──────────────────────────
■■SANS NewsBites Vol.16 No.46
（原版: 2021年 11月16日、19日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込締切間近です】2021年12月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo Winter 2021-Live Online】★日英同時通訳★
　https://www.sans-japan.jp/events/sans_tokyo_winter_2021

☆お申込締切日　2021年11月26日（金）☆　
〇開催日：2021年12月6日（月）～12月11日（土）　6日間
　SEC488 Cloud Security Essentials
　SEC560 Network Penetration Testing and Ethical Hacking
　FOR578 Cyber Threat Intelligence

〇トレーニング価格
　880,000円（税込 968,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_winter_2021

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込受付中です】2022年1月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo January 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_tokyo_january_2022

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC504）でキャンペーン価格を設定して
　おります。トレーニング開始日の24暦日前までにお申込みをいただいた場合、
　790,000円（税込 869,000円）でのご提供となります。
　+++キャンペーン価格お申込期限　2021年12月24日（金）まで+++

〇開催日：2022年1月17日（月）～1月22日（土）　6日間
　SEC501 Advanced Security Essentials - Enterprise Defender
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　FOR500 Windows Forensic Analysis
　ICS410 ICS/SCADA Security Essentials

〇開催日：2022年1月17日（月）～1月21日（金）　5日間
　MGT512 Security Leadership Essentials For Managers

〇トレーニング価格
　日本語コース応援キャンペーン価格
　※トレーニング開始日の24暦日前（12/24）までのお申込みが対象となります
　　SEC504　　　　　　 790,000円（税込 869,000円）
　通常価格
　　SEC504　　　　　　 840,000円（税込 924,000円）
　　SEC501,FOR500　　　880,000円（税込 968,000円）
　　ICS410　　　　　　 930,000円（税込 1,023,000円）
　　MGT512　　　　　　 830,000円（税込 913,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_january_2022
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆FBI、偽のサイバー攻撃警告送信のためにポータルが悪用される(2021.11.15)
FBIは「ソフトウェアの設定ミスにより、一時的に攻撃者がLaw Enforcement Enterprise
Portal（LEEP）を悪用して偽の電子メールを送信することができた」ことを認め
た。この偽装メッセージは、受信者に対しサイバー攻撃の危機を警告するものであ
った。
- https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-incident-involving-fake-emails
- https://www.theregister.com/2021/11/15/fbi_fake_emails/
- https://www.zdnet.com/article/bad-form-fbi-server-sending-fake-emails-taken-offline-and-fixed-no-data-impacted/
- https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/
- https://www.fedscoop.com/fbi-confirms-law-enforcement-enterprise-portal-compromise-in-cyberattack/

【編集者メモ】(Ullrich)
御社がFBIの捜査に関わる際は、メールでの連絡ではなく、せめて訪問や電話であ
れば良いのだが。とはいえ、このような状況で信頼関係を築くのは難しいかもしれ
ない（必ずID確認をしたとしても）。しかし、私がいつも提案しているように、地
元のInfraGard支部に参加していれば、事件前にFBI捜査官と何らかの関係を築くこ
とができるかもしれない。
【編集者メモ】(Pescatore)
今回の件で大きな教訓を得た。一つ目に、攻撃者はいまだに公開されたサーバーを
常にスキャンしており、設定ミスやパッチ適用がされていないアプリやサーバーを
見つけて悪用していること。二つ目に、変化を素早く察知して評価することが、先
手を打つために不可欠だということである。
【編集者メモ】(Honan)
これは「信頼できない送信元からのメールにあるリンクや添付ファイルをクリック
しないように」というアドバイスが、なぜ時代遅れなのかを示す良い例である。そ
の代わりに、思いがけないメールに注意し、慎重に検討してから行動に移すように
と人々に指導すべきであろう。
【編集者メモ】(Wright)
Brian Krebs氏の記事には、この攻撃を実行したとされるPompompurin氏のインタビ
ューが掲載されている。この主張が正しいのであれば、脆弱性が実証されてしまい
恥ずべきことだが、ペネトレーションテストの重要性を思い出させるよい機会にな
ったのではないだろうか。
【編集者メモ】(Orchilles)
知らぬ間にこのような事態に陥っていることは現実にある。アセスメント時点では
それらを見極められない。継続的な（あるいはそれに近い）検証コントロールとチ
ェンジマネジメントをすることで、こういった「一時的なソフトウェアの設定ミス
」をより早く発見できたかもしれない。
─────────────

◆マルウェア「BotenaGo」 (2021.11.15)
AT&T AlienLabs社の研究者は、何百万台ものルーターなどIoTデバイスを標的とす
る可能性のある新しいマルウェアを検出した。このマルウェアには30以上のエクス
プロイト機能が搭載されている。オープンソースのプログラミング言語「Go」で書
かれていることから「BotenaGo」と名付けられたこのマルウェアは、スキャンを行
って脆弱なデバイスを検知している。
- https://threatpost.com/routers-iot-open-source-malware/176270/
- https://www.zdnet.com/article/this-mysterious-malware-could-threaten-millions-of-routers-and-iot-devices/
- https://cybersecurity.att.com/blogs/labs-research/att-alien-labs-finds-new-golang-malwarebotenago-targeting-millions-of-routers-and-iot-devices-with-more-than-30-exploits

【編集者メモ】(Ullrich)
これは大したニュースではない。暗号コインのマイニングやDDoS攻撃、攻撃プラッ
トフォームとして悪用するために様々なボットがインターネットで脆弱なデバイス
を探しており、これらのルーターやIoT機器は一日に何度も攻撃されているからだ
。
【編集者メモ】(Wright)
これは、ネットワーク上で許可されているデバイスを評価すべきだと組織に行動喚
起しているものだ。脆弱なIoT機器や消費市場のデバイスは、家庭内のネットワー
クだけの問題ではない。これらは企業や政府機関のネットワークにも存在し、通常
のパッチマネジメントや脆弱性修復プログラムでは対応できないリスクをもたらす
。IT資産管理は、組織がネットワーク上の資産に関する情報を得るための貴重なリ
ソースであると言える。
【編集者メモ】(Murray)
これらのデバイスの多くは、無償の脆弱なコードを使用しているため、ボットネッ
トに乗っ取られてしまうだろう。
─────────────

◆新たなRowhammer攻撃 (2021.11.15)
チューリッヒ工科大学、アムステルダム自由大学、Qualcomm Technologies社の研
究者が、DRAMメモリデバイスの脆弱性を発見した。この欠陥により、Rowhammer攻
撃を防ぐために導入した軽減策が破られてしまう可能性がある。これまでのRowhammer
攻撃では、次々と打ち続けるような単純なパターン攻撃だったが、今回の攻撃では
より複雑なパターンが用いられている。
- https://ethz.ch/en/news-and-events/eth-news/news/2021/11/serious-security-vulnerabilities-in-computer-memories.html
- https://arstechnica.com/gadgets/2021/11/ddr4-memory-is-even-more-susceptible-to-rowhammer-attacks-than-anyone-thought/
- https://www.theregister.com/2021/11/15/rowhammer_blacksmith_memory/

【編集者メモ】(Ullrich)
これらの攻撃の実効性について時折議論されるが、実際の攻撃に使用された例は見
つかっていない。しかし、これはむしろ、もっと単純な脆弱性が、特権昇格のため
にまだ利用できる可能が高いということではないか。結局、これらの脆弱性は、高
度な統合型ハードウェア上でプロセスを分けることが可能であるという神話に大き
な打撃を与えた。例えば、機密性の高いワークロードをクラウドコンピューティン
グのような共有システムで使用することは好ましくないかもしれない。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「オンラインショッピングを安全に進めるには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
オンラインショッピングは、クリスマスのプレゼントに限らずとても便利で、
私たちの生活に欠かすことができないサービスとなりました。でも、悪意ある
攻撃者は、オンラインショッピングの楽しみを奪ってしまうような詐欺的行為
をしやすい季節でもあります。今月は、電子メールを使うにあたってよくある
間違いと回避方法について初心者にもわかりやすく解説します。
社内の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/bltacce9da7e59dcdec/617979d75ae6d31579c1c072/ouch!_november_2021_Japanese_shopping_online_securely.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆米国・英国・オーストラリアがAPT攻撃を警告 (2021.11.17)
米国、英国、オーストラリアの法執行機関およびサイバーセキュリティ機関が共同
で発表した警告によると、イランと関係のあるサイバー脅威活動家が、医療や輸送
分野の組織を標的にしているとのこと。APT（Advanced persistent threat）グル
ープは、Microsoft Exchange ProxyShellとFortinetの脆弱性を悪用している。
- https://us-cert.cisa.gov/ncas/alerts/aa21-321a
- https://healthitsecurity.com/news/cisa-iranian-government-sponsored-threat-actors-targeting-healthcare
- https://www.scmagazine.com/analysis/apt/us-australia-and-uk-warn-iranian-hackers-leveraging-known-vulnerabilities-to-deploy-ransomware

【編集者メモ】(Neely)
自分が標的になっているかどうかに関わらず、速報の回避策を確認すべきである。
まずは、システムにパッチを充てて更新されていることを確認し、特に未知のソフ
トウェアの実行をブロックする目的で構築されたサーバについては、許可/拒否リ
ストを再確認してほしい。特権アカウントやリモートアクセス可能なサービスでは
、常にMFAを使用していることを確認するように。
─────────────

◆Netgear社、複数製品のRCE脆弱性を修正するアップデートを公開 (2021.11.18)
Netgear社、エクステンダー、ルーター、DSLモデムルーター、AirCards、ケーブル
モデムなどの複数の製品に影響を及ぼす事前認証バッファオーバーフローの脆弱性
に対処するため、ファームウェアのアップデートを公開した。この欠陥は、Universal
Plug and Playデーモンが認証されていないHTTP SUBSCRIBEおよびUNSUBSCRIBE リ
クエストを受け入れることに起因している。
- https://kb.netgear.com/000064361/Security-Advisory-for-Pre-Authentication-Buffer-Overflow-on-Multiple-Products-PSV-2021-0168
- https://blog.grimm-co.com/2021/11/seamlessly-discovering-netgear.html
- https://thehackernews.com/2021/11/critical-root-rce-bug-affects-multiple.html

【編集者メモ】(Ullrich)
いつもどおり更新をお願いしたい。お使いのルーターがこの脆弱性の影響を受けて
いない場合でも、新しいファームウェアがあるかどうかを確認すること。UPNPプロ
トコルは長年に渡り様々な問題を抱えているため、可能であればルーターで無効に
する必要がある。設計通りに動作していても、ファイアウォールのルールを削除す
るために使用される可能性があるからだ。
【編集者メモ】(Neely)
UPnPは、ルーターを手動で設定するのではなく、アプリケーションが自動的に転送
を設定することができる。そうであっても、必要のない場合は無効にすることを検
討してもらいたい。ファームウェアを自動的にアップデートするオプションがない
場合は、セキュリティアップデートを監視して、タイムリーにインストールされて
いるかどうかを確認するプロセスが含まれていることを確認するように。また必要
のないサービスを無効にし、ベンダーからのセキュリティ通知配信リストに登録さ
れているかも確認すること。さらに、サービス契約やアクティブ・ライフサイクル
・マネージメントを含むアップデートの対象になっているかベンダーに問い合わせ
ることも忘れずに。
─────────────

◆GitHubのnpmセキュリティに対する取組み (2021.11.17)
GitHubはブログ記事の中で、npmレジストリに関する2つの事件とその後の調査につ
いて詳しく説明した。またGitHubは、人気の高いnpmパッケージのメンテナンスお
よび管理者に対して、2要素認証（2FA）の義務付けを開始すると記している。なお
、この要件は2022年初頭から展開される予定としている。
- https://github.blog/2021-11-15-githubs-commitment-to-npm-ecosystem-security/
- https://www.theregister.com/2021/11/16/github_npm_flaw/
- https://www.bleepingcomputer.com/news/security/npm-fixes-private-package-names-leak-serious-authorization-bug/
- https://portswigger.net/daily-swig/vulnerabilities-in-npm-allowed-threat-actors-to-publish-new-version-of-any-package

【編集者メモ】(Ullrich)
これは、npmに関する重大な問題を軽減するための、GitHubによる優れた措置であ
る。この時点で危険なnpmパッケージがあまりにも沢山あった。私はGitHubが悪意
のあるコードを積極的にスキャンしてくれることを気に入っている。あとは、スキ
ャンの効果が十分に発揮されるかどうかを見極める必要があるだろう。
【編集者メモ】(Pescatore)
再利用可能なパスワードからの脱却は良いことだ。未だに、IT管理者やその他特権
的なユーザーアカウントが、認証時に再利用可能なパスワードを利用しているとい
うことはないだろうか。
【編集者メモ】(Neely)
強固な認証を要求するなど問題回避策を積極的に実施することは、ユーザーに提供
してそれを実装してくれるのを待っているよりもはるかに強力な実効性があると言
える。また、npmでなくても、コンテンツを更新するアカウントの2FAが有効になっ
ているかを確認すべきである。
【編集者メモ】(Murray)
強固な認証への承認は、セキュリティと利便性のバランスをエンドユーザーに委ね
るものである。これは多くのアプリケーションにとって適切な初期設定であり、こ
の問題が最初に報告された時に指摘されたようなものではない。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月3日(金)
　サイバーセキュリティの現在と未来
　～DX時代の次世代セキュリティモデルを考える～
　https://project.nikkeibp.co.jp/event/nri_secure12033?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

〇12月 6日(月)
　CISSPオンラインチャレンジセミナー
　「CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2021/cissp1206?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

〇12月8日(水)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2021/ac_id1208?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

〇12月8日(水)　NRI主催
　atlax Forum 2021 Online
　https://atlax.nri.co.jp/forum/20211208/
　※セッションC-2（15:25～）にてゼロトラストセキュリティについて講演

〇12月13日(月)
　DX時代のサービスリスク・データ保護対策セミナー
　～サービス事業者に求められるリスク対応と
　　　　国内外のプライバシー保護法対応とは～
　https://www.nri-secure.co.jp/seminar/2021/servicerisk_privacy1213?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【New！】M365/Google Workspaceユーザー必見！
　mSOARによるメールセキュリティ業務の自動化効率化が人材不足を解決する
　https://www.nri-secure.co.jp/video/proofpoint/sbcr20210827?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

＞＞過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇11月～12月
　SANS Tokyo Winter 2021
　https://www.sans-japan.jp/events/sans_tokyo_winter_2021?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

〇2022年1月
　SANS Tokyo January 2022
　https://www.sans-japan.jp/events/sans_tokyo_january_2022?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

〇2022年1月、2月　※12月より申込受付開始
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

〇2022年1月、3月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【New！】特権ID管理ツールを検討するときに確認するべき50のチェックリスト
　https://www.nri-secure.co.jp/download/privileged_id_50check?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

〇マイナンバー収集ガイドブック
　法人が使える　マイナンバー受け渡し手段とは？
　https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

〇NRI Secure Insight 2020 ～企業における情報セキュリティ実態調査～
　https://www.nri-secure.co.jp/download/insight2020-report?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティガイドライン活用法｜運用上の課題と解決策
　https://www.nri-secure.co.jp/blog/first-step-of-security-measures?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

○COTSデバイスを活用したキャッシュレス決済の新潮流
　｜　新たなセキュリティー基準が登場
　https://www.nri-secure.co.jp/blog/cashless-payment-using-cots-devices?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

○グローバル企業のセキュリティマネジメント
　｜ポストコロナ時代に必要な平時と有事の対策
　https://www.nri-secure.co.jp/blog/global-security-management?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、特権ID管理ソリューション「SecureCube Access Check」の
　新バージョン（5.5.0）を発売
　～「マスタ管理支援ツール」「申請テンプレート機能」を追加～
　https://www.nri-secure.co.jp/news/2021/1124?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

○NRIセキュア、グループ会社・委託先のセキュリティ対策状況を評価する
　「Secure SketCH」GROUPSプランを大幅刷新
　～主要ガイドラインに沿った設問テンプレートを標準で提供～
　https://www.nri-secure.co.jp/news/2021/1118?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

○NRIセキュア、「MITRE ATT&CK」を用いて企業等のセキュリティ対策状況を評価
　するサービスを開始　～リスクベース・アプローチで「防御の穴」を塞ぐ～
　https://www.nri-secure.co.jp/news/2021/1110?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20211125sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。