──────────────────────────
■■SANS NewsBites Vol.16 No.21
(原版: 2021年 5月25日、28日)
──────────────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃2021年7月開催 SANSオンライントレーニング お申込み受付中です
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Cyber Defence Japan 2021-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021
〇開催日:2021年6月28日(月)~7月3日(土) 6日間 〇お申込締切日:6月18日(金)
SEC401 Security Essentials Bootcamp Style <日本語>
SEC599 Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR500 Windows Forensic Analysis
FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
ICS515 ICS Active Defense and Incident Response (5日間)
〇開催日:2021年7月5日(月)~7月10日(土) 6日間 〇お申込締切日:6月25日(金)
SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語>
SEC530 Defensible Security Architecture and Engineering
SEC555 SIEM with Tactical Analytics
SEC560 Network Penetration Testing and Ethical Hacking
FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
〇トレーニング価格
SEC401,SEC504 810,000円(税込 891,000円)
上記を除く8コース 840,000円(税込 924,000円)
〇お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Apple、3つのゼロデイ修正アップデート公開 (2021.5.24)
Appleがハッカーに悪用された3つのゼロデイ脆弱性に対処するため、macOS 11.4、
10.15、10.14、iOSおよびiPadOS 14.6、watchOS 7.5、tvOS 14.6のアップデートを
公開した。 XCSSETマルウェアはCVE-2021-30713の弱点を悪用してmacOSのプライバ
シー保護機能を回避する。またCVE-2021-30663とCVE-2021-30665はApple TV 4Kお
よびApple TV HDデバイスのWebKitに影響を与えるという。ゼロデイ脆弱性はApple
のセキュリティアドバイザリーに頻繁に登場し、修正プログラムのリリース前に悪
用されるケースが多くみられる。
- https://support.apple.com/en-us/HT201222
- https://support.apple.com/en-us/HT212529
- https://support.apple.com/en-us/HT212532
- https://www.jamf.com/blog/zero-day-tcc-bypass-discovered-in-xcsset-malware/
- https://www.bleepingcomputer.com/news/security/apple-fixes-three-zero-days-one-abused-by-xcsset-macos-malware/
- https://www.theregister.com/2021/05/24/ios_macos_patches/
- https://arstechnica.com/gadgets/2021/05/hackers-exploit-a-macos-0day-that-allows-them-to-screenshot-infected-macs/
【編集者メモ】(Ullrich)
Appleが頻繁に悪用されている脆弱性にパッチを当てたのは、今月で2回目になる。
Appleのエコシステムが攻撃者に注目されているか、あるいはAppleが脆弱性の悪用
をよりオープンに発表しているかのどちらかだと言える。なお、今回のアップデー
トはCatalinaやMojaveなどの古いバージョンのOS Xにもパッチを提供している。最
も重大な脆弱性は、悪質なXCodeプロジェクトを介して開発者を狙うものだ。XCode
を使用している場合は、そういったパッチを優先的に適用しよう。
【編集者メモ】(Neely)
Appleはよく悪用される脆弱性を塞ぐため、できる限り迅速にアップデートをリリ
ースしており、残念ながら、それによってアップデートのサイクルが短くなってい
る。5月初めのOSアップデートの適用がまだ済んでいない人もいるかもしれないが
、新しいアップデートを適用するには、引き続きアップデートを進める必要がある
。CVE-2021-30713はTCC(Transparency, Consent and Control)フレームワークの
欠陥であり、その他の欠陥は、モバイルとデスクトップ両方のOSに影響を与えるwebkit
に集中している。ADEデバイスのアップデートをユーザーがすぐにインストールで
きるようにし、他のOSを実行しているデスクトップデバイスに取り掛かろう。
─────────────
◆ Air Indiaの顧客データ、SITA情報漏洩の影響を受ける (2021.5.23 & 24)
Air Indiaは2月に発生した国際航空情報通信機構(SITA)のデータセキュリティ侵害
により、同社顧客の個人情報が侵害されたことを認めた。約450万人の顧客が影響
を受けたという。漏洩した情報は、氏名、決済カードデータ、パスポート情報など
が含まれる。
- https://www.theregister.com/2021/05/24/air_india_sita_data_breach/
- https://www.zdnet.com/article/air-india-discloses-data-of-4-5m-passengers-were-stolen-in-sita-cyber-attack/
【編集者メモ】(Neely)
データ侵害が発生した場合、侵害された当事者がさらなる被害から身を守れるよう
、即座に通知することが重要である。今回のケースのように情報漏えいにパスワー
ドが含まれていなくても、パスワードを新しいものに更新し、2要素認証(2FA)が利
用できる場合は有効にすると良い。また、保存されている情報を確認し、サービス
にとって絶対に必要な情報だけを保存するように。
【編集者メモ】(Pescatore)
本件もまた、明らかにサプライチェーンセキュリティの問題である。そしてSolarWinds
侵害のような「集中リスク」の一例でもある。サプライヤーは大きな市場シェアを
持っており、攻撃に成功すれば何百もの価値あるデータにアクセスできることから
、ターゲットにされるリスクが非常に高い。運輸業界においてAmadeusとSabreはSita
よりも高い市場シェアを持っているため、この事例を教訓としてリスク評価を推奨
すると良いだろう。
─────────────
◆ タルサ市、ランサムウェア攻撃によるデータ盗難を防ぐ (2021.5.21 & 24)
オクラホマ州タルサ市は、同市のネットワークを狙ったランサムウェアの攻撃者が
要求した身代金を支払わないことを発表した。市はネットワーク上の不審な動きを
検知し、攻撃者が情報にアクセスする前にネットワークを停止したという。住民は
水道料金の支払いをオンラインでも対面でも行うことができなくなっている。
- https://www.govinfosecurity.com/blogs/ransomware-hit-tulsa-promises-recovery-ransom-paying-p-3047
- https://www.securityweek.com/tulsa-computer-system-hacks-stopped-security-shutdown
【編集者メモ】(Ullrich)
ランサムウェアの影響を部分的にでも防ぐことができた成功例を見ることができて
良かった。ランサムウェアはいったん「攻撃」を開始すると検出するのはそれほど
難しくないため、市が充分に注意を払うことでデータ流出前にランサムウェアを阻
止できたのは良い事だ(高い評価が維持されることを願う)。
【編集者メモ】([Pescatore)
攻撃のフロントエンドではいつものフィッシングやパッチミスなどを悪用された可
能性があり、本件を完全な成功例と呼ぶことはできない。しかしながら、迅速な検
知と信頼性の高いバックアップを設置していた点においては、タルサ市は同様の攻
撃を受けた他の都市よりもはるかに優れていると言えるだろう。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「ビッシング(電話による攻撃や詐欺)について」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サイバー犯罪といえば、インターネット上で高度な攻撃を仕掛ける、コンピュータ
の前に座っている人たちを思い浮かべるかもしれませんが、多くは被害者をだます
だけであり、その手段として電話を使うパターンがあります。電話を使うことは被
害者をだますことができる確率が高くなるといったメリットがあるからです。
今月は、これらの攻撃について典型的なパターンを紹介するとともに、これらの攻
撃を察知して被害を未然に防ぐための方法について、初心者にもわかりやすく解説
します。社内の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt914b9a44ed4b66b6/60902aa57b4f5110164a4b2d/OUCH-Japanese_May_2021_-_Vishing_Phone_Call_Attacks_and_Scams_v3-English.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ VMwareのアップデート、vSphere Clientの脆弱性に対応 (2021.5.25 & 26)
VMwareがvSphere Clientの2つの脆弱性に対応するアップデートを公開した。1つは
、リモートコード実行に関する重要度の高い脆弱性で、Virtual SAN Health Check
プラグインの入力検証の欠如によるもの。もう1つは重要度が中程度であり、Virtual
SAN Health Check、Site Recovery、vSphere Lifecycle Manager、VMware Cloud
Director AvailabilityプラグインのvSphere認証メカニズムの脆弱性とのこと。
- https://www.vmware.com/security/advisories/VMSA-2021-0010.html
- https://www.theregister.com/2021/05/26/vmware_vcenter_bug/
- https://www.zdnet.com/article/patch-immediately-vmware-warns-of-critical-remote-code-execution-holes-in-vcenter/
- https://arstechnica.com/gadgets/2021/05/vulnerability-in-vmware-product-has-severity-rating-of-9-8-out-of-10/
- https://threatpost.com/vmware-ransomware-alarm-critical-bug/166501/
- https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-bug-affecting-all-vcenter-server-installs/
【編集者メモ】(Neely)
システムコンソールのアクセスを制限して不正を防止するのと同様に、vCenterイ
ンフラストラクチャのアクセスを許可されたデバイスのみに制限しよう。脆弱性の
あるVirtual SAN Healthプラグインは、VMware VSANを持っていなくても存在する
ため注意するように。脆弱性のあるプラグインは、一時的な緩和策として「無効」
にしなくても、「非互換」に設定することで無効にできる。長期的な対策としては
、更新プログラムを迅速に適用するとよい。5つのプラグインに影響するCVEは3つ
ある。プラグインを無効にした場合、パッチ適用後も再度有効にするまで無効のま
まとなる。なお、セキュリティ全体を向上させるためにvCenter Serverに追加の変
更が加えられたため、アップデート後に一部のサードパーティのプラグインが機能
しなくなる可能性があるので注意してもらいたい。
【編集者メモ】(Ullrich)
できるだけ早くパッチを当てるだけでなく、vSphere コンソールがインターネット
に接続していないか再確認しよう。VPNまたはローカル管理ネットワークを介して
のみアクセスできるようにすべきである。応急措置として、vSANクライアントを使
用していない場合は無効にすると良い。
【編集者メモ】(Pescatore)
メリーランド州では、17年間地中に籠っていた大量のセミが地上に出てきている。
2004年にセミが地中に潜った頃と言えば、Windowsのバッファオーバーフローや入
力バリデーションの欠陥のSlammer、Blaster、Sasserなどの攻撃から回復したとこ
ろだった。このような極めて重要な製品において、VMWareがソフトウェア開発で良
く知られているミスをそのまま放置してソフトウェアを出荷し続けていたという事
実が悲しい。システムにパッチを当てるだけでなく、サプライチェーンにもパッチ
を当てることが重要である。
【編集者メモ】(Murray)
入力バリデーションは難しいが、必要である。バリデーションが適切に行われてい
ないという問題はずっと、しかも広く存在している。開発者が自分のコードで実行
される環境を予測できないという点が、問題を難しくしている。限られたコードセ
ットなど、入力の用途を厳しく制限すれば簡単だが。特殊文字の繰り返しや組み合
わせを許可すると、スタックの下にあるプロセスからエスケープを誘発する可能性
があり危険である。入力バリデーションはトレーニングプログラムや大学でも教え
られていないと聞いている。
─────────────
◆ Chrome 91 (2021.5.25 & 26)
Google は、Chrome 91を安定版デスクトップチャネルにリリースした。アップデー
トされたブラウザは32 件のセキュリティ修正を含んでおり、少なくとも8つは重要
度が高い。これらの不具合は、Use After Freeの脆弱性、ヒープバッファオーバー
フローの不具合、境界を越えた書き出しの不具合を含むという。
- https://chromereleases.googleblog.com/2021/05/stable-channel-update-for-desktop_25.html
- https://www.scmagazine.com/home/security-news/cloud-security/chrome-91-features-32-security-fixes-enhancements-for-linux/
- https://www.bleepingcomputer.com/news/software/google-chrome-91-released-with-new-features-security-improvements/
【編集者メモ】(Ullrich)
Google Chromeは、それなりに強力な自動更新機能がある。これを読んでいる人は
Google Chromeを終了し再起動して、最新の状態になっているかどうか確認してほ
しい。時々Google Chromeを再起動すれば、最新の状態を保つことができるのでお
勧めする。
【編集者メモ】(Neely)
Use After Freeの欠陥で思い出すのだが、メモリ管理には規律が必要であり、また
見逃しがないかどうか確認するツールも必要である。更新プログラムを配布する際
は、Chromiumベースのブラウザ、Edge、Braveなどに注意しよう。手動でアップデ
ートを行っている場合は、バージョン91.0.4472.77になっているか確認するように
。
─────────────
◆ 連邦ネットワーク衛生への「失望」が、米国サイバーセキュリティ大統領令を
促す (2021.5.27)
ホワイトハウスのAnne Neuberger新興技術担当副国家安全保障顧問(サイバー新技
術担当)は、バイデン大統領の大統領令につながったSolar Winds侵害の影響につ
いて、連邦政府のシステムやネットワークのセキュリティを直ちに測定可能な形で
改善する必要があると指摘した。具体的には、セキュリティオペレーションセンタ
ーのスキル向上、より積極的な脅威探索、政府予算を使って安全で試験済みのソフ
トウェアの需要を促進することなどを挙げている。
- https://www.meritalk.com/articles/white-house-cyber-advisor-cites-disappointment-with-fed-network-hygiene/
【編集者メモ】(Pescatore)
悪いニュースとしては、米国政府が巨大な船のようであり、船長や上層部からの指
令がエンジンや舵に到達するまでに迷子になってしまうことが多いという点。良い
ニュースとしては、小さな軌道修正でも大きな影響があり、時には政府機関にDNSSEC
やDMARCへの移行を義務づけたり、認証・試験済みの暗号ソフトウェアのみを購入
するようにしたりと、政府が実際に民間企業をリードできる点である。今回も、そ
んなチャンスがあるかもしれない。
【編集者メモ】(Neely)
各省庁はすでにエンドポイント保護、継続的な監視、安全なベースラインの継続的
な検証、動的なソフトウェアによる許可・拒否機能の実装、CDMプログラムによる
DHSへの定期的な報告などを要求されている。プログラムでは、製品初年度ライセ
ンスと追加1年間のメンテナンスを提供している。問題点は、導入のためのリソー
スが不足していること、ライセンスの取得が困難であること、システムを許容可能
なリスクレベルに維持するための既存のプロセスに支障をきたす可能性があること
である。今回の大統領令(EO)は連邦政府のシステム水準をさらに高めようとしてい
るが、成功させるには、新しいコントロールを導入する必要のある機関や現場のス
タッフの継続的な支援と、セキュリティオペレーションセンター(SOC)スタッフの
トレーニングおよび雇用が必要である。また、すべてのインシデントが中央コント
ロールポイントから監視・対応できると思わないよう、注意しなければならない。
【編集者メモ】(Murray)
「安全なソフトウェア」と「サプライチェーン」は、関連するが別個の問題である
。SolarWindsのコードがテストされておらず、安全ではなかったわけではない。問
題は、存在を知らないコードが配布されたことである。買い手がいくら用心しても
、サプライチェーンの問題は解決しない。サプライヤーは配布した製品に責任を持
つべきである。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼6月9日(水)、7月8日(木)
特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
~失敗しない製品選定の3つのポイントと導入効果~
https://www.nri-secure.co.jp/seminar/2021/ac_id0609?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
▼6月14日(月)
(ISC)2 認定講師によるパネルディスカッション
「本格運用開始10年経って、クラウドセキュリティを改めて考える!」
https://www.nri-secure.co.jp/seminar/2021/cissp0614?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
▼6月22日(火)
電子決済セキュリティ対策ウェビナー
~対策のカギはリスク評価と診断にあり~
https://www.nri-secure.co.jp/seminar/2021/payment0622?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
▼6月25日(金)
CISSPチャレンジセミナー
「組織と実務者を繋ぐCISOを育成するために必要な考え方」
https://www.nri-secure.co.jp/seminar/2021/cissp0625?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
▼6月29日(火)
失敗しないゼロトラスト実装ウェビナー
~実装計画・エンドポイントセキュリティ編~
https://www.nri-secure.co.jp/seminar/2021/zerotrust0629?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月~7月
SANS Cyber Defence Japan 2021 - Live Online
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
〇7月より毎月開催
CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
〇8・11月
セキュアEggs
https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇マイナンバー収集ガイドブック
法人が使える マイナンバー受け渡し手段とは?
https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
〇クリプト便活用ハンドブック
ユースケースに学ぶ課題解決のアプローチ
https://www.nri-secure.co.jp/download/crypto_utilization_handbook?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
〇ゼロトラストセキュリティ入門
https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
>>ダウンロード資料一覧
https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○総務省「テレワークセキュリティガイドライン第5版」を解説|5分で分かる改訂のポイント
https://www.nri-secure.co.jp/blog/explanation-of-telework-security-guidelines-5th-edition?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
〇情報漏えい事例から学ぶ内部不正対策
https://www.nri-secure.co.jp/blog/improve-efficiency-of-internal-fraud-countermeasures?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
〇パブリッククラウドの包括的なセキュリティに向けて|CSPM, CWPP, CNAPPs
https://www.nri-secure.co.jp/blog/comprehensive-public-cloud-security?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
>>ブログ記事一覧
https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュアの会社紹介動画、弊社コンサルタントのインタビューを掲載
https://www.nri-secure.co.jp/company/message/
https://www.nri-secure.co.jp/company/introductory_video
○NRIセキュア、英「CREST」のペネトレーションテストプロバイダに認定
https://www.nri-secure.co.jp/news/2021/0531?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
○NRIセキュア、多要素認証デバイス「YubiKey」の取り扱いを開始
https://www.nri-secure.co.jp/news/2021/0528?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
○NRIセキュアのセキュアファイル転送/共有サービス「クリプト便」が、
クレジットカードの国際規格PCI DSSの認証を取得
https://www.nri-secure.co.jp/news/2021/0513?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210602sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。
NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。