──────────────────────────
■■SANS NewsBites Vol.17 No.14
(原版: 2022年 4月5、8日)
──────────────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【初のハイブリット開催!】SANS Cyber Defence Japan 2022のご案内
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Cyber Defence Japan 2022】★日英同時通訳★
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2022
2022年6月27日より開催いたします SANS Cyber Defence Japan 2022では、
SEC504とFOR500の2コースを、ハイブリット型研修(※)で実施いたします。
※インターネット経由で受講するLiveOnline形式と、研修会場に来場し受講する
Onsite形式の合同開催。Onsite形式で実施している講義をビデオカメラで撮影し、
リアルタイムでzoom配信いたします。
また、今回もSEC504コースは、キャンペーン価格を設定しております。
トレーニング開始日の24暦日前(6/3)までにお申込みをいただいた場合、
定価の5万円OFFでのご提供となります。
○開催日:2022年6月27日(月)~7月2日(土)6日間
SEC504:Hacker Tools, Techniques, and Incident Handling <日本語コース>
FOR500:Windows Forensic Analysis
FOR610:Reverse-Engineering Malware: Malware Analysis Tools and Techniques
SEC530:Defensible Security Architecture and Engineering: Implementing Zero Trust for the Hybrid Enterprise
SEC587:Advanced Open-Source Intelligence (OSINT) Gathering and Analysis
○開催日:2022年7月4日(月)~7月9日(土)6日間
FOR508:Advanced Incident Response, Threat Hunting, and Digital Forensics
ICS410:ICS/SCADA Security Essentials
SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
○トレーニング価格
・SEC504
日本語コース応援キャンペーン価格 790,000円(税込 869,000円)
通常価格 840,000円(税込 924,000円)
・SEC504、ICS410を除く、全てのコース 880,000円(税込 968,000円)
・ICS410 930,000円(税込 1,023,000円)
○お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2022
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆GitHub Advanced SecurityのSecret Scanningにプッシュ保護機能が追加
(2022.4.4)
GitHubは、GitHub Advanced Securityに、コードプッシュを受け入れる前にシーク
レットの検知を行うオプションを追加した。この新機能は69種類のトークンに対応
している。
- https://github.blog/2022-04-04-push-protection-github-advanced-security/
- https://www.bleepingcomputer.com/news/security/github-can-now-block-commits-containing-api-keys-auth-tokens/
- https://www.bleepingcomputer.com/news/security/github-can-now-block-commits-containing-api-keys-auth-tokens/
【編集者メモ】(Ullrich)
素晴らしい改善だ。またTrufflehogが、コードに残されたAPIキーなどの秘密情報
を見つけるために幾つかの重要な改良を加えた新バージョンをリリースしたので注
意してほしい。ソースコードレポジトリからパスワードやAPIキーなどの秘密が漏
れるという問題が増えている。最近の分散型アプリケーションでは、こうした秘密
への依存度が高まっているものの、多くの開発者は適切に管理できていない。
【編集者メモ】(Neely)
リポジトリに認証用シークレットを含めることは、引き続き問題になっている。こ
のオプションは、そのようなことが起こらないよう設計されたプロセスを補強する
ものである。開発者が無効化しないように検証するべきだ。
─────────────
◆PCI Data Security Standardの更新 (2022.3.31)
ペイメントカード業界セキュリティ標準評議会(PCI SSC) は、PCI データセキュリ
ティ標準(DSS) をバージョン4.0に更新した。変更点には、カード会員データへの
すべてのアクセスに多要素認証(MFA)を実装するために要件8の拡張と、組織がセ
キュリティ目標を達成するために異なる方法を使用していることを実証するための
柔軟性の向上が含まれる。なお、PCI DSSの現行バージョンv.3.2.1は、2024年3月3
1日に廃止の予定。
- https://www.darkreading.com/edge-articles/what-s-new-in-pci-dss-4-0-for-authentication-requirements-
- https://www.scmagazine.com/news/compliance/council-updates-data-security-standards-for-payments-industry
- https://www.pcisecuritystandards.org/about_us/press_releases/pr_03312022
- https://www.pcisecuritystandards.org/documents/PCI-DSS-Summary-of-Changes-v3_2_1-to-v4_0.pdf
- https://www.pcisecuritystandards.org/documents/PCI-DSS-v4_0.pdf
【編集者メモ】(Pescatore)
今回の更新で約60の新しい要件が追加されたが、そのうち40の要件は2025年まで適
用されない。この40の長期要件は、社内外で使用されているソフトウェアのインベ
ントリ作成、ユーザーとアプリケーションの権限管理、MFAの使用増加、暗号化の
重視などで、ほとんどがセキュリティ向上に関するものである。PCIの影響を受け
ている場合は、その要件に基づき今すぐ改善を始めてもらいたい。またサービスプ
ロバイダに特化した追加要件もある。PCI DSS 1.0は脅威の変化に対応するための
要件更新が2004年に公開されているが、PCI Council認定のセキュリティ評価者389
名の運用方法を規定する評価プロセスに対する要件と厳格さの向上は、かなり遅れ
ている。
【編集者メモ】(Elgee)
ペネトレーションテストについては、少なくとも年1回は内部および外部ネットワ
ークテストの実施をv4.0の11.4項で求めており、その実施方法についても詳細に規
定されている。
【編集者メモ】(Ullrich)
MFAは多ければ多いほど良いだろう。しかし、この時点ではMFAが必要かどうかとい
う問題ではない。ここでの問題は、特定のアプリケーションに適した種類のMFAに
シフトする必要があるということだ。
【編集者メモ】(Neely)
2024年まで待たずに更新された規格を導入してもらいたい。今すぐ変更点の評価と
実施内容の整理を始めよう。リムーバブルメディアを含む暗号化要件の範囲と、RDP
セッション中のPANを保護するための要件に注意すること。またベストプラクティ
スの中には、有効期限があることにも注意が必要である。
【編集者メモ】(Murray)
PCI DSSは、EMV導入・実装までの応急処置として導入された(また不正リスクを可
能な限り加盟店やその顧客へ転嫁するため)。 しかし、発行元がPAN(Primary
Account Number)を明らかに公開し続けていることもあり一人歩きしてしまってい
る。このPANは、「カード不介在」詐欺に利用されてしまう。加盟店は、PayPal、
Apple Pay、Google Payなどのより安全なプロキシを優先してPANを受け入れるリス
クを負うが、それには取引コストが少し低くなるという理由もある。しかし、PCI
DSSのリスクとコストを考えると、PANの受け入れはプロキシよりはるかにコストが
かかるのが実情である。
─────────────
◆医療機器セキュリティに対応する米国法案 (2022.4.4)
米国の議員らは、医療機器のセキュリティに焦点を当てた上院法案を提出した。
PATCH法は「食品医薬品局を通じて市販前承認を申請するメーカーが、海外または
国内のランサムウェア攻撃に対処できるよう、サイバーセキュリティのプロトコル
や手続きを導入するもの」としている。製造業者に対するサイバーセキュリティ要
件の実施や、医療機器に対するソフトウェア部品表の制定などが規定されている。
なお、下院でも同法案が提出されている。
- https://healthitsecurity.com/news/senators-introduce-patch-act-to-ensure-medical-device-security
- https://www.scmagazine.com/analysis/device-security/new-security-requirements-introduced-for-medical-medical-device-manufacturers
- https://www.scmagazine.com/analysis/device-security/new-security-requirements-introduced-for-medical-medical-device-manufacturers
【編集者メモ】(Pescatore)
医療機器業界の多くは20年近くに渡り、安全で安心、サポート可能でパッチ可能な
ネットワーク機器の構築に対する責任を負うことを避けてきた。FDAはこのことに
ついて長年多くの指示を出してきてはいたが、この法案により同機関は必要な執行
力を得ることになった。
【編集者メモ】(Neely)
この法律は新たに製造される機器の水準を高めようとするものだが、医療機関は現
在構築されている環境にセキュリティが実装されているかどうかを確認する必要が
ある。これにはセグメント化やMFA、モニタリングが含まれる。また新しい法律で
は、継続的なセキュリティの更新が規定されている。メーカーがこれを利用し、更
新やライフサイクルイベントを運用スケジュールに組み込めるようになることを期
待したい。
【編集者メモ】(Orchilles)
特に、今まで些細な脆弱性で手放され、パッチもほとんど充てられないような機器
に対してセキュリティを施そうとする法案を歓迎する。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「ソーシャルメディアの詐欺トップ3」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ソーシャルメディアは、現代社会においてコミュニケーションを進められるだけ
ではなく、情報共有もできる便利なツールですが、仮想空間であることから詐欺
行為を進めやすい環境でもあります。
今月は、ソーシャルメディア上で観察することができる典型的な 3つのパターン
について、見抜き方も併せてご紹介します。従業員の意識啓発活動などにご活用
ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt919a343e92fd9dce/62471253856d7a0143815bc3/ouch!_april_2022_japanese_top_three_social_media_scams.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆米国政府とエネルギー企業、サイバーセキュリティの協働を強化 (2022.4.6)
ロシアがウクライナに侵攻する直前、米国エネルギー省及び国土安全保障省の当局
者は、バークシャー・ハサウェイ・エナジー社(BHE)の幹部と緊密に協力して戦
略書を作成し、ロシアのサイバー攻撃からエネルギー部門のシステムを保護するた
めの措置を講じるよう支援した。BHEは過去8年間に渡り、攻撃からシステムを守る
ための厳格なサイバーセキュリティ対策を実施している。
- https://www.washingtonpost.com/national-security/2022/04/06/russia-cyber-attack-threat-energy/
【編集者メモ】(Neely)
この取り組みは、私たちが実施すべき3つの重要な活動を支援するものである。一
つ目に、システムを保護するために何をすべきかについてのプレイブックを持つこ
と。2つ目は、規制当局や法執行機関(FBI)、CISAやその他のサポートサービスと
のコミュニケーション(非公開の問題への対処を含む)を設定し、認識とインシデ
ント対応の両方を行うこと。最後に、計画の実行と検証である。計画がどんなに包
括的なものであっても、棚に閉まれていては何の価値もない。そして、そのような
文書には従う必要がある。
【編集者メモ】(Orchilles)
本日のキーワードは「コラボレーション」である。このような部門を越えた活動が
、自分の組織内で多く見られるのは幸せなことだ。コラボレーションを推し進め、
SANS Purple Teamをスタートさせたい。https://www.sans.org/purple-team/
─────────────
◆米司法省、Cyclops Blinkボットネットを中断 (2022.4.6)
米司法省(DoJ)は3月、Sandwormの脅威者が使用していたボットネットのコマンド
&コントロールネットワークを中断して、その機能を停止させた。Sandwormは、ロ
シア連邦軍参謀本部主要情報局(GRU)との関連が指摘されている。FBIは裁判所命
令を武器に、Cyclops Blinkボットネットマルウェアに感染した米国内の端末にア
クセスし駆除をした。感染した機器の多くはWatchGuard社のファイアウォールアプ
ライアンスで、その他はAsus社のネットワーク機器であった。このボットネットは
Cyclops Blinkとして知られている。
- https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-disruption-botnet-controlled-russian-federation
- https://arstechnica.com/information-technology/2022/04/fbi-accesses-us-servers-to-dismantle-botnet-malware-installed-by-russian-spies/
- https://www.theregister.com/2022/04/06/takedown_cyclops_blink/
- https://www.scmagazine.com/analysis/network-security/doj-disrupts-cyclops-blink-botnet-removes-malware-from-victim-devices
- https://www.zdnet.com/article/doj-takes-down-russian-botnet-that-targeted-watchguard-and-asus-routers/
【編集者メモ】(Ullrich)
ボットネットを中断したFBIと司法省の功績は大きい。しかし、再感染しないよう
にすぐにファイアウォール(WatchguardとASUS)にパッチを充てる必要があること
を忘れないでほしい。WatchGuard社が、段階的に何をすべきかを説明している素晴
らしいガイドを発行している。https://detection.watchguard.com/
【編集者メモ】(Neely)
Cyclops Blinkを削除する手順が公開された後も、感染したデバイスの数がわずか
39%しか減少しなかったため、FBIがリモート管理を無効にするなどして一掃してく
れた。積極的に境界デバイス管理するなど法執行機関の介入を当てにしないでほし
い。リソースがない場合は、信頼できる企業に依頼してパッチの適用や適切な設定
、ライフサイクルの交換を実施してもらおう。その場合でも、これらのアクション
が行われているかどうかを確認するように。
【編集者メモ】(Honan)
ボットネットを是正するためとはいえ、法執行機関が裁判所命令で人々のシステム
に侵入することが認められたことに正直違和感を覚えている。このような行為は今
後、同じく善意とは限らない侵入の前例となりかねないだろう。
─────────────
◆WatchGuard社、Cyclops Blinkオペレーターに悪用される欠陥の公開を延期
(2022.4.6)
WatchGuardは昨年、同社のファイアウォールの重要な脆弱性を修正した後、ロシア
が支援しているハッカーがこの脆弱性を悪用してCyclops Blinkボットネットを作
成した後も、今週までこの脆弱性を公表していなかった。英国と米国の司法当局が
、ハッカーがWatchGuardのファイアウォールにボットネットマルウェアを感染させ
ていると警告した際、同社は、感染したデバイスを特定し「ロックダウン」するた
めのツールと指示を発表した。しかし、その情報では、家電製品のOSが最新版であ
ることを確認するよう促しているものの、脆弱性については特に触れていなかった
。
- https://arstechnica.com/information-technology/2022/04/watchguard-failed-to-disclose-critical-flaw-exploited-by-russian-hackers/
【編集者メモ】(Ullrich)
WatchGuardが公開を遅らせたことによって、顧客は昨年のアップグレードの緊急度
を正確に定義するのが、より困難になったかもしれない。しかし、この脆弱性は約
1年前にパッチが適用されている。そして、ファイアウォールへのリモートアクセ
スを無効にしなければ、次の脆弱性が悪用されるのは時間の問題であることを忘れ
てはならない。
【編集者メモ】(Neely)
修正ツールやパッチを関連する脆弱性解決情報とともにリリースする際、特に修正
の適用について調査しない非IT専門家を対象とする場合は、修正の適用を確実にす
るため関連性とリスク及び緊急性を伝える必要がある。
─────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇4月21日(木)
ユーザー企業が語る、特権ID管理を成功に導くポイントとは?
~運用負荷がかからない「SecureCube Access Check」で高セキュリティを維持~
https://www.nri-secure.co.jp/seminar/2022/ac_id0421?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
〇5月12日(木)
特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
~失敗しない製品選定の3つのポイントと導入効果~
https://www.nri-secure.co.jp/seminar/2022/ac_id0512?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃オンデマンドウェビナー動画 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇DX時代に求められるセキュリティ人材の育成ポイント
https://www.nri-secure.co.jp/video/2022/0121hr_development?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
〇組織に必要な“ゼロトラスト”を解像度を上げて見てみよう
~実例から見えたゼロトラストの本質と現実解とは~
https://www.nri-secure.co.jp/video/2021/1203session4zerotrust?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
〇AIとIDから考えるセキュリティの未来
https://www.nri-secure.co.jp/video/2021/1203session3ai-id?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
>>その他の動画
https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月、8月
セキュアEggs
※インシデント対応、フォレンジックは情報処理安全確保支援士 特定講習に採用
https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
〇6~7月
SANS Cyber Defence Japan 2022(対面&リモート)
https://www.sans-japan.jp/events/sans_cyber_defence_japan_2022?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
〇5~7月、9~2023年3月
CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(お役立ち資料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2021 【New!】
~企業における情報セキュリティ実態調査~
https://www.nri-secure.co.jp/download/insight2021-report?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
〇経営層を納得させるセキュリティ予算獲得術
https://www.nri-secure.co.jp/download/security-budget?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
〇グローバルなセキュリティ資格「CISSP」取得のためのガイドブック
https://www.nri-secure.co.jp/download/cissp_domainguidebook2021?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
>>ダウンロード資料一覧
https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○サプライチェーンを取り巻く脅威と、欠かせないセキュリティの視点
https://www.nri-secure.co.jp/blog/interview-yamaguchi?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
○AIを騙す敵対的サンプルの仕組みと攻撃の分類
https://www.nri-secure.co.jp/blog/hostile-sample-mechanics-and-attack-classification?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
○次世代セキュリティの第一人者を目指して。業界最先端・社会貢献に携わる
仕事のやりがい
https://www.nri-secure.co.jp/blog/interview-hurukawa?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
>>ブログ記事一覧
https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○ラック、NRIセキュア、GSXが合同で「サイバーセキュリティイニシアティブ
ジャパン」を設立 ~日本のサイバーセキュリティ水準の向上に貢献~
https://www.nri-secure.co.jp/news/2022/0412?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
○「ITロードマップ 2022年版」発刊のお知らせ
~ NRIセキュアが「DXを推進するセキュリティ」を解説 ~
https://www.nri-secure.co.jp/news/2022/0330?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
○シスメックス株式会社へのSANSトレーニング導入事例を公開
https://www.nri-secure.co.jp/news/2022/0208?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に3~4回お届けします。
https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20220413sans
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。
NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。