──────────────────────────
■■SANS NewsBites Vol.16 No.32
（原版: 2021年 8月7日、13日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃2021年10月開催 オンライントレーニング お申込受付中です！
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo Autumn 2021-Live Online】★日英同時通訳★
　https://www.sans-japan.jp/events/sans_tokyo_autumn_2021

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC401、SEC504）でキャンペーン価格を
　設定しております。各トレーニング開始日の24暦日前までにお申込みをい
　ただいた場合、760,000円（税込 836,000円）でのご提供となります。
　+++キャンペーン価格お申込期限+++
　SEC401 2021年9月24日(金)まで、SEC504 2021年10月1日(金)まで

〇開催日：2021年10月18日(月)～10月23日(土)　6日間
　SEC401 Security Essentials Bootcamp Style <日本語コース>
　SEC511 Continuous Monitoring and Security Operations
　SEC542 Web App Penetration Testing and Ethical Hacking
　SEC588 Cloud Penetration Testing
　SEC699 Purple Team Tactics - Adversary Emulation for Breach Prevention & Detection

〇開催日：2021年10月25日(月)～10月30日(土)　6日間
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　SEC660 Advanced Penetration Testing, Exploit Writing, and Ethical Hacking
　FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
　FOR572 Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
　FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

〇トレーニング価格
　日本語コース応援キャンペーン価格
　※各トレーニング開始日の24暦日前までのお申込みが対象となります
　　SEC401,SEC504　　　　　　　 760,000円（税込 836,000円）
　通常価格
　　SEC401,SEC504　　　　　　　 810,000円（税込 891,000円）
　　上記2コースを除く8コース　　840,000円（税込 924,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_autumn_2021

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃2021年9月開催 豪州共催!オンライントレーニング お申込受付中です！　
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Sydney 2021-Live Online】★日英同時通訳★
　https://www.sans-japan.jp/events/sans_sydney_2021

【お知らせ】
　本イベントは、豪州で開催されるSANSトレーニングと共催で実施いたします。
　SEC487、FOR585コースは、日英同時通訳付きで開催いたします。

〇開催日：2021年9月6日(月)～9月11日(土)　6日間
　SEC487 Open-Source Intelligence (OSINT) Gathering and Analysis
　FOR585 Smartphone Forensic Analysis in-Depth

〇トレーニング価格
　840,000円（税込 924,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_sydney_2021

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 攻撃者、Microsoft Exchange ProxyShellの脆弱性をスキャン (2021.8.7)
攻撃者らが、Microsoft Exchange ProxyShellの脆弱性を活発にスキャンしている
という。Microsoftは4月に3つの脆弱性の修正プログラムをリリース、5月と7月に
アドバイザリを公開した。この脆弱性に関する技術的な詳細は、先週開催された
Black Hatカンファレンスで公開されている。
- https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/
- https://www.securityweek.com/internet-scanned-microsoft-exchange-servers-vulnerable-proxyshell-attacks

【編集者メモ】(Neely)
CVE-2021-34473、CVE-2021-34523、CVE-2021-31207の3つの共通脆弱性識別子(CVE)
を利用して脆弱性が悪用されている。最初の2つは4月のExchange KP5001779累積更
新プログラムで、3つ目は5月のKB003435更新プログラムでパッチが適用された。最
新のExchangeアップデートを適用し、Azure Sentinelを使ってIISログの「/autodiscover/autodiscover.json
」と「/mapi/nspi/」の文字列をチェックし、サーバーを標的とした脆弱性の悪用
を検出するように。
【編集者メモ】(Ullrich)
DefconのOrange Tsai氏の講演で、Exchangeの新しい脆弱性の可能性に関する一連
の流れが説明された。ProxyShellが最後の脆弱性となるとは到底思えない。Exchange
のパッチ適用のプレイブックを手元に置いておこう。今日のうちに（あるいは数ヶ
月のうちに）Microsoftがさらに重大なExchangeの脆弱性にパッチを当てることに
なっても、不思議ではない。
─────────────

◆ ミズーリ州ジョプリン市、ランサムウェアの要求に支払う (2021.8.6 & 9)
ミズーリ州ジョプリン市の保険会社は、7月に同市のネットワークがランサムウェ
アの攻撃を受けた後、32万ドル(約3500万円)の身代金を支払ったという。ジョプリ
ン市の市政管理者によると、身代金は盗まれたデータの流出を防ぐために支払われ
たものであり、「市は通常の業務を再開するために必要なほぼ全てのシステムと関
連データを復元した」と述べている。
- https://www.securityweek.com/joplin-city-computer-shutdown-was-ransomware-attack
- https://www.govtech.com/security/ransomware-shuts-down-online-services-in-joplin-mo

【編集者メモ】(Pescatore)
身代金を支払った後も、市は影響が及ぶ可能性のある市民全員に通知したり、通常
のクレジット/ID盗難監視サービスを提供したり、さらにはランサムウェア攻撃に
つながった不備を改善するための費用を負担したりしなければならない。攻撃者が
データを制御できる立場にいたため、侵害が発生した。身代金の支払いによって市
民の被害が軽減されることに期待したいが、支払うことによって市の負担コストが
減るわけではない。
─────────────

◆ Pulse Secure、VPNアプライアンスの修正プログラムをリリース (2021.8.9)
Pulse Secureは昨年適切にパッチが適用されていなかった脆弱性の修正プログラム
をリリースした。この重大な認証後のリモートコード実行の脆弱性は、Connect
Secure VPNアプライアンスに影響するという。
- https://thehackernews.com/2021/08/pulse-secure-vpns-get-new-urgent-update.html
- https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44858

【編集者メモ】(Ullrich)
幸運なことに、この問題には新しいCVE番号が割り当てられた。しかし、ある意味
では脆弱性に対して昨年リリースされたパッチが不完全だったことが原因だと言え
る。今回の件に惑わされず、必ずパッチを充てるようにする。元々の脆弱性は頻繁
に悪用された。
【編集者メモ】(Neely)
Pulse Secureは外部の厳格なコードレビューを開始し、6つの脆弱性を発見した。
これらの脆弱性は9.1R12のファームウェアアップデートで修正されている。また、
このアップデートにより、ダウンタイムなしで整合性チェックツールを実行できる
ようになった。以前からこのダウンタイムは欠点とされ、侵害を検出するための事
前のアクションが必要だった。この点が改善されただけでも、本アップデートを適
用する優先順位を上げることの説明がつく。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「クラウドの安全な利用」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
クラウドサービスはo365やicloudなどが分かりやすいかもしれません。大変便利
なサービスではありますが、いくつかの注意点を押さえておかないと、セキュリ
ティ的な問題に巻き込まれてしまう可能性があります。今月は、クラウドの安全
な利用についてプロバイダの選択方法やデータ保護機能の注意点などを初心者に
もわかりやすく解説します。社内の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt120c851dc7e4ba25/61071f8c3ea66f3ecbdbc4d3/ouch!_Japanese_august_2021_securely_using_the_cloud.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Microsoftの火曜日パッチで悪用が頻発する脆弱性を修正 (2021.8.10)
8月10日（火）、Microsoftは44件のセキュリティ問題の修正プログラムを公開した
。このバッチはWindows Print Spoolerに影響を与える3つのセキュリティ問題に対
するパッチを含むという。欠陥の1つ（CVE-2021-36948）はWindows Medic Update
Serviceに影響する特権昇格の問題で、頻繁に悪用されている。
- https://www.darkreading.com/vulnerabilities-threats/patch-tuesday-puts-spotlight-on-windows-print-spooler
- https://krebsonsecurity.com/2021/08/microsoft-patch-tuesday-august-2021-edition/
- https://threatpost.com/exploited-windows-zero-day-patch/168539/
- https://thehackernews.com/2021/08/microsoft-releases-windows-updates-to.html
- https://www.theregister.com/2021/08/10/microsoft_patch_tuesday/

【編集者メモ】(Ullrich)
最新のPrintNightmareのパッチにより、ユーザーはプリントドライバーを使用でき
なくなり、機能性が低下する。しかし、このような機能性の変更があっても、PrintNightmare
はここで終わらない。Print Spooler関連の新たな脆弱性や概念実証(PoC)侵害が公
開され、侵害されたプリントサーバーに接続するクライアントに影響を与えている
。この脆弱性は、ローカルでの特権昇格に利用される可能性がある（例えば、攻撃
者が侵害されたシステムで特権を昇格させるために悪意あるプリントサーバーを設
定して接続するなど）。同時に、古いPrintNightmareの問題もランサムウェア攻撃
者によって頻繁に悪用されている。
【編集者メモ】(Neely)
Microsoftは現在、プリントドライバーをインストールする際の管理者権限要求を
オプションのセカンドステップとしてではなく、強制的に行っている。Windows Update
Medic ServiceはWindows Updateが壊れたときに修復を支援する新しいサービスで
あり、修復のための一連の回避策なしに、ユーザーがアップデートを継続して受け
られるようにする。この修正だけでも、更新プログラムを配布する価値がある。
─────────────

◆ 新たなWindows Print Spoolerのバグ（CVE-2021-36958） (2021.8.12)
月例パッチリリースの翌日、MicrosoftはWindows Print Spoolerに影響を与える別
の脆弱性を公開した。この特権昇格/リモートコード実行の脆弱性は、Windows Print
Spoolerサービスが特権的なファイル操作を不適切に実行した場合に発生する。
CERTコーディネーションセンターは、脆弱性に関する注意喚起を行っている。
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958
- https://www.kb.cert.org/vuls/id/131152
- https://www.zdnet.com/article/windows-10-microsoft-just-revealed-another-print-spooler-bug/
- https://threatpost.com/microsoft-unpatched-printnightmare-zero-day/168613/

【編集者メモ】(Neely)
パッチがリリースされるまでの緩和策は2つある。1つは境界のSMB共有をブロック
することで、もう1つはPrint Spoolerを無効にすることである。Print Spoolerを
無効にするとローカルとリモートの印刷ができなくなるため、特にドメインコント
ローラーやPrint Spoolerではないサーバーなど印刷の必要のないシステムは無効
にするようにする。
─────────────

◆ GitHub、Git操作の認証にパスワードを使用不可に (2021.8.12)
2021年8月13日より、GitHubはGit操作の認証にトークンベースの認証を必要とする
。現在認証にユーザー名とパスワードを使用している人は、HTTPSまたはSSHキーに
よる個人アクセストークンに移行する必要がある。なお、GitHubアカウントの2要
素認証(2FA)をすでに有効にしているユーザーはこの変更の影響を受けない。
- https://github.blog/changelog/2021-08-12-git-password-authentication-is-shutting-down/
- https://www.bleepingcomputer.com/news/security/github-deprecates-account-passwords-for-authenticating-git-operations/

【編集者メモ】(Wright)
組織によってはこの移行が問題を起こしたり、サービスが中断されたりすることも
あるだろうが、このような苦労を伴う移行は、パスワードなしの認証への移行戦略
を強制するために、業界として必要である。GitHubを称えたい。
【編集者メモ】(Neely)
パスワードを使っていないことを確認すべき領域の1つ。すべてのアカウント、特
に自動化されたプロセスで使用されているアカウントを更新し、サービスが中断さ
れないようにしてもらいたい。
【編集者メモ】(Pescatore)
再利用可能なパスワードを使わないようにすることで、攻撃のハードルを上げるこ
とができる。ソフトウェアの開発プロセスにGitHubの利用が含まれている場合は、
本件を理由にソフトウェアの開発・保守のライフサイクル全体で認証を強化するよ
うに。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月1日(水)
　Netskope導入事例に学ぶ！クラウドシフトを加速するセキュリティ
　https://www.nri-secure.co.jp/seminar/2021/netskope0901?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

○9月8日(水)
　GRCの観点から考えるサイバーセキュリティリスク管理
　～クラウド利用とエンドポイントで対策すべきこととは～
　https://www.nri-secure.co.jp/seminar/2021/grc_securityriskmanage0908?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

〇9月9日(木)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2021/ac_id0909?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇9月
　SANS Sydney 2021 - Live Online
　　SECURITY 487 ：Open-Source Intelligence (OSINT) Gathering and Analysis
　　FORENSICS 585：Smartphone Forensic Analysis In-Depth
　https://www.sans-japan.jp/events/sans_sydney_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

○10月
　SANS Tokyo Autumn 2021
　https://www.sans-japan.jp/events/sans_tokyo_autumn_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

〇10月より毎月開催
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

〇11月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュアソリューションガイド 2021年7月号
　https://www.nri-secure.co.jp/download/nrisecure-solution-guide?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

〇マイナンバー収集ガイドブック
　法人が使える　マイナンバー受け渡し手段とは？
　https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

〇ゼロトラストセキュリティ入門
　https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○暗号資産保護における 「鍵管理」の重要性
　｜鍵のライフサイクルを踏まえた運用設計が不可欠
　https://www.nri-secure.co.jp/blog/key-management?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

○「PCI DSS準拠」を維持するためのコツ｜運用負荷の高い要件の効率化
　https://www.nri-secure.co.jp/blog/tips-for-maintaining-pci-dss-compliance?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

○自己主権型アイデンティティとは？｜個人情報管理の新たな姿
　https://www.nri-secure.co.jp/blog/ssi?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、トヨタ自動車にBtoCサービス向け統合IAMソリューション
　「Uni-ID Libra」を提供開始
　～「TOYOTA/LEXUSの共通ID」の認証基盤として採用～
　https://www.nri-secure.co.jp/news/2021/0817?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

○NRIセキュア、特権ID管理ソリューション「SecureCube Access Check」の
　統合ログ管理連携オプションを強化
　～新たに12種類のレポートテンプレートを提供開始～
　https://www.nri-secure.co.jp/news/2021/0813?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

○NRIセキュア、パロアルトネットワークスの「Prisma Access」を活用した
　情報システムの運用監視サービスを開始
　～ゼロトラストモデルを採用し多様化するアクセス経路を包括的に管理～
　https://www.nri-secure.co.jp/news/2021/0716?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210818sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。