──────────────────────────
■■SANS NewsBites Vol.16 No.40
（原版: 2021年 10月5日、8日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込締切間近です！】2021年10月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo Autumn 2021-Live Online】★日英同時通訳★
　https://www.sans-japan.jp/events/sans_tokyo_autumn_2021

※お申込締切：2021年10月15日（金）
〇開催日：2021年10月25日（月）～10月30日（土）　6日間
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　SEC660 Advanced Penetration Testing, Exploit Writing, and Ethical Hacking
　FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
　FOR572 Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
　FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

〇トレーニング価格
　SEC504　　　　　　　 　　　 810,000円（税込 891,000円）
　上記2コースを除く4コース　　840,000円（税込 924,000円）　

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_autumn_2021

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込受付中です】2021年11月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Japan November 2021-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_japan_november_2021

2021年11月15日より、日本初開催となる2コースのオンライントレーニング
を開催いたします。

〇開催日：2021年11月15日（月）～11月19日（金）　5日間
　SEC510 Public Cloud Security: AWS, Azure, and GCP

〇開催日：2021年11月15日（月）～11月18日（木）　4日間
　FOR509 Enterprise Cloud Forensics and Incident Response

〇トレーニング価格
　SEC510　　　830,000円（税込 913,000円）
　FOR509　　　690,000円（税込 759,000円）　

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
https://www.sans-japan.jp/events/sans_japan_november_2021

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【SEC504 5万円OFFにて受付中】2021年12月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo Winter 2021-Live Online】★日英同時通訳★
　https://www.sans-japan.jp/events/sans_tokyo_winter_2021

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC504）でキャンペーン価格を設定して
　おります。トレーニング開始日の24暦日前までにお申込みをいただいた場合、
　790,000円（税込 869,000円）でのご提供となります。
　+++キャンペーン価格お申込期限　2021年11月5日（金）まで+++
　
〇開催日：2021年11月29日（月）～12月4日（土）　6日間
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　SEC642 Advanced Web Application Penetration Testing, Ethical Hacking, and Exploitation Techniques
　FOR518 Mac and iOS Forensic Analysis and Incident Response

〇開催日：2021年11月29日（月）～12月1日（水）　3日間
　FOR608 Enterprise-Class Incident Response & Threat Hunting

〇開催日：2021年12月6日（月）～12月11日（土）　6日間
　SEC488 Cloud Security Essentials
　SEC560 Network Penetration Testing and Ethical Hacking
　SEC575 Mobile Device Security and Ethical Hacking

〇トレーニング価格
　日本語コース応援キャンペーン価格
　※トレーニング開始日の24暦日前（11/5）までのお申込みが対象となります
　　SEC504　　　　　　　　　　　　　790,000円（税込 869,000円）
　通常価格
　　SEC504　　　　　　　　　　　　　840,000円（税込 924,000円）
　　FOR608　　　　　　　　　　　　　520,000円（税込 572,000円）
　　SEC504,FOR608を除く5コース　　　880,000円（税込 968,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_winter_2021

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ FCC、SIMスワップ攻撃対策の規則制定を提案 (2021.10.1)
米国連邦通信委員会（FCC）がSIMスワップ攻撃や、ポートアウト詐欺に関する規則
制定案のフィードバックを求めている。これらは携帯電話番号を掌握し、関連する
アカウントにアクセスする攻撃である。本規則案は、「Customer Proprietary
Network Information（CPNI）および番号ポータビリティ（LNP）の規則を改正し、
通信事業者は顧客の電話番号を新しい機器や通信事業者に転送する前に安全な方法
で認証することを求めるよう」提案している。また、顧客のアカウントでSIMの変
更やポートの要求が行われた場合、プロバイダが直ちに顧客に通知することを義務
付けるよう提案している。
- https://krebsonsecurity.com/2021/10/fcc-proposal-targets-sim-swapping-port-out-fraud/
- https://www.bleepingcomputer.com/news/security/the-fcc-proposes-rules-to-fight-sim-swap-and-port-out-fraud/
- https://docs.fcc.gov/public/attachments/FCC-21-102A1.pdf

【編集者メモ】(Pescatore)
長年の問題に対し、FCCがようやく行動を起こしたのは良いことである。昨年プリ
ンストン大学の研究で、ほとんどの通信事業者でSIMスワッピングの許可・認証の
プロセスがいまだに使われていることが明らかになった。FCCは、次は携帯電話番
号のスプーフィングにも取り組むだろう。
【編集者メモ】(Neely)
SIMスワッピングに関連するモバイルアカウントのセキュリティ設定を確認しても
らいたい。いくつかの通信事業者は、正規のスワップを承認するために追加のPIN
の作成を要求するなど、制御を更新している。しかし、それでも文言には注意を払
う必要がある。二要素認証(2FA)を設定する際は、SMSや携帯電話の通話以外のオプ
ションを選択するように。それしか選択肢がない場合も、再利用可能なパスワード
よりは安全である。
【編集者メモ】(Murray)
難しい問題である。通信事業者は少数の不正なスワッピングに抵抗する一方で、多
数の正当な理由（紛失、盗難、故障、機種変更）の交換効率を下げたり負担をかけ
たりしたくないと考えている。最低限、通信事業者はすべての交換を帯域外で確認
する必要がある。安く済むし、それほど不便でもない。
─────────────

◆ Coinbase、MFA脆弱性の悪用で暗号通貨を窃取 (2021.10.1)
攻撃者がCoinbase SMSの多要素認証（MFA）機能の脆弱性を悪用し、少なくとも6,0
00人のCoinbaseの顧客から暗号通貨を盗んだ。先週Coinbaseは影響を受けたユーザ
ーに通知し、侵入は2021年3月から5月にかけて発生したという。暗号通貨を盗むた
めに、攻撃者は対象となるCoinbaseの顧客のメールアドレス、パスワード、電話番
号、およびメールアカウントのアクセスを使った可能性がある。Coinbaseは攻撃を
受けた後SMS Account Recoveryプロトコルを更新し、認証プロセスのバイパスを防
止したという。
- https://www.zdnet.com/article/coinbase-sends-out-breach-notification-letters-after-6000-accounts-had-funds-stolen/
- https://threatpost.com/mfa-glitch-coinbase-customers-robbery/175290/
- https://www.bleepingcomputer.com/news/security/hackers-rob-thousands-of-coinbase-customers-using-mfa-flaw/
- https://www.documentcloud.org/documents/21073975-09-24-2021-coinbase-customer-notification

【編集者メモ】(Pescatore)
パスワード、2FA、バイオメトリクスなど、あらゆる認証方法で主要な認証方法が
機能しない場合に備えたバックアップの認証方法が必要である。これらのプロセス
はセキュリティよりも使いやすさやコスト削減を優先していることが多いため、弱
点がないかテストする必要がある。(上記のFCC/SIMスワッピングの記事を参照）
【編集者メモ】(Ullrich)
Coinbaseは、欠陥が2FAのリカバリープロセスに関連していたこと以外、あまり詳
細を明らかにしていない。これまでのところ、失った2FAを安全かつ効率的に回復
するシステムは見たことがない。多くの場合、復旧にはいくつかのセキュリティ質
問に答えるか、ヘルプデスクに電話してさらに復旧のために質問へ回答することが
必要である。さらに良くないのは、復旧システムにバグがあり、ユーザーが単純な
6桁のコードをブルートフォースで入力することで2FAを無効にすることができる場
合である。
【編集者メモ】(Neely)
攻撃者はユーザーアカウントを回復し、ログインして、Coinbase以外のウォレット
に資金を移した。Coinbaseは複数のMFAオプションがあり、セキュアキー、TOTP、
そして最後の手段としてSMSが用意されている。アカウントを保護していたのに資
金を失った被害者には、払い戻しを行っている。Coinbaseやその他の暗号通貨のウ
ォレットを使っている人はMFAのオプションを再検討し、可能であればSMSを使わな
いようにしてもらいたい。
─────────────

◆ 月曜のFacebook障害、BGPルートアップデートの不備が原因か (2021.10.4)
2021年10月4日（月）に発生したFacebook、Instagram、WhatsApp、その他Facebook
のプロパティの障害は、ボーダーゲートウェイプロトコル（BGP）ルートアップデ
ートの不備による可能性が高いという。障害は午前11時30分頃（米国東部標準時）
に発生し、Facebookのサービスは約5時間後にオンラインに戻った。本障害により
バッジアクセスシステムが作動しなかったため、一部のFacebook社員は建物に入る
ことができなくなった。
- https://isc.sans.edu/forums/diary/Facebook+Outage+Yes+its+DNS+sort+of+A+super+quick+analysis+of+what+is+going+on/27900/
- https://www.theverge.com/2021/10/4/22709806/facebook-says-the-six-hour-outage
- https://www.wired.com/story/why-facebook-instagram-whatsapp-went-down-outage/
- https://www.bleepingcomputer.com/news/technology/facebook-whatsapp-and-instagram-down-due-to-dns-outage/
- https://arstechnica.com/information-technology/2021/10/facebook-instagram-whatsapp-and-oculus-are-down-heres-what-we-know/
- https://www.govinfosecurity.com/facebook-instagram-whatsapp-suffer-widespread-outage-a-17669
- https://engineering.fb.com/2021/10/04/networking-traffic/outage/

【編集者メモ】(Ullrich)
BGPのミスによる障害やルーティングの問題は、追跡するウェブサイトが多いほど
よくあることだ（例： https://observatory.manrs.org/#/history ）。次回の事
業継続の机上訓練では、ルーティングの問題で認証サーバーがダウンした場合を考
えると良い。ルーティングの更新を行うために、ローカルとリモートのユーザーを
認証する認証サーバーを含めるように。
【編集者メモ】(Pescatore)
まず頭に浮かんだのが、Facebookが使えなかった5時間の間に世界経済の生産性は
上がったのではないかということ・・それはさておき、長いシステム障害が社内の
ミスによって起こる場合がある。1990年1月にATTが自社のスイッチに不正なソフト
ウェアアップデートを行い、9時間以上にわたり通信に障害が及んだことを覚えて
いるだろうか。DDoSやランサムウェアのインシデントと同様、収益に直結するサー
ビスの長期的な停止にどう対処するかは、重要な机上訓練となる。
【編集者メモ】(Neely)
BGPの更新を元に戻すには、物理的なアクセスシステムがオフラインになっている
建物内のルーターに物理的にアクセスする必要があった。物理的なアクセスコント
ロールシステムに実行可能なコンティンジェンシープランがあるか確認してもらい
たい。ITコンポーネントへの物理的なアクセスを必要とするユースケースを文書化
し、そのアクセスをさらに最小化するためのオプションを見落としていないかも確
認するように。危機管理用の物理アクセス制御も定期的にテストし、単一障害点(
SPOF)がないかどうかも確認するように。WindowsのMicrosoft Solitaireゲームが
原因で生産性が低下したことを覚えているだろうか。ソーシャルメディアがそうな
ってきているようで、Windowsシステムだけでなく、ユーザーが持つほぼ全てのプ
ラットフォームから利用できるようになっている。今回の障害を考慮し、使用ポリ
シーを再検討する時期がきているのかもしれない。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「一般的なメールの間違いを避けるには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
コミュニケーション手段として、電子メールは必要不可欠な存在ですが、使い方
を間違えると自分自身でピンチを招いてしまうことになります。今月は、電子メ
ールを使うにあたってよくある間違いと回避方法について初心者にもわかりやす
く解説します。社内の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt8e10829f7f8f859a/6155f119e289fa55888ecd14/ouch!_october_2021_Japanese._surviving_email.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Medtronic、サイバーセキュリティリスクによりインスリンポンプのリモートコ
ントローラをリコール (2021.10.5 & 6)
Medtronicは、インスリンポンプMiniMed 508およびMiniMed Paradigmのリモートコ
ントローラをリコールした。機器は、1999年8月から2018年7月の間に配布されたも
が対象となる。リモートコントローラのデバイスにはキャプチャー・リプレイ攻撃
の脆弱性があり、ポンプが吐出するインスリンのレベルを変更するために使用され
る可能性がある。
- https://www.fda.gov/medical-devices/medical-device-recalls/medtronic-recalls-remote-controllers-used-paradigm-and-508-minimed-insulin-pumps-potential
- https://www.scmagazine.com/analysis/hardware-security/fda-urges-return-of-vulnerable-recalled-medtronic-remote-insulin-pump-controllers
- https://www.bleepingcomputer.com/news/security/medtronic-urgently-recalls-insulin-pump-controllers-over-hacking-concerns/
- https://www.govinfosecurity.com/patient-safety-concerns-grow-over-medical-gear-security-a-17687

【編集者メモ】(Pescatore)
この脆弱性は2018年に発見され、最初は限定的なリコールとして発表された。
Medtronic取締役会、特に品質委員会の役員は、FDAの医療機器リコール発表の冒頭
「FDAはこれを最も深刻なタイプのクラスIリコールと認定した。これらの機器の使
用は、重傷または死亡の原因となる可能性がある」という文を読んでほしい。攻撃
経路が単純ではないとしても、生命を脅かす脆弱性と製品リコールコストを回避す
ることは、製品品質の優先順位としてかなり高くすべきである。しかし、そうでは
なかったようだ。
【編集者メモ】(Neely)
31,000台の機器を交換する必要があると言われている。生命の安全性とセキュリテ
ィなら、生命の安全性の方が重要である。これまでの医療機器は、セキュリティ上
の欠陥があってもここまでの対応は必要なかった。医療機器を悪用されると命に関
わるため、今回のようなリコールの脅威によって、サプライヤーがより高いレベル
のセキュリティを導入することを期待する。
【編集者メモ】(Spitzner)
私が医療機器で最も恐れているのは、サイバー攻撃者がこれらの脆弱性を狙って悪
用することではなく、無作為に作られたマルウェアが誤って医療機器に感染して拡
散し、意図しない大混乱や被害をもたらすことである。軍隊ではこれを「巻き添え
被害」と呼んでいる。
─────────────

◆ DHS、TSAが「高リスク」の鉄道・航空事業者に新たなサイバーセキュリティ要
件を課すと発表 (2021.10.6 & 7)
10月6日（水）、米国土安全保障省（DHS）のAlejandro Mayorkas長官は、運輸保安
局（TSA）が重要な鉄道・航空事業者のサイバーセキュリティの向上を目的とした
規制を導入することを明らかにした。この規制では、組織がサイバーに関する最高
責任者を指名すること、サイバー攻撃回復計画を策定すること、サイバーインシデ
ントを政府に報告することなどが求められるという。この規制は、今年の年末まで
に発効する予定。
- https://www.reuters.com/technology/exclusive-us-tell-critical-rail-air-companies-report-hacks-name-cyber-chiefs-2021-10-06/
- https://www.washingtonpost.com/national-security/rail-cybersecurity-dhs-regulations/2021/10/06/b3db07da-2620-11ec-8831-a31e7b3de188_story.html
- https://www.zdnet.com/article/new-cybersecurity-regulations-released-by-tsa-for-trains-and-planes/
- https://www.scmagazine.com/analysis/critical-infrastructure/dhs-to-impose-new-cyber-requirements-on-railway-subway-and-aviation-operators
- https://www.fedscoop.com/forthcoming-tsa-cyber-directive/

【編集者メモ】(Neely)
この計画では、サイバーセキュリティプロセスの改善、チーフサイバーオフィサー
の特定、そしてネットワークが侵害された際は政府に報告し、インシデントから回
復するためのサイバーリカバリープランのドラフトを用意する、という3つのアク
ションが求められている。明確ではなくとも、インシデント報告を行うことでCISA
やDHSは国全体のセキュリティの全体像を把握することができ、リソースや専門知
識が必要な場合に必要な信頼関係を育むことができる。
【編集者メモ】(Pescatore)
まだ最初の一歩に過ぎない。この時代に、CSOやインシデントリカバリープランを
持たない鉄道・航空会社はCEOを解雇し、取締役会を入れ替えるべきである。重要
インフラのほとんどの分野で、重要なセキュリティ衛生をビジネスの必須コストと
するには規制推進が必要である。
【編集者メモ】(Spitzner)
私はTSAが米国標準技術研究所（NIST）と同じようなアプローチを取り、コミュニ
ティのインプット、フィードバック、関与に努める（そしてそのための時間を提供
する）ことを強く望む。
─────────────

◆ Apache HTTPサーバーのゼロデイに関する修正プログラム (2021.10.4 & 5 & 6)
Apacheは、最初の修正が不完全であると判断された後、HTTP Webサーバーの2回目
のアップデートをリリースした。パストラバーサルの脆弱性（CVE-2021-41773）に
対するApacheの最初の修正プログラムは10月5日（火）にバージョン2.4.50として
リリースされたが、その後10月7日（木）にバージョン2.4.51がリリースされた。
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://www.bleepingcomputer.com/news/security/apache-emergency-update-fixes-incomplete-patch-for-exploited-bug/
- https://threatpost.com/apache-web-server-zero-day-sensitive-data/175340/
- https://www.zdnet.com/article/additional-fixes-released-addressing-apache-http-server-issue/
- https://www.zdnet.com/article/apache-http-server-project-patches-exploited-zero-day-vulnerability/
- https://www.theregister.com/2021/10/06/apache_web_server_data_patch/
- https://www.bleepingcomputer.com/news/security/actively-exploited-apache-0-day-also-allows-remote-code-execution/

【編集者メモ】(Ullrich)
バージョン2.4.49で、ApacheはURLを検証するコードの大部分を書き換えた。目的
はこのコードの速度を改善することだったが、悲しいことに、この書き換えはURL
エンコーディングのような一般的なURLの問題を見逃していた。幸いこのエラーは
すぐに発見された。このバージョンのApacheは、どのLinuxディストリビューショ
ンにも入っていないと思う。最初の修正版であるApache 2.4.50は不完全であるた
め、現在Apache2.4.51を使用しているか確認するように。しかし、以前のバージョ
ンを使用していても心配する必要はない。多くのLinuxディストリビューションは
特定のバージョンに固執しており、セキュリティ修正プログラムのみをバックポー
トするだろう。2.4.49と2.4.50は、9月15日から10月7日までの間に「最新」となっ
た、唯一の脆弱なバージョンである。
【編集者メモ】(Neely)
アップデートの内容を見る際、ディストリビューションがサポートしているApache
サーバーのバージョンに注意してほしい。例えば、ディストリビューションのバッ
クポートポリシーには「RHEL 7はApacheのバージョン2.4.6をベースにしており、
RHEL 8は2.4.37を使用している。パッチはバージョン2.4.51を提供するのではなく
、これらのバージョンに適用される」と記載されている。この情報を利用し、脆弱
性スキャナーがパッチを適用したバージョンを誤検出していないか確認するように
。
【編集者メモ】(Honan)
今年は重大な脆弱性が絶えない年のようである。パッチを充てるだけでは防御は不
十分であることが浮き彫りとなった。包括的な脆弱性管理プログラムを策定し、パ
ッチやアップグレードの適用を待っている間に、組織が脆弱性の影響をどのように
軽減するか決定する必要がある。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇10月20日(水)
　新任システム管理者のための「特権ID管理入門」
　～知らなかったでは済まされない！
　　管理者権限に潜むリスクと適切な管理方法とは？～
　https://www.nri-secure.co.jp/seminar/2021/ac_id1020?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

〇11月11日(木)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2021/ac_id1111?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

〇11月16日(水)
　セキュリティを考える上で顧客ID/アクセス管理（CIAM）として重要な事とは
　https://www.nri-secure.co.jp/seminar/2021/ciam1116?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

〇12月8日(水)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2021/ac_id1208?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月
　SANS Tokyo Autumn 2021
　https://www.sans-japan.jp/events/sans_tokyo_autumn_2021?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

〇11月
　SANS Japan November 2021
　https://www.sans-japan.jp/events/sans_japan_november_2021?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

〇11月-12月
　SANS Tokyo Winter 2021
　https://www.sans-japan.jp/events/sans_tokyo_winter_2021

〇11月、12月、2023年2月、3月
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

〇11月、2022年1月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇マイナンバー収集ガイドブック
　法人が使える　マイナンバー受け渡し手段とは？
　https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

〇ゼロトラストセキュリティ入門
　https://www.nri-secure.co.jp/download/zerotrust-security?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

〇NRI Secure Insight 2020 ～企業における情報セキュリティ実態調査～
　https://www.nri-secure.co.jp/download/insight2020-report?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○【検証】Apacheのパストラバーサルの脆弱性 (CVE-2021-41773、CVE-2021-42013)
　を悪用する攻撃通信
　https://www.nri-secure.co.jp/blog/apache-http-server-vulnerability?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

○事業責任者が語る「Secure SketCH」の価値｜セキュリティ評価のデジタル革命
　https://www.nri-secure.co.jp/blog/securesketch-journey-so-far-mission-vision-value?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

○人の行動に関する特徴を活用する「行動的生体認証」｜安全性と利便性を両立、
　プライバシーへの配慮が必要
　https://www.nri-secure.co.jp/blog/behavioral-biometrics?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュアファイル転送/共有サービス「クリプト便」
　１０年間連続で情報セキュリティ格付け最高位「 AAAis 」を維持
　http://jasro.org/news/pdf/JaSRO_NewsRelease_20210922.pdf?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

○NRIセキュア、特権ID管理ソリューション「SecureCube Access Check」の
　新バージョン（5.4.1）を販売開始
　～クラウドサービスのパスワード管理機能等を強化～
　https://www.nri-secure.co.jp/news/2021/0908?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

○「世界トップレベルのセキュリティに挑戦せよ」
　学生向けハッキングトーナメント「NRI Secure NetWars 2021」が
　11月3日に開催決定！参加者100名募集中！
　https://www.nri-secure.co.jp/news/2021/0906?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20211013sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。