──────────────────────────
■■SANS NewsBites Vol.17 No.13
(原版: 2022年 3月22日、25日)
──────────────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【SANS Webcastのご紹介】聴講は無料!日本語同時通訳付きです!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
下記日程でSANS Webcastを開催いたします。
聴講は無料で、日本語同時通訳付きとなりますので、ぜひご参加ください。
※聴講にあたりSANSアカウントの登録が必要となります
https://www.sans.org/account/login
○2022年4月20日(水)
Serverless for Defenders
https://www.sans.org/webcasts/serverless-defenders/
効率的でスケーラビリティがあり費用対効果の高いサーバーレス技術を駆使し、
クラウド環境に関する攻撃を早急に対処する方法を紹介します。
○2022年5月25日(水)
OSINT in the era of disinformation and fake news
https://www.sans.org/webcasts/osint-era-disinformation-fake-news/
Cyber Defence JapanにてSEC587の講師によるWebcastです。
オンラインで多発している偽情報に対して、OSINT環境における検証と確認の
テクニックを紹介します。
○2022年6月16日(木)
Introduction to Cyber Deception: Taking back the advantage from the attackers
https://www.sans.org/webcasts/introduction-cyber-deception-taking-back-advantage-attackers/
SANSの「SEC550: Cyber Deception - Attack Detection, Disruption and
Active Response」のコースの一部を抜粋し、サイバーデセプションとは何か、
より早く攻撃を検知し、攻撃に対して効果的に対応する方法を紹介します。
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【開催コースのご案内】SANS Cyber Defence Japan 2022のご案内
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Cyber Defence Japan 2022】★日英同時通訳★
2022年6月27日より開催いたします SANS Cyber Defense Japan 2022では、
今回もSEC504コースは、キャンペーン価格を設定しております。
トレーニング開始日の24暦日前(6/3)までにお申込みをいただいた場合、
定価の5万円OFFでのご提供となります。
また、SEC504とFOR500コースはハイブリット型トレーニングでの開催となります。
※オンサイト形式で実施している講義をビデオカメラで撮影し、リアルタイムで
zoom配信をいたします。
間もなくお申込受付を開始しますので、今しばらくお待ちくださいませ。
○開催日:2022年6月27日(月)~7月2日(土)6日間
SEC504:Hacker Tools, Techniques, and Incident Handling <日本語コース>
FOR500:Windows Forensic Analysis
FOR610:Reverse-Engineering Malware: Malware Analysis Tools and Techniques
SEC530:Defensible Security Architecture and Engineering: Implementing Zero Trust for the Hybrid Enterprise
SEC587:Advanced Open-Source Intelligence (OSINT) Gathering and Analysis
○開催日:2022年7月4日(月)~7月9日(土)6日間
FOR508:Advanced Incident Response, Threat Hunting, and Digital Forensics
ICS410:ICS/SCADA Security Essentials
SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
○トレーニング価格
・SEC504
日本語コース応援キャンペーン価格 790,000円(税込 869,000円)
通常価格 840,000円(税込 924,000円)
・SEC504、ICS410を除く、全てのコース 880,000円(税込 968,000円)
・ICS410 930,000円(税込 1,023,000円)
※開催コース・開催日、トレーニング価格は、変更になる場合がございます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆Microsoft社、Lapsus$によるハッキングの事実を調査中 (2022.3.21)
Microsoftは、ハッキンググループ「Lapsus$」がAzure DevOpsのソースコードリポ
ジトリに侵入したとする事実関係を調査している。Lapsus$は過去にNvidia、Samsung
、Ubisoftなどからもデータを盗み出している。Lapsus$は、マルウェアに感染する
のではなくネットワークに侵入し機密データを盗み、被害者から身代金を要求する
とのこと。
- https://www.bleepingcomputer.com/news/security/microsoft-investigating-claims-of-hacked-source-code-repositories/
- https://www.cyberscoop.com/microsoft-hack-lapsus-breach/
- https://www.vice.com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating
- https://www.theregister.com/2022/03/21/microsoft_lapsus_breach_probe/
【編集者メモ】(Ullrich)
Lapsus$グループは、他にも注目度の高いターゲットに多数侵入している。その事
実は真摯に受け止めるべきであろう。今日もOctaに関連する企業への侵入を発表し
、同社の顧客を狙っているとされる。公開されたRDPサーバーは、Lapsus$がターゲ
ットに侵入する方法の1つと想定される。その目的は典型的な恐喝である。
【編集者メモ】(Neely)
Lapsus$グループのターゲットになるかならないかの確信は得られないが、サイバ
ー衛生を万全にすることは可能である。ソースコードレポジトリ(特に外部に保存
されているもの)については、ベストプラクティスに従っているか確認をすること
。必要最小限のアクセスのみを有効にし、認証及びAPIや他のセキュリティキーが
そこに保存されていないかも確認するように。削除する場合は、ダウンロードした
コピーやアーカイブしたコピーが実行できないようにローテーションすること。外
部からアクセス可能なすべてのサービスをMFAして文書化されていない例外がない
ことを確認し、それらを可能な限り最小限に抑えてもらいたい。
─────────────
◆バイデン大統領、国家サイバーセキュリティに関するの声明発表 (2022.3.21)
ジョー・バイデン大統領は、「ロシア政府がサイバー攻撃の可能性を探っていると
いう最新の情報に基づき(以前の)警告を繰り返す」という声明を発表した。大統
領は民間企業に対し、サイバー防衛を強化するよう促している。政府は、CISAのシ
ールドアップキャンペーンを通じてリソースやツールを提供しており、ファクトシ
ートで組織が取るべきステップを挙げている。
- https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/21/statement-by-president-biden-on-our-nations-cybersecurity/
- https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/21/fact-sheet-act-now-to-protect-against-potential-cyberattacks/
- https://www.vice.com/en/article/jgmn7x/biden-russia-is-exploring-cyberattack-options-tells-us-to-harden-networks
- https://thehill.com/homenews/administration/599072-white-house-warns-russia-prepping-possible-cyberattacks-on-us
【編集者メモ】(Ullrich)
この警告は漠然としているが、CISAが公表しているガイダンスの一部にリンクして
いる。この時点では、すでにセキュリティ・プログラムを修正するには遅すぎる可
能性が高い。その代わり、CISAが提案しているリストとギャップがないかチェック
してもらいたい。この発表は技術系以外のニュースでも多く取り上げられており、
経営陣から「準備はできているか」と問われているようだ。自分の立場を説明する
簡単な資料一式を用意しておくとよいだろう(MFAなど不足しているものへの賛同
を得る良い機会にもなる)。ただし、時間を費やしすぎるのは避けた方が良い。万
が一、大きなイベントが起こった際に、その準備をしていることによって少し休ま
なければならず、チームに過度の負担をかけないようにしたい。
【編集者メモ】(Neely)
CISAは、活用できるサイバー衛生に関するガイダンスを公表している。また、スキ
ャンや解析、ツール推奨などのサービスも提供している。ガイダンスを見直してギ
ャップ分析を行い、MFAや最新エンドポイント保護サービス、境界保護サービスな
どの重要項目に費やす資金とリソースを確保してもらいたい。SOCがインシデント
を監視して対応するために必要なスタッフを含むツールを備えているかの確認も忘
れずに。
─────────────
◆TSA、パイプラインセキュリティへの取り組みに陰り (2022.3.17)
米国パイプラインの所有者と運営者は、運輸保安局(TSA)のサイバーセキュリテ
ィ規則は「煩雑で分かりにくく、パイプラインの安全性と供給を危険にさらす可能
性がある」と述べている。TSAのパイプラインのサイバーセキュリティ要件の多く
は、業務用技術よりもパーソナルコンピュータに適している。
- https://www.politico.com/news/2022/03/17/tsa-has-screwed-this-up-pipeline-cyber-rules-hitting-major-hurdles-00017893
【編集者メモ】(Neely)
TSAの適用範囲には、大量輸送システム、港湾、パイプラインが含まれていること
を忘れがちである。ここでの教訓は、どのようなレベルであれ、規制や政策などが
適切であることを確認することだ。TSAの要件は必ずしもICSに当てはまるわけでは
ないが、セキュリティ意識、強力な認証、セグメンテーション、許可されたデバイ
スとユーザーのみがこれらのシステムにアクセスできるようにするという目標は適
切なものだと思う。また、エンドポイントプロテクションやパッチ適用、MFAなど
のサポート系ITシステムも適切に整備する必要がある。ガイドラインは改訂によっ
て、より適合性の高いものになるだろう。使えるものは使って暫定的に見直し、不
適当なことがあれば、規制当局が求める「法律の文言」に順守して文書で示しても
らいたい。
【編集者メモ】(Murray)
規制の立案は難しい。TSAはこの点で遅れを取ってしまった。TSAが、その責任の一
端を担うために必要な知識、技能、能力、経験を有しているかが問題視されていた
。パイプライン業界のセキュリティを適切なレベルに引き上げるために、CISAや
NISTの支援を仰ぐべきである。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「ディープフェイクを見つける方法」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
コンピュータ技術の進歩により、既にこの世にはいない俳優に演技をさせるなど
合成技術を目にすることも珍しくなくなりました。ただ、この技術を悪用すると
様々な思惑で偽のニュースが作られる可能性があるため、真贋を見抜くテクニッ
クが今後求められるでしょう。
今月は、このディープフェイクの基本をお伝えするとともに、ディープフェイク
を見抜くためのテクニックを初心者向けにご紹介します。従業員の意識啓発活動
などにご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt4c18d0b45cd331f3/621ce86dc4c1b167484d279b/ouch!_march_2022_japanese_learn_a_new_survival_skill_spotting_deepfake.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆VMware社、Carbon Black App Controlの脆弱性対応修正プログラム公開
(2022.3.23)
VMwareは、同社のCarbon Black App Controlツールの2つの重大な欠陥を修正する
ためのアップデートをリリースした。OSコマンドインジェクションの脆弱性とファ
イルアップロードの問題点を利用し、任意のコマンドを実行される可能性があると
いう。この欠陥を利用するには、攻撃者が管理者権限または高度な権限を持つユー
ザーとしてログインする必要がある。
- https://thehackernews.com/2022/03/vmware-issues-patches-for-critical.html
- https://www.theregister.com/2022/03/23/critical_bugs_vmware_carbon_black/
- https://www.vmware.com/security/advisories/VMSA-2022-0008.html
【編集者メモ】(Neely)
この欠陥を悪用するには、特権を持ったアクセスが必要だが、これはアプリケーシ
ョンの許可/拒否リストであって回避策ではないため、この欠陥への対処法を見逃
がすわけにはいかない。現在インストールされているApp Controlツールに対応す
るパッチを適用することで修正できる。
─────────────
◆Okta社、違反を認める (2022.3.22 & 23)
ID管理及び認証を提供するOktaは、Lapsus$グループによって一部の顧客データが
侵害されたことを認めた。同社の公表によると、この攻撃で顧客の約2.5%(375の
組織に相当)に影響を与えたとされる。
- https://www.okta.com/blog/2022/03/updated-okta-statement-on-lapsus/
- https://www.theregister.com/2022/03/23/olkta_microsoft_lapsus/
- https://www.wired.com/story/okta-hack-customers-lapsus-breach/
- https://www.darkreading.com/attacks-breaches/okta-says-366-customers-impacted-via-third-party-breach
- https://www.vice.com/en/article/jgmnwk/authentication-giant-okta-breached-through-customer-support
【編集者メモ】(Ullrich)
Oktaは透明性を欠いていた。Lapsus$の攻撃によって、重大な違反を認めざるを得
なくなったのだ。IDAASベンダーである同社は、インシデントを検知して対応でき
るベンダーによるIDの管理・制御を期待していた顧客の検討対象から外れることに
なるだろう。
【編集者メモ】(Pescatore)
Oktaが、どのようにこれを検知したかを記しておくことが有益だろう。同社は、「
サードパーティプロバイダに勤務するカスタマーサポートエンジニアのアカウント
を侵害しようとする試みへの失敗を検出した」と述べている。その調査の一環とし
て、サードパーティのフォレンジック会社を導入し調査を行ったところ、このイベ
ントの1週間前から5日間、攻撃者がサポートエンジニアのノートパソコンにアクセ
スしていたことが判明した。この徹底的な調査によって、より大きな問題が発見さ
れたのである。
【編集者メモ】(Neely)
Lapsus$は盗んだ認証情報と引き換えに得たチーム構造、ユーザー、ヘルプデスク
、インシデント対応のワークフロー情報を利用して、サプライチェーンの信頼性を
示しターゲットの被害者を信用させた。クラウドアカウントで、予期せぬアカウン
トのロックアウトがないか、権限が追加されたユーザーや完全な管理者権限を持つ
新しいユーザーなどいないか注意してほしい。また内部通信を利用するため、イン
シデント対応のために帯域外の保護された通信チャネルを確保する必要もある。
─────────────
◆上院法案、各省庁に古いITシステムの更新を義務付け (2022.3.23 & 24)
米国上院に提出された法案は、連邦政府機関に対して古くなったITシステムを特定
して交換し、近代化計画を作成することを義務付けるものとしている。レガシーIT
削減法は、行政機関向けのガイダンスを作成するように行政管理予算局にも指示し
ている。
- https://fcw.com/congress/2022/03/senate-bill-would-push-replacement-legacy-it-systems/363538/
- https://www.meritalk.com/articles/sens-hassan-cornyn-want-planning-for-fed-legacy-it-replacement/
【編集者メモ】(Pescatore)
まずは皮肉なコメントになるが、「20xx年の政府技術近代化法」 のようなものが
1、2年毎にあったと思う。もっと重要なことは、GAOの毎年の報告書からも明らか
なように、米国政府はすでに使用している最新技術にパッチを充てて維持をし、安
全に管理することに大きな問題を抱えていることだ。真新しいハードウェアでの誤
りは、埃まみれの古いハードウェアで起こした誤りよりも若干安全性が上回る程度
だろう。
【編集者メモ】(Neely)
影響を受ける機関は2年以内に近代化計画を提出し、その後は5年ごとに提出しなけ
ればならない。これらの計画が年次評価の一部となることを期待している。法規制
や資金調達の有無に関わらず、ハードウェアやOSだけではなくアプリケーションの
ライフサイクルプランも必要だ。これらを常に最新に保つことは、セキュリティや
ビジネスプロセスの近代化よりも、安定性やマイルストーン達成を重視するビジネ
スシステムのオーナーと対立することになりかねない。そこで、アウトソーシング
や、安定性と更新性を両立させたクラウドサービスへの移行を検討してはいかがだ
ろうか。政府系システム(政府財務、コスト・モデリングなど)は、民間企業とは
異なるためプロバイダがこれらの分野で成功を収めているか確認する必要がある。
ICS/OTのようなレガシーシステムがまだある場合は、レガシーシステムを環境から
保護しているかとそのまた逆の両面からも確認する必要がある。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇4月13日(水)
特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
~失敗しない製品選定の3つのポイントと導入効果~
https://www.nri-secure.co.jp/seminar/2022/ac_id0413?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
〇4月21日(木)
ユーザー企業が語る、特権ID管理を成功に導くポイントとは?
~運用負荷がかからない「SecureCube Access Check」で高セキュリティを維持~
https://www.nri-secure.co.jp/seminar/2022/ac_id0421?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇組織に必要な“ゼロトラスト”を解像度を上げて見てみよう
~実例から見えたゼロトラストの本質と現実解とは~
https://www.nri-secure.co.jp/video/2021/1203session4zerotrust?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
〇AIとIDから考えるセキュリティの未来
https://www.nri-secure.co.jp/video/2021/1203session3ai-id?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
〇Prisma Access × 高度セキュリティ運用監視
https://www.nri-secure.co.jp/video/2021/1001prismaaccess_ignite21?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
>>その他の動画
https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月、8月
セキュアEggs
https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
〇5~7月、9~2023年3月
CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(お役立ち資料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2021 【New!】
~企業における情報セキュリティ実態調査~
https://www.nri-secure.co.jp/download/insight2021-report?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
〇経営層を納得させるセキュリティ予算獲得術
https://www.nri-secure.co.jp/download/security-budget?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
〇グローバルなセキュリティ資格「CISSP」取得のためのガイドブック
https://www.nri-secure.co.jp/download/cissp_domainguidebook2021?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
>>ダウンロード資料一覧
https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○AIを騙す敵対的サンプルの仕組みと攻撃の分類
https://www.nri-secure.co.jp/blog/hostile-sample-mechanics-and-attack-classification
○AIモデルから情報流出?学習データを復元する「Model Inversion Attack」
を検証
https://www.nri-secure.co.jp/blog/model-inversion-attack-principles-and-risks?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
○企業や国を守るセキュリティコンサルタントという仕事|
経験を活かして後進を育てるプレイングマネージャー
https://www.nri-secure.co.jp/blog/interview-arai?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
>>ブログ記事一覧
https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、Space BD社のシステム構築をゼロトラストモデルを採用して支援
https://www.nri-secure.co.jp/service/case/sans_sysmex?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
○シスメックス株式会社へのSANSトレーニング導入事例を公開
https://www.nri-secure.co.jp/news/2022/0208?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
○株式会社ソニックガーデンへの「Secure SkteCH」導入事例を公開
https://www.nri-secure.co.jp/service/case/securesketch_sonicgarden?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20220330sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテ4ンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。
NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。