ニュースレター登録
資料ダウンロード
お問い合わせ

Newsletter SANS NewsBites Vol.16 No.48 2021.12.8 発行

更新日 2021. 12. 08

──────────────────────────
■■SANS NewsBites Vol.16 No.48
(原版: 2021年 11月30日)
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【12/24までSEC504が5万円OFF】2022年1月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo January 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_tokyo_january_2022

【日本語コース応援キャンペーン価格のご案内】
 本イベントでは、日本語コース(SEC504)でキャンペーン価格を設定して
 おります。トレーニング開始日の24暦日前までにお申込みをいただいた場合、
 790,000円(税込 869,000円)でのご提供となります。
 +++キャンペーン価格お申込期限 2021年12月24日(金)まで+++

〇開催日:2022年1月17日(月)~1月22日(土) 6日間
 SEC501 Advanced Security Essentials - Enterprise Defender
 SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
 FOR500 Windows Forensic Analysis
 ICS410 ICS/SCADA Security Essentials

〇開催日:2022年1月17日(月)~1月21日(金) 5日間
 MGT512 Security Leadership Essentials For Managers

〇トレーニング価格
 日本語コース応援キャンペーン価格
 ※トレーニング開始日の24暦日前(12/24)までのお申込みが対象となります
  SEC504       790,000円(税込 869,000円)
 通常価格
  SEC504       840,000円(税込 924,000円)
  SEC501,FOR500   880,000円(税込 968,000円)
  ICS410       930,000円(税込 1,023,000円)
  MGT512       830,000円(税込 913,000円)

〇お申込みについて
 各コースページのお申込みボタンより、お1人様ずつお願いいたします
 https://www.sans-japan.jp/events/sans_tokyo_january_2022

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【間もなくお申込受付開始】2022年3月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Secure Japan 2022-Live Online】★日英同時通訳★

2022年2月28日より、SANS Secure Japan 2022ーLive Onlineを開催いたします。
間もなくお申込受付を開始しますので、今しばらくお待ちくださいませ。

〇開催日:2022年2月28日(月)~3月5日(土) 6日間
 SEC401 Security Essentials - Network, Endpoint, and Cloud <日本語コース>
 SEC542 Web App Penetration Testing and Ethical Hacking
 SEC588 Cloud Penetration Testing
 FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
 FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

〇開催日:2022年3月7日(月)~3月12日(土) 6日間
 SEC504 Hacker Tools, Techniques, Exploits and Incident Handling <日本語コース>
 SEC460 Enterprise and Cloud | Threat and Vulnerability Assessment
 SEC503 Intrusion Detection In-Depth
 SEC560 Network Penetration Testing and Ethical Hacking
 FOR585 Smartphone Forensic Analysis In-Depth

〇開催日:2022年3月14日(月)~3月19日(土) 6日間
 SEC488 Cloud Security Essentials
 FOR578 Cyber Threat Intelligence

※開催日、コースは変更となる場合がございます。
※SEC503は、2022年2月28日から、または3月7日から6日間の開催となります。
※FOR578は、SANS Secure Singapore 2022との共同開催となります。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆Windows Installer、脆弱性が活発に悪用される (2021.11.23 & 24 & 26)
攻撃者は、Microsoft Windows Installerの不適切なパッチ適用の欠陥を悪用し、
脆弱なシステムの管理者権限を活発に取得している。Microsoft社は、11月のパッ
チチューズデーに中程度の重要度を持つ特権昇格の不具合に対する修正プログラム
をリリースしたが、この不具合を最初に検出した研究者は、より深刻な亜種を検出
した。この脆弱性は、すべてのバージョンのWindowsに影響する。
- https://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html
- https://threatpost.com/attackers-target-windows-installer-bug/176558/
- https://www.zdnet.com/article/hackers-are-targeting-this-microsoft-windows-installer-flaw-say-security-researchers/

【編集者メモ】(Ullrich)
今、あなたができることはあまりない。これは「単なる」特権昇格の欠陥であるこ
とを忘れないでほしい。残念ながら、特権昇格の脆弱性はよくあることなので、パ
ッチがない故に悪用されているものがあるということを常に想定しておく必要があ
る。
【編集者メモ】(Williams)
これは、脆弱性管理(VM)チームとパープルチームが組織に付加価値を提供してい
る素晴らしい例である。VMチームは、このようにパッチが脆弱性を完全には修復で
きない状況を把握しておく必要があり、パープルチームは組織のテレメトリーに沿
った検出結果を作るためのサポートをする準備をしておく必要がある。どちらのチ
ームにも所属していない場合は、この脆弱性がローカル特権エスカレーション(LPE
)であり、すでにシステム上で実行権限を持っている脅威の行為者によってのみ誘
発されることを知っておこう。自分の権限を高めようとする内部の脅威に対するリ
スクも高まるので。
【編集者メモ】(Neely)
この欠陥により、既存のアカウントを使用して権限を拡大することができる。長期
的な対策としてはMicrosoft社による別のアップデートが必要だが、短期的には、
SnortルールのSSID 5865と58636を活用して攻撃を阻止することができる。これら
は、無料のCommunity Rulesetではなく、Snort Subscriber Rulesetに含まれてい
ることに注意してほしい。
【編集者メモ】(Elgee)
ペンテスター:この種の欠陥を利用するのは良いが、「パッチが利用可能になった
時点で実装してください」という内容以上の推奨事項を検討してもらいたい。おす
すめの検出方法はなにか、防御する側はどのような後続アクションを期待している
のか、今回のような特権昇格の脆弱性の発生頻度や深刻度を軽減することができる
(それぞれの環境に合った)他の手段があるのかなどである。
─────────────

◆Health-ISAC、IDを中心としたサイバーセキュリティへのアプローチに関するガ
イダンス(2021.11.23&29)
医療情報共有分析センター(Health-ISAC)による新しいガイダンスでは、医療機
関が脆弱性を持ち込むことなく、The 21st Century Cures Act法案の要件を遵守す
るためにIDを中心としたサイバーセキュリティへのアプローチが示されている。本
法案では、医療機関がFHIR(Fast Healthcare Interoperability and Resources)
規格に基づいて動作し、電子医療データの相互運用性を実現する新しいAPIを作成
することが求められている。最近の調査では、FHIR APIのエコシステムがもたらす
セキュリティ上の問題が指摘された。
- https://h-isac.org/wp-content/uploads/2021/11/H-ISAC_CuresAct-Interoperability-White-Paper.pdf
- https://healthitsecurity.com/news/h-isac-releases-ciso-guide-for-identity-centric-data-sharing
- https://www.scmagazine.com/analysis/identity-and-access/h-isac-shares-guide-for-identity-centric-data-sharing-approach

【編集者メモ】(Neely)
これらのシステムを患者に公開するには、ガイダンスで説明されているように、強
力なID管理が必要である。MFAの導入は任意だが、導入しない場合にはHIPAA違反や
それに伴う罰則などのリスクが考えられる。OAuthやOpenID Connectを活用した認
証連携の準備、API使用状況の監視、異常なアクティビティに対応するように。
【編集者メモ】(Elgee)
2000年代初頭、ファイアウォールはinfosecの台頭を示すものだった。ファイアウ
ォールは、敵と味方―弱い防御者と強い防御者に分けた。「IDは新たな境界線」と
言われている今、安全で使いやすいIDソリューションが新たな基準になりつつある
。昔ながらのユーザー名やパスワードが期待を裏切り続ける中、どのような技術が
あなたの組織に適しているだろうか。
【編集者メモ】(Murray)
HIPAAでは、杓子定規になりすぎないようにするために、十分な能力を備えていな
い対象企業にもリスク評価を行うことを求めていた。その結果、電子カルテの導入
を一世代遅らせてしまったのである。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「旅行に関するセキュリティのヒント」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
年末年始の休暇に合わせて遠出をする計画はおありでしょうか。実はモバイルの
事故で一番多いのは紛失だと言われています。旅行先で様々なモバイルデバイス
を持っていかれるかもしれませんし、ちょっとした業務連絡を現地ですることに
なるかもしれません。今月は、旅行をする際のセキュリティTipsを初心者にもわ
かりやすく解説します。社内の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt843e8c2d86179620/61a504df46713833c7539987/ouch!_december_2021_ja_top_cybersecurity_tips_for_vacations.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆英国、IoTデバイスセキュリティの向上を目的とした立法案 (2021.11.25)
英国で提案されている法案は、モノのインターネット(IoT)機器のセキュリティ
基準を義務化するものとなる。製品セキュリティと通信インフラ明細は、IoTメー
カー、輸入業者、販売業者に適用される。この法案では、「政府は...ユニバーサ
ル・デフォルト・パスワードの使用を禁止し、企業に対して、接続可能な製品のセ
キュリティ上の欠陥を修正するために何をしているかを顧客に対して明らかにする
ことを強制し、これらの製品に発見された脆弱性については、より優れた公的報告
システムを構築すること」としている。
- https://www.govinfosecurity.com/uk-legislation-seeks-mandatory-security-standards-for-iot-a-17994

【編集者メモ】(Williams)
「世界共通のデフォルトパスワードを廃止しても影響は限定的である」と冗談を言
うのは簡単だが、その影響は相当なものである。先週のNewsBitesでは、Skyルータ
ーにDNS再バインディングの脆弱性があったためにデバイスの完全な乗っ取りが可
能であることを報告した。しかし、これは世界共通のデフォルトパスワードがあっ
たからこそ可能であったのだ。また、透明性が高まることにも期待しているが、そ
れを測るのはかなり難しく、これがどのように実施されるかは時間が経ってみない
とわからない。
【編集者メモ】(Ullrich)
多くの政府が、消費者が安全な機器を認識しやすくするための施策を打ち出してい
る。私が知る限りでは、デバイスの販売を許可されるための必須条件が明記されて
いるのはこれが初めてである。消費者ではなく、メーカーに責任を負わせるという
考えは良いと思う。デフォルトのパスワードを変更しないことは、もはや消費者で
はなく、一般的なデフォルトパスワードを設定した機器を提供しているメーカーを
非難していることに繋がる。また、IoTセキュリティに関する私の要望は「サポー
ト終了日」を明確に定めることである。
【編集者メモ】(Neely)
この法案が最終的に通過するまでには修正の可能性もあるが、セキュリティ基準に
違反した場合に罰金を課すことで、ベンダーが必要最低限の基準を満たす動機付け
となるのではないだろうか。求められているのは、複数の国で同等の基準を設ける
ことで全体的なレベルを上げることである。
【編集者メモ】(Pescatore)
これは、小さいながらも重要な前進になる。これらの要件は、IoTを完全に安全に
するものではないが、重要な基準を確立している。例えば、レストランであれば、
冷蔵庫やネズミに対する制御システムが作動していないことで営業停止になったり
はしない。食べ物に毒があるわけではなく人々に対しては安全だからである。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇12月13日(月)
 DX時代のサービスリスク・データ保護対策セミナー
 ~サービス事業者に求められるリスク対応と
    国内外のプライバシー保護法対応とは~
 https://www.nri-secure.co.jp/seminar/2021/servicerisk_privacy1213??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

〇12月16日(木)
 セキュリティの第三者評価をDXで迅速に実現する方法とは
 ~ファストセキュリティアセスメント解説セミナー~
 https://www.nri-secure.co.jp/seminar/2021/fast_security_assessment1216??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

〇12月22日(水)
 テレワーク時代のメール誤送信体質改善セミナー
 ~最短、今日できるメール誤送信対策の現実解~
 https://www.nri-secure.co.jp/seminar/2021/mail-missending1222??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画                    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【New!】M365/Google Workspaceユーザー必見!
 mSOARによるメールセキュリティ業務の自動化効率化が人材不足を解決する
 https://www.nri-secure.co.jp/video/proofpoint/sbcr20210827??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

>>過去開催されたウェビナー
 https://www.nri-secure.co.jp/video??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2022年1月
 SANS Tokyo January 2022
 https://www.sans-japan.jp/events/sans_tokyo_january_2022??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

〇2022年2月、3月 【キャンペーン料金!】
 CISSP CBKトレーニング
 https://www.nri-secure.co.jp/service/learning/cissp_training??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

〇2022年1月、3月
 セキュアEggs
 https://www.nri-secure.co.jp/service/learning/secureeggs??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(お役立ち資料ダウンロード)         <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア ソリューションガイド 2021年度 3版【New!】
 https://www.nri-secure.co.jp/download/nrisecure-solution-guide??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

〇特権ID管理ツールを検討するときに確認するべき50のチェックリスト
 https://www.nri-secure.co.jp/download/privileged_id_50check??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

〇マイナンバー収集ガイドブック
 法人が使える マイナンバー受け渡し手段とは?
 https://www.nri-secure.co.jp/download/my-number-collection-guidebook??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

>>ダウンロード資料一覧
 https://www.nri-secure.co.jp/download??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティ診断の実施基準|脆弱性へ効果的・効率的に対応するための考え方
 https://www.nri-secure.co.jp/blog/security-diagnostic-criteria??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

○AI 原則とは?|信頼できるAI のために世界各国が注目する基本理念
 https://www.nri-secure.co.jp/blog/ai-principle??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

○セキュリティガイドライン活用法|運用上の課題と解決策
 https://www.nri-secure.co.jp/blog/first-step-of-security-measures??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

>>ブログ記事一覧
 https://www.nri-secure.co.jp/blog??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●m-FILTER MailAdviserにて、お得な年度末キャンペーン実施中
 https://www.nri-secure.co.jp/service/solution/mailadviser??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

○NRIセキュア、特権ID管理ソリューション「SecureCube Access Check」の
 新バージョン(5.5.0)を発売
 ~「マスタ管理支援ツール」「申請テンプレート機能」を追加~
 https://www.nri-secure.co.jp/news/2021/1124??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

○NRIセキュア、グループ会社・委託先のセキュリティ対策状況を評価する
 「Secure SketCH」GROUPSプランを大幅刷新
 ~主要ガイドラインに沿った設問テンプレートを標準で提供~
 https://www.nri-secure.co.jp/news/2021/1118??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

>>ニュース一覧
 https://www.nri-secure.co.jp/news??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
 業務に役立つ情報を月に3~4回お届けします。
 https://www.nri-secure.co.jp/mail??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
 https://www.secure-sketch.com??utm_source=sans&utm_medium=mail&utm_campaign=20211208sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。

他のニュースレターはこちら

2022.06.01

■■SANS 月間セキュリティ啓発ニュースレター OUCH!
JUNE2022

2022.04.27

■■SANS NesBites Vol.17 No.17

2022.04.20

■■SANS NesBites Vol.17 No.16

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。