──────────────────────────
■■SANS NewsBites Vol.17 No.12
(原版: 2022年 3月15日、22日)
──────────────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【開催コースのご案内】SANS Cyber Defense Japan 2022のご案内
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Cyber Defense Japan 2022】★日英同時通訳★
2022年6月27日より開催いたします Cyber Defense Japan 2022 につきまして、
開催コースと各コースの開催日をご案内いたします。
お申込み受付開始まで、今しばらくお待ちくださいませ。
〇開催日:2022年6月27日(月)~7月2日(土)6日間
SEC504:Hacker Tools, Techniques, and Incident Handling <日本語コース>
SEC530:Defensible Security Architecture and Engineering: Implementing Zero Trust for the Hybrid Enterprise
SEC587:Advanced Open-Source Intelligence (OSINT) Gathering and Analysis
FOR500:Windows Forensic Analysis
FOR610:Reverse-Engineering Malware: Malware Analysis Tools and Techniques
〇開催日:2022年7月4日(月)~7月9日(土)6日間
SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR508:Advanced Incident Response, Threat Hunting, and Digital Forensics
ICS410:ICS/SCADA Security Essentials
※開催コース・開催日は、変更になる場合がございます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆Azure Automation 「AutoWarp」、4日間で不具合を修正 (2022.3.7 & 11)
Microsoftは、昨年末にAzure Automationの重大な欠陥を修正した。この脆弱性は
「AutoWarp」と呼ばれ、悪用されると他ユーザーのアカウントにアクセスされ、コ
ントロールされてしまう可能性がある。Orca Securityの研究者が2021年12月6日に
Microsoftへ不具合を報告し、同社はその4日後に脆弱性を修正している。
- https://orca.security/resources/blog/autowarp-microsoft-azure-automation-service-vulnerability/
- https://www.scmagazine.com/news/cloud/microsoft-fixes-autowarp-vulnerability-in-azure-automation-inside-of-four-days%ef%bf%bc
- https://portswigger.net/daily-swig/microsoft-praised-for-quickly-resolving-azure-automation-cloud-security-vulnerability
- https://thehackernews.com/2022/03/microsoft-azure-autowarp-bug-could-have.html
【編集者メモ】(Pescatore)
これは、ソフトウェア所有者による責任ある開示と即時対応により、クロステナン
トというクラウドの深刻な脅威を迅速に解決した成功例である。ポイントは2つあ
り、(1)クラウドプラットフォームの脆弱性は今後も発見され続けるであろうこと
(2)プラットフォーム固有であるセキュリティのベストプラクティス(Microsoft
Azureや優れたCenter for Internet Securityの Azure Benchmark
(https://www.cisecurity.org/benchmark/azure)など)に従い、監査する必要が
あるということである。
【編集者メモ】(Honan)
特に大手企業はそれぞれの組織がオンプレミスソリューションを独自に開発するよ
りも、クラウドセキュリティプロバイダーの存在が自社のプラットフォームをさら
に安全にすることができるというのは事実だが、セキュリティは決して二元的なも
のではなく、継続的なリスク評価、多層管理、そして検知・対応能力を組み合わせ
て、クラウドに移行した場合でも最優先事項であることを常に心に留めておく必要
がある。
【編集者メモ】(Neely)
この問題は4日間で解決した。脆弱性開示契約で3月7日までは公開ができなかった
。MicrosoftのAzure Automationのベストプラクティスに準拠しているか確認しても
らいたい。
(https://docs.microsoft.com/en-us/azure/automation/automation-security-guidelines)
必要最小限の特権を持つアカウントを使用し、Run Asアカウントではなく管理され
たIDを使用し、定期的にキーをローテーションすること。Run Asアカウントを使用
する必要がある場合は定期的に証明書を更新し、権限が可能な限りロックされてい
るかを確認すること。認証情報、証明書、接続、暗号化された変数を保護し、Microsoft
または顧客が管理するキーを使用すると、これらの情報を暗号化しておくことがで
きる。
─────────────
◆米立法機関、重要インフラに対しサイバー攻撃及びランサムウェアの支払いに関
する報告義務法案を可決 (2022.3.10 & 11 & 15)
米国の重要インフラの所有者および運営者は、サイバー攻撃を検知してから72時間
以内にCISA(Cybersecurity and Infrastructure Security Agency)に報告し、ラ
ンサムウェアへの支払いを24時間以内に報告することが義務づけられるとしている
。この法案は議会の包括的歳出法案に盛り込まれ、現在大統領の元へ向かっている
。
- https://www.govinfosecurity.com/us-congress-passes-cyber-incident-reporting-mandate-a-18704
- https://www.zdnet.com/article/hit-by-ransomware-or-paid-a-ransom-now-some-companies-will-have-to-tell-the-government/
- https://www.scmagazine.com/analysis/critical-infrastructure/congress-sends-cyber-incident-reporting-for-critical-infrastructure-to-bidens-desk
- https://homeland.house.gov/news/press-releases/thompson-katko-clarke-garbarino-laud-cyber-incident-reporting-passage
【編集者メモ】(Pescatore)
この法案には、いくつか重要な項目がある。CISAは、ペネトレーションテストのリ
ソースを増やすこと、連邦政府機関に対して脅威の探索をより多くそしてより有益
に行うこと(ただし、まず18ヶ月間の調査が必要)、FedRAMPクラウドセキュリテ
ィ要件の最新化、ハニーポットの使用と政府のSOCサービス提供に関する調査など
を課している。CISAがすでに行っていることが許可し、議会への報告をより確実に
することを目的としたものや、ゼロ・トラストやダッシュボード、メトリクスやソ
フトウェア・インベントリーなどの分野における昨年のバイデン大統領のサイバー
メモの進捗状況を報告するものも多くある。
【編集者メモ】(Neely)
これは、ランサムウェアの支払いを容認しているわけではない。この法案は、報告
要件を調整するための協議会を設立し、産業界との協議を含む連邦規則制定のプロ
セスを通じて正式化するものである。そのプロセスが完了するまでに2年あるとは
言え、CISAがここで遅れをとるとは思わないでほしい。この法案には、CISAが組織
に対して脆弱性を警告する要件も含まれている。CISAは適切で実用的な情報を提供
することで定評がある。
─────────────
◆偽のAVアップデートによるCobalt Strike拡散 (2022.3.14)
ウクライナのコンピュータ緊急対応チームの警告によると、Windowsアンチウィル
スの偽アップデートがCobalt Strikeや、その他のマルウェアの拡散に利用されて
いるという。このキャンペーンでは、受信者に「重要なセキュリティアップデート
」をダウンロードするよう促すフィッシングメールが送信されている。
- https://www.bleepingcomputer.com/news/security/fake-antivirus-updates-used-to-deploy-cobalt-strike-in-ukraine/
【編集者メモ】(Neely)
セキュリティアップデートを騙ったメールに注意してほしい。企業ユーザーには必
要なアップデートを後押しし、可能であればローカルアクションを無効化する必要
がある。ユーザーにアップデートのプロセスと正当な通信がどのように見えるかを
確認するように。また、メールサービスのURLリライト及びセキュリティや、既知
の悪質サイトへのアクセスをブロックするレイヤー7コントロールを有効にしてい
るかも確認してもらいたい。
【編集者メモ】(Orchilles)
攻撃は、Cobalt Strikeビーコンとは別に、GraphSteelとGrimPlantというGo言語で
書かれた2種類のペイロードを呼び出している。Cobalt Strikeのペイロードは簡単
に検出できるはずだが、攻撃者は予防的な制御を避けるため、Go、Rust、NIMなど
他の言語に移行している。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「ディープフェイクを見つける方法」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
コンピュータ技術の進歩により、既にこの世にはいない俳優に演技をさせるなど
合成技術を目にすることも珍しくなくなりました。ただ、この技術を悪用すると
様々な思惑で偽のニュースが作られる可能性があるため、真贋を見抜くテクニッ
クが今後求められるでしょう。
今月は、このディープフェイクの基本をお伝えするとともに、ディープフェイク
を見抜くためのテクニックを初心者向けにご紹介します。従業員の意識啓発活動
などにご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt4c18d0b45cd331f3/621ce86dc4c1b167484d279b/ouch!_march_2022_japanese_learn_a_new_survival_skill_spotting_deepfake.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆Microsoft、TrickBot感染デバイス検出スキャナを公開 (2022.3.17)
Microsoft Defender for IoT研究チームはプログ記事にて、TrickBotのコマンド&
コントロールフレームワークにMikroTik社のデバイスがどのように利用されている
かの分析結果を公表した。MicrosoftはTrickBotに感染したMikroTik Internet-of-
Things (IoT) デバイス検出ツールを公開している。
- https://www.microsoft.com/security/blog/2022/03/16/uncovering-trickbots-use-of-iot-devices-in-command-and-control-infrastructure/
- https://www.zdnet.com/article/microsoft-heres-how-this-notorious-botnet-used-hacked-routers-for-stealthy-communication/
- https://arstechnica.com/information-technology/2022/03/trickbot-is-using-mikrotik-routers-to-ply-its-trade-now-we-know-why/
- https://www.bleepingcomputer.com/news/security/microsoft-creates-tool-to-scan-mikrotik-routers-for-trickbot-infections/
- https://www.theregister.com/2022/03/17/microsoft_trickbot_scanner/
【編集者メモ】(Ullrich)
Microsoftの仕事ぶりは素晴らしいものだが、これがMikroTikからでなかったのは
少し残念に思う。多くの類似機器と同様に、MikroTikルーターも過去に脆弱性(あ
るいは単なる設定ミス)を抱えていた。しかし、ベンダーは設定ミスや妥協を回避
・検出するためのツールをユーザーに提供し、ステップアップする必要がある。こ
れは、脆弱性スキャンを容易にし、ファームウェアのバージョンを要求するために
標準化されたAPIから始めることができる(さらに、最新バージョンを簡単に見つ
けるためのAPIもある)。現在、これらを実現するためのスクリプトは、刻々と変
化するウェブページからデータを収集する必要があることが多いだろう(私の方法
が間違っていたら、これをうまく対応しているベンダーを教えてほしい)。
【編集者メモ】(Neely)
Microsoftが発表している予防や検知のための無料ツールを含むサイバーリサーチ
の数々には、今でも驚かされるばかりである。MikroTikのデバイスをお持ちの方は
、これらを読んでもらいたい。TrickBotマルウェアは、基本的にルーターを非標準
のポートでプロキシとして使用し、C2サーバーにアクセスする。そして、多くの検
知システムを回避するために悪意のあるIPを難読化する永続化レイヤーを追加して
いる。MikroTikデバイスのデフォルトパスワードが変更されていることを確認し、
適切なパスフレーズを使用してデータ漏洩を防ぎ、ファームウェアを常に更新する
こと。許可されたシステムからの管理のみを許可して、ポート8291と22へのアクセ
スを制限すること。そして、フォレンジックツールを入手して、気になる部分がな
いかデバイスをクロスチェックしておくように。
─────────────
◆CISAとFBI、設定ミスのあるMFAをハッカーが悪用と発表 (2022.3.16)
FBIとCISA(Cybersecurity and Infrastructure Security Agency)は、共同でサ
イバーセキュリティに関する勧告を発表した。「ロシア国家関与のサイバー攻撃者
が、デフォルトのMFAプロトコルと既知の脆弱性を悪用してネットワークアクセス
を獲得した」と警告している。
- https://www.cisa.gov/uscert/ncas/alerts/aa22-074a
- https://www.zdnet.com/article/cisa-and-fbi-warning-hackers-used-these-tricks-to-dodge-multi-factor-authentication-and-steal-email/
- https://www.darkreading.com/application-security/russia-state-sponsored-hackers-used-misconfigured-mfa-to-breach-ngo
【編集者メモ】(Ullrich)
この問題は、トークン紛失・期限切れ時の効率的な対処方法に関するMFAの中核的
ないくつかの課題に迫っている。
【編集者メモ】(Spitzner)
見出しでは、MFAがハッキングされて信頼できなくなったかのように書かれている
が、これは事実ではなく、もっと取るに足らないMFAの誤設定によるものである。
サイバー攻撃者は単純なパスワードのブルートフォースによって、忘れられたアカ
ウントをコントロールすることができた。このアカウントはMFAサーバーでは「期
限切れ」となっていたが、再登録することは可能であった。攻撃者は再登録して内
部環境にアクセスすると、ドメインコントローラのMFA設定を自分自身(localhost
)へ指すように無効化し、MFA認証に失敗するようにした。しかし、残念ながら「
フェイルオープン」モードに設定されていたため、MFAが機能していない時にはユ
ーザーはパスワードだけでアクセスすることができてしまう。MFAはアカウントを
保護する方法として、今でも有効かつ推奨できるものだろうか? サーバー側で、
さらにロックするための手順はあるだろうか? どうやらあるようである。CISAの
記事にはこの攻撃の技術的な詳細がよく書かれている。
【編集者メモ】(Neely)
MFAの障害はオープンかクローズか?、オープン化に失敗したMFAが見つかり悪用さ
れている。MFAに変換されていない古いアカウントが確認され、パスワード攻撃が
通用したり、なぜか簡単に再アクティブ化されることがある。MFAが包括的である
ことを確認し、非アクティブなアカウントを完全に無効にして削除することが最善
である。また、MFAに関連するすべてのコンポーネントのリスクを軽減するために
、すべてのコンポーネントにパッチを適用すること。緊急アカウントや「break glass
」アカウントがある場合は注意深く監視してもらいたい。システム管理者が「他の
全てのユーザー」が使用するMFAの代わりに、これらのアカウントを使用すること
も非常に有効である。認証情報が強固なものであり、使用される度に変更されるか
も確認すること。特別/VIPユーザーにはMFA以外のアカウントを許可しないように
。
【編集者メモ】(Orchilles)
FBIとCISAからもう一つ良い報告書がある。それはATT&CKに対応するもので、どの
ような脆弱性や設定ミスが悪用されたとしても、簡単に検出できるはずのTTPをい
くつか紹介している。SEC504で述べているように予防は目標であり、検出と対応は
現実なものなのである。
─────────────
◆フロリダ州医療サービス業者、サイバーセキュリティ体制の虚偽説明で違約金支
払う (2022.3.16)
フロリダに拠点を置くCHS(Comprehensive Health Services)は、虚偽請求防止法
に違反したとの疑惑で93万ドルを支払うことになった。CHSは、米国国務省および
空軍に対して、電子カルテのサイバーセキュリティ遵守を偽って表明していた。
DoJのプレスリリースでは「今回の事件は、司法省の民事サイバー詐欺イニシアチ
ブの開始以来、サイバー詐欺に関わる虚偽請求取締法の最初の判決となる」と記さ
れている。
- https://healthitsecurity.com/news/doj-settles-first-case-under-civil-cyber-fraud-initiative
- https://www.justice.gov/opa/pr/medical-services-contractor-pays-930000-settle-false-claims-act-allegations-relating-medical
【編集者メモ】(Pescatore)
米国連邦政府への請負業者やサプライヤー、あるいは連邦助成金の受給者であれば
、最高法務責任者や経営陣に示すべき重要な項目である。虚偽請求取締法は、政府
資金の不正使用に対して違反者に罰金を科す仕組みとして長年利用されてきた。こ
のケースは、企業が政府からの資金提供を受けながら事件や既知の高リスクの問題
を開示しなかったとして、2021年民事サイバー詐欺イニシアチブが適用された最初
の事例で、今後も増えることが予想されている。メッセージとしては「インシデン
トを隠そうとするより、開示のための規制に従う方が、はるかにコストが低く、も
っとも低コストなのは、そもそもインシデントを回避することである」ということ
である。
【編集者メモ】(Neely)
この事例は医療・健康産業の活動に特化したものだが、連邦政府が請負業者に対し
て期待を予見させるものである。NIST、CMMC、インシデント報告要件など、規制要
件に関するライセンスと知識が最新の要件に適合していることを確認してもらいた
い。この事件をきっかけに、これらの要求事項を満たすためのサポートと継続的な
監視を強化しよう。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇4月13日(水)
特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
~失敗しない製品選定の3つのポイントと導入効果~
https://www.nri-secure.co.jp/seminar/2022/ac_id0413?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
〇4月21日(木)
ユーザー企業が語る、特権ID管理を成功に導くポイントとは?
~運用負荷がかからない「SecureCube Access Check」で高セキュリティを維持~
https://www.nri-secure.co.jp/seminar/2022/ac_id0421?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇組織に必要な“ゼロトラスト”を解像度を上げて見てみよう
~実例から見えたゼロトラストの本質と現実解とは~
https://www.nri-secure.co.jp/video/2021/1203session4zerotrust?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
〇AIとIDから考えるセキュリティの未来
https://www.nri-secure.co.jp/video/2021/1203session3ai-id?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
〇Prisma Access × 高度セキュリティ運用監視
https://www.nri-secure.co.jp/video/2021/1001prismaaccess_ignite21?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
>>その他の動画
https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月、8月
セキュアEggs
https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
〇5~7月、9~2023年3月
CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(お役立ち資料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2021 【New!】
~企業における情報セキュリティ実態調査~
https://www.nri-secure.co.jp/download/insight2021-report?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
〇経営層を納得させるセキュリティ予算獲得術
https://www.nri-secure.co.jp/download/security-budget?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
〇グローバルなセキュリティ資格「CISSP」取得のためのガイドブック
https://www.nri-secure.co.jp/download/cissp_domainguidebook2021?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
>>ダウンロード資料一覧
https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○AIモデルから情報流出?学習データを復元する「Model Inversion Attack」
を検証
https://www.nri-secure.co.jp/blog/model-inversion-attack-principles-and-risks?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
○企業や国を守るセキュリティコンサルタントという仕事|
経験を活かして後進を育てるプレイングマネージャー
https://www.nri-secure.co.jp/blog/interview-arai?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
○セキュリティ予算を獲得する方法 | 経営層の納得を引き出す4つのポイント
https://www.nri-secure.co.jp/blog/getting-security-budget-approved?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
>>ブログ記事一覧
https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、Space BD社のシステム構築をゼロトラストモデルを採用して支援
https://www.nri-secure.co.jp/service/case/sans_sysmex?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
○シスメックス株式会社へのSANSトレーニング導入事例を公開
https://www.nri-secure.co.jp/news/2022/0208?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
○株式会社ソニックガーデンへの「Secure SkteCH」導入事例を公開
https://www.nri-secure.co.jp/service/case/securesketch_sonicgarden?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20220323sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテ4ンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。
NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。