──────────────────────────
■■SANS NewsBites Vol.17 No.01
（原版: 2021年 12月28日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込締切日 1/7（金）】2022年1月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo January 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_tokyo_january_2022

【お知らせ】
　本イベントで開催を予定しておりましたSEC501/MGT512は開催中止となりました。

〇開催日：2022年1月17日（月）～1月22日（土）　6日間
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　FOR500 Windows Forensic Analysis
　ICS410 ICS/SCADA Security Essentials

〇トレーニング価格
　SEC504 840,000円（税込 924,000円）
　FOR500　　880,000円（税込 968,000円）
　ICS410　　930,000円（税込 1,023,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_january_2022

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込受付中です】2022年3月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Secure Japan 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_secure_japan_2022

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC401,SEC504）でキャンペーン価格を設定して
　おります。各トレーニング開始日の24暦日前までにお申込みをいただいた場合、
　790,000円（税込 869,000円）でのご提供となります。
　+++キャンペーン価格お申込期限+++
SEC401：2022年2月4日（金）、SEC504：2022年2月11日（金）

〇開催日：2022年2月28日（月）～3月5日（土）　6日間
　SEC401 Security Essentials - Network, Endpoint, and Cloud <日本語コース>
　SEC503 Intrusion Detection In-Depth
　SEC542 Web App Penetration Testing and Ethical Hacking
　SEC588 Cloud Penetration Testing
　FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
　FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

〇開催日：2022年3月7日（月）～3月12日（土）　6日間
　SEC504 Hacker Tools, Techniques, and Incident Handling <日本語コース>
　SEC460 Enterprise and Cloud | Threat and Vulnerability Assessment
　SEC560 Network Penetration Testing and Ethical Hacking
　FOR585 Smartphone Forensic Analysis In-Depth

〇開催日：2022年3月14日（月）～3月19日（土）　6日間
　SEC488 Cloud Security Essentials
　FOR578 Cyber Threat Intelligence
　※FOR578は、SANS Secure Singapore 2022との共同開催となります

〇トレーニング価格
　日本語コース（SEC401,SEC504）
　　日本語コース応援キャンペーン価格　790,000円（税込 869,000円）
　　通常価格　　　　　　 　　　　　　 840,000円（税込 924,000円）
　日本語コース（SEC401,SEC504）を除く、全てのコース
　　通常価格　　　　　　　　　　　　　880,000円（税込 968,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_secure_japan_2022

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆Log4jのサイバーセキュリティ勧告　(2021.12.22)
米国、英国、カナダ、オーストラリア、ニュージーランドのサイバーセキュリティ
機関が共同で発表した勧告によると、攻撃者は「Log4jの脆弱性を悪用する可能性
があり、活発にネットワークをスキャンしている」という。この勧告では、技術的
な詳細、緩和策、および追加リソースを提供している。
- https://www.cisa.gov/uscert/ncas/alerts/aa21-356a
- https://www.scmagazine.com/analysis/cloud-security/cisa-fbi-and-nsa-issue-joint-advisory-on-log4j-with-international-security-agencies
- https://www.zdnet.com/article/cisa-cybersecurity-centers-from-australia-nz-uk-and-canada-release-log4j-advisory/
- https://thehill.com/policy/cybersecurity/586967-five-eyes-nations-warn-of-threats-from-apache-vulnerability

【編集者メモ】(Ullrich)
この時点で、log4jの脆弱性を緩和することの重要性は、この勧告がなくても明ら
かなはずだ。しかし、log4jの脆弱例を発見するための支援ツールを含んでいると
いう点で、依然として有用な勧告である。
【編集者メモ】(Neely)
このアラートは、Log4jを扱う上で知っておくべき情報を集約してる。つまり最新
のアプリケーションインベントリとそれに対応するモニタリングが必要ということ
である。もしアウトソーシングやクラウドサービスを利用していて、Log4jがその
環境に適用されるかどうか、どのように適用されるかを知らされていない場合は、
積極的に情報を提供してもらおう。ICS/OTシステムに問題がないかを忘れずにチェ
ックしているだろうか？また他者にサービスを提供している場合は、自分の行動と
ユーザーが取るべき行動について知らせるように。報告書やIOC、あるいは本件を
理解するのに手助けが必要な場合は、会報にあるリソースを活用してほしい。
─────────────

◆Apache HTTPD サーバーの脆弱性 (2021.12.27)
Apacheは、2つの脆弱性に対処したApache HTTP Server 2.4.52をリリースした。1
つ目は、Apache HTTP Server 2.4.51以前の mod_luaでマルチパートコンテンツを
解析する際にバッファオーバーフローの可能性、2つ目はApache HTTP Server 2.4.
51以前のフォワードプロキシ構成におけるNULL間接参照またはSSRFの可能性とのこ
と。
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://www.govinfosecurity.com/2-vulnerabilities-discovered-in-apache-http-server-a-18208
- https://threatpost.com/apache-httpd-server-bugs-rce-dos/177234/
- https://www.zdnet.com/article/apaches-new-security-update-for-http-server-fixes-two-flaws/

【編集者メモ】(Williams)
この2つの脆弱性のうち、mod_luaの脆弱性は、理論的にはコードを実行される可能
性があるためより深刻だ。しかし、これには2つの大きな教訓がある。第一に、私
がチェックしたすべてのディストリビューションにおいて、mod_luaは悪用をはる
かに困難にし、悪用の可能性を低くするセキュリティ機能でコンパイルされていた
こと。第二に、ここには攻撃面の教訓がある。Apacheでmod_luaを使っている組織
は非常に少ないが、多くのLinuxディストリビューションではデフォルトで有効に
なっている。攻撃対象領域を最小化することはセキュリティの基本だが、残念なが
ら多くのディストリビューションは互換性のために攻撃対象領域を拡大させている
。セキュリティの専門家は、「aptインストール」だけですべてが最適に安全だと
思い込んではいけない。むしろ、パッケージ管理者が不要なものを追加していない
か設定を見直して確認するように。
【編集者メモ】(Neely)
一般向けのWebサーバーの31％強がApache HTTPサーバーを実行している。Linuxデ
ィストリビューションのデフォルトであるhttpdを使用している場合は、パッチが
適用されたバージョンを使用していることを確認するか、手動で現在のバージョン
をインストールして設定をしよう。もし、ビルトインバージョンのままで動作が遅
れている場合は、より新しいディストリビューションにアップデートする必要があ
るかもしれない。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「メッセージ攻撃の検出と停止」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スミッシングという攻撃手法をご存じでしょうか。SMS とフィッシングを組み合
わせた攻撃手法ですが、メールに比べて情報量が少ないことから、違和感を感じ
たり疑問に思うこともなくだまされてしまうため、注意が必要な攻撃のひとつと
なっています。今月は、このメッセージ攻撃の典型的な手口をご紹介して気づく
ヒントを持っていただくとともに、常識が最も有効な解決手段だと感じていただ
くためのTipsを初心者にもわかりやすく解説します。社内の意識啓発資料として
ご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/bltd3fc601b79be401f/61d2497c9793463f93f43ae1/ouch!_january_2022_Japanese_spot_and_stop_messaging_attacks.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆Azure App Service の脆弱性 (2021.12.24)
Microsoft社は、Azure App Service for Linuxの脆弱性を公開した。この欠陥を悪
用して、公開しようとしていないファイルをダウンロードされる可能性がある。同
社は、Wiz社の研究者からこの脆弱性の情報を得た。NotLegitバグと呼ばれるこの
脆弱性は、2017年9月から存在している。Microsoft社はブログの中で、「深層防護
対策で、静的コンテンツとして .git フォルダを提供しないようすべてのPHPイメ
ージを更新した」としている。また、影響を受ける顧客に通知して、適切なドキュ
メントを更新している。
- https://blog.wiz.io/azure-app-service-source-code-leak/
- https://msrc-blog.microsoft.com/2021/12/22/azure-app-service-linux-source-repository-exposure/
- https://www.theregister.com/2021/12/24/azure_app_service_not_legit_source_code_leak/
- https://www.zdnet.com/article/notlegit-azure-bug-addressed-by-microsoft/
- https://www.darkreading.com/threat-intelligence/microsoft-customer-source-code-exposed-via-azure-app-service-bug
- https://threatpost.com/microsoft-azure-zero-day-source-code/177270/

【編集者メモ】(Pescatore)
クラウドサービスのセキュリティ事故の多くは、管理者のミスによって起こるもの
だが、Azure、AWS、GCPなどのクラウドサービスで脆弱性が発見され続けているこ
とを再認識させるものである。ビジネスクリティカルな実行ファイル、ファイル、
データに対しては、ファイルの整合性とデータ移動の監視が依然として必要だろう
。
【編集者メモ】(Ullrich)
公開された.gitディレクトリは一般的な問題であり、ウェブアプリケーションの脆
弱性スキャンで表示されるはずである。また、ハニーポットで調査された脆弱性の
中でも上位にランクインしている。この問題を発見するのに時間がかかったのは、
少し不思議だ。
【編集者メモ】(Neely)
Azure App Service を使って配信するコンテンツに「Local Git」リポジトリを設
定した場合、.gitフォルダ内の設定ファイル(web.config)は、Apacheやその他の技
術を使用するのではなくそのIISサーバーでのみ処理されるため、それらのリポジ
トリは非公開ではなく、公開されていた。Microsoft社は11月17日にこの問題を解
決し、12月7日から該当する顧客に電子メールで周知している。特に、APIキーなど
の認証情報が含まれている場合は、更新が必要な場合があるので確認するように。
【編集者メモ】(Williams)
Wiz社が発見し報告したクラウドプラットフォームの脆弱性は今回が初めてではな
く、これが最後になることもないだろう。もし組織がクラウドプラットフォームを
使用しているのであれば、脆弱性の早期発見のために同社をフォローする必要があ
るだろう。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇1月13日(水)、2月22日(水)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2022/ac_id0113?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

〇1月21日(金)
　DX時代のセキュリティ人材育成セミナー
　～アンケート結果から見る人材育成とスキルアップの最適解～
　https://www.nri-secure.co.jp/seminar/2022/human_resource_development0121?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇M365/Google Workspaceユーザー必見！
　mSOARによるメールセキュリティ業務の自動化効率化が人材不足を解決する
　https://www.nri-secure.co.jp/video/proofpoint/sbcr20210827?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

＞＞その他、過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2022年1月
　SANS Tokyo January 2022
　https://www.sans-japan.jp/events/sans_tokyo_january_2022?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

〇2022年2月
　SANS Secure Japan 2022
　https://www.sans-japan.jp/events/sans_secure_japan_2022utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

〇2022年2月、3月 【キャンペーン料金！】
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

〇2022年1月、3月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇グローバルなセキュリティ資格「CISSP」取得のためのガイドブック【New！】
　https://www.nri-secure.co.jp/download/cissp_domainguidebook2021?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

〇PCI DSSに準拠したカード情報の受け渡し方法とは？
　https://www.nri-secure.co.jp/download/pcidss-filetransfer-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

〇特権ID管理ツールを検討するときに確認するべき50のチェックリスト
　https://www.nri-secure.co.jp/download/privileged_id_50check?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○決済セキュリティ基準の最新動向｜PCI DSS バージョン4.0の新情報などを解説
　https://www.nri-secure.co.jp/blog/pci-ssc-global-community-forum?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

○システム開発を「高速」かつ「セキュア」にする方法
　https://www.nri-secure.co.jp/blog/fast-and-secure-system-development?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

○MITRE ATT&CKを活用した机上評価の３つのメリット｜フレームワークで防御の穴を可視化
　https://www.nri-secure.co.jp/blog/mitre-attck?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●m-FILTER MailAdviserにて、お得な年度末キャンペーン実施中
　https://www.nri-secure.co.jp/service/solution/mailadviser?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

○「ジャパン マネージドセキュリティサービス プロバイダーオブザイヤー」を
　5年連続で受賞
　https://www.nri-secure.co.jp/news/2022/0105?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

○NRIセキュア、特権ID管理ソリューション「SecureCube Access Check」の
　新バージョン（5.5.0）を発売
　～「マスタ管理支援ツール」「申請テンプレート機能」を追加～
　https://www.nri-secure.co.jp/news/2021/1124?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20220106sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。