ニュースレター登録
資料ダウンロード
お問い合わせ

Newsletter SANS NewsBites Vol.17 No.10 2022.03.09 発行

更新日 2022. 03. 09

──────────────────────────
■■SANS NewsBites Vol.17 No.10
(原版: 2022年 3月1日、4日)
──────────────────────────


◆CISAとFBI、HermeticWiperとWhisperGateに関する勧告 (2022.2.28)
FBIと米国サイバーセキュリティインフラストラクチャセキュリティ局(CISA)は
、共同サイバーセキュリティ勧告の中で、ウクライナの組織に対して使用された「
WhisperGate」と「HermeticWiper」というマルウェアに関する技術的な詳細を提供
している。本勧告では「ウクライナの組織に対する破壊的なサイバー攻撃がさらに
発生する可能性があり、意図せず他の国の組織にも波及する可能性がある。」と注
意を促しており、緩和策のリストも含まれている。
- https://www.cisa.gov/uscert/ncas/alerts/aa22-057a
- https://www.scmagazine.com/analysis/cyberespionage/cisa-fbi-to-us-firms-prepare-for-ukraine-wipers
- https://www.zdnet.com/article/cisa-fbi-warn-us-orgs-of-whispergate-and-hermeticwiper-malware/
- https://www.bleepingcomputer.com/news/security/cisa-and-fbi-warn-of-potential-data-wiping-attacks-spillover/

【編集者メモ】(Ullrich)
5分ほどかけて、具体的なIOCs(ファイルハッシュなど)を探そう。あとは、その
日のうちに感染連鎖を理解し、類似の手法を自分の環境でどのように検出するかを
検証したり、可視性のギャップ(ホストやネットワークベースのロギング)を見つ
け出すとよいだろう。
【編集者メモ】(Shpantzer)
IPやPIIを密かに盗むことに焦点を当てた他のマルウェアとは異なり、この類のイ
ンシデントはDR/BCPの問題であり、継続性(給与計算、AR/AP、物流、販売をいか
に継続するか)と復旧(オフラインのバックアップにアクセスし、ビジネスプロセ
スの復旧を開始する)について戦略的に考えることが必要である。バックアップと
バックアップ・アプリケーションは、自然災害やサイバー犯罪とは異なり、それ自
体が破壊や暗号化のターゲットになりうるからだ。
【編集者メモ】(Neely)
2013年まで遡ぼると、ウクライナを標的とした攻撃は、何らかの形でDisk Wiperが
登場している。ここで問題なのは、標的がウクライナの支援者だけでなく、アノニ
マスのようなウクライナの代理攻撃者に対しての攻撃が他の地域にも波及している
のだが、それを誰もチェックしていないことである。皆で緩和策をブラッシュアッ
プする必要がある。さらに、マルウェアの侵入経路の調査、SANやネットワークス
イッチなどの共通障害点に対する回復力、堅牢な物理的・論理的アクセス制御、ア
クティブな監視と対応などをサービスリストに追加して、目前のタスクに対応して
いるかどうかを確認しよう。
【編集者メモ】(Orchilles)
私たちは北朝鮮によるSonyへの攻撃を受け、同様の破壊的な攻撃とその緩和方法を
学んだ。この出来事から今後の攻撃について学び、備えるための新たな機会を得た
のである。CISAとFBIによる実行可能な勧告に賛辞を送りたい。
─────────────

◆SpaceXのStarlink衛星サービス、ウクライナで稼働開始 (2022.2.27)
SpaceX社は、ウクライナ首脳陣の要請に応じ同国でStarlink衛星サービスを稼働さ
せた。同企業はまた、Starlinkのユーザー端末も送っている。
- https://arstechnica.com/tech-policy/2022/02/ukraine-asks-musk-for-starlink-terminals-as-russian-invasion-disrupts-broadband/
- https://www.zdnet.com/article/elon-musk-activates-starlink-to-help-keep-ukraines-internet-up/
- https://www.axios.com/elon-musk-spacex-starlink-satellites-active-ukraine-dd6c0a4c-a832-415b-96a0-91a323392927.html

【編集者メモ】(Ullrich)
Starlinkは広帯域の接続を提供するが、現設計では、ユーザーと同じ地域にある地
上局を必要とすることには変わりない。 しかし、アドホック接続が簡単にできる
Starlinkは、過去の様々な災害時に非常に役に立ったことが証明されている。なお
、端末の電磁波で位置が特定されるのではないかという指摘については、実用的か
どうかはわからないが、ユーザーからある程度離れた場所に端末を置くことも可能
である。
【編集者メモ】(Neely)
Starlinkは、地球低軌道上に約2,200機の衛星を有し、ブロードバンドに代わる広
帯域、低遅延の通信手段として設計されている。Elon氏は、ウクライナのユーザー
にダウンロード速度が約137Mbpsの端末を無償で提供すると約束し、約48時間後に
は届けている。Starlinkのプレミアムオプションが利用可能になると、ダウンロー
ドは150~500Mbps、アップロードは20~40Mbpsの速度が実現する。
【編集者メモ】(Shpantzer)
この例のように、ウクライナを支援する良いものがどんどん出てきている。
【編集者メモ】(Orchilles)
私はStarlinkサービスを試しているが、信頼できるインターネットサービスプロバ
イダーがない地域にとっては、ゲームチェンジャーになると言える。コンセント1
つあれば、地域全体が停電になっても、バックアップバッテリーや発電機からイン
ターネットに接続することができるからだ。
─────────────

◆Viasat、欧州のブロードバンド障害はサイバー攻撃によるものと発表
 (2022.2.28)
衛星通信会社のViasatによると、サイバー攻撃により、東ヨーロッパ全域でブロー
ドバンド障害が発生しているという。攻撃は2月24日に始まったとされており、現
在調査中とのこと。
- https://www.zdnet.com/article/viasat-confirms-cyberattack-causing-outages-across-europe/
- https://news.sky.com/story/satellite-giant-viasat-probes-suspected-broadband-cyberattack-amid-russia-fears-12554004

【編集者メモ】(Ullrich)
ドイツでは、約6,000基の風力発電機が接続不能になった。これらの風力タービン
はKa-SAT衛星接続を使用しており、この事象はViasatの障害に関連している可能性
がある。衛星接続は地上からの影響を受けにくいものの(SpaceXの記事を参照)、
風力発電機のように地理的に分散したシステム(あるいは衛星自体)が影響を受け
た場合は復旧が非常に困難な見込みである。
【編集者メモ】(Neely)
これは、代替機やフェイルオーバーISPのオプションを調査する良い機会だろう。
可能であれば、必要になる前にテストを含め、セカンダリの準備をしてもらいたい
。帯域を変更してもビジネスが継続できるようにフェイルオーバー接続で動作する
機能を決める必要がある。ちなみに、ウクライナのStarlink端末はダウンロード速
度が137Mbpsである。
【編集者メモ】(Orchilles)
ViasatもStarlinkと同じく衛星プロバイダーである。SpaceXはこの攻撃を注視し、
競合他社から学ぶべきである。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「ディープフェイクを見つける方法」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
コンピュータ技術の進歩により、既にこの世にはいない俳優に演技をさせるなど
合成技術を目にすることも珍しくなくなりました。ただ、この技術を悪用すると
様々な思惑で偽のニュースが作られる可能性があるため、真贋を見抜くテクニッ
クが今後求められるでしょう。
今月は、このディープフェイクの基本をお伝えするとともに、ディープフェイク
を見抜くためのテクニックを初心者向けにご紹介します。従業員の意識啓発活動
などにご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt4c18d0b45cd331f3/621ce86dc4c1b167484d279b/ouch!_march_2022_japanese_learn_a_new_survival_skill_spotting_deepfake.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ICANN、ロシアのドメインを失効させないことを表明 (2022.3.3)
ICANN (Internet Corporation for Assigned Names and Numbers) は、ロシアのト
ップレベルドメインおよび関連するSSL証明書の取り消しを求めるウクライナの要
請を拒否した。ICANN会長兼CEOのGoran Marby氏は、公開された回答の中で「イン
ターネットの固有識別子の技術的な調整役として、我々はインターネットの仕組み
が政治化されないように行動しており、制裁を与える権限はない。ICANNは、イン
ターネットが機能することを保証するために設立されたのであって、その調整役が
インターネットの機能を停止させるために使われるべきではない」としている。
- https://www.icann.org/en/system/files/correspondence/marby-to-fedorov-02mar22-en.pdf
- https://www.zdnet.com/article/icann-rejects-ukraines-request-to-block-russia-from-the-internet/
- https://www.theregister.com/2022/03/03/icann_ukraine_russian_domains/

【編集者メモ】(Ullrich)
私見ではあるが、ロシアを「切り離す」というのは間違った動きだと思う。インタ
ーネットは、ロシア人が外部のニュースを受け取る手段の一つとして功を奏してい
る。特定のドメインに絞って削除した方がより適切かもしれないが、ICANNがこの
ようなことをするのは正しくはないだろう。
【編集者メモ】(Gorenflo)
ウクライナのICANNへの要請は、ICANNが実行できる技術的措置を求めたものではあ
るが、これらの措置を実行することは間違いなくICANN自身の細則に違反する。も
しICANNがこの紛争でどちらかの側につくようなことがあれば、今後世論がより分
裂する可能性のある無数の紛争に対しても、どちらかの側につくよう圧力を受ける
ことになるだろう。将来的に政治の影響により、インターネット全体の安全性と安
定性に対する世界の信頼が低下する可能性が高い。ICANNは賢明にも「インターネ
ットの固有識別子システムの安定的かつ安全な運用を確保する」という使命を忠実
に守っているのである。
【編集者メモ】(Neely)
要するに、適切な組織に行動を依頼しその制約を知ることである。ウクライナがロ
シアに対する制裁として、トップレベルドメイン(.ru)の上場廃止、証明書の取
り消し、ルートサーバーの停止を望むことは理解できるが、ICANNは技術的にこれ
らすべてのことを行うことはできないのだ。ICANNの役割はグローバルなポリシー
に沿ったユニークなインターネット識別子を割り当てる。 これらの同じポリシー
は、ICANNが求められたような行動を取ることを許可していない。実際に単一の組
織がこれらの行動を取る権限を持っているわけではない。同じ理由で、ルートDNS
サーバーが独立して運用され、地理的に分散していることは注目に値する。SSL証
明書は発行者によって取り消されることがあるが、それは証明書取扱契約書に記載
された理由に限られる。
【編集者メモ】(Elgee)
情報戦は双方向の戦いでもある。敵との関係を断つことは、発信される宣伝戦を減
らす一方で、西側のメッセージがロシア国民に届くのを防ぐことにもなる。こうし
た現実が、ロシア政府をインターネットから切り離すきっかけになったのだろう。
─────────────

◆ウクライナ政府、技術系企業や暗号取引所に支援要請 (2022.3.2)
ウクライナ政府は、Oracle社とSAP社に対してロシア企業との取引を停止するよう
要請している。また政府は暗号通貨取引所に対して、ロシア人ユーザーのアドレス
をブロックするよう求めている。今週初めにOracle社は「ロシア連邦でのすべての
業務を停止した」とツイートしている。
- https://www.zdnet.com/article/ukraine-government-calls-on-oracle-sap-for-support/
- https://www.zdnet.com/finance/blockchain/ukraine-asks-cryptocurrency-firms-to-block-russian-users/

【編集者メモ】(Ullrich)
技術的に、すべてのケースにおいては不可能かもしれないが、制裁が機能するため
には暗号通貨が含まれているべきである。しかし、暗号通貨で支払いを行っている
制裁対象者を適切に特定することは困難であり、時間がかかる可能性がある。
【編集者メモ】(Neely)
暗号取引所と暗号通貨は、通常の規制の範囲外である。そのため、取引所への参加
は個人の選択になるだろう。さらに、暗号は難読化・秘匿化を容易にするため、ウ
ォレットとユーザーおよび場所を正確にマッピングする必要があり、複雑なものと
なっている。そのため、これらのブロックがどの程度有効かは明らかではない。
─────────────

◆SWIFTデータセンター、ロシアの銀行排除後に警備対象となる (2022.3.3)
スイスのSWIFTデータセンターは、国際金融メッセージングシステムが欧州理事会
の指示に従ってロシアの大手銀行数行をネットワークから排除した後に、法執行機
関によって物理的に保護されている。SWIFTは他にオランダと米国にデータセン
ターを保有している。
- https://www.theregister.com/2022/03/03/swift_data_centre_under_guard/

【編集者メモ】(Neely)
スイスのSWIFTデータセンターは、7階建てのうち5階が地下にあり、周囲は高い壁
や有刺鉄線、監視カメラで囲まれていて万全の防御態勢をとっている。データセン
ターの物理的セキュリティが、想定される脅威のシナリオに見合ったものであるだ
けでなく、それらの態勢を定期的にテストしていることを確認している。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇3月22日(火)
 クラウド利用を加速させるOktaの実力とは!?
 ~自社にとって最適なIDaaSの見つけ方~
 https://www.nri-secure.co.jp/seminar/2022/okta0322?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

〇3月23日(水)
 【リモートで体験】特権ID管理 SecureCube Access Check ハンズオンセミナー
 https://www.nri-secure.co.jp/seminar/2022/ac_handson0323?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

〇4月13日(水)
 特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
 ~失敗しない製品選定の3つのポイントと導入効果~
 https://www.nri-secure.co.jp/seminar/2022/ac_id0413?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画                    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【30分でわかる】セキュリティガイドライン 簡単解説!~初心者編~
 https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211124?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

〇セキュリティ業務改善ウェビナー
 https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211020?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

〇GROUPSプラン アップデートウェビナー
 https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211208?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

>>その他、過去開催されたウェビナー
 https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月、8月
 セキュアEggs
 https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

〇5~7月、9~2023年3月
 CISSP CBKトレーニング
 https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(お役立ち資料ダウンロード)         <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2021                 【New!】
 ~企業における情報セキュリティ実態調査~
 https://www.nri-secure.co.jp/download/insight2021-report?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

〇経営層を納得させるセキュリティ予算獲得術
 https://www.nri-secure.co.jp/download/security-budget?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

〇グローバルなセキュリティ資格「CISSP」取得のためのガイドブック
 https://www.nri-secure.co.jp/download/cissp_domainguidebook2021?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

>>ダウンロード資料一覧
 https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティ予算を獲得する方法 | 経営層の納得を引き出す4つのポイント
 https://www.nri-secure.co.jp/blog/getting-security-budget-approved?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

○サイバー攻撃への備え|昨今の情勢を踏まえて企業が点検すべき7つのポイント
 https://www.nri-secure.co.jp/blog/call-to-attention-about-cybersecurity-risk-rapid-increasing?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

○日本発の宇宙産業育成を目指すSpace BDの挑戦を支える「ゼロトラスト」セキュリティ
 https://www.nri-secure.co.jp/blog/interview_spacebd?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

>>ブログ記事一覧
 https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、Space BD社のシステム構築をゼロトラストモデルを採用して支援
 https://www.nri-secure.co.jp/news/2022/0224?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

○NRIセキュア、「企業における情報セキュリティ実態調査2021」を実施
 ~ゼロトラストセキュリティ関連のソリューション導入において、日本企業は米豪に後れ~
 https://www.nri-secure.co.jp/news/2022/0208?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

>>ニュース一覧
 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
 業務に役立つ情報を月に3~4回お届けします。
 https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20220309sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテ4ンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。