──────────────────────────
■■SANS NewsBites Vol.16 No.45
（原版: 2021年 11月9日、12日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込締切間近です】2021年12月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo Winter 2021-Live Online】★日英同時通訳★
　https://www.sans-japan.jp/events/sans_tokyo_winter_2021

【お知らせ】
　開催を予定しておりましたFOR608は、お申込者数が所定の人数に満たないため、
　誠に恐縮ではございますが、中止となりました。

☆お申込締切日　2021年11月19日（金）☆　
〇開催日：2021年11月29日（月）～12月4日（土）　6日間　
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　SEC642 Advanced Web Application Penetration Testing, Ethical Hacking, and Exploitation Techniques
　FOR518 Mac and iOS Forensic Analysis and Incident Response

☆お申込締切日　2021年11月26日（金）☆　
〇開催日：2021年12月6日（月）～12月11日（土）　6日間
　SEC488 Cloud Security Essentials
　SEC560 Network Penetration Testing and Ethical Hacking
　FOR578 Cyber Threat Intelligence

〇トレーニング価格
　SEC504　　　　　　　　　 840,000円（税込 924,000円）
　SEC504を除く5コース　　　880,000円（税込 968,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_winter_2021

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込受付中です】2022年1月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo January 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_tokyo_january_2022

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC504）でキャンペーン価格を設定して
　おります。トレーニング開始日の24暦日前までにお申込みをいただいた場合、
　790,000円（税込 869,000円）でのご提供となります。
　+++キャンペーン価格お申込期限　2021年12月24日（金）まで+++

〇開催日：2022年1月17日（月）～1月22日（土）　6日間
　SEC501 Advanced Security Essentials - Enterprise Defender
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　FOR500 Windows Forensic Analysis
　ICS410 ICS/SCADA Security Essentials

〇開催日：2022年1月17日（月）～1月21日（金）　5日間
　MGT512 Security Leadership Essentials For Managers

〇トレーニング価格
　日本語コース応援キャンペーン価格
　※トレーニング開始日の24暦日前（12/24）までのお申込みが対象となります
　　SEC504　　　　　　 790,000円（税込 869,000円）
　通常価格
　　SEC504　　　　　　 840,000円（税込 924,000円）
　　SEC501,FOR500　　　880,000円（税込 968,000円）
　　ICS410　　　　　　 930,000円（税込 1,023,000円）
　　MGT512　　　　　　 830,000円（税込 913,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_january_2022

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆脅威アクター、Zohoパスワード管理サービスの脆弱性を攻撃 (2021.11.7)
Palo Alto NetworksのUnit 42の報告書によると、攻撃者がZohoの「ManageEngine
ADSelfService Plus」の既知の脆弱性を利用して、テクノロジー、防衛、エネルギ
ー、ヘルスケアなど9つの組織のネットワークを攻撃していることがわかった。こ
の脅威は中国が関係している可能性が高い。
また、9月中旬には、米国のCybersecurity and Infrastructure Security Agency
（CISA）が、この重度な脆弱性が頻繁に悪用されていると警告し、Zohoはこれに対
するアップデートを公開している。
- https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/
- https://us-cert.cisa.gov/ncas/alerts/aa21-259a
- https://thehill.com/policy/cybersecurity/580488-hackers-breach-nine-global-organizations-in-ongoing-espionage-campaign
- https://www.bleepingcomputer.com/news/security/state-hackers-breach-defense-energy-healthcare-orgs-worldwide/
- https://www.cyberscoop.com/emissary-panda-apt27-palo-alto-networks/
- https://www.govinfosecurity.com/nsa-reports-espionage-group-breaches-critical-systems-a-17860
- https://www.theregister.com/2021/11/08/attackers_infiltrated_password_management_service/

【編集者メモ】(Ullrich)
この脆弱性が公開された直後（およびパッチがリリースされた後）から悪用されて
いることから、脆弱性のあるシステムはすべて侵害されている可能性が高いと言え
る。Palo Alto社のブログでは注意すべきIOCSをいくつか紹介しているが、比較的
簡単に悪用できるこの脆弱性を攻撃している組織は他にもあるのではないだろうか
。
【編集者メモ】(Pescatore)
再利用可能なパスワードはそもそも安全ではなく、攻撃者は常にパスワードを狙っ
ているため、強固なパスワードに再設定するプロセスが必要である。セルフサービ
ス型のパスワード再設定ソフトは、高いセキュリティが求められるが、ManageEngine
はそれに対応できていなかった。もし、自動でパスワードを再設定するような競合
他社製品を使用している場合は、すべてのパッチが適用されていることを確認し、
品質の高いベンダーを選んでほしい。
─────────────

◆豪サイバーセキュリティセンター：攻撃者はSitecore XPの脆弱性を悪用と警告
(2021.11.8)
オーストラリアのサイバーセキュリティセンター（ACSC）からの警告によると、コ
ンテンツ管理システム「Sitecore Experience Platform（XP）」のリモートコード
実行の不具合が頻繁に悪用されているとのこと。Sitecore社は10月にこの問題に対
する修正プログラムをリリースしている。
- https://www.cyber.gov.au/acsc/view-all-content/alerts/active-exploitation-vulnerable-sitecore-experience-platform-content-management-systems
- https://www.bleepingcomputer.com/news/security/sitecore-xp-rce-flaw-patched-last-month-now-actively-exploited/
- https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1000776
─────────────

◆Underwriters Laboratory社、SafeCyberプラットフォームを発表 (2011.11.8)
Underwriters Laboratory（UL）社は、「クラウドをベースにしたコネクテッド・
プロダクト向けのセキュリティソリューション」であるSafeCyber Digital Security
Platformを発表した。Maturity Pathは、安全な開発ライフサイクルの成熟度を評
価し、コネクテッド・プロダクトに対して認証準備のためのスコアを提供するソリ
ューションとしている。その他にも、Firmware CheckやField Monitoringなどとい
ったソリューションもある。
- https://www.darkreading.com/dr-tech/ul-launches-safecyber-platform-to-secure-iot
- https://www.ul.com/services/safecyber

【編集者メモ】(Pescatore)
Google、Salesforce、Okta、Slackなどが先週発表した「Minimum Viable Security
Product」の基準値、そして今回のUL社の発表により、「デバイスやモノ」のセキ
ュリティが不十分になる原因は減ってきていると言える。セキュリティ管理者にと
っての最初のステップは、すべての調達において、セキュリティ対策と評価の一環
としてのテストを実施するよう支持を得ることである。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「オンラインショッピングを安全に進めるには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
オンラインショッピングは、クリスマスのプレゼントに限らずとても便利で、
私たちの生活に欠かすことができないサービスとなりました。でも、悪意ある
攻撃者は、オンラインショッピングの楽しみを奪ってしまうような詐欺的行為
をしやすい季節でもあります。今月は、電子メールを使うにあたってよくある
間違いと回避方法について初心者にもわかりやすく解説します。
社内の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/bltacce9da7e59dcdec/617979d75ae6d31579c1c072/ouch!_november_2021_Japanese_shopping_online_securely.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆サイバーセキュリティ業界の重鎮　SANS Institute創設者のAlan Paller氏逝去
　(2021.11.11)
SANSの創設者であり、NewsBitesの発案者でもあるAlan Paller氏が11月9日に逝去
されたことを、哀悼の意をもってお知らせします。
SANSプレスリリース：https://www.sans.org/press/announcements/alan-paller-cyber-security-industry-titan-and-sans-institute-founder-passes-away/

Alan氏と一緒に仕事をした私たちにとって、原動力となったのは「セキュリティチ
ームやマネージャーのスキルを高め、プロ化することで、セキュリティオペレーシ
ョンの質を向上させなければ、セキュリティを向上させることはできない」という
彼のビジョンであった。セキュリティの成功は、人・プロセス・技術の組み合わせ
であるとよく言われるが、Alan氏は影響力のあるセキュリティプロセスを構築・実
行し、効果的なセキュリティ技術、ツール、製品を選択・開発するためには、これ
らの人材が深く、実践的なスキルを持っている必要があると指摘していた。

Alan氏の長年にわたるこのビジョンへのコミットメントにより、SANSは優秀なセキ
ュリティインストラクターが最大限に効果的なコースを開発することに集中し、SANS
のすべてのコースやカンファレンスの成功を、常に彼の第一基準を満たしているか
どうかで測ってきた。生徒や参加者が受講後に仕事に戻った時に新しくてより良い
ことができること…それは、単に新しく優れたセキュリティについて語るだけでは
ない。同じくらい大切なことは、SANSがセキュリティコミュニティの「善戦」を支
援することに集中すれば、必ず成功がついてくるという考えを植え付けたことであ
る。彼は、SANSのリソースを活用して、本質的なセキュリティ衛生、セキュリティ
チームの多様性、サイバーセキュリティの専門家を増やすことについて、これらの
取り組みの採算が取れるようになるずっと前から提唱し、ひたむきに推進してきた
。

個人的な話として、もしあなたがAlan氏と共にセキュリティへの取組みに邁進して
いたとして、会議やミーティングで彼に紹介してもらった幸運な人に、彼は賞賛を
惜しまなかったであろう。過去30年以上にわたる彼のたゆまぬ努力により、セキュ
リティコミュニティはより良い場所になっている。SANSは、彼がいなくなってしま
ったことを非常に残念に思っているが、これからも彼の指針となるビジョンに沿う
ように努力していきたい。
─────────────

◆Microsoft社、Exchange Serverのゼロデイ脆弱性を修正 (2021.11.10)
Microsoft社は、オンプレミスのExchange Server 2013、2016、および2019の脆弱
性を修正した。不具合の一つである認証後の脆弱性は「限定的な標的型攻撃 」に
悪用されているおり、直ちに更新プログラムを適用するようユーザーに呼びかけて
いる。この修正プログラムは、Microsoft’s Patch Tuesdayの一環として公開され
た。
- https://www.zdnet.com/article/exchange-server-bug-patch-now-but-mfa-might-not-stop-these-attacks-warns-microsoft/
- https://www.scmagazine.com/news/vulnerability-management/microsoft-patches-exchange-glitch-exploited-in-the-wild
- https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169

【編集者メモ】(Ullrich)
他のExchangeサーバーの欠陥とは異なり、この欠陥には認証が必要である。
Exchangeへのパッチ適用に辟易している人は、Outlook 365にパッチを適用して、
電子メールをクラウドに移行したいと考えるのではないだろうか。
─────────────

◆Microsoft社「Patch Tuesday」(2021.11.11)
Microsoft社の2021年11月のPatch Tuesdayには、同社製品に含まれる少なくとも55
件のセキュリティ問題の修正が含まれている。そのうち2つの欠陥はすでに攻撃さ
れており、4つの脆弱性が火曜日以前に公開されている。同社は、このアップデー
トがWindows Serverを実行しているドメインコントローラで認証問題を引き起こす
可能性があることを認めている。
- https://isc.sans.edu/forums/diary/Microsoft+November+2021+Patch+Tuesday/28018/
- https://krebsonsecurity.com/2021/11/microsoft-patch-tuesday-november-2021-edition/
- https://www.theregister.com/2021/11/09/microsoft_spreads_patch_tuesday_joy/
- https://www.bleepingcomputer.com/news/microsoft/microsoft-new-security-updates-trigger-windows-server-auth-issues/
- https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

【編集者メモ】(Pescatore)
55件とパッチ数は多いが、Thanksgivingの精神に則り、2021年11月のパッチ数が10
月の71件よりも少ないことに感謝しようではないか。Google社がAndroidやChrome
にパッチを当てたり、AppleがiOSをアップデートしたりする頻度を見るに、最新の
ソフトウェアには常に脆弱性が存在し、混乱を最小限に抑えたるための迅速なパッ
チ適用が求められていることがよくわかる。Microsoft社は、お客様に、パッチeval
の高速化を打ち出している「cloud cadence」に移行することを促しているが、同
社が毎月実施している脆弱性のTuesday（よりこまめでタイムリーなパッチリリー
スに対するもの）もおそらく制限要因になっているだろう。
【編集者メモ】(Murray)
注目すべきは、MS社が1ヵ月間にパッチを充てる脆弱性の数が、この1年間で数十件
後半から数十件前半にまで減少していることである。
─────────────

◆Citrix社、ADCおよびゲートウェイに影響を及ぼす重大な脆弱性にパッチ適用
(2021.11.10)
Citrix社は2つの脆弱性を修正した。1つ目は、Application Delivery Controller
（ADC）およびゲートウェイ製品に存在しているリソース消費に関する重大な問題
で、この脆弱性を悪用すれば認証なしにネットワークを破壊することができる。2
つ目は、ADC、ゲートウェイおよびCitrix SD-WAN WANOP Editionアプライアンスに
影響を及ぼす重大性の低い制御不能なリソース消費の問題である。この欠陥が悪用
されると、管理GUI、Nitro API、およびRPC通信が一時的に中断される可能性があ
る。
- https://threatpost.com/critical-citrix-bug-etwork-cloud-app-access/176183/
- https://support.citrix.com/article/CTX330728

【編集者メモ】(Ullrich)
これは「単なる」サービス妨害の脆弱性である。しかし、これらの機器は通常ネッ
トワークに出入りするすべてのトラフィックに関係しており、DoSはかなりの破壊
力がある。パッチを充てるだけでなく、IRのプレイブックでCitrix ADCがダウンし
たときにどのように対処するべきかを再確認するべきである。アウトオブバンドの
リモートアクセスは可能か？その場合は、このアクセスはどのように監視され、保
護されているのか？権限を持っているのは誰なのか？を確認するように。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月3日(金)
　サイバーセキュリティの現在と未来
　～DX時代の次世代セキュリティモデルを考える～
　https://project.nikkeibp.co.jp/event/nri_secure12033?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

〇12月 6日(月)
　CISSPオンラインチャレンジセミナー
　「CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2021/cissp1206?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

〇12月8日(水)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2021/ac_id1208?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

〇12月8日(水)
　atlax Forum 2021 Online
　https://atlax.nri.co.jp/forum/20211208/
　※セッションC-2（15:25～）にてゼロトラストセキュリティについて講演

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【New！】M365/Google Workspaceユーザー必見！
　mSOARによるメールセキュリティ業務の自動化効率化が人材不足を解決する
　https://www.nri-secure.co.jp/video/proofpoint/sbcr20210827?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

＞＞過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇11月～12月
　SANS Tokyo Winter 2021
　https://www.sans-japan.jp/events/sans_tokyo_winter_2021?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

〇2022年1月
　SANS Tokyo January 2022
　https://www.sans-japan.jp/events/sans_tokyo_january_2022?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

〇12月
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

〇2022年1月、3月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【New！】特権ID管理ツールを検討するときに確認するべき50のチェックリスト
　https://www.nri-secure.co.jp/download/privileged_id_50check?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

〇マイナンバー収集ガイドブック
　法人が使える　マイナンバー受け渡し手段とは？
　https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

〇NRI Secure Insight 2020 ～企業における情報セキュリティ実態調査～
　https://www.nri-secure.co.jp/download/insight2020-report?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○COTSデバイスを活用したキャッシュレス決済の新潮流
　｜　新たなセキュリティー基準が登場
　https://www.nri-secure.co.jp/blog/cashless-payment-using-cots-devices?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

○グローバル企業のセキュリティマネジメント
　｜ポストコロナ時代に必要な平時と有事の対策
　https://www.nri-secure.co.jp/blog/global-security-management?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

○Webサービス概観｜DX実現のためのセキュリティ課題（前編／後編）
　https://www.nri-secure.co.jp/blog/web-service-overview-1?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans
　https://www.nri-secure.co.jp/blog/web-service-overview-2?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、「MITRE ATT&CK」を用いて企業等のセキュリティ対策状況を評価
　するサービスを開始　～リスクベース・アプローチで「防御の穴」を塞ぐ～
　https://www.nri-secure.co.jp/news/2021/1110?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

○JCOM株式会社への「Uni-ID Libra」導入事例を公開
　https://www.nri-secure.co.jp/service/case/uni-id_libra_jcom?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

○セキュリティ対策実行支援プラットフォーム「Secure SketCH」の会員数が
　4,000社を突破　～この3年間で約8.5倍に増加～
　https://www.nri-secure.co.jp/news/2021/1028?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20211117sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。