──────────────────────────
■■SANS NewsBites Vol.16 No.25
(原版: 2021年 6月22日、25日)
──────────────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃2021年9月開催 豪州共催!SANSオンライントレーニング お申込受付中です
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Sydney 2021-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_sydney_2021
【お知らせ】
本イベントは、豪州で開催されるSANSトレーニングと共催で実施いたします。
参加者が僅少の場合は、同時通訳なしでの開催に変更となる場合があります。
その場合はお申込み後においてもキャンセル料なしで、キャンセルを承ります。
同時通訳の有無は、開催の約3週間前(2021年8月13日頃)に決定いたします。
〇開催日:2021年9月6日(月)~9月11日(土) 6日間
SEC487 Open-Source Intelligence (OSINT) Gathering and Analysis
FOR585 Smartphone Forensic Analysis in-Depth
〇トレーニング価格
840,000円(税込 924,000円)
〇お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします
https://www.sans-japan.jp/events/sans_sydney_2021
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ E-ISACメンバーに情報共有の新しいツール登場 (2021.6.21)
Dragos社が米国エネルギー省(DOE)の支援を受け開発した「Neighborhood Keeper
」は、「センサーを使ったデータ収集・情報共有ネットワーク」である。収集され
たデータは匿名化されているため、政府と共有できるという。
- https://www.scmagazine.com/featured/info-sharing-pact-will-help-electric-companies-comply-with-does-100-day-plan/
- https://www.businesswire.com/news/home/20210617005252/en/Dragos-and-the-E-ISAC-Announce-Initiative-to-Bring-ICSOT-Collective-Defense-to-the-Electricity-Sector
【編集者メモ】(Ullrich)
良いニュースである。情報共有は組織のセキュリティを強化する最も強力なツール
であるにもかかわらず、十分に活用されていない。データ共有と匿名化の適切なバ
ランスを見つけるのは難しいが、ツールからさらなる情報や教訓が得られると期待
している。
【編集者メモ】(Neely)
同業他社から指標を得ることは、関連する実用的なデータを提供し、インシデント
に備えるのに役立つ。データを匿名化するとレピュテーションリスクを軽減できる
が、匿名化とは何を意味するのか、誰がデータを処理しているかを知る必要がある
。今回のケースでは、パッシブセンサーがNeighborhood Keeperにメタデータを提
供し、分散型アラートを提供している。また、他のISACメンバーからの支援要請も
暗号化され、一時的な識別オプションを使用してプライベートなコミュニケーショ
ンを行うことで、詳細を明かすことなく支援ができる。
【編集者メモ】(Spitzner)
コミュニティと政府の協力関係を示す好事例である。ユーティリティ分野の問題を
すべて解決できるわけではないが、良いきっかけとなるだろう。本取り組みを主導
したDoE社とDragos社に拍手を送りたい。
─────────────
◆ 攻撃者がサンフランシスコ地域の浄水施設ネットワークからプログラムを削除
(2021.6.20)
NBC Newsによると、2021年1月、サンフランシスコ地域の浄水場ネットワークにハ
ッカーがアクセスしたという。攻撃者は、元従業員が利用していたTeamViewerリモ
ートアクセスアカウントのユーザー名とパスワードを所持しており、飲料水の処理
を制御するプログラムを削除した。インシデントは翌日発見され、パスワードを変
更したのちにプログラムが再インストールされた。
- https://www.nbcnews.com/tech/security/hacker-tried-poison-calif-water-supply-was-easy-entering-password-rcna1206
- https://www.sfgate.com/crime/article/sf-bay-area-water-treatment-facility-hack-16260655.php
【編集者メモ】([Neely)
退職する従業員のアカウントは、直ちに無効にしなければならない。特に、サービ
スのリモートアクセスに利用される可能性がある場合は重要である。またTeamViewer
などのRDPサービスでは、多要素認証(MFA)を設定し、ベンダーのセキュアな設定ガ
イドラインに従う必要がある。これらの設定が維持され、現在のユーザーのみがア
クセスできること、また設定を回避できるアクセスがないかを確認しよう。
【編集者メモ】(Pescatore)
小さい組織では、従業員が退職する際のアクセス権削除を手作業で行うことが多い
。2要素認証(2FA)のもう一つの利点は(TeamViewerのリモートアクセスに必須とす
べきであったが)、一回のアクションでクレデンシャルを失効させることができ、
広範囲のアクセス削除が簡単になる。
【編集者メモ】(Murray)
強力な認証(少なくとも2種類の認証要素があり、少なくとも1つは再生できないも
の)が役立つ例である。経営者は退職した従業員のオンライン権限の削除よりも、
給与システムから外すことを重視しがちである。この問題は、権限を持っている人
の半分がコンサルタント、契約社員、派遣社員、パートタイム労働者であることが
多い現代社会によってさらに複雑になっている。
─────────────
◆ Google、マサチューセッツ州コロナウイルス接触確認アプリを推進
(2021.6.19 & 21)
Googleがマサチューセッツ州住民のAndroid端末に、「MassNotify COVID-19接触確
認アプリ」を強制的にインストールしているという。Android接触通知サービスを
有効にしていなくても、アプリがインストールされたという報告がユーザーから寄
せられている。アプリはまだ有効ではないと見られ、ユーザーがアプリを開いたり
、アンインストールしたりすることはできない。9to5Googleの声明の中でGoogleは
「この機能は端末設定に組み込まれており、Google Playストアによって自動的に
配信されるため、ユーザーは別のアプリをダウンロードする必要はない」と述べて
いる。
- https://9to5google.com/2021/06/19/massachusetts-massnotify-app/
- https://www.bleepingcomputer.com/news/security/google-force-installs-massachusetts-massnotify-android-covid-app/
- https://arstechnica.com/gadgets/2021/06/even-creepier-covid-tracking-google-silently-pushed-app-to-users-phones/
【編集者メモ】(Neely)
接触通知サービスはAndroidやiOS端末に内蔵されており、アプリを使用しなくても
エンドユーザーが設定したり、有効にしたり、無効にしたりすることができる。そ
れでも、プロセスを効率化するために通知アプリケーションを配布している地域も
ある。このインストールはMassNotifyアプリ自体のフルインストールではない。ユ
ーザーには設定→Google→コロナウイルス接触通知が表示されるが、これは「マサ
チューセッツ州保健省」をアンインストールすることで削除できる。
【編集者メモ】(Ullrich)
私個人はコロナウイルス追跡アプリ賛成派であるため、「Google、よく実装してく
れた」と思う。しかし最終的には、これは信頼の問題である。Googleは個人データ
の収集・利用方法に関して信頼できる企業ではないため、ユーザーの同意を得ずに
アプリを推進すると、本プロジェクトにGoogleのデータ収集目的の影がチラついて
しまう。
【編集者メモ】(Murray)
公衆衛生サービスは、100年以上前から積極的に接触者の追跡を行ってきており、
ほとんどの病気に有効で、何百万人もの人々の治療に貢献してきた。追跡はプライ
バシーの保護に優れ、ほとんどの人が存在すら知らない。技術の進歩により、さら
にタイムリーで包括的な追跡が可能になると期待されている。恐れをなしてせっか
くの機会を逃すことのないようにしよう。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「安全なモバイルアプリの利用」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今や私たちの生活の一部ともなっているモバイルデバイスは、アプリによってコ
ミュニケーションだけではなく、トレーニングやゲームなど多様な使い方が可能
となっています。今月は、これらのモバイルアプリを安全に使用し、テクノロジ
ーを最大限に引き出すための手順を、初心者にもわかりやすく解説します。社内
の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt0b21f8a239234eaa/60b66cbce8788d184c9f7102/ouch!_japanese_june_2021_securely_using_mobile_apps.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ My Bookネットワークアタッチドストレージ、遠隔操作で消去 (2021.6.24)
Western Digital My Bookネットワークアタッチドストレージ(NAS)デバイスのユ
ーザーから、デバイスがリモートのファクトリーリセットコマンドを受け取り、フ
ァイルが削除されたという報告が寄せられた。Western Digital社は、この問題の
調査中はデバイスをインターネットから切断するようユーザーに求めている。
- https://arstechnica.com/gadgets/2021/06/mass-data-wipe-in-my-book-devices-prompts-warning-from-western-digital/
- https://www.bleepingcomputer.com/news/security/wd-my-book-nas-devices-are-being-remotely-wiped-clean-worldwide/
【編集者メモ】(Ullrich)
何度でも言うが、「ネットワークアタッチドストレージ(NAS)をインターネットに
接続してはいけない。」これらのデバイスには多くの脆弱性があるため、Western
Digital社に限らず注意が必要だ。本デバイスは単純なインターネットのファイル
共有を目的に販売されているが、脆弱性の歴史を見れば、社内のファイル共有以外
に決して使用してはいけないと分かる。
【編集者メモ】(Williams)
残念ながら、ユーザーはほぼ確実にデバイスを直接インターネットに接続していた
のだろう。しかし、ユーザーを責めることはできない。ユーザーはサービスを提供
すると約束したハードウェアに追加料金を支払っていただけである。Western Digital
社は2015年にこのプログラムを停止し、デバイスを使い続けたいユーザーはインタ
ーネットに露出する以外の選択肢がなくなってしまった。ユーザーは知らず知らず
のうちに、CIA三要素のうちの「可用性」に引き寄せられてしまった(おそらく、
三要素の存在に気づかずに)。
【編集者メモ】(Murray)
「リモートファクトリーリセットコマンド」の何が間違っていたのだろうか。ネッ
トワークアタッチドストレージ(NAS)は、インターネットから見えないネットワー
クセグメントに設置する必要がある。
─────────────
◆ Dell SupportAssistの脆弱性 (2021.6.24)
Eclypsiumの研究者らは、Dell SupportAssistのBIOSConnect機能に4つの脆弱性を
発見した。これらの脆弱性を悪用すると、特権を持つネットワーク侵入者がDell.com
になりすまし、影響を受けるデバイスのBIOS/UEFIレベルで任意のコードを実行で
きるという。この欠陥は、128モデルのDell製PCとタブレットに影響するという。5
月下旬にリリースされたサーバー側のアップデートは2つの欠陥に対応しており、
Dellは残りの2つの欠陥に対応するため、クライアント側のファームウェアアップ
デートをリリースしている。
- https://eclypsium.com/2021/06/24/biosdisconnect/
- https://www.wired.com/story/dell-firmware-vulnerabilities/
- https://www.zdnet.com/article/biosconnect-code-execution-bugs-impact-millions-of-dell-devices/
- https://threatpost.com/dell-bios-attacks-rce/167195/
- https://www.bleepingcomputer.com/news/security/dell-supportassist-bugs-put-over-30-million-pcs-at-risk/
- https://thehackernews.com/2021/06/bios-disconnect-new-high-severity-flaws.html
【編集者メモ】(Ullrich)
DellのSupportAssistは他のソフトウェアと異なり、ユーザーのシステムにアクセ
スできる。SupportAssistはブートパーティションが破損したシステムを復旧する
だけでなく、BIOSをフラッシュするリモートサポートを提供するためにシステムを
完全に乗っ取ることができるが、今回の脆弱性はこの能力を攻撃者に譲渡する恐れ
がある。単なるソフトウェアアップデートではなく、BIOSのアップデートが必要に
なることに注意してほしい。
【編集者メモ】(Williams)
企業がOEMソフトウェアを注意深く検査し、必要がない場合は確実に削除しなけれ
ばならないのはこのためである。Dell SupportAssistは、ほとんどの企業で必要な
いものだが、販売されているほぼ全てのDell機器にインストールされている。Security
101では攻撃対象を最小化することが求められており、これも例外ではない。この
機会にゴールデンイメージにインストールされている他のアプリケーション(特に
OEM)を見直し、従業員のほとんどが必要としないものは削除するように。
【編集者メモ】([Neely)
最善の緩和策は、今すぐBIOSアップデートを適用し、7月にリリースされたBIOSConnect
のアップデートを適用することである。BIOSConnectを使用しなくとも、他のパッ
チを使用すれば検証済みのシグネチャを持つアップデートをインストールできる。
また、BIOSConnectを無効にすることもできる。ローカルで行うこともできるが、
DCCリモートシステム管理ツールを使って行う方が良いだろう。システムに安全な
BIOSがインストールされるまで、ユーザーにBIOS Flash Update - Remote(F12)
オプションを介してシステムをアップデートさせないように。
─────────────
◆ OIGレポート、メディケアは病院医療機器のセキュリティ評価を改善する必要が
ある (2021.6.21 & 23)
米保険福祉省監察総監室(OIG HHS)の報告書によると、メディケア・メディケイ
ド・サービスセンター(CMS)は、病院のネットワーク接続された医療機器のサイ
バーセキュリティを評価する適切なプロトコルを持っていないという。OIG HHSは
報告書の中で、「CMSは保健福祉省(HHS)と協議しながら、病院の品質管理におけ
るネットワーク医療機器のサイバーセキュリティに対処する方法を確立し、実施す
ることを推奨する」と記している。
- https://oig.hhs.gov/oei/reports/OEI-01-20-00220.asp
- https://www.scmagazine.com/home/health-care/oig-cms-lacks-protocol-to-assess-networked-medical-device-cybersecurity-in-hospitals/
【編集者メモ】(Neely)
この1年で、潜在的なセキュリティの弱さやスタッフ不足を利用した病院への攻撃
のハードルが上がった。これは核となる重要なコントロールに立ち返るもので、監
視と警告が必要である。スキャンなどのアクティブなプロセスは、OTデバイスに悪
影響を与える可能性があるため注意がいる。特にゲスト、スタッフ、運用中のネッ
トワークサービスを可能な限りセグメント化する。セキュリティ体制を検証し、信
頼できるパートナーを雇って、見落としている問題や改善点を特定する。さらに、
人員やトレーニングの不足も見落とさないように。
【編集者メモ】(Pescatore)
米国では医療機器のセキュリティ監視に複数の機関が関与しており、様々な形式の
認証が行われているが、セキュリティレベルを向上させるための調達や運用上の問
題を解決する強制力が不足していることが問題となっている。個人情報保護の面で
は、医療保険の携行と責任に関する法律(HIPAA)がある程度の効果を発揮し始めて
いるが、メディケアプログラムの参加条件におけるセキュリティ関連の要素につい
てCMSの基準を引き上げるよりも、プライバシーの問題に目を向けた方が進展につ
ながるだろう。
【編集者メモ】(Murray)
ここでも直観は役に立たない。医療機器セキュリティの最初のステップは、医療機
器を隠すことである。一般的な医療機関、特に患者ケアを提供する機関では、ケア
を行うアプリケーションを電子メール、ブラウジングなど、パブリックネットワー
クに接続する必要のあるアプリケーションから隠し、ネットワークを分割する必要
がある。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼7月 5日(月)
デジタル空間での新たな価値提供に向けた顧客ID・アクセス管理(CIAM)とは
https://www.nri-secure.co.jp/seminar/2021/ciam0705?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
▼7月 8日(木)
特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
~失敗しない製品選定の3つのポイントと導入効果~
https://www.nri-secure.co.jp/seminar/2021/ac_id0609?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇7月
SANS Cyber Defence Japan 2021 - Live Online
<SEC504><SEC560><FOR508>
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
〇7月より毎月開催
CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
〇8・11月
セキュアEggs
https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(お役立ち資料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇マイナンバー収集ガイドブック
法人が使える マイナンバー受け渡し手段とは?
https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
〇クリプト便活用ハンドブック
ユースケースに学ぶ課題解決のアプローチ
https://www.nri-secure.co.jp/download/crypto_utilization_handbook?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
〇ゼロトラストセキュリティ入門
https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
>>ダウンロード資料一覧
https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○ログ監視から始めるセキュリティ対策|SOCアナリストからの提言
https://www.nri-secure.co.jp/blog/soc-analysts-interview?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
○次世代リモートアクセスの実現方法|ゼロトラストによる脱VPNへの道筋
https://www.nri-secure.co.jp/blog/zero-trust-and-remote-access?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
○セキュリティ人材の育成方法|今求められる人材像と必要なトレーニング
https://www.nri-secure.co.jp/blog/security-human-resource-development?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
>>ブログ記事一覧
https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、米国CrowdStrike社からアジア・太平洋の最優秀パートナー
として表彰される
~「APJ MSP PARTNER OF THE YEAR 2020」など3つのアワードを受賞~
https://www.nri-secure.co.jp/news/2021/0630?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
○NRIセキュア、クレジットカードのPINコードを扱う事業者向けに、
国際的なセキュリティ基準への準拠支援/審査サービスを開始
https://www.nri-secure.co.jp/news/2021/0623?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
○NRIセキュアの会社紹介動画、弊社コンサルタントのインタビューを掲載
https://www.nri-secure.co.jp/company/message/
https://www.nri-secure.co.jp/company/introductory_video
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210630sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。