュリティ入門
https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
>>ダウンロード資料一覧
https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○情報漏えい事例から学ぶ内部不正対策
https://www.nri-secure.co.jp/blog/improve-efficiency-of-internal-fraud-countermeasures?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
〇PCI CPとは?クレジットカード製造時に求められるセキュリティ基準を解説
https://www.nri-secure.co.jp/blog/explanation-of-pcicp?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
〇【ゼロトラスト座談会】
ニューノーマル時代のいま、鎖国型ITでのセキュリティだけではもう限界。
開国型ITでゼロトラストの実装を|ゼロトラストを実装するための5つのSTEPとは
https://www.nri-secure.co.jp/blog/zerotrust-interview?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
>>ブログ記事一覧
https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュアのセキュアファイル転送/共有サービス「クリプト便」が、
クレジットカードの国際規格PCI DSSの認証を取得
https://www.nri-secure.co.jp/news/2021/0513?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
〇NRIセキュア、パロアルトネットワークスの「PrismaR Cloud」を活用した運用監視サービスと、
クラウド設定評価サービスを開始
https://www.nri-secure.co.jp/news/2021/0426?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
〇NRIセキュア、DX時代に必要な情報セキュリティの研修コースを8月に開講
~システムの開発・運用とセキュリティを一体化させる“DevSecOps”手法に特化~
https://www.nri-secure.co.jp/news/2021/0421?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210526sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。
NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
