──────────────────────────
■■SANS NewsBites Vol.16 No.35
（原版: 2021年 8月31日、9月3日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【日本語コース 5万円OFF】2021年10月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo Autumn 2021-Live Online】★日英同時通訳★
　https://www.sans-japan.jp/events/sans_tokyo_autumn_2021

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC401、SEC504）でキャンペーン価格を
　設定しております。各トレーニング開始日の24暦日前までにお申込みをい
　ただいた場合、760,000円（税込 836,000円）でのご提供となります。
　+++キャンペーン価格お申込期限+++
　SEC401 2021年9月24日（金）まで、SEC504 2021年10月1日（金）まで

〇開催日：2021年10月18日（月）～10月23日（土）　6日間
　SEC401 Security Essentials Bootcamp Style <日本語コース>
　SEC511 Continuous Monitoring and Security Operations
　SEC542 Web App Penetration Testing and Ethical Hacking
　SEC588 Cloud Penetration Testing
　SEC699 Purple Team Tactics - Adversary Emulation for Breach Prevention & Detection

〇開催日：2021年10月25日（月）～10月30日（土）　6日間
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　SEC660 Advanced Penetration Testing, Exploit Writing, and Ethical Hacking
　FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
　FOR572 Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
　FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

〇トレーニング価格
　日本語コース応援キャンペーン価格
　※各トレーニング開始日の24暦日前までのお申込みが対象となります
　　SEC401,SEC504　　　　　　　 760,000円（税込 836,000円）
　通常価格
　　SEC401,SEC504　　　　　　　 810,000円（税込 891,000円）
　　上記2コースを除く8コース　　840,000円（税込 924,000円）　

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_autumn_2021

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【まもなくお申込受付開始！】2021年11月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Japan November 2021-Live Online】★日英同時通訳★

2021年11月15日より、日本初開催となる2コースのオンライントレーニング
を開催いたします。お申込受付開始まで、今しばらくお待ちくださいませ。

〇開催日：2021年11月15日（月）～11月19日（金）　5日間
　SEC510 Public Cloud Security: AWS, Azure, and GCP

〇開催日：2021年11月15日（月）～11月18日（木）　4日間
　FOR509 Enterprise Cloud Forensics and Incident Response

※開催日、コースは変更になる場合がございます

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ Microsoft、オープンリダイレクトフィッシング攻撃を追跡
(2021.8.26 & 27 & 28 & 30)
Microsoftはオープンリダイレクトリンクを使ってユーザーを誘導し、悪質なウェ
ブサイトを訪問させるクレデンシャルフィッシング攻撃を追跡している。Microsoft
によると、攻撃者は350以上の固有のドメインを使用しているという。
- https://www.microsoft.com/security/blog/2021/08/26/widespread-credential-phishing-campaign-abuses-open-redirector-links/
- https://www.govinfosecurity.com/microsoft-beware-phishing-attacks-open-redirect-links-a-17404
- https://www.theregister.com/2021/08/27/microsoft_phishing_defender/
- https://thehackernews.com/2021/08/microsoft-warns-of-widespread-phishing.html

【編集者メモ】(Neely)
メールやエンドポイントプロテクションサービスが該当するリンクを検出すること
、およびURL保護機能が有効になっていることを確認するように。なお、これらの
ツールがURLを書き換えるため慣れが必要だが、ユーザーの動向やクリックを把握
するオープンリダイレクトで使用されている現在のエンコーディングはすでに高度
に変換されており、ユーザーがターゲットのURLを目視で確認するのは現実的では
ない。Microsoft Defender for Office365はE5/G5ライセンスに含まれており、こ
れらの機能を備えている。
【編集者メモ】(Ullrich)
オープンリダイレクトは、かつてOWASPのWebアプリケーション脆弱性トップ10に入
っていた。今はもう「トップ10」には入っておらず過小評価されがちだが、今でも
一般的な攻撃である。フィッシングに使われることは明らかだが、場合によっては
OAUTH認証情報を盗むのにも使われる。
【編集者メモ】(Pescatore)
Microsoftのブログには「最近の電子メールの脅威は、3つのことに依存している」
と書かれているが、最も重要な要素である「再利用可能なパスワードの使用」につ
いては記載されていない。Microsoftの調査によると、第2の認証要素として単純な
テキストメッセージを使用していたなら、フィッシング攻撃の99.9％は成功しなか
ったはずだという。今回のNewsBitesの別の記事は、米サイバーセキュリティ・イ
ンフラセキュリティ庁(CISA)が「パッチを充てられないソフトウェア」や「デフォ
ルトのパスワードの使用」に加えて、「1要素認証」をBad Practicesリスト(サイ
バーリスクを増大させる行為のリスト)に掲載したことについて書かれている。
─────────────

◆ シンガポール政府CIOオフィス、脆弱性ハンティングプログラムを創設
(2021.8.31)
シンガポール政府技術庁は、公共部門の情報通信技術（ICT）システムで発見され
た脆弱性に対して最大5,000ドルを支払う「Vulnerability Rewardsプログラム」を
創設した。本プログラムは、最初は3つのシステムに限定されるが今後拡大予定だ
という。参加者は、脆弱性調査を開始する前に承認を受ける必要がある。
- https://www.zdnet.com/article/singapore-government-expands-bug-hunt-with-hacker-rewards-scheme/

【編集者メモ】(Pescatore)
シンガポールでは数年前から管理の行き届いたバグバウンティプログラムが実施さ
れており、非常に良い結果が出ている。重要なのは「管理が行き届いている」こと
で、単に提出書類の審査や支払いプロセスを管理するだけでなく、発見された脆弱
性を迅速に修正するプロセスやプレイブックを用意する必要がある。次のステップ
は、脆弱性のあるアプリケーションを生み出したソフトウェア開発やIT運用の手法
を、データを活用することで変えていくことである。
【編集者メモ】(Elgee)
このような公共団体が増えているのは素晴らしいことである。現状では、発見され
た脆弱性に対して責任を持って開示する明確な連絡先すら用意していない団体が多
い。自社のサイトに /.well-known/security.txt はあるだろうか。
【編集者メモ】(Neely)
制限事項をよく読んでもらいたい。プログラムは季節ごとに実施され、毎回10の重
要かつ「注目度の高い」システムを対象としている。また、ハッカーは参加を許可
される前に一連の基準を満たさなければならない。これらのチェックはHackerOne
によって行われ、HackerOneは特定されたターゲットを調査するために必要なVPNゲ
ートウェイも提供する。利用規約に違反した場合は、アクセスが停止される。
─────────────

◆ CISA、Bad Practicesリストに1要素認証を追加 (2021.8.30)
米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Bad Practicesリ
ストに1要素認証を追加した。CISAは「重要インフラや国家重要機能（NCF）をサポ
ートする組織にこれらの悪しき慣行が存在することは非常に危険であり、重要イン
フラのリスクを増大させる」と指摘している。1要素認証は、Bad Practicesリスト
に追加された3つ目の項目となる。1つ目の項目は、サポートされていないソフトウ
ェアや耐用年数の短いソフトウェアの使用、2つ目は既知またはデフォルトのパス
ワードや認証情報の使用である。
- https://www.cisa.gov/BadPractices
- https://www.bleepingcomputer.com/news/security/cisa-don-t-use-single-factor-auth-on-internet-exposed-systems/
- https://www.hstoday.us/federal-pages/dhs/cisa-adds-single-factor-authentication-to-list-of-bad-practices/

【編集者メモ】(Neely)
1要素認証は最小限に抑え、可能な限り排除する必要がある。システムと処理され
るデータの両方の重要性に基づいて、行動の優先順位を決めること。1要素認証を
使う場合は長いパスフレーズを使用し、理想的には侵害データと照合する必要があ
る。信頼されていない場所からのアクセス時に多要素認証に切り替わるシングルサ
インオン(SSO)ソリューションを使用して、ユーザーの支持を得る。エンドポイン
ト／信頼されるデバイスに多要素認証(MFA)の使用を要求する。認証システムの中
には、SSOを使用するシステムが1要素認証でログインしている場合にMFAを要求す
るよう設定できるものがある。
NCFとは何かを知りたい場合は「CISA National Critical Functions」を読んでも
らいたい。 https://www.cisa.gov/national-critical-functions
【編集者メモ】(Spitzner)
挙げられている3つの悪しき慣行のうち、2つはパスワードに関するものである。
VZ DBIRは、ここ3年間に発生した世界的な情報漏えいの原因トップ2のうち、1つが
パスワードであるとしている（もう1つはフィッシング）。私はMFAの大ファンであ
り、支持者である。今後CISAがこのリストに何を追加するかに興味が湧く。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「アカウントを保護するためのシンプルな1ステップ」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サイバー犯罪者からのアプローチを阻止する唯一な手段はありませんが、重要な
アカウントで 2要素認証を有効にするだけでも、彼らが攻撃に成功する可能性を
下げることができます。今月は、パスワードによる保護と 2要素認証の重要性に
ついて初心者にもわかりやすく解説します。社内の意識啓発資料としてご活用く
ださい。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt6f167dd6e2814ac3/612ac4493ff46b267bdf8fb3/ouch!_september_2021_Japanese_one_simple_step_to_securing_your_accounts.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 信用組合の元従業員、コンピュータ侵入・データ破壊の罪を認める
(2021.8.31 & 9.1)
ニューヨークの女性が、元雇用主が管理するデータを破壊した罪を認めた。2021年
6月、Juliana Barileは無名の信用組合のリモートワーカー職を解雇され、同社従
業員は彼女のネットワークアクセスを無効にするようIT部門に依頼したが、実行さ
れなかったという。彼女はその後同社のファイルサーバーにアクセスし、住宅ロー
ンの申込書やその他の機密情報を含む21.3GBのデータを削除したという。
- https://www.bleepingcomputer.com/news/security/fired-ny-credit-union-employee-nukes-21gb-of-data-in-revenge/
- https://www.theregister.com/2021/09/01/credit_union_delete/
- https://www.justice.gov/usao-edny/press-release/file/1428871/download
- https://www.justice.gov/usao-edny/pr/brooklyn-woman-pleads-guilty-unauthorized-intrusion-credit-union-s-computer-system

【編集者メモ】(Pescatore)
従業員が解雇されてからアクセス権が削除されるまでのプロセスを自動化しないこ
とによるリスクは、長年の課題となっている。しかし、こういったプロセスを取り
入れている組織でも、リモートで働くパートタイム労働者の管理が抜け落ちている
ことはよくある。契約社員やパートタイム労働者は通常の人事システムで処理され
るとは限らず、VPNアクセスがアクセス削除プロセスにうまく統合されていないこ
とが多い。この2つの問題に目を向けるべきである。
【編集者メモ】(Neely)
解雇された2日後、女性はログインして40分以内にデータを削除した。2つの教訓が
ある。1つは、雇用主は解雇された従業員のアカウントを直ちに（可能であれば従
業員が職場を去る前に）無効にしなければならないということ。2つ目は、元従業
員が悪意を持ってアカウントを使用すると、必ず捕まるということである。Jeff
ManがPCI DSSの8.1.3の中で、終了したユーザーのアクセス権を直ちに剥奪すべき
だということを述べている。
【編集者メモ】(Murray)
権限を付与する前に、いつ、どのようにその権限を剥奪するかを明確にしてもらい
たい。
─────────────

◆ 22TB以上のデータを削除したダラス警察IT職員を解雇 (2021.9.1)
ダラス市警察のIT職員が、証拠書類を含む22.5TBの警察データを削除したことが判
明し、解雇された。市は4月に7.5TBの証拠書類が削除されたことを発見し、監査の
結果、警察の証拠書類や市の秘書室のファイルなどさらに15TBのデータが削除され
ていたことが判明した。この従業員は警察の証拠書類をクラウドストレージからロ
ーカルサーバーに移しており、ダラス警察の調査では、この元従業員の行為は犯罪
ではないと判断された。
- https://www.govtech.com/security/dallas-terminates-worker-who-deleted-22-5-tb-of-police-data

【編集者メモ】(Neely)
このような行為を検知できるか確認してほしい。情報漏洩対策(DLP)は最優先事情
ではないかもしれないが、情報保護には紛失検知も含まれる。記録を適切に保存し
、アーカイブだけでなく削除や変更も防止するために、変更不可になっていること
を確認してもらいたい。
【編集者メモ】(Pescatore)
詳細は不明だが、どうやら従業員のミスのようだ。しかし影響は大規模なランサム
ウェア攻撃と同程度で、「王冠の宝石」のような貴重データが消されている。「ク
ラウドに保存しているのだから、バックアップしなければならない」という意見が
多い。もしそのようなサービスが有料であればその通りかもしれない。しかしクラ
ウド上のデータも、オンプレミスのサーバーと同じように誤って永久に削除されて
しまう可能性はある。
─────────────

◆ 既知のAtlassian Confluenceの脆弱性を悪用し、暗号解読機をインストール
(2021.9.2)
攻撃者らが、最近公開されたAtlassian Confluenceの脆弱性を悪用して暗号化ソフ
トウェアをインストールしている。Atlassianは8月25日にリモートコード実行の欠
陥に関するアドバイザリを公開しており、この問題を修正するアップデートが提供
されている。ユーザーは、できるだけ早くアップグレードするよう求められている
。
- https://www.bleepingcomputer.com/news/security/atlassian-confluence-flaw-actively-exploited-to-install-cryptominers/

[Ullrich]
【編集者メモ】(Ullrich)
まだ未対応の人は、長期休暇の前にパッチを充てるように。Confluenceは巨大なタ
ーゲットであり、ソフトウェア開発プロセスが危険にさらされる可能性がある。脆
弱性の詳細や悪用方法は公開されているため、悪用されているのを見ても驚きはな
い。
【編集者メモ】(Neely)
この攻撃は、ネットワークを介して横方向に展開されている。Confluenceサーバー
をスキャンし、アップデートされていることと、侵害されていないことを確認する
ように。特にインターネットに接続されたシステムは、アップデートを連休明けま
で先延ばしにしないこと。
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇9月9日(木)
　CISSPオンラインチャレンジセミナー
　「CISOに必要な情報セキュリティの知識と考え方」
　https://www.nri-secure.co.jp/seminar/2021/cissp0909?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

〇9月9日(木)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2021/ac_id0909?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

〇9月29日(水)
　導入事例に学ぶ！ゼロトラストシフトを加速するOktaの実力とは
　https://www.nri-secure.co.jp/seminar/2021/okta0929?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇9月
　SANS Sydney 2021 - Live Online
　　SECURITY 487 ：Open-Source Intelligence (OSINT) Gathering and Analysis
　　FORENSICS 585：Smartphone Forensic Analysis In-Depth
　https://www.sans-japan.jp/events/sans_sydney_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

○10月
　SANS Tokyo Autumn 2021
　https://www.sans-japan.jp/events/sans_tokyo_autumn_2021?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

〇10月より毎月開催
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

〇11月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュアソリューションガイド 2021年7月号
　https://www.nri-secure.co.jp/download/nrisecure-solution-guide?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

〇マイナンバー収集ガイドブック
　法人が使える　マイナンバー受け渡し手段とは？
　https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

〇ゼロトラストセキュリティ入門
　https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○利用者自らが個人情報を管理する時代の到来｜デジタル時代の新たなアイデンティティー管理の在り方
https://www.nri-secure.co.jp/blog/new-identity-management?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

○大規模インシデントでのEDR活用例
　https://www.nri-secure.co.jp/blog/forensics-using-edr?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

○非金融業が金融系サービスを始める際に踏まえるべきセキュリティーのポイント｜
　他業界より高い要求水準、基準・ガイドラインが有用
　https://www.nri-secure.co.jp/blog/financial-services-by-non-financial-industry?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「世界トップレベルのセキュリティに挑戦せよ」
　学生向けハッキングトーナメント「NRI Secure NetWars 2021」が
　11月3日に開催決定！参加者100名募集中！
　https://www.nri-secure.co.jp/news/2021/0906?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

○NRIセキュア、「クラウド型WAF管理サービス（Imperva Cloud WAF）」を
　提供開始
　https://www.nri-secure.co.jp/news/2021/0826?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

○NRIセキュア、トヨタ自動車にBtoCサービス向け統合IAMソリューション
　「Uni-ID Libra」を提供開始
　～「TOYOTA/LEXUSの共通ID」の認証基盤として採用～
　https://www.nri-secure.co.jp/news/2021/0817?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210908sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。