──────────────────────────
■■SANS NewsBites Vol.17 No.08
（原版: 2022年 2月15日、18日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【3/7開催コース:お申込締切日迫る!】2022年3月開催 トレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Secure Japan 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_secure_japan_2022

〇開催日：2022年3月7日（月）～3月12日（土）　6日間
　SEC504 Hacker Tools, Techniques, and Incident Handling <日本語コース>
　SEC560 Network Penetration Testing and Ethical Hacking
　FOR585 Smartphone Forensic Analysis In-Depth

※3/7開催コースのお申込締切日は、明日（2/25）までとなります。
　ご検討中の方は、お早めにお申込みください。

〇開催日：2022年3月14日（月）～3月19日（土）　6日間
　SEC488 Cloud Security Essentials
　FOR578 Cyber Threat Intelligence

※FOR578は、SANS Secure Singapore 2022との共同開催となります。
※3/14開催コース　お申込締切日　2022年3月4日（金）

〇トレーニング価格
　SEC504　　　　　　　　　　　840,000円（税込 924,000円）
　SEC504を除く、全てのコース　880,000円（税込 968,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_secure_japan_2022

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆学校とIT企業へのサイバー攻撃で禁固21ヶ月の判決　(2022.2.11)
英国の裁判所は、学校とIT企業に対してサイバー攻撃を仕掛けた元IT技術者に懲役
21ヶ月の判決を下した。Adam Georgesonは学校で働いていたが、詐欺の前科がある
ことが判明し解雇された後、IT企業に勤務しながら学校に対して攻撃を開始した。
またそのIT企業で職を失った後には、同社のネットワークに対して攻撃を開始して
いる。
- https://www.bbc.com/news/uk-england-leicestershire-60349121
- https://www.leics.police.uk/news/leicestershire/news/2022/february/man-jailed-after-pleading-guilty-to-computer-misuse/

【編集者メモ】(Pescatore)
セキュリティチームとITチームは、特権的なシステムへのアクセスを許可される人
物を採用する際には、身元調査を行うべきであるということを再認識してほしい。
あまり知られていないが重要な問題である。また従業員の解雇を決定する際には、
人事部や採用担当者と協力して社内およびリモートアクセスをすべてオフにするこ
とがプロセスの一部であることを確認してもらいたい。
【編集者メモ】(Neely)
この従業員には詐欺の前科が2回あり、それが発覚したため解雇となっている。特
権的なアクセス権を持っている可能性のある従業員を処分して不満を抱かせるより
も、採用時に時間がかかったとしても、前もって身辺調査行う方が良いだろう。す
でに身辺調査している人物を、ある程度の間隔で再確認している方はどれくらいい
るだろうか？善良な人が間違った選択をしてしまうこともあるが、私は雇用主がそ
の従業員の仕事を維持し、その過ちから立ち直るのに手を差し伸べることを目の当
たりにしてきている。
【編集者メモ】(Orchilles)
特権を持つ内通者の脅威は、検知と対応が最も困難なものの1つである。私は、内
部脅威に関する専門的なプログラムやチームを持っている組織を少なからず知って
いる。例によって、単一タイプの脅威だけに注目することなく、脅威のモデルと成
熟度を考慮するように。
─────────────

◆Google社「Project Zero」、2021年の指標　(2022.2.11)
Google社のProject Zeroによると、報告された脆弱性の修正をするためにベンダー
は平均52日かかったとという。3年前、修正にかかる平均日数は80日かかっていた
。修正までの平均時間が最も短かったのは、Linux、Mozilla、Googleの3社。
- https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
- https://www.bleepingcomputer.com/news/security/google-project-zero-vendors-are-now-quicker-at-fixing-zero-days/
- https://www.zdnet.com/article/google-vendors-took-an-average-of-52-days-to-fix-reported-security-vulnerabilities/

【編集者メモ】(Ullrich)
ベンダーが脆弱性に迅速に対応していることは素晴らしいことだし、オープンソー
スソフトウェアが主導していることも大変素晴らしい。90日というハードな開示期
限を設けたGoogleによる「しごき」が功を奏しているようだ。しかし、エンドユー
ザーとしては、脆弱性を軽減するためにこれらのパッチを適用する必要がある。
【編集者メモ】(Pescatore)
良いニュースとしては、修正にかかる時4間が全体的に減少傾向にあることだ。しか
し、Googleのデータ収集レベルでは、修正にかかる時間の理由まではわからない。
ソフトウェアのライフサイクルが長かった昔は、見つけやすく、すぐに修正できる
バグは早い段階で発生し見つけにくく、修正に時間がかかるバグはライフサイクル
の後半に発生すると考えられていた。入力検証エラー（およびOWASPトップ10その
他脆弱性）がまだソフトウェアに組み込まれているため、修正にかかる時間が短く
てもそれは本来良いことではないだろう。
【編集者メモ】(Neely)
これは大きな進歩である。サードパーティやローカルなコーディングの不備によっ
てもたらされる脆弱性のトレンドは、どのようなものなのだろうか。サプライヤー
が修正に取り組み、私たちがアップデートのテストと導入に多大なスキルを持つよ
うになった今、そもそも欠陥が含まれる可能性を減らすために、安全なコーディン
グと含まれるコンポーネントの評価を重視する必要がある。

【編集者メモ】(Orchilles)
読みやすく、理解しやすいレポートになっているのでぜひ一読してみてほしい。私
はこの透明性を高く評価し、この種のデータを共有するベンダーがもっと増えるこ
とを期待している。
─────────────

◆Adobe社、CommerceとMagentoの緊急パッチを公開　(2022.2.14)
Adobe社は、活発に悪用されている重要な規範を修正するためAdobe Commerceと
Magento Open Sourceの緊急アップデートを公開した。入力が不適切な検証による
脆弱性は、認証なしで悪用され任意のコードを実行されてしまう可能性がある。
- https://helpx.adobe.com/security/products/magento/apsb22-12.html
- https://www.zdnet.com/article/patch-now-adobe-releases-emergency-fix-for-exploited-commerce-magento-zero-day/
- https://threatpost.com/adobe-zero-day-magento-rce-attack/178407/
- https://www.bleepingcomputer.com/news/security/emergency-magento-update-fixes-zero-day-bug-exploited-in-attacks/

【編集者メモ】(Ullrich)
これを読んだ時には、すでにパッチが手遅れになっているかもしれない。パッチが
適用されていないシステムは危険な状態として扱う。この脆弱性は、すでに悪用さ
れた後に発見されAdobeに報告された。搾取はとても簡単だ。ウェブアプリケーシ
ョンファイアウォールでは保護できない可能性が高い。Magentoは、攻撃者にとっ
て贈り物のような存在である。また、パッチは実際の「パッチ」ファイルとして届
き、手動で適用する必要があることも特筆すべき点だろう。できることならMagento
を持ち帰って、何か、何でもいいから他のものに置き換えながら、その悲惨な状況
から解放してあげてほしいものである。
【編集者メモ】(Neely)
これは、CVSSの基本スコアが9.8の不適切な入力検証の不具合(CVE-2022-24086)を
修正するものである。なお、Adobe CommerceまたはMagento OpenSourceの2.4.3-p1
または2.3.7-p2以前のバージョンに対応している。Magento 1.xを使用している場
合でも、この問題を解決するには Magentoバージョン2に更新する必要がある。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「サイバーセキュリティのキャリアをスタートさせる」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの話題が報道などで話題に上らない日はないほど、セキュリテは身
近なトピックとなりましたが、あなたはサイバーセキュリティ分野でのキャリアを
考えたことはありますか。もしかすると、コンピュータサイエンスの学位が必要な
のではといった誤解があるかもしれません。
今月は普段の OUCH!とは違って、サイバーセキュリティ分野のキャリアに興味をお
持ちの方に向けてキャリアをスタートさせるための方法をいくつかご紹介します。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blte47a8e2ec43d9ab5/61f71af5a96c4414ac4351e0/ouch!_february_2022_Japanese_anyone_can_start_a_career_in_cybersecurity.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆米国司法省、新しいサイバー犯罪対策の重点に国際協力を据える　(2022.2.17)
米国司法省副長官Lisa Monaco氏は、ミュンヘンサイバーセキュリティ会議におい
て、暗号通貨に関連する犯罪に焦点をあてたFBIユニットなど、新しい司法省（DoJ
）のサイバー犯罪に関する取り組みをいくつか発表した。仮想通貨関連の犯罪の取
り締まりに特化したVirtual Asset Exploitation Unitは、DoJのNational Cryptocurrency
Enforcement Team（NCET）と密接に連携するという。さらに、同省は国際的な仮
想通貨イニシアティブを立ち上げるとともに「米国の検察当局とヨーロッパのパー
トナーとの協力」のため、ヨーロッパに駐在するCyber Operations International
Liaisonのポストの設置を予定している。またMonaco氏は、「重要なサイバー犯罪
の捜査を担当する検察官は、今後同省の国際的なサイバー犯罪の専門家と相談し、
脅威を阻止するための国際的な行動を取ることが義務づけられる」とし、国際協力
を後回しにはしないと述べている。
- https://www.justice.gov/opa/speech/deputy-attorney-general-lisa-o-monaco-delivers-remarks-annual-munich-cyber-security
- https://www.scmagazine.com/analysis/cryptocurrency/doj-announces-new-cyber-initiatives-including-new-cryptocurrency-group
- https://www.cyberscoop.com/doj-combat-criminal-cryptocurrency-ransomware/

【編集者メモ】(Pescatore)
司法長官の言うとおり、国際的でないサイバー捜査は珍しい。米国が国際的なサイ
バーセキュリティの取り組みに再び関与するようになったのは良いことだ。また被
害が発生してから監視や訴追を行うのではなく、サイバー犯罪を進行中に阻止する
力を活用することについても評価できる。一方、ランサムウェアやサイバー脅迫な
どに対する多数のタスクフォースについても言及している。その年々の脅威を追い
かけるよりも、一つの大きな「力」を持ち、Mitre ATT&CK Frameworkのようなもの
を使って「タスク」に優先順位をつける方がずっと効果的だろう。
【編集者メモ】(Neely)
昨今の脅威者を阻止するためには、省庁間の協力が重要である。暗号通貨を追跡す
るには、複数のソースやアクションから収集したデータを追加して相関させる必要
がある。取引だけでなく、ウォレットも所有者に関連付ける必要があるだろう。
─────────────

◆赤十字社による情報漏えいの詳細　(2022.2.15 & 16)
赤十字国際委員会（ICRC）は、2021年11月に発生した50万人以上の機密情報が流出
した事件に関する追加情報を公開した。ICRCによると、攻撃者は高度持続的脅威グ
ループがよく使う攻撃的なハッキングツールを使用し、一部の攻撃コードはICRCの
サーバーで使用するために特別に作成されていたという。攻撃者は、Zoho ManageEngine
ADSelfServiceの認証モジュールにある未パッチの重要な欠陥を悪用していた。こ
の欠陥の修正プログラムは2021年9月に公開されている。
- https://www.icrc.org/en/document/cyber-attack-icrc-what-we-know
- https://www.scmagazine.com/analysis/incident-response/red-cross-reveals-actors-exploited-unpatched-zoho-security-flaw-in-january-breach
- https://www.bleepingcomputer.com/news/security/red-cross-state-hackers-breached-our-network-using-zoho-bug/
- https://www.govinfosecurity.com/unpatched-zoho-bug-exploited-in-red-cross-attack-a-18523

【編集者メモ】(Neely)
パッチの遅延やスキップによるリスクを受け入れる時代は、Equifaxの情報漏えい
事件で幕を閉じた。定期的にスキャンして欠陥を探すだけでなく、その結果を検証
して対策を講じるように。Webアプリケーションの徹底的なスキャンも怠らないで
ほしい。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇3月10日(木)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2022/ac_id0310?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

〇3月23日(水)
　【リモートで体験】特権ID管理　SecureCube Access Check　ハンズオンセミナー
　https://www.nri-secure.co.jp/seminar/2022/ac_handson0323?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【30分でわかる】セキュリティガイドライン 簡単解説！～初心者編～
　https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211124?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

〇セキュリティ業務改善ウェビナー
　https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211020?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

〇GROUPSプラン アップデートウェビナー
　https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211208?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

＞＞その他、過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇3月
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

〇3月
　SANS Secure Japan 2022
　https://www.sans-japan.jp/events/sans_secure_japan_2022?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

〇3月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2021　　　　　　　　　　　　　　　　　【New！】
　～企業における情報セキュリティ実態調査～
　https://www.nri-secure.co.jp/download/insight2021-report?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

〇グローバルなセキュリティ資格「CISSP」取得のためのガイドブック
　https://www.nri-secure.co.jp/download/cissp_domainguidebook2021?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

〇PCI DSSに準拠したカード情報の受け渡し方法とは？
　https://www.nri-secure.co.jp/download/pcidss-filetransfer-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「脆弱性」に打ち勝つためにセキュリティの専門家としてできること
　https://www.nri-secure.co.jp/blog/devsecops-interview

○【現地調査】米国のサイバーセキュリティ戦略と投資へのスタンス
　https://www.nri-secure.co.jp/blog/united-states-cybersecurity-interview01

○セキュリティ営業の要はマッチング力｜
　最適なソリューション提案のために必要なこと
　https://www.nri-secure.co.jp/blog/sales-interview?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、Space BD社のシステム構築をゼロトラストモデルを採用して支援
　https://www.nri-secure.co.jp/news/2022/0224?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

○NRIセキュア、「企業における情報セキュリティ実態調査2021」を実施
　～ゼロトラストセキュリティ関連のソリューション導入において、日本企業は米豪に後れ～
　https://www.nri-secure.co.jp/news/2022/0208?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

○NRIセキュア、サイバー・セキュリティ・コンサルティングの8分野でシェアNo.1を獲得
　https://www.nri-secure.co.jp/news/2022/0125?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20220224sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテ4ンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。