──────────────────────────
■■SANS NewsBites Vol.16 No.49
（原版: 2021年 12月1日、7日、10日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込受付を開始しました】2022年3月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Secure Japan 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_secure_japan_2022

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC401,SEC504）でキャンペーン価格を設定して
　おります。各トレーニング開始日の24暦日前までにお申込みをいただいた場合、
　790,000円（税込 869,000円）でのご提供となります。
　+++キャンペーン価格お申込期限+++
SEC401：2022年2月4日（金）、SEC504：2022年2月11日（金）

〇開催日：2022年2月28日（月）～3月5日（土）　6日間
　SEC401 Security Essentials - Network, Endpoint, and Cloud <日本語コース>
　SEC503 Intrusion Detection In-Depth
　SEC542 Web App Penetration Testing and Ethical Hacking
　SEC588 Cloud Penetration Testing
　FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
　FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

〇開催日：2022年3月7日（月）～3月12日（土）　6日間
　SEC504 Hacker Tools, Techniques, and Incident Handling <日本語コース>
　SEC460 Enterprise and Cloud | Threat and Vulnerability Assessment
　SEC560 Network Penetration Testing and Ethical Hacking
　FOR585 Smartphone Forensic Analysis In-Depth

〇開催日：2022年3月14日（月）～3月19日（土）　6日間
　SEC488 Cloud Security Essentials
　FOR578 Cyber Threat Intelligence
　※FOR578は、SANS Secure Singapore 2022との共同開催となります

〇トレーニング価格
　日本語コース（SEC401,SEC504）
　　日本語コース応援キャンペーン価格　790,000円（税込 869,000円）
　　通常価格　　　　　　 　　　　　　 840,000円（税込 924,000円）

　日本語コース（SEC401,SEC504）を除く、全てのコース
　　通常価格　　　　　　　　　　　　　880,000円（税込 968,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_secure_japan_2022

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【12/24までSEC504が5万円OFF】2022年1月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo January 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_tokyo_january_2022

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC504）でキャンペーン価格を設定して
　おります。トレーニング開始日の24暦日前までにお申込みをいただいた場合、
　790,000円（税込 869,000円）でのご提供となります。
　+++キャンペーン価格お申込期限　2021年12月24日（金）+++

〇開催日：2022年1月17日（月）～1月22日（土）　6日間
　SEC501 Advanced Security Essentials - Enterprise Defender
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　FOR500 Windows Forensic Analysis
　ICS410 ICS/SCADA Security Essentials

〇開催日：2022年1月17日（月）～1月21日（金）　5日間
　MGT512 Security Leadership Essentials For Managers

〇トレーニング価格
　日本語コース応援キャンペーン価格
　※トレーニング開始日の24暦日前（12/24）までのお申込みが対象となります
　　SEC504　　　　　　 790,000円（税込 869,000円）
　通常価格
　　SEC504　　　　　　 840,000円（税込 924,000円）
　　SEC501,FOR500　　　880,000円（税込 968,000円）
　　ICS410　　　　　　 930,000円（税込 1,023,000円）
　　MGT512　　　　　　 830,000円（税込 913,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_january_2022

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆HP社、プリンターのファームウェアアップデートを公開 (2021.11.30)
HPエンタープライズは、150機種以上の複合機のファームウェアアップデートを公
開した。同社は、2021年4月にF-Secure社からこの脆弱性情報を得た。今回のアッ
プデートでは、重要なバッファオーバーフローの脆弱性と、重要度の高い情報漏え
いとの2つの脆弱性問題に対応している。この欠陥が悪用されると、脆弱な機器を
制御したり、情報を盗んだり、ネットワークにアクセスできる可能性があるという
。
- https://www.f-secure.com/en/press/p/f-secure-discovers-vulnerabilities-affecting-over-150-hp-printer
- https://support.hp.com/us-en/document/ish_5000124-5000148-16/hpsbpi03748
- https://support.hp.com/us-en/document/ish_5000383-5000409-16/hpsbpi03749
- https://www.theregister.com/2021/11/30/exploitable_hp_enterprise_printers_f_secure/
- https://www.darkreading.com/vulnerabilities-threats/hp-issues-firmware-updates-for-printer-product-vulnerabilities

【編集者メモ】 (Ullrich)
この脆弱性は、ここ数年のプリンターに影響を及ぼす。HP社のプリンターをお持ち
の方は、脆弱性がある可能性が高い。特にネットワーク経由でプリンターにアクセ
スできる場合は、ファームウェアをアップデートするように。他の悪用シナリオと
しては、プリンターがアクセスしにくいホームオフィスに設置している場合には問
題にならないかもしれない。
【編集者メモ】 (Wright)
偶然にも、今年のSANS Holiday Hack Challengeではプリンターのハッキングが行
われる。多数のインフラネットワークの中で見落とされがちなプリンターは、厳格
なパッチ管理プロセスがほとんど行われていないため、敵対者にとって格好の標的
となりうる。多くの組織にとって共通の脅威であるプリンターの脆弱性を強調する
ことが重要だと思われる。
【編集者メモ】 (Pescatore)
今では、ネットワークに接続されたプリンターは、廃棄を含めたライフサイクル全
体に渡って、脆弱性管理プロセスによって完全にカバーされているはずである。そ
うであっても、過去5年間にプリンターに対して実際に被害をもたらす攻撃があっ
た。コード実行を含む脆弱性を見つけたら行動を起こすための危険信号だと思って
もらいたい。
【編集者メモ】 (Neely)
プリンターのファームウェアアップデートがインストールされているか確認してほ
しい。サードパーティを使用している場合は、業務内容の再確認を。インターネッ
トプリントを可能にする前に、インターネットプリントを許可または禁止する操作
を理解するように。最近では、多くのプリンターが情報をキャッシュしたり、USB
やその他のメモリーカード用のポートを備えているため、メディアの挿入を防ぐだ
けでなく、機密性の高い出力物を意図せずに閲覧してしまうことを防ぐためにも、
誰も立ち入らない場所に設置した方が良い。要求者が物理的に存在するまで、ジョ
ブのキュー/一時停止を許可するデバイスの使用を検討するように。
─────────────

◆AT&T社、ネットワーク機器がボットネット・マルウェアに感染　(2021.12.2)
AT&T社は、同社のネットワーク内に構築されたボットネットを取り除いている。こ
のマルウェアは、EdgeMarc Enterprise Session Border Controller機器に影響を
及ぼした。
- https://arstechnica.com/information-technology/2021/12/thousands-of-att-customers-in-the-us-infected-by-new-data-stealing-malware/
- https://threatpost.com/att-botnet-network/176711/

【編集者メモ】(Ullrich)
先週、Sky社が顧客構内設備のパッチ適用を1年待っているという話があった。AT&T
も負けじと、脆弱性が報告されてから4年が経ち、それが積極的に利用されてしま
った現在では、軽減措置を検討している。オフィス（およびホームオフィス）のネ
ットワーク設計：ISPが提供する機器は敵対的であり、境界線の外側にあるものと
して扱うものである。
【編集者メモ】(Pescatore)
この報告書では、AT&T社がワイルドカード証明書を使用したことで、マルウェアが
内部に広くアクセスできるようになったのではないかと指摘している。NSAは2021
年10月にワイルドカード証明書に関する警告を出していた。(「NSA ALPACA」で検
索できる。フォートミード在住のクリエイティブな人々は、Application Layer
Protocols Allowing Cross-Protocol Attacks（アプリケーション層プロトコルの
クロスプロトコル攻撃）」と「Application Layer Protocol Confusion attacks（
アプリケーション層プロトコルの混乱攻撃）」を比較している。非常にクールな
頭字語である。)
【編集者メモ】(Neely)
ワイルドカード証明書に加えて、これらのデバイスには対処が必要なデフォルトの
認証情報もあるようだ。最初に欠陥が発見されてから約19ヵ月後の2018年12月にパ
ッチがリリースされた。また、パッチの適用には手動での更新が必要である。
─────────────

◆NSS暗号ライブラリの欠陥　(2021.12.2)
Mozillaは、Network Security Services（NSS）暗号ライブラリの重大な欠陥に対
処するための修正プログラムを公開した。このヒープオーバーフローの脆弱性は、
NSSの3.73および3.68.1 ESRより古いすべてのバージョンに影響及ぼす。
- https://bugs.chromium.org/p/project-zero/issues/detail?id=2237
- https://www.securityweek.com/critical-flaw-nss-cryptographic-library-affects-several-popular-applications

【編集者メモ】(Ullrich)
NSSライブラリはopensslほど有名ではないが、その使用範囲は類似している。多く
のクライアント、そしていくつかのケースではサーバーがこのライブラリを使用し
ている。このようなライブラリの欠陥でよくあることだが、パッチ適用は最初の一
歩に過ぎない。さらにライブラリを使用しているソフトウェアにもパッチを充てる
必要があるかもしれない。
【編集者メモ】(Wright)
この欠陥に関するTavis氏の記事によると、リダイレクトによるコード実行は些細
な悪用に過ぎないとしている。NSSは、FirefoxやThunderbirdをはじめ、RedHat、
Oracle、SUSEなどの様々なソフトウェアプロジェクトで採用されている。
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/Overview
【編集者メモ】(Neely)
Thunderbird、LibreOffice、Evolution、Evinceなど、シグネチャーの処理にNSSを
使用している製品が対象となる。Thunderbirdの修正プログラムは30日前にリリー
スされたので、修正されたライブラリは一般にダウンロードできるようになってい
る。また、これらの製品の最新リリースには修正プログラムが含まれているので、
利用環境で更新されていることを確認するように。
─────────────

◆「2021 SANS Holiday Hack Challenge」が12月中旬に開幕　(2021.12.5)
世界のサイバーセキュリティ・コミュニティに参加して、無料で楽しめるサイバー
セキュリティ・チャレンジとバーチャル・カンファレンスに参加してみませんか？
サイバーコミュニティへの贈り物であるSANS Holiday Hack Challengeは、サンタ
さんがサイバーセキュリティの悪者を倒してホリデーシーズンを裏切りから守るた
めに、楽しくて質の高いサイバーセキュリティの体験型チャレンジを行い、その過
程で新しいスキルを身につけるというものです。

SANS Holiday Hack Challengeは、すべてのスキルレベルを対象としており、優秀
なエントリーには豪華な賞品が用意されています。
今すぐここで登録すると、ゲームのプレイ開始時にいち早くお知らせします。
https://www.sans.org/mlp/holiday-hack-challenge/
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「旅行に関するセキュリティのヒント」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
年末年始の休暇に合わせて遠出をする計画はおありでしょうか。実はモバイルの
事故で一番多いのは紛失だと言われています。旅行先で様々なモバイルデバイス
を持っていかれるかもしれませんし、ちょっとした業務連絡を現地ですることに
なるかもしれません。今月は、旅行をする際のセキュリティTipsを初心者にもわ
かりやすく解説します。社内の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt843e8c2d86179620/61a504df46713833c7539987/ouch!_december_2021_ja_top_cybersecurity_tips_for_vacations.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆NSOのスパイウェア「Pegasus」、米国務省職員のiPhoneから発見　(2021.12.4)
ロイターの報道によると、少なくとも9人の米国務省職員の携帯電話がスパイウェ
ア「Pegasus」に感染していたという。このマルウェアはNSOグループが製造してい
る。対象となった従業員は、ウガンダに拠点を置いているか、ウガンダに関連する
問題に取り組んでいた。Pegasusの機能には、位置情報の追跡、マイクの起動、デ
ータの盗難などがある。国務省の報道官は、この報告書の確認を拒否している。
- https://www.reuters.com/technology/exclusive-us-state-department-phones-hacked-with-israeli-company-spyware-sources-2021-12-03/
- https://www.wired.com/story/nso-group-spyware-pegasus-state-department/
- https://www.washingtonpost.com/technology/2021/12/03/israel-nso-pegasus-hack-us-diplomats/
- https://www.theregister.com/2021/12/04/american_diplomats_nso/
- https://arstechnica.com/information-technology/2021/12/iphones-of-us-diplomats-hacked-using-0-click-exploits-from-embattled-nso/
- https://www.cyberscoop.com/nso-group-tech-reportedly-used-to-hack-us-officials-iphones/
- https://thehill.com/policy/cybersecurity/584244-state-department-employee-phones-hacked-through-nso-group-spyware-report

【編集者メモ】(Williams)
この話からは得るものが多くある。第一に、NSOはツールを悪用した者に対して法
的措置を取ると主張しているが、その顧客はNSO自身よりも主権免責を主張して成
功する可能性が高いこと。第二に、Apple社はユーザー自身が攻撃を検知するため
の情報を提供していないのは残念であるということ。NSOのような企業は、このよ
うな透明性の欠如を利用してユーザーを犠牲にし続けるだろう。最後に、これらの
行動がNSOへの制裁と無関係であるとは考えられないことである。
【編集者メモ】(Ullrich)
NSOの話は、攻撃的なツールを商業的に提供している他の企業への警告でもあると
考えられる。資金力のある攻撃者は、レッドチームが認可されたペネトレーション
テストで合法的に使用しているのと同じツールを使うことが多い。今のところ、こ
れらツールの使用方法を効果的に制限する方法は誰も見つけていないのではないだ
ろうか。NSOグループは、モバイル端末を攻撃するというユニークな能力を持って
いたが、ある意味では、そのツールが 「良くできている」ことが欠点であった。
【編集者メモ】(Neely)
Apple社は、NSOのスパイウェアに感染したデバイスを持つユーザーに通知するため
の取り組みを行っている。このソフトウェアのインストールに使用された脆弱性は
、9月にリリースされたiOS 14.8で修正されている。特に海外で展開している場合
は、デバイスが最新のバージョンであることを確認するように。モバイルデバイス
管理システムが、デバイスにインストールされたスパイウェアを積極的に検出でき
るかどうかも確認してもらいたい。NSOは、イスラエル政府が許可した輸出ライセ
ンスを含む厳格な条件で政府機関にのみソフトウェアをライセンスしており、米国
政府の職員に対する使用は厳格に禁止されていると主張しているが、これは技術的
な管理ではなく、管理上の管理なので、攻撃経路が閉じられた状態になるように技
術的な管理を行う必要がある。
【編集者メモ】(Pescatore)
米国連邦政府はその購買力を利用して、Google社とApple社に、連邦政府のすべて
の無線契約の一部として信頼できる「Government App Store」をサポートするよう
働きかける機会を長い間放置してきた。GoogleやAmazonが連邦政府のクラウド機能
を提供したのは、FedRAMPや米国政府の「クラウドファースト」の取り組みが調達
要件に裏付けられているように、連邦政府がその購買力を利用したからである。
【編集者メモ】(Orchilles)
敵対的なエミュレーションプラットフォームを販売している会社で働いていると、
運用上のセキュリティと機能セットのバランスを取らなければならない。「コール
ホーム」しない製品はお客様に歓迎されるが、その製品が間違った人の手に渡って
しまうと、私たちはその使用状況を知ることができない。これは、ペガサスやその
他の製品で起こったことである。このような失敗から学ぶことは、コストはかかる
が必要なことである　。
─────────────

◆FBI、重要インフラのランサムウェア攻撃に関する警告　(2021.12.6)
FBIは、キューバ製ランサムウェアが、金融、医療、ITなど複数の重要インフラ分
野の企業を標的とした攻撃に使用されているとの警告をTLP:White Flashで発表し
た。このFlashには、キューバ製ランサムウェアの技術的な詳細に加え、侵害の指
標や推奨される緩和策が掲載されている。
- https://www.theregister.com/2021/12/06/cuba_ransomware_gang_scores_almost/
- https://www.ic3.gov/Media/News/2021/211203-2.pdf
- https://www.scmagazine.com/analysis/cybercrime/fbi-says-one-ransomware-group-has-hit-49-critical-infrastructure-entities
- https://www.zdnet.com/article/fbi-cuba-ransomware-hit-49-critical-infrastructure-organizations/

【編集者メモ】(Williams)
検知に役立つIOCの公開には常に拍手を送りたいと思うが、このレポートの公開方
法には少し不満がある。重要インフラは、情報技術を含む広範囲の産業をカバーす
る16種類のセクターで構成されている。将来的には、「重要インフラ」という広い
意味での言葉をむやみに使わないことが理想的である。
【編集者メモ】(Neely)
Flashから得られたIOCをSIEMに追加し、新しいIOCにも注意してほしい。重要なシ
ステムをセグメント化し、信頼できるコンポーネント間の通信のみを許可する。そ
して、強力なパスワードや独自のパスワードを使用するか、これらのシステムとや
りとりするサービスにMFAが必要になる。活動を積極的に監視し、異常な動作を検
出するためにも。
【編集者メモ】(Orchilles)
このようなサイバー脅威の情報を糧にし、チームがこれらの敵の行動を検知して対
応できるようにするためのプロセスはあるだろうか？パープルチームの演習として
敵対者のエミュレーションを行うことは、これらの既知の攻撃が組織に影響を及ぼ
さないように、人材、プロセス、技術をテストし、測定し、改善するための最も効
率的な方法の一つである。
─────────────

◆Microsoft社、APTグループのインフラを破壊　(2021.12.6)
Microsoft社のデジタルクライムユニットは、中国と関係のあるAPT（Advanced
Persistent Threat）グループの活動を妨害するための措置を講じた。最近公開さ
れた裁判資料によると、同社は、Nickelという愛称で呼ばれるハッキンググループ
が利用していた29カ国のウェブサイトを差し押さえる権限を与えられた。
- https://blogs.microsoft.com/on-the-issues/2021/12/06/cyberattacks-nickel-dcu-china/
- https://www.microsoft.com/security/blog/2021/12/06/nickel-targeting-government-organizations-across-latin-america-and-europe/
- https://www.zdnet.com/article/microsoft-seizes-domains-used-to-attack-29-governments-across-latin-america-caribbean-europe/
- https://www.scmagazine.com/analysis/apt/court-allows-microsoft-to-dismantle-infrastructure-of-china-based-threat-group

【編集者メモ】(Williams)
この作戦は、範囲と影響において重要である。特に、コマンド＆コントロール・ド
メインを攻撃者から引き継いだことで、Microsoft社は被害者の特定を継続するこ
とができる。また、このレポートでは、頂点レベルの攻撃者であっても、mimikatz
やNTDSDumpなどのコモディティツールを使用していることを示している。それがで
きるのは、これらのツールが被害者の環境で機能し続けているからである。
【編集者メモ】(Pescatore)
Microsoft社が悪質なウェブサイトを閉鎖しても文句は言えないが、Nickelなどが
仕掛けた攻撃の大部分は、同社のソフトウェアに次々と見つかる重要な脆弱性を悪
用したものであった。これは、Tesla社がデジタル犯罪対策ユニットを結成し、同
社製自動車のドアロックが機能しないから盗んだという窃盗犯を取り締まるような
ものである。
【編集者メモ】(Neely)
システムの脆弱性を悪用しようとする者に対して、Microsoft社が対策を講じてい
るのは素晴らしいことである。その弱点を修正するために、同じくらい、あるいは
それ以上のエネルギーを費やしてほしいと願う。それ以外では、エンドポイント・
オペレーティング・システムと保護製品の両方のアップデートに注意してほしい。
彼らが定期的に報告していることを確認し、検出された脅威に対応するために必要
なリソースやトレーニングを対応者が持っていることを認識してもらいたい。
─────────────

◆悪意あるNPMパッケージ　(2021.12.9)
オープンソースのリポジトリで見つかった悪意のあるNPMライブラリは、Discordの
アクセストークンを盗み、感染したシステムを制御するために作成されたもよう。
なお、ライブラリは撤去されている。
- https://arstechnica.com/information-technology/2021/12/malicious-packages-sneaked-into-npm-repository-stole-discord-tokens/
- https://threatpost.com/malicious-npm-code-packages-discord/176886/
- https://thehackernews.com/2021/12/over-dozen-malicious-npm-packages.html

【編集者メモ】(Pescatore)
2021年のSANS New Threats and Attacksレポートで、Ed Skoudis氏は、ソフトウェ
アのサプライチェーンのセキュリティ問題全体の中で、「依存性の混乱」攻撃を取
り上げている。サプライチェーンセキュリティに関連するすべてのことと同様に、
パッケージマネージャの設定、ソフトウェア資産のインベントリ、ファイルの整合
性管理、さらには正確で意味のあるソフトウェア部品表の作成など、取り組まなけ
ればならない分野が複数ある。
【編集者メモ】(Neely)
NPMだけでなく、PyPi(Python)やRubyGems(Ruby)などのリポジトリにも悪意のある
バージョンのパッケージがインストールされている。あなたのCIプロセスに、検証
済みのバージョンのパッケージしか含まれていないことを確認し、そのバージョン
が危険な状態としてリストアップされていないことを確認するように。
─────────────

◆米国、悪意あるサイバーツールに対する輸出規制イニシアチブを導入見込み
　(2021.12.9)
バイデン政権は、悪意のあるサイバー活動に利用される可能性のある技術の輸出を
制限するイニシアチブを発表する予定である。輸出管理と人権イニシアチブは、人
権侵害に使われる技術を製造しているNSOグループなどへの制裁をきっかけに生ま
れた。
- https://thehill.com/policy/cybersecurity/585213-us-to-tighten-restrictions-on-exports-of-malicious-cyber-tools
- https://www.whitehouse.gov/briefing-room/statements-releases/2021/12/09/fact-sheet-announcing-the-presidential-initiative-for-democratic-renewal/

【編集者メモ】(Pescatore)
現在の予想では、これはある種の「拘束力のない行動規範」で、安全保障に関連す
る「二重使用技術」の輸出規制が意図しない悪影響を及ぼすことを懸念しており、
まだ多くの価値を持たない。しかし、（古い話になるが）1995年にDan Farmer氏と
Wietse Venema氏が作った脆弱性スキャンツール「SATAN」は、「悪人が脆弱性を見
つけて善人を攻撃するために使うものだ」と批判された。これまでの経験から（暗
号化やペンテストツールなどの他の例と同様に）、より優れたセキュリティツール
を熟練した防御者が手にしやすくすることは、（悪人を含む）誰もがそのようなツ
ールを入手したり使用したりすることを難しくするよりも効果的であることがわか
っている。
【編集者メモ】(Neely)
人権侵害を目的としたテクノロジーの使用を制限することは良いことだと思う。こ
の取り組みは、英国やその他の国における同様の規制との整合性を図るものである
。デュアルユース技術の制限には細心の注意が必要である。規制は、サイバー研究
を悪意のある搾取と同様に急速に違法化する可能性がある。
─────────────

◆log4j Java、ロギングパッケージにおける RCE 脆弱性　(2021.12.9)
log4jの脆弱性を悪用して、リモートでコードを実行される可能性があるという。
Apacheプロジェクトによって管理されているlog4jは、ロギングを実装するための
ポピュラーなライブラリ。このライブラリは、複数のクラウドサービスや、さまざ
まなオープンソースおよび商用のエンタープライズ製品など、Javaで書かれた多く
のプロジェクトをサポートしており。例として、攻撃者は、httpリクエストのユー
ザーエージェントとしてexploit文字列を含めることができる。ウェブアプリケー
ションがlog4jを使用してユーザー文字列を記録すると、log4jは攻撃者のサーバー
に接続するように騙され、サービスで実行される追加コードをダウンロードするこ
とができる。この脆弱性は、CVE-2021-44228とされている。
- https://www.lunasec.io/docs/blog/log4j-zero-day/
- https://www.randori.com/blog/cve-2021-44228/

【編集者メモ】(Ullrich)
この脆弱性の重要性は計り知れない。過去のlog4jの脆弱性は、何年も前から積極
的に悪用されており、オラクルのようなベンダーは、これらの過去の脆弱性にパッ
チを当てて製品を提供し続けている。幸いなことに、この脆弱性を軽減するために
検討できる設定上の回避策がある。この脆弱性は些細なものであり既に公開されて
いるので、今すぐ実行してもらいたい。
【編集者メモ】(Elgee)
それをサポートできる規模の組織であれば、継続的に社内でペネトレーションテス
トを行うべきケースである。Apache Log4jはApache Struts 2のように、多くの企
業が使用していることを知らないWebアプリケーション・プラミング・コンポーネ
ントの1つである。実際、Struts 2を使用している場合、脆弱なバージョンのLog4j
を使用している可能性がある。また、Strutsの脆弱性と同様に一般的には積極的に
チェックする必要があり、通常の脆弱性スキャンでは出てこないような欠陥である
。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇12月22日(水)
　テレワーク時代のメール誤送信体質改善セミナー
　～最短、今日できるメール誤送信対策の現実解～
　https://www.nri-secure.co.jp/seminar/2021/mail-missending1222?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

〇2022年1月13日(水)、2月22日(水)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2022/ac_id0113?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇M365/Google Workspaceユーザー必見！
　mSOARによるメールセキュリティ業務の自動化効率化が人材不足を解決する
　https://www.nri-secure.co.jp/video/proofpoint/sbcr20210827?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

＞＞その他、過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2022年1月
　SANS Tokyo January 2022
　https://www.sans-japan.jp/events/sans_tokyo_january_2022?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

〇2022年2月
　SANS Secure Japan 2022
　https://www.sans-japan.jp/events/sans_secure_japan_2022utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

〇2022年2月、3月 【キャンペーン料金！】
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

〇2022年1月、3月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇PCI DSSに準拠したカード情報の受け渡し方法とは？【New！】
　https://www.nri-secure.co.jp/download/pcidss-filetransfer-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

〇特権ID管理ツールを検討するときに確認するべき50のチェックリスト
　https://www.nri-secure.co.jp/download/privileged_id_50check?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

〇NRIセキュア ソリューションガイド 2021年度 3版
　https://www.nri-secure.co.jp/download/nrisecure-solution-guide?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○MITRE ATT&CKを活用した机上評価の３つのメリット｜フレームワークで防御の穴を可視化
　https://www.nri-secure.co.jp/blog/mitre-attck?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

○セキュリティ診断の実施基準｜脆弱性へ効果的・効率的に対応するための考え方
　https://www.nri-secure.co.jp/blog/security-diagnostic-criteria?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

○AI 原則とは？｜信頼できるAI のために世界各国が注目する基本理念
　https://www.nri-secure.co.jp/blog/ai-principle?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●m-FILTER MailAdviserにて、お得な年度末キャンペーン実施中
　https://www.nri-secure.co.jp/service/solution/mailadviser?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

○NRIセキュア、特権ID管理ソリューション「SecureCube Access Check」の
　新バージョン（5.5.0）を発売
　～「マスタ管理支援ツール」「申請テンプレート機能」を追加～
　https://www.nri-secure.co.jp/news/2021/1124?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

○NRIセキュア、グループ会社・委託先のセキュリティ対策状況を評価する
　「Secure SketCH」GROUPSプランを大幅刷新
　～主要ガイドラインに沿った設問テンプレートを標準で提供～
　https://www.nri-secure.co.jp/news/2021/1118?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20211215sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。