──────────────────────────
■■SANS NewsBites Vol.17 No.14
（原版: 2022年 3月29日、4月1日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込受付を開始しました】SANS Cyber Defence Japan 2022のご案内
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Cyber Defence Japan 2022】★日英同時通訳★
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2022

2022年6月27日より開催いたします SANS Cyber Defense Japan 2022では、
SEC504とFOR500の2コースを、ハイブリット型研修（※）で実施いたします。
※インターネット経由で受講するLiveOnline形式と、研修会場に来場し受講する
Onsite形式の合同開催。Onsite形式で実施している講義をビデオカメラで撮影し、
リアルタイムでzoom配信いたします。
また、今回もSEC504コースは、キャンペーン価格を設定しております。
トレーニング開始日の24暦日前（6/3）までにお申込みをいただいた場合、
定価の5万円OFFでのご提供となります。

○開催日：2022年6月27日（月）～7月2日（土）6日間
SEC504：Hacker Tools, Techniques, and Incident Handling <日本語コース>
FOR500：Windows Forensic Analysis
FOR610：Reverse-Engineering Malware: Malware Analysis Tools and Techniques
SEC530：Defensible Security Architecture and Engineering: Implementing Zero Trust for the Hybrid Enterprise
SEC587：Advanced Open-Source Intelligence (OSINT) Gathering and Analysis

○開催日：2022年7月4日（月）～7月9日（土）6日間
FOR508：Advanced Incident Response, Threat Hunting, and Digital Forensics
ICS410：ICS/SCADA Security Essentials
SEC599：Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses

○トレーニング価格
　・SEC504
　　日本語コース応援キャンペーン価格　　790,000円（税込 869,000円）
　　通常価格　　　　　　 　　　　　　 　840,000円（税込 924,000円）
　・SEC504、ICS410を除く、全てのコース　880,000円（税込 968,000円）
　・ICS410　　　　　　　　　　　　　　　930,000円（税込 1,023,000円）

○お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2022

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆FBI、エネルギー会社を狙うマルウェア「Triton」の被害を警告　(2022.3.28)
FBIは、Trisisとも呼ばれるTritonマルウェアが、世界中の重要インフラである産
業制御システム（ICS）に対して依然として脅威であると警告するTLP: White
Private Industry Notificationを発行した。速報では、2017年に中東の石油化学
企業を狙ったTriton攻撃などの脅威を解説している。
- https://www.ic3.gov/Media/News/2022/220325.pdf
- https://www.darkreading.com/attacks-breaches/triton-malware-still-targeting-energy-firms
- https://www.wired.com/story/triton-berserk-bear-russian-hackers-doj-indictment/
- https://arstechnica.com/tech-policy/2022/03/feds-allege-destructive-russian-hackers-targeted-us-oil-refineries/

【編集者メモ】(Orchilles)
Tritonマルウェアは2017年から出回っている。産業用制御システムのセキュリティ
に責任がある方なら耳にしたことがあるだろう。推奨されるベストプラクティスを
導入することは容易なことではないが、前進していることに期待している。
【編集者メモ】(Neely)
IC3では、Schneider Electric社の安全計装システム「Triconex」などの対象シス
テムからのデータ受信に一方向リンクを使用し、さらに適切な分離、セキュリティ
機能の有効化、ファームウェア／OS／アプリケーションの更新を確認することを推
奨している。変更管理とロギングを活用することで適切な設定が維持され、悪意の
ある行動が検出されるよう確認しておこう。
─────────────

◆CISA、既知の脆弱性カタログに66件の欠陥を追加　(2022.3.28)
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）は、
66件のセキュリティ問題を既知の悪用された脆弱性カタログに追加した。連邦政府
機関は4月18日までに、この脆弱性を修正する必要がある。欠陥の開示時期は、200
5年から2022年までとなっている。
- https://www.cisa.gov/uscert/ncas/current-activity/2022/03/25/cisa-adds-66-known-exploited-vulnerabilities-catalog
- https://www.zdnet.com/article/cisa-here-are-66-more-security-flaws-actively-being-used-by-hackers-so-get-patching/
- https://www.bleepingcomputer.com/news/security/cisa-adds-66-vulnerabilities-to-list-of-bugs-exploited-in-attacks/

【編集者メモ】(Neely)
このカタログを見ているだろうか？脆弱性が古いからと言って、その悪用方法がも
う存在しない、あるいは使われていないとは限らない。環境内で、これらのリスク
を無視したり受け入れたりしていないかを確認してほしい。これらは単なる仮定上
の弱点ではなく、悪用されているということを経営陣に気付かせよう。
【編集者メモ】(Orchilles)
このリストは現在602件まである。これらは今までにパッチを適用しているはずの
脆弱性ではあるが、脆弱性管理が大変だと理解している。これも組織の優先順位付
けに役立つ資料である。
【編集者メモ】(Honan)
CISAのこの取り組みは賞賛に値する。私は、組織内のサイバーセキュリティに対応
するすべての人が、既知の悪用された脆弱性カタログに精通し、自身の脆弱性管理
プログラムの中で、それを実施することをお勧めする。
─────────────

◆米国保健社会福祉省公民権局による権利執行措置　(2022.3.28)
米国保健社会福祉省（HHS）公民権局（OCR）は、医療保険の相互運用性と説明責任
に関する法律（HIPAA）への違反の可能性があるとして、医療機関4社に対して強制
措置を発表した。HHS OCRは、ペンシルバニア州、ノースカロライナ州、カリフォ
ルニア州、アラバマ州の組織と和解に至っている。和解した内の2件は、HIPAAのア
クセス権基準に対する違反の可能性が含まれる。
- https://www.scmagazine.com/analysis/breach/dental-practices-response-to-negative-review-among-four-hipaa-enforcement-actions-by-ocr

【編集者メモ】(Pescatore)
HHS OCRは2017年～2021年の間に平均740件以上の是正措置を実施し、違反関連の罰
則と是正措置は平均411件であった。ここに記す3件は多少異なった事例ではあるが
、2つは小規模な診療所による患者への医療記録の送付拒否、もう1つは口コミで評
判の悪い歯科医院である。小規模な医療機関の勤務者に対して、アクセスポリシー
の策定や従業員の教育がなぜ必要であるかを示すのに適した事例である。
【編集者メモ】(Neely)
情報保護は、情報へのアクセスを許可することと情報保護のバランスをとる必要が
あるが、進化し続ける規制とシステムの相互接続の増加によってより困難になって
いる。よくわからない場合は、弁護士や専門家に相談した方が良いだろう。罰金は
弁護士費用を上回る。特に「事実」を配信する場合は否定的な意見に慎重に対応し
てもらいたい。本当に言いたいことを作文し、それを削除し、100まで数え、再度
作文し、もう一度数え、仲間にチェックしてもらい、それから投稿した方がよいか
もしれない。勝ち目のない議論には容易く巻き込まれてしまうので、反応し過ぎな
いことが賢明だろう。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「ソーシャルメディアの詐欺トップ3」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ソーシャルメディアは、現代社会においてコミュニケーションを進められるだけ
ではなく、情報共有もできる便利なツールですが、仮想空間であることから詐欺
行為を進めやすい環境でもあります。
今月は、ソーシャルメディア上で観察することができる典型的な 3つのパターン
について、見抜き方も併せてご紹介します。従業員の意識啓発活動などにご活用
ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt919a343e92fd9dce/62471253856d7a0143815bc3/ouch!_april_2022_japanese_top_three_social_media_scams.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆Lapsus$、SolarWinds社とMFA　(2022.3.29)
Lapsus$というサイバー恐喝組織は、SolarWindsへ攻撃を行った国家ぐるみの脅威
者が使用したものと同じ多要素認証（MFA）をバイパスするという手口を使用して
いる。携帯電話を通じてユーザーに認証要求を殺到させるという手法で、プロンプ
ト爆撃と呼ばれている。
-　https://arstechnica.com/information-technology/2022/03/lapsus-and-solar-winds-hackers-both-use-the-same-old-trick-to-bypass-mfa/

【編集者メモ】(Pescatore)
まっとうな企業であれば、「プロンプト爆撃」のような方法で顧客にお知らせをす
ることはないだろう。そのため、かなり認識しやすい攻撃手法であり、ユーザーを
教育するのに適している。より近代的なFIDO2ベースのMFAによる方法は、これに対
してより耐性があるものの、あらゆる認証形態は同様に「爆撃」される可能性があ
るため、バックアップの手法を持たなければならない。
【編集者メモ】(Orchilles)
レッドチームはMFAの実装自体に加え、人やプロセステストの一環として、この手
法を何年も前から使っている。オフェンスはディフェンスに、またディフェンスは
オフェンスに情報を提供し続ける必要がある。これが特別なニュースや斬新だと思
う事はない。もしそうなら、レッドチームは仕事をしてこなかったことになる。
【編集者メモ】(Neely)
この手法には2つの形式がある。1つ目はログインを承認するために要求を殺到させ
て、最終的に譲歩してログインすることを期待するもの。もうひとつは、いくつか
の要求をばらまき、気づかないうちに承認してしまうこと期待するものである。正
規のものだと分かっている認証許可要求のみを受け入れる、または許可するようユ
ーザーを教育することである。
【編集者メモ】(Honan)
英国警察は、Lapsus$ギャングの一員と疑われる男性7人を逮捕した。うち2人を除
き釈放されている。その2人とは16歳と17歳で、彼らは様々なサイバー犯罪関連の
罪で起訴されて法廷に出廷を予定している。
https://www.bbc.com/news/technology-60953527
─────────────

◆CISA、UPSデバイスへの攻撃との見解　(2022.3.30)
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）とエ
ネルギー省は、無停電電源装置（UPS）に対する攻撃に関する注意喚起を共同で発
表した。この警告では、各機関がすべてのUPSおよび類似の機器を特定してインタ
ーネットにアクセスできないようにすることを推奨している。インターネットに接
続する必要がある場合は、VPNを経由して多要素認証で保護する必要がある。また
ユーザー名やパスワードが工場出荷時の設定になっていないことを確認するように
各機関に呼びかけている。
- https://www.cisa.gov/sites/default/files/publications/CISA-DOE_Insights-Mitigating_Vulnerabilities_Affecting_Uninterruptible_Power_Supply_Devices_Mar_29.pdf
- https://www.darkreading.com/vulnerabilities-threats/cisa-doe-warn-of-attacks-on-uninterruptible-power-supply-ups-devices
- https://www.scmagazine.com/brief/device-security/feds-ups-devices-targeted-in-ongoing-attacks
- https://threatpost.com/cyberattackers-ups-backup-power-critical-environments/179169/

【編集者メモ】(Ullrich)
このようなシステムをインターネットに公開することで、VPNや他のセキュリティ
デバイスに頼ることなく、システムの再起動に必要な機能を獲得しているのを見た
ことがある。少なくともTLSを使用してUPS（または電源コントローラ）に到達でき
るIPアドレスを制限することである。これらのデバイスは通常、何年も前の最小限
のハードウェアに標準的なTLSライブラリを搭載しているだけなので、TLSは少し扱
いにくいかもしれない。信頼できる接続を得るためには、使用されている暗号を制
限する必要があると思う。しかし、TLSはないよりあったほうが良いだろう。（セ
カンダリVPN/FWに数百ドルかかるのは高すぎるので、どうせ気にしなくなるだろう
が)
【編集者メモ】(Neely)
ターゲットはインターネットに接続可能な大型のUPSで、大規模な停電を引き起こ
すことを目的としている。UPSがネットワークに接続されている場合は、そのトラ
フィックを分離して正規のデバイスとユーザーのみがアクセスできるようにするこ
とだ。制御インターフェイスをインターネットに直接公開しないのが理想的である
。
【編集者メモ】(Murray)
パブリックネットワークに接続しているすべての機器と制御装置に対する良いアド
バイスと実践である。
─────────────

◆Apple社、ゼロデイに対する修正を含むアップデート公開　(2022.3.31)
Appleは、macOS、iOS、iPadOS、tvOS、watchOSのソフトウェア・アップデートを公
開した。macOS、iOS、iPadOSのアップデートには、活発に悪用されている2つの脆
弱性の修正が含まれてている。またiOSのアップデートにより、iOS 15.4で導入さ
れたと思われるバッテリー消耗の問題が修正されている。ユーザーは、macOS 2.3.
1, iOS 15.4.1 iPadOS 15.4.1, tvOS 15.4.1, watchOS 8.5.1 にアップデートす
るよう促している。
- https://www.bleepingcomputer.com/news/security/apple-emergency-update-fixes-zero-days-used-to-hack-iphones-macs/
- https://www.theregister.com/2022/03/31/apple_emergency_patches/
- https://arstechnica.com/gadgets/2022/03/apple-fixes-ios-15-4-battery-drain-issue-with-software-update/

【編集者メモ】(Ullrich)
詳細は不明だが、週末にAppleのデバイスをアップデートしよう。macOS 12.2は
Python2を削除するため、使用しているソフトウェアに対応が必要な場合がある。
その一例が、ホームオートメーションソフトウェア「Indigodomo」である。
【編集者メモ】(Neely)
15.4の展開を開始したようだ。このアップデートは、主にRCEに悪用されるCVE-202
2-22675に対応しているため、15.4.1のプロセスをリセットしておくように。過去2
回のiOSアップデートで、メールやカレンダーメッセージのプッシュ通知を使用す
るとバッテリーの消耗が顕著になった。回避策として、代わりにフェッチに切り替
えている。両方の問題を解決するアップデートなので適用する方がはるかに簡単で
ある。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇4月13日(水)、5月12日(木)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2022/ac_id0413?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

〇4月21日(木)
　ユーザー企業が語る、特権ID管理を成功に導くポイントとは?
　～運用負荷がかからない「SecureCube Access Check」で高セキュリティを維持～
　https://www.nri-secure.co.jp/seminar/2022/ac_id0421?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇組織に必要な“ゼロトラスト”を解像度を上げて見てみよう
　～実例から見えたゼロトラストの本質と現実解とは～
　https://www.nri-secure.co.jp/video/2021/1203session4zerotrust?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

〇AIとIDから考えるセキュリティの未来
　https://www.nri-secure.co.jp/video/2021/1203session3ai-id?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

〇Prisma Access × 高度セキュリティ運用監視
　https://www.nri-secure.co.jp/video/2021/1001prismaaccess_ignite21?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

＞＞その他の動画
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月、8月
　セキュアEggs
　※インシデント対応、フォレンジックは情報処理安全確保支援士 特定講習に採用
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

〇6～7月
　SANS Cyber Defence Japan 2022（対面＆リモート）
　https://www.sans-japan.jp/events/sans_cyber_defence_japan_2022?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

〇5～7月、9～2023年3月
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2021　　　　　　　　　　　　　　　　　【New！】
　～企業における情報セキュリティ実態調査～
　https://www.nri-secure.co.jp/download/insight2021-report?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

〇経営層を納得させるセキュリティ予算獲得術
　https://www.nri-secure.co.jp/download/security-budget?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

〇グローバルなセキュリティ資格「CISSP」取得のためのガイドブック
　https://www.nri-secure.co.jp/download/cissp_domainguidebook2021?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○AIを騙す敵対的サンプルの仕組みと攻撃の分類
　https://www.nri-secure.co.jp/blog/hostile-sample-mechanics-and-attack-classification?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

○次世代セキュリティの第一人者を目指して。業界最先端・社会貢献に携わる
　仕事のやりがい
　https://www.nri-secure.co.jp/blog/interview-hurukawa?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

○官・民をつなぐハブになる
　｜医療情報セキュリティで社会を豊かにするセキュリティコンサルタント
　https://www.nri-secure.co.jp/blog/interview_takumi-kimura?utm_source=sans&utm_medium=mai&utm_campaign=20220330sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「ITロードマップ 2022年版」発刊のお知らせ
　～ NRIセキュアが「DXを推進するセキュリティ」を解説 ～
　https://www.nri-secure.co.jp/news/2022/0330?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

○シスメックス株式会社へのSANSトレーニング導入事例を公開
　https://www.nri-secure.co.jp/news/2022/0208?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

○株式会社ソニックガーデンへの「Secure SkteCH」導入事例を公開
https://www.nri-secure.co.jp/service/case/securesketch_sonicgarden?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20220406sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテ4ンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。