──────────────────────────
■■SANS NewsBites Vol.16 No.29
（原版: 2021年 7月20日、23日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃2021年9月開催 豪州共催!オンライントレーニング お申込受付中です　
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Sydney 2021-Live Online】★日英同時通訳★
　https://www.sans-japan.jp/events/sans_sydney_2021

【お知らせ】
　本イベントは、豪州で開催されるSANSトレーニングと共催で実施いたします。
　参加者が僅少の場合は、同時通訳なしでの開催に変更となる場合があります。
　その場合はお申込み後においてもキャンセル料なしで、キャンセルを承ります。
　同時通訳の有無は、開催の約3週間前（2021年8月13日頃）に決定いたします。

〇開催日：2021年9月6日(月)～9月11日(土)　6日間
　SEC487 Open-Source Intelligence (OSINT) Gathering and Analysis
　FOR585 Smartphone Forensic Analysis in-Depth

〇トレーニング価格
　840,000円（税込 924,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_sydney_2021

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃2021年10月開催 オンライントレーニング まもなくお申込受付開始です　
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo Autumn 2021-Live Online】★日英同時通訳★

〇開催日：2021年10月18日(月)～10月23日(土)　6日間
　SEC401 Security Essentials Bootcamp Style <日本語コース>
　SEC511 Continuous Monitoring and Security Operations
　SEC542 Web App Penetration Testing and Ethical Hacking
　SEC588 Cloud Penetration Testing
　SEC699 Purple Team Tactics - Adversary Emulation for Breach Prevention & Detection

〇開催日：2021年10月25日(月)～10月30日(土)　6日間
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　SEC660 Advanced Penetration Testing, Exploit Writing, and Ethical Hacking
　FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
　FOR572 Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
　FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

〇トレーニング価格
　日本語コース応援キャンペーン価格
　※各トレーニング開始日の24暦日前までのお申込みが対象となります
　　SEC401,SEC504 760,000円（税込 836,000円）

　通常価格
　　SEC401,SEC504 810,000円（税込 891,000円）
　　上記2コースを除く8コース　　840,000円（税込 924,000円）

※開催日、コース、価格は変更になる場合がございます

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ Windows最新バージョン、パスワードハッシュの脆弱性 (2021.7.20)
Windows最新バージョンの一部において、ソフトウェア資産管理(SAM)およびSYSTEM
ハイブがすべてのローカルユーザーから読み取れるという。このハイブはハッシュ
化されたパスワードを含み、特権昇格の悪用の標的にされることが多い。しかし、
セキュリティ研究者のJonas Lyk氏とBenjamin Deply氏が発見したように、Windows
最新バージョンの一部ではハイブがシャドーコピーとしてそのまま晒されている。
当初はWindows 11の新しいβ版のみが脆弱とされていたが、追加調査でWindows 10
の最新バージョンにも脆弱性があると判明した。
- https://isc.sans.edu/forums/diary/Summer+of+SAM+incorrect+permissions+on+Windows+1011+hives/27652/
- https://twitter.com/jonasLyk/status/1417205166172950531
- https://twitter.com/jeffmcjunkin/status/1417281315016122372

【編集者メモ】(Ullrich)
今回の「Summer of SAM」と「PrintNightmare」は、2種類の比較的単純な特権昇格
のエクスプロイトを攻撃者に提供している。攻撃を検知するために、エンドポイン
トの可視性が十分か確認してもらいたい。この記事を書いている時点ではSummer of
SAMはまだ発展途上である。緩和策や検知方法については、Microsoftのガイダン
スを参考にしてほしい。攻撃者から提供されるランダムな「パッチ」に騙されない
ように。
─────────────

◆ D-Link製ルーターの脆弱性に対するホットフィックス (2021.7.15 & 16)
D-LINK DIR-3040無線ルーターに存在する複数の脆弱性を悪用し、データの公開、
コードの実行、サービス拒否状態が引き起こされる可能性があるという。D-Linkは
これらの欠陥に対処するファームウェアのホットフィックスをリリースしており、
ユーザーはファームウェアバージョン1.13B03へのアップデートが推奨されている
。
- https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10228
- https://blog.talosintelligence.com/2021/07/vuln-spotlight-d-link.html
- https://www.bleepingcomputer.com/news/security/d-link-issues-hotfix-for-hard-coded-password-router-vulnerabilities/

【編集者メモ】(Ullrich)
また、ハードコードのパスワードだ。ログ開示の脆弱性は理解できる。しかし、ハ
ードコードのパスワードとは何故だろう？忘れないでほしいのは、たとえルーター
がこの脆弱性の影響を受けていなくても、デバイスの管理インターフェイスのイン
ターネットアクセスをオフにすることである。
【編集者メモ】(Neely)
7月15日にリリースされたこのアップデートは、ハードコードのパスワードと、認
証なしで起動できるtelnetサーバーの両方を含む5つの脆弱性に対応している。telnet
サーバーは、ファームウェアに保存されているデフォルトの認証情報を使い、コマ
ンドラインインターフェイス(CLI)にログインできる。D-Linkはこのアップデート
をさらに改良しているため、今すぐ修正プログラムを適用し、追加のアップデート
も見逃さないようにしてほしい。
【編集者メモ】(Murray)
これらのルーターをたくさん使用している企業は、手際よくこの修正プログラムを
適用すべきである。1、2台しか使っていないSOHOユーザーの場合は、単純に機器を
交換するかアップグレードした方が安く済むかもしれない。これらの脆弱性はミス
や見落としというよりも、設計や意図した結果発生したことを考えると、ブランド
の変更を検討した方が良いかもしれない。とは言え、多くの機器は結局交換・アッ
プグレードされることはないと思われる。
─────────────

◆ CISAアラートAA21-200A、起訴されたAPT40攻撃者の戦術・技術・手順
(2021.7.19)
米連邦捜査局(FBI)とサイバーセキュリティインフラセキュリティ庁(CISA)による
共同サイバーセキュリティ勧告で、中国の持続的標的型攻撃(APT)グループ「APT40
」に関する情報が公開されている。本勧告は、サイバーセキュリティ技術者がAPT4
0の侵入や足場を特定し、修復するための戦術・技術・手順(TTPs)および侵害指標(
IOC)が記載されている。
- https://us-cert.cisa.gov/ncas/alerts/aa21-200a

【編集者メモ】(Ullrich)
CISAの警告は社内のハントチームの指揮に最適である。本攻撃の被害者でなかった
としても、同じTTPsが他の攻撃でも使われているため、検出ツールを確認し重要な
場所の可視性を確保するのに役立つ。
【編集者メモ】(Orchilles)
侵害指標(IoC)よりも、敵の行動(TTPs)に焦点を当てている点を評価したい。組織
がTTPsを検知して対応することができれば、攻撃者に変化を迫ることができ、攻撃
者のリソースを失わせることができる。敵の行動の検知に集中するために、侵害を
想定しておこう。
【編集者メモ】(Neely)
ここではATP40に焦点を当てているが、緩和策は広く適用されるため、自分の組織
で適用可能か検討する必要がある。緩和策を組み合わせれば非常に強力な防御とな
り、多くは見覚えがあるはずである。侵害指標(IOC)をセキュリティオペレーショ
ンセンター(SOC)に渡し、セキュリティ情報イベント管理(SIEM)に組み込まれてい
るか確認の上、一致するものがないかチェックするように。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「モバイルデバイスを保護する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
モバイルデバイスを使うと、友人とのコミュニケーションだけではなく、オンラ
インでショッピングや銀行取引、映画鑑賞やゲームなど、生活の一部となってい
るこれらのデバイスを安全に使い続けるためには、デバイスを安全に保つ必要が
あります。今月は、これらのモバイルデバイスを安全に使用し、テクノロジーを
最大限に引き出すための手順を、初心者にもわかりやすく解説します。社内の意
識啓発資料としてご活用ください。

https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt53e9e4fe58c57e30/60dcb8fe102c3048586619d0/ouch!_july_2021_ja_securing_your_mobile_device.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Amnesty Internationalスパイウェア報告 (2021.7.18 & 19 & 22)
Amnesty Internationalのセキュリティラボが、NSOグループのスパイウェア「Pegasus
」を使用した、広範囲で継続的な違法監視と人権侵害を発見した。フォレンジック
調査報告書はモバイルデバイス上でスパイウェアの存在を検出するフォレンジック
ツールについて言及している。
- https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
- https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
- https://github.com/mvt-project/mvt
- https://www.wired.com/story/nso-group-hacks-ios-android-observability/
【編集者メモ】(Ullrich)
Amnestyによるこの優れたレポートは、モバイル機器でIRを行っている人には必読
である。使用されたエクスプロイトは、今はまだハイエンドかもしれないが、食物
連鎖のように下へ浸透していく傾向があることを忘れないように。我々の教訓は、
モバイル機器を常に最新の状態にしておく必要があることと、テキストメッセージ
を使って機器上で任意のコードを実行できる可能性があることである。
【編集者メモ】(Pescatore)
iPhoneやAndroid端末はWindowsPCより侵害されにくいとされてきたが、今回のPegasus
の悪用で決して侵入できないわけではないことが分かった。SANS 2021 New Threat
and Attack reportでは、SANSのインストラクターであるHeather Mahalik氏が多
くの重要課題と実行手順を指摘している。
https://www.sans.org/webcasts/2021-report-top-attacks-threat-report-118445/
【編集者メモ】(Murray)
大規模な監視というわけではなく、ターゲットの多くは政治的なものであり、単な
る有名人を狙ったものもあったようである。このような監視はすべての国で違法で
はないにしても、どの国でも不正や悪用と見なされるだろう。ここでは、犯罪だと
考えるに至る確かな理由に基づき、裁判所から発行された令状が必要となる。
─────────────

◆ Akamai、DNS障害でインターネットが停止 (2021.7.22)
Akamaiは7月22日にインターネットが停止し、多数の主要ウェブサイトの可用性に
影響を与えた問題について、Edge DNSサービスの障害が原因であるとしているが、
原因の詳細は明らかになっていない。Akamaiは修正プログラムを導入しており、今
回の問題はサイバー攻撃によるものではないと述べている。
- https://arstechnica.com/gadgets/2021/07/todays-massive-internet-outage-comes-courtesy-of-akamai-edge-dns/
- https://www.zdnet.com/article/akamai-has-trouble-and-the-internet-hiccups-up-again/
- https://www.bleepingcomputer.com/news/security/akamai-dns-global-outage-takes-down-major-websites-online-services/

【編集者メモ】(Ullrich)
インターネットの大部分を停止できてしまう関門が、また一つ増えた。備えるため
には冗長性と多様性が必要である。サーバーが複数あっても、すべて同じソフトウ
ェアと設定で動いていては意味がない。幸い、Akamaiは迅速に問題解決できたよう
である。
【編集者メモ】(Neely)
インターネットがより集中したサービスに移行し、情報をローカライズしてパフォ
ーマンスやコンテンツのアクセスを向上させるようになると、安定性はそれらのサ
ービスと同等となる。Akamaiのコンテンツデリバリーネットワーク(CDN)シェアは9
.6%に過ぎないが、Oracle、AWS、Microsoft、AT&Tなどの大手企業が利用している
。これらのサービスを利用する際は、障害の影響や緩和策について率直に議論すべ
きだ。障害が発生した際のユーザーとのコミュニケーションや、場合によっては弁
償などの行動計画を定義しておく必要がある。
【編集者メモ】(Pescatore)
ネットワークトラフィックの可視性を高めることで、パフォーマンスに問題のある
内部・外部のサービスと、サービス拒否やその他の攻撃による問題を迅速に区別す
ることができる。ネットワークオペレーションセンター(NOC)とセキュリティオペ
レーションセンター(SOC)が共通の計測機器やツールを使用し、検出・解決・復旧
を迅速に行う大きなチャンスである。
─────────────

◆ Microsoft、Windows 10セキュリティアカウントマネージャーの脆弱性に対する
回避策 (2021.7.21 & 22)
Microsoftが、Windows 10のセキュリティアカウントマネージャー(SAM)データベー
スに影響する特権昇格の脆弱性の回避策を公開した。この欠陥を悪用されると、デ
ータにアクセスされたり、新しいアカウントを作成されたりする恐れがあるという
。
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
- https://threatpost.com/win-10-serioussam/168034/

【編集者メモ】(Neely)
この修正は、system32\configディレクトリのアクセスを制限した後、すべてのボ
リュームシャドウコピー（システム復元ポイント）を削除（再作成）し、権限の変
更が確実にキャプチャされるようにするものである。
【編集者メモ】(Ullrich)
Microsoftのサポート技術情報(KB)記事で最新情報を確認してほしい。当初サーバ
ー版のWindowsに脆弱性はないとされていたが、最新のアップデートで最新のサー
バー版にも脆弱性があると分かった。
【編集者メモ】(Murray)
アカウントを定期的に再認証し、実際の人物と照合する必要があることを忘れずに
。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月5日(木)
　クラウド設定セキュリティセミナー
　～今すぐにでも整備すべきクラウドのセキュリティ設定評価と監視基盤とは～
https://www.nri-secure.co.jp/seminar/2021/cloudsecurity0805?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

〇8月4日(水)、9月9日(木)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2021/ac_id0804?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

〇8月6日(金)
　PCI DSS準拠を成功に導く"特権ID管理”のベストプラクティスとは
　～アクセス管理・ログ管理の負荷を軽減させるSecureCube Access Checkのご紹介～
　https://www.nri-secure.co.jp/seminar/2021/ac_pcidss0806?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8・11月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

〇9月
　SANS Sydney 2021 - Live Online
　　SECURITY 487 ：Open-Source Intelligence (OSINT) Gathering and Analysis
　　FORENSICS 585：Smartphone Forensic Analysis In-Depth
　https://www.sans-japan.jp/events/sans_sydney_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

〇10月より毎月開催
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュアソリューションガイド 2021年7月号
　https://www.nri-secure.co.jp/download/nrisecure-solution-guide?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

〇マイナンバー収集ガイドブック
　法人が使える　マイナンバー受け渡し手段とは？
　https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

〇ゼロトラストセキュリティ入門
　https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○QRコード決済に迫る攻撃者 セキュリティー対策の要諦｜
　アプリ対策だけでは不十分、サービス全体のリスク分析が重要
　https://www.nri-secure.co.jp/blog/qr-code-payment?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

○内部不正対策、再点検のすすめ
　https://www.nri-secure.co.jp/blog/internal-fraud-countermeasures?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

○Out-Car（アウトカー）のセキュリティ対策
　｜必要なのはコネクテッドサービスの全体評価
　https://www.nri-secure.co.jp/blog/out-car-security-measures?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、パロアルトネットワークスの「Prisma Access」を活用した
　情報システムの運用監視サービスを開始
　～ゼロトラストモデルを採用し多様化するアクセス経路を包括的に管理～
　https://www.nri-secure.co.jp/news/2021/0716?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

○NRIセキュア、「短期間」「低コスト」「低負荷」で情報セキュリティリスクの
　可視化と対策評価を行うアセスメントサービスを提供開始
　https://www.nri-secure.co.jp/news/2021/0708?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

○NRIセキュア、米国CrowdStrike社からアジア・太平洋の最優秀パートナー
　として表彰される
　～「APJ MSP PARTNER OF THE YEAR 2020」など３つのアワードを受賞～
　https://www.nri-secure.co.jp/news/2021/0630?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210728sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。