SlideShare uma empresa Scribd logo

Securitytopics 2020 06

SQATjp
SQATjp

直近1か月に話題となったセキュリティにまつわるトピックをお届けしています。 https://www.sqat.jp

Dados e análise
1 de 16
Baixar para ler offline
Copyright©BroadBand Security, Inc. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. セキュリティトピックス 2020年6月 2020年6月12日 本記事において記載されている会社名、商品名、サービス名は各社の商標または登録商標です。 なお、本文中では、商標または登録商標を表すマークを特に提示していない場合があります。
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 2020年5月、イスラエルのテルアビブ大学の研究者らが、DNSの脆弱性に対する攻撃手法「NXNSAttack(NoneXistent NameServers Attack)」の論文を発表した。 1 出典:http://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf 攻撃手法 危険度 概要 NXNSAttack High DNSに対するリフレクション型DoS攻撃の手法の一つ。DNSの再帰的リゾルバにおいて委任応答に対する処理の 制限が不適切である問題を悪用し、リゾルバによって交換されるパケット数を大幅に増幅させることで大量のアクセ スを発生させ、サービス運用妨害・不能状態を引き起こす。 NXNSAttackは、以下の流れで行われる。 1)NSレコードに存在しないホスト名を記載した設定情報を大量に仕込んだ攻撃用権威DNSを用意 2)攻撃用権威DNSが管理権限を持つドメイン名に対して名前解決問い合わせを実施することで、攻 撃用権威DNS(Authoritative name-server)に要求が届く(右図①→②) 3)攻撃用権威DNSが要求を処理した結果、NSレコードに記載された膨大な量の存在しないホストに 対する名前解決問い合わせに変化する(右図③→④) 4)攻撃用権威DNSから問い合わせを渡されたリゾルバが、この膨大な名前解決問い合わせを関係サー バ要求することで、権威DNSをはじめとした各所に処理の負荷が掛かる(右図④)  DNSの脆弱性を狙った新たな攻撃手法「NXNSAttack」(1)
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 2 参考情報:http://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf https://www.jpcert.or.jp/at/2020/at200023.html NXNSAttackの発表を受け、DNSの開発者たちによるセキュリティパッチやアドバイザリがリリースされており、ISC BIND(CVE- 2020-8616、下表を参照)のほか、NLnet labs Unbound(CVE-2020-12662)、PowerDNS(CVE-2020- 10995)、 CZ.NIC Knot Resolver(CVE-2020-12667)等への影響が報告されている。2020年6月初旬時点で設定による回避策は存 在しない。また、クラウドサービスのプラットフォーマーやCDN(Content Delivery Network)といった事業者も関連することから影響 範囲の広さが懸念されており、脆弱性を修正したバージョンを適用するなどの早急な対応が推奨されている。 影響を受けるバージョン(CVE-2020-8616) 脆弱性対策が施されたバージョン BIND 9.16系:9.16.0~9.16.2 BIND 9.16.3 BIND 9.14系:9.14.0~9.14.11 BIND 9.14.12 BIND 9.11系:9.11.0~9.11.18 BIND 9.11.19 BIND Supported Preview Edition 9.9.3-S1 ~ 9.11.18-S1 BIND Supported Preview Edition version 9.11.19-S1 NXNSAttackによって負荷が掛かる理由は、存在しないホスト名に対する名前解決要求が大量に届くと、DNSサーバが通常の問い 合わせよりもその要求の処理に優先的にリソースを割り振ってしまうことにあり、存在するホスト名に対する通常の名前解決要求が後回 しにされ、DNSとしての機能不全に陥る。こういった原理の攻撃は、6年ほど前に急増したNXDomain攻撃に類似する。 表:ISC BIND 9 脆弱性の影響を受ける対象および対策 ※サポート切れ、開発版の系列も影響を受ける。 ※サポート切れの系列についてはセキュリティパッチのリリースなし。 https://www.jpcert.or.jp/at/2020/at200023.html をもとに弊社作成  DNSの脆弱性を狙った新たな攻撃手法「NXNSAttack」(2)
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 2020年5月に影響度の高い脆弱性情報が多数公開された。以下に概要をまとめる。 対象製品 概要 CVE CVSSv3.x 基本値 参考情報 Oracle WebLogic Server 4月公開セキュリティパッチのうち、攻撃の 兆候が観測されたT3プロトコル関連の脆 弱性の注意喚起。 CVE-2020-2883 9.8 https://www.jpcert.or.jp/at/2020/at200 019.html WordPress 遠隔の第三者がユーザのブラウザ上で任 意のスクリプトを実行するなどの可能性の ある脆弱性。 CVE-2020-11025 ~CVE-2020-11030 8.1 (CVE-2020- 11027) https://wordpress.org/news/2020/04/w ordpress-5-4-1/ Site Kit (WordPressプラグイン) 認証済みの攻撃者が権限昇格し、 Google Search Consoleへのアクセスな どが可能となる脆弱性。 なし 9.1相当 https://github.com/google/site-kit- wp/releases/tag/1.8.0 Page Builder (WordPressプラグイン) サイト管理者を装ったリクエストを送信し、 任意コードの実行を行える脆弱性。 CVE-2020-13643 8.8 https://wordpress.org/plugins/siteorigi n-panels/#developers PHP 遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性のある脆弱性 CVE-2019-11048 5.3 https://www.php.net/archive/2020.php #2020-05-14-3  2020年5月に公開された主な脆弱性情報(1) 3
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連  2020年5月に公開された主な脆弱性情報(2) 対象製品 概要 CVE CVSSv3.x 基本値 参考情報 Apache Tomcat デシリアライズ対象データの検証の不備に起因 して、遠隔の第三者により任意のバイトコード を実行される可能性のある脆弱性。 CVE-2020-9484 7.0 https://tomcat.apache.org/security- 9.html#Fixed_in_Apache_Tomcat_9.0.35 実証コードが6月に公開されている。 PAN-OS 遠隔の第三者が、特権ユーザとしてアクセスし たり、サービス運用妨害 (DoS) 攻撃を行った りするなどの可能性のある脆弱性。 CVE-2020-2018 他 9.0 https://security.paloaltonetworks.com/CVE- 2020-2018 他 Movable Type 遠隔の第三者が任意のスクリプトを実行する などの可能性のある脆弱性。 CVE-2020-5574 CVE-2020-5575 CVE-2020-5576 CVE-2020-5577 6.3 https://jvn.jp/jp/JVN28806943/ https://www.sixapart.jp/movabletype/news/2020 /05/13-1100.html Cisco CCX 認証されていない第三者が任意のコードを実 行する可能性のある脆弱性。 CVE-2020-3280 9.8 https://tools.cisco.com/security/center/content/ CiscoSecurityAdvisory/cisco-sa-uccx-rce- GMSC6RKN Drupal 遠隔の第三者が、ユーザのブラウザ上で任意 のコードを実行したり、任意の URL にリダイレ クトしたりする可能性のある脆弱性。 CVE-2020-11022 CVE-2020-11023 CVE-2020-13662 6.1 (XSS) https://www.drupal.org/sa-core-2020-002 https://www.drupal.org/sa-core-2020-003 4
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 Googleは、Chromiumプロジェクトにおいて2015年以降に発見 された深刻度「high」[1]以上の脆弱性のうち、約70%がメモリ関 連の脆弱性であることを公表した(図1)。Microsoftからも同様 の傾向であることが過去に公表されており [2] 、世界全体で毎年登 録・公開されるすべての脆弱性でも、常に20%程度をメモリ関連の 脆弱性が占めている[3]。 メモリ関連の脆弱性、特にメモリ領域に関連する脆弱性の原因は、 主にC/C++のポインタ周りのコーディングミスによるものである。代表 的な脆弱性として、バッファオーバーフロー、領域外読み取り、Use- after-free(解放済メモリの再利用)といったものがあげられる。 C/C++のメリットの一つにメモリ領域管理での柔軟性があり、それが 処理の高速性をもたらす一方で、脆弱性を生み出すという皮肉な 結果に結びついている。 人が管理する範囲が広く、柔軟性が高いということは、人が失敗す る可能性を高めているともいえる。「人間はもともとミスを起こしやす い動物である」という認識が大切である[4] 。  コーディングミスによる脆弱性とどう付き合うか(1) 36% 33% 24% 7% 図1:Chromiumプロジェクトのhigh以上の脆弱性 解放済メモリに関連する脆弱性 他のメモリ関連の脆弱性 その他 セキュリティ関連のアサート 参考情報: [1] この深刻度はGoogleのChromiumプロジェクトが定める深刻度となる。 https://chromium.googlesource.com/chromium/src/+/master/docs/security/s everity-guidelines.md [2] https://github.com/Microsoft/MSRC-Security- Research/blob/master/presentations/2019_02_BlueHatIL/2019_01%20- %20BlueHatIL%20- %20Trends%2C%20challenge%2C%20and%20shifts%20in%20software%20v ulnerability%20mitigation.pdf [3] https://www.cvedetails.com/vulnerabilities-by-types.php [4] http://www.iryokagaku.co.jp/frame/03-honwosagasu/376/376_35-45.pdf 5 出典:https://www.chromium.org/Home/chromium-security/memory-safety
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 対策としてChromiumプロジェクトではC/C++カスタムライブラリの導 入や、LLVMなどハードウェア寄りの対策などを挙げている[2]。一方 のMicrosoftも安全にコードを構築するためのしくみやツールの利用 をなどの対策を行っている[3]。さらに両者ともにC/C++より安全な言 語への移行の検討を行っている[2][3]。すでにC/C++の利用はフロン トシステムからはある程度消えつつあり、現在は特定の分野での利 用が中心だが(図2)、今後はデスクトップアプリの分野からも姿を 消していくとみられている。 一方でC/C++が今なお必要とされる分野(IoTデバイス、組み込 み)も存在する。また、いかなるプログラミング言語を使用しても ヒューマンエラーは発生しうる。今後も設計段階での脅威モデリング やリスク分析による事前の対策と、開発・検証・リリース段階でのコー ドレビューや各種テストによる問題の発見と解消による対策を地道に 続けていく必要がある。昨今ではコードレビューやCI/CDなどに自動 化ツールも増えていることから、従来よりも工数をかけずに脆弱性を 解消できる可能性もあることが救いかもしれない。  コーディングミスによる脆弱性とどう付き合うか(2) <参考情報> https://insights.stackoverflow.com/survey/2020#technology-what-languages- are-associated-with-the-highest-salaries-worldwide-global https://s3-eu-west-1.amazonaws.com/vm-blog/uploads/2020/04/DE18-SoN- Digital-.pdf 図2:主要プログラミング言語と現在利用されている代表的分野 6
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連  不正ログインに関する注意 パスワードをめぐる状況(1) 2020年に入り、日本国内では過去に流出した情報などをもとに作成された認証情報のリストを用いて不正ログインを試行するリス ト型攻撃が原因と推測されるインシデントが散見されている。リスト型攻撃では2019年に注目されたスマホ決済に対する攻撃が記 憶に新しいが、今後も引き続き十分な警戒と対策が必要となるだろう。 リスト型攻撃に用いられる認証情報のリストは、世界中で日々発生している情報漏洩によって、そのリストが常に更新され続けてい る。セキュリティ企業の実態調査などによると、多くのユーザが複数のシステムで単一のパスワードを使いまわしている傾向が強く見ら れるが、拡充し続けているリストに対して、IDとパスワードのみで行う認証に対する危険性が高まっているのは明らかだ。 ここではパスワードのみを用いた認証の代替として、多要素を用いた認証や、そもそもパスワードを用いない認証を対策として述べる。 MFA MFA(Multi-Factor Authentication:多要素認証)とは、Webシステムへのログ インや入館等の時に種類の異なる2つ以上の要素が必要となる認証方式である。 認証に必要な要素は大きく「物理情報」「知識情報」「生体情報」という3つの要素 に分類される。 ・物理情報:物理デバイスに組み込まれた情報 ・知識情報:本人のみが知りうる情報 ・生体情報:人体から読み取る情報 MFAではこれらの中から複数の情報が、認証に必要な要素として要求される。 ただし、パスワードと秘密の質問といった、同じ要素を複数要求する場合は、多要 素とは認められない点に気を付ける必要がある。 物理情報 物理トークン、IC チップなど 知識情報 パスワード、秘 密の質問など 生体情報 指紋、虹彩など MFA 7
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連 参考情報: http://staff.livedoor.blog/archives/51975448.html https://www.nintendo.co.jp/support/information/2020/0424.html https://web-mc.net/mainte2/index.html  不正ログインに関する注意 パスワードをめぐる状況(2) 顔 認証 耳介 認証 手の ひら 認証 声紋 認証 静脈 認証 虹彩 認証 指紋 認証 バイオメトリクス認証バイオメトリクス認証 パスワードを用いない認証として、ヨーロッパを中心に導入が進められているのがバイオ メトリクス認証(生体認証)である。 前述のMFAの要素としても利用されているが、パスワードのように忘れてしまうこともなく、 物理デバイスのように紛失してしまうことがない点が評価されている。一方で、その性質 上、登録していた認証部位が変化してしまった場合に、認証ができなくなるなど、注意 が必要な点もある。 万が一インシデントが発生してしまった場合は こうした対策を行っていたとしても、将来においても完璧なセキュリティといったものは存 在しない。万が一、インシデントが発生してしまった場合は、迅速な対応が重要となる。 経済産業省が後援している「第5回情報セキュリティ事故対応アワード」では、毎年イ ンシデントに対して対応を含めて公表してきた通販事業者が、殿堂入りとして表彰さ れた。このように、インシデント後の対応も併せて充実させることで、より一層ユーザの 安心感に繋げることができるといえるだろう。 8
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 法令・制度関連 2020年5月4日、EU加盟国のデータ保護監督機関の代表によって構成される欧州データ保護会議(EDPB:European Data Protection Board)は、「同意に関するガイドライン」を可決した。これは、2018年にGDPR施行前の第29条作業部会により採択された ガイドラインの改訂版である。下記(右下)のような具体的な記載があるため、GDPR遵守対応にあたって注意する必要がある。  欧州データ保護会議(EDPB)「同意に関するガイドライン」可決 https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf参考情報: ■ガイドライン改訂内容 「Cookieウォール」による同意は有効でない Webサイト側のCookie利用に同意しなけ ればサイトの利用を拒否する、いわゆる 「Cookieウォール」による同意は有効では ない。 スクロールやスワイプは同意と見做さない Webサイトを閲覧するためのスクロールやス ワイプ行為は同意の「明確で肯定的な行 為」に当たらない上、スクロール同様に簡 易な同意撤回方法を提供することも困難 である。 Example 6a:Webサイトの提供元が、Cookieおよび取得した情報の利用目的に同意が得 られない限り、コンテンツを閲覧不能にするスクリプトを実行し、ユーザが「(Cookieの使用に) 同意する」ボタンをクリックしない限りコンテンツにアクセスできない場合は、データ主体(ユーザ) 自らの意志で選ぶ機会が与えられていないため、この同意は自由意志によるものと見なされない。 サービスの供給が、データ主体による「(Cookieの使用に)同意する」ボタンのクリックに依存して いるため、有効な同意ではない。自由意志による選択肢が示されていない。 Example 16:<前略>Webページでのユーザによるスクロールやスワイプ、またはそれに類する 操作は、いかなる状況においても、明確で積極的な行動の要件を満たさない。当該操作は、 ユーザによる他の操作ややりとりとの区別が難しいため、明確な同意が得られたと判断することは、 不可能である。さらに、この場合、同意したときと同程度に簡単な手段でユーザが同意を撤回す る方法を提供することが困難である。 「同意に関するガイドライン(EDPB)」より 「Guidelines 05/2020 on consent under Regulation 2016/679」(2020/05/04)より抜粋当社和訳 9
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. その他 10 2020年5月22日、総務省のサイバーセキュリティタスクフォー スより、「IoT・5Gセキュリティ総合対策 プログレスレポート 2020」が公表された。 同サイバーセキュリティタスクフォースでは、2020年1月の「我 が国のサイバーセキュリティ強化に向け速やかに取り組むべき 事項 [緊急提言]」公表以降、中長期的な課題と方策の検 討を行っていく、としており、本文書はその一環として、2019 年8月に公表された「IoT・5Gセキュリティ総合対策」の進捗 状況と今後の取組をまとめたものである。構成は右表のとおり。 情報通信サービス・ネットワークの個別分野の セキュリティに関する具体的施策 • IoT のセキュリティ対策 • 5G のセキュリティ対策 • クラウドサービスのセキュリティ対策 • スマートシティのセキュリティ対策 • トラストサービスの在り方の検討 • 公衆無線 LAN のセキュリティ対策 • 重要インフラとしての情報通信分野のセキュリティ対策 • 地域の情報通信サービスのセキュリティの確保 横断的施策 • 研究開発の推進 • 人材育成・普及啓発の推進 • 国際連携の推進 • 情報共有・情報開示の促進 総務省では、サイバーセキュリティ対策の在り方に関する議論 を行っていき、プログレスレポートの結果を反映させていくという。 引き続きIoT・5Gのセキュリティ強化に向けて、対策が期待さ れる。 次ページでは、個別分野のセキュリティに関する具体的施策 に焦点をあて、その進捗・今後の取り組みについてまとめた。  「IoT・5Gセキュリティ総合対策 プログレスレポート2020」公表(1)
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. その他 11  「IoT・5Gセキュリティ総合対策 プログレスレポート2020」公表(2) (1)IoT のセキュリティ対策 • 端末設備等規則の技術基準の改正 • IoTセキュアゲートウェイの必要性の検討 • 「NOTICE」(IoT 機器の調査及び当該機器の利用者への注意喚 起を行う取り組み)の継続・ISP間での情報共有 • その他、民間団体における任意の取組 (2)5G のセキュリティ対策 • 5Gネットワークにおけるソフトウェアの脆弱性調査の実施 • ハードウェアチップの脆弱性検知手法の研究開発の実施 • 「特定高度情報通信技術活用システムの開発供給及び導入の促進 に関する法律案」成立に向けた取組 (3)クラウドサービスのセキュリティ対策 クラウドサービスのセキュリティ評価制度の基本的枠組みの決定 (4)スマートシティのセキュリティ対策 • スマートシティのセキュリティ・セーフティの確保の在り方の検討 • 日EU共同研究「Fed4IoT」(スマートシティアプリケーションに拡張性 と相互運用性をもたらす仮想 IoT-クラウド連携基盤の研究開発) の取組 (5)トラストサービスの在り方の検討 「トラストサービス検討ワーキンググループ」での取組状況 (タイムスタンプ・eシール・リモート署名に関する今後の取組を提示) (6)公衆無線 LAN のセキュリティ対策 公衆無線LANの提供者・利用者向けのガイドラインの見直し・改訂 (7)重要インフラとしての情報通信分野のセキュリティ対策 情報通信ネットワーク安全・信頼性基準の制度化 放送法施行規則の改正 (8)地域の情報通信サービスのセキュリティの確保 国の行政機関の地方支分部局、産業界、大学等の教育機関、都 道府県警、地方公共団体など様々な主体によるセキュリティコミュニ ティの形成 <各項目の進捗状況と今後の取組> 参考情報:https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00068.html
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 12 その他  JNSA、「緊急事態宣言解除後のセキュリティ・チェックリスト」を公開(1) "Withコロナ"に向け、オフィスワーク/テレワークの両シナリオでセキュリティを確保 2020年5月19日、特定非営利法人 日本ネットワークセキュリティ 協会(JNSA)は、「緊急事態宣言解除後のセキュリティ・チェックリス ト」を公開した。これは、企業・組織が、緊急事態宣言解除を受けて 対応を進める際のセキュリティ考慮事項を4つのカテゴリ(右記参照) に整理し、チェックリスト形式でまとめたものだ。 同宣言は5月25日に全面解除されたものの、感染第二波、第三波 への懸念は残る。企業・組織には、オフィス業務再開への取り組みと 同時に、今回強制的、緊急避難的に導入したテレワーク環境を改 めて見直し、より安全かつ安定的な形で継続運用できるようにするた めの取り組みも求められているといえよう。 100年に一度と言われる歴史的なパンデミックを受け、これからの 企業・組織には、今後いつ感染拡大が起きたとしても機動的な対応 を行える"Withコロナ"の事業運営体制を構築することが必須だ。 セキュリティの確保は、そうした体制の基盤をなす最重要事項となる。 対応すべき作業は膨大だが、課題把握・整理の手がかりとして、こう したチェックリストをぜひとも有効活用したい。 1.停止したシステムの再稼働における注意事項 長期間停止していたシステム・関連機器のセキュリティを確保するためのチェック項目 2.テレワークで社外に持ち出した機器を社内NWに接続する際の注意事項 テレワークで社外に持ち出していた機器を再びオフィス環境で用いるにあたり、セキュリ ティを点検・確保するためのチェック項目 3.緊急措置としてテレワークを許可した業務やルールを変更した業務の扱い 差し迫ったテレワーク移行が求められる中やむを得ず変更を認めた業務やルールにつ いて、宣言解除後の対応をあらためて検討するためのタスク項目 4.Withコロナフェーズに向けた、業務見直しとセキュリティ対策 今回のテレワーク導入での課題を洗い出し、今後の感染再拡大・緊急事態宣言再 発令を見据えた体制を構築するためのタスク項目 JNSAチェックリストの4つのカテゴリ (詳細は次ページ参照)
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. その他 【緊急事態宣言解除後のセキュリティ・チェックリスト】  JNSA、「緊急事態宣言解除後のセキュリティ・チェックリスト」を公開(2) https://www.jnsa.org/telework_support/telework_security/index.htmlより ※同ページよりWord版チェックリストをダウンロード可能 13
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 今後のセキュリティ脅威傾向の予測 ※ 赤字は今月のトピックスで 紹介した項目 標的型攻撃(APT含む)の巧妙化および増加  マルウェア・ランサムウェア・ワイパーウェア攻撃のさらなる増加  IoT機器・5Gに対する脅威やセキュリティ対策  ITサプライチェーンの弱点を狙った攻撃  東京五輪の開催に向けた海外から日本国内へのサイバー攻撃の増加  キャッシュレス社会の進展にともなうリスク  クラウドサービスにおけるセキュリティリスク  ビッグデータ・AI技術を用いたサイバー攻撃  個人情報の保護と各種法令の遵守課題  認証技術の転換と対応の遅れによるリスク 14
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 今後のセキュリティ脅威に対する基本的対策例  自組織のCSIRTの成熟化、自組織外の機関との連携強化 (⇒定期的な情報セキュリティに関する訓練や演習の実施)  多方面から鑑みた総合的なセキュリティ対策の強化(特に人的対策の強化)  多要素認証の導入  SLAやサポート条件等の評価に基づくサービス・ベンダの選定  クラウド環境におけるセキュリティ設定の徹底  アセット・インベントリ管理の充実  各種法令の把握と体制構築  定期的な診断の実施とセキュアコーディングの徹底 15

Recomendados

シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Networkシンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Network
Ryuki Yoshimatsu
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
オラクルエンジニア通信
 
Ccsk 160927
Ccsk 160927Ccsk 160927
Ccsk 160927
Masahiro Morozumi
 
私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?
Takayoshi Takaoka
 
ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1
Eiji Sasahara, Ph.D., MBA 笹原英司
 
Symc solution overview_rev0.8
Symc solution overview_rev0.8Symc solution overview_rev0.8
Symc solution overview_rev0.8
Takayoshi Takaoka
 
CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要
Masahiro Morozumi
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
Takayoshi Takaoka
 

Recomendados

シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Networkシンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Network
Ryuki Yoshimatsu
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
オラクルエンジニア通信
 
Ccsk 160927
Ccsk 160927Ccsk 160927
Ccsk 160927
Masahiro Morozumi
 
私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?
Takayoshi Takaoka
 
ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1
Eiji Sasahara, Ph.D., MBA 笹原英司
 
Symc solution overview_rev0.8
Symc solution overview_rev0.8Symc solution overview_rev0.8
Symc solution overview_rev0.8
Takayoshi Takaoka
 
CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要
Masahiro Morozumi
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
Takayoshi Takaoka
 
海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
医療分野のドローンの利用事例
医療分野のドローンの利用事例医療分野のドローンの利用事例
医療分野のドローンの利用事例
Eiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチクラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
MinoDriven
 
20120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 111520120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 1115
Kazuhisa Sakamoto
 
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
オラクルエンジニア通信
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
Masanori KAMAYAMA
 
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
Eiji Sasahara, Ph.D., MBA 笹原英司
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
 
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
csig-info
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
csig-info
 
医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用
Eiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドファースト時代の多層防御を支えるID管理
クラウドファースト時代の多層防御を支えるID管理クラウドファースト時代の多層防御を支えるID管理
クラウドファースト時代の多層防御を支えるID管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
「運用が簡単」に惹かれ、SOCなしでEDRを初めて導入してみた
「運用が簡単」に惹かれ、SOCなしでEDRを初めて導入してみた「運用が簡単」に惹かれ、SOCなしでEDRを初めて導入してみた
「運用が簡単」に惹かれ、SOCなしでEDRを初めて導入してみた
Kyohei Komatsu
 
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクトパネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
Trainocate Japan, Ltd.
 
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイクラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
 
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティー
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティークラウド集中からクラウド分散へ ー新たな潮流とセキュリティー
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティー
Masahiro Morozumi
 
進むクラウドセキュリティ
進むクラウドセキュリティ進むクラウドセキュリティ
進むクラウドセキュリティ
Masahiro Morozumi
 
Securitytopics 2020 05
Securitytopics 2020 05Securitytopics 2020 05
Securitytopics 2020 05
SQATjp
 
Securitytopics 2020 07
Securitytopics 2020 07Securitytopics 2020 07
Securitytopics 2020 07
SQATjp
 
Sase
SaseSase
Sase
Takeo Sakaguchi ,CISSP,CISA
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
Amazon Web Services Japan
 

Mais conteúdo relacionado

Mais procurados

海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
オラクルエンジニア通信
 
クラウドファースト時代の多層防御を支えるID管理
クラウドファースト時代の多層防御を支えるID管理クラウドファースト時代の多層防御を支えるID管理
クラウドファースト時代の多層防御を支えるID管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイクラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
Eiji Sasahara, Ph.D., MBA 笹原英司
 

Mais procurados (19)

海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理海外事例に学ぶクラウド利用とITリスク管理
海外事例に学ぶクラウド利用とITリスク管理
 
医療分野のドローンの利用事例
医療分野のドローンの利用事例医療分野のドローンの利用事例
医療分野のドローンの利用事例
 
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチクラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
 
20120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 111520120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 1115
 
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
 
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
 
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
 
医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用
 
クラウドファースト時代の多層防御を支えるID管理
クラウドファースト時代の多層防御を支えるID管理クラウドファースト時代の多層防御を支えるID管理
クラウドファースト時代の多層防御を支えるID管理
 
「運用が簡単」に惹かれ、SOCなしでEDRを初めて導入してみた
「運用が簡単」に惹かれ、SOCなしでEDRを初めて導入してみた「運用が簡単」に惹かれ、SOCなしでEDRを初めて導入してみた
「運用が簡単」に惹かれ、SOCなしでEDRを初めて導入してみた
 
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクトパネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
 
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイクラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題
 
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティー
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティークラウド集中からクラウド分散へ ー新たな潮流とセキュリティー
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティー
 
進むクラウドセキュリティ
進むクラウドセキュリティ進むクラウドセキュリティ
進むクラウドセキュリティ
 
Securitytopics 2020 05
Securitytopics 2020 05Securitytopics 2020 05
Securitytopics 2020 05
 

Semelhante a Securitytopics 2020 06

Semelhante a Securitytopics 2020 06 (20)

Securitytopics 2020 07
Securitytopics 2020 07Securitytopics 2020 07
Securitytopics 2020 07
 
Sase
SaseSase
Sase
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
 
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
 
【Interop Tokyo 2016】 Cisco だからできる!セキュア コラボレーション
【Interop Tokyo 2016】 Cisco だからできる!セキュア コラボレーション【Interop Tokyo 2016】 Cisco だからできる!セキュア コラボレーション
【Interop Tokyo 2016】 Cisco だからできる!セキュア コラボレーション
 
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
 
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
 
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
 
AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )
AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )
AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
 
「リスク検知とWebセキュリティ技術について」/iret tech labo #13
「リスク検知とWebセキュリティ技術について」/iret tech labo #13「リスク検知とWebセキュリティ技術について」/iret tech labo #13
「リスク検知とWebセキュリティ技術について」/iret tech labo #13
 
2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online
 
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
 
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
 
20160717 csc sec_bd
20160717 csc sec_bd20160717 csc sec_bd
20160717 csc sec_bd
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
 
[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017] CLD 023[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017] CLD 023
 
Mix Leap 0214 security
Mix Leap 0214 securityMix Leap 0214 security
Mix Leap 0214 security
 

Securitytopics 2020 06

  • 1. Copyright©BroadBand Security, Inc. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. セキュリティトピックス 2020年6月 2020年6月12日 本記事において記載されている会社名、商品名、サービス名は各社の商標または登録商標です。 なお、本文中では、商標または登録商標を表すマークを特に提示していない場合があります。
  • 2. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 2020年5月、イスラエルのテルアビブ大学の研究者らが、DNSの脆弱性に対する攻撃手法「NXNSAttack(NoneXistent NameServers Attack)」の論文を発表した。 1 出典:http://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf 攻撃手法 危険度 概要 NXNSAttack High DNSに対するリフレクション型DoS攻撃の手法の一つ。DNSの再帰的リゾルバにおいて委任応答に対する処理の 制限が不適切である問題を悪用し、リゾルバによって交換されるパケット数を大幅に増幅させることで大量のアクセ スを発生させ、サービス運用妨害・不能状態を引き起こす。 NXNSAttackは、以下の流れで行われる。 1)NSレコードに存在しないホスト名を記載した設定情報を大量に仕込んだ攻撃用権威DNSを用意 2)攻撃用権威DNSが管理権限を持つドメイン名に対して名前解決問い合わせを実施することで、攻 撃用権威DNS(Authoritative name-server)に要求が届く(右図①→②) 3)攻撃用権威DNSが要求を処理した結果、NSレコードに記載された膨大な量の存在しないホストに 対する名前解決問い合わせに変化する(右図③→④) 4)攻撃用権威DNSから問い合わせを渡されたリゾルバが、この膨大な名前解決問い合わせを関係サー バ要求することで、権威DNSをはじめとした各所に処理の負荷が掛かる(右図④)  DNSの脆弱性を狙った新たな攻撃手法「NXNSAttack」(1)
  • 3. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 2 参考情報:http://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf https://www.jpcert.or.jp/at/2020/at200023.html NXNSAttackの発表を受け、DNSの開発者たちによるセキュリティパッチやアドバイザリがリリースされており、ISC BIND(CVE- 2020-8616、下表を参照)のほか、NLnet labs Unbound(CVE-2020-12662)、PowerDNS(CVE-2020- 10995)、 CZ.NIC Knot Resolver(CVE-2020-12667)等への影響が報告されている。2020年6月初旬時点で設定による回避策は存 在しない。また、クラウドサービスのプラットフォーマーやCDN(Content Delivery Network)といった事業者も関連することから影響 範囲の広さが懸念されており、脆弱性を修正したバージョンを適用するなどの早急な対応が推奨されている。 影響を受けるバージョン(CVE-2020-8616) 脆弱性対策が施されたバージョン BIND 9.16系:9.16.0~9.16.2 BIND 9.16.3 BIND 9.14系:9.14.0~9.14.11 BIND 9.14.12 BIND 9.11系:9.11.0~9.11.18 BIND 9.11.19 BIND Supported Preview Edition 9.9.3-S1 ~ 9.11.18-S1 BIND Supported Preview Edition version 9.11.19-S1 NXNSAttackによって負荷が掛かる理由は、存在しないホスト名に対する名前解決要求が大量に届くと、DNSサーバが通常の問い 合わせよりもその要求の処理に優先的にリソースを割り振ってしまうことにあり、存在するホスト名に対する通常の名前解決要求が後回 しにされ、DNSとしての機能不全に陥る。こういった原理の攻撃は、6年ほど前に急増したNXDomain攻撃に類似する。 表:ISC BIND 9 脆弱性の影響を受ける対象および対策 ※サポート切れ、開発版の系列も影響を受ける。 ※サポート切れの系列についてはセキュリティパッチのリリースなし。 https://www.jpcert.or.jp/at/2020/at200023.html をもとに弊社作成  DNSの脆弱性を狙った新たな攻撃手法「NXNSAttack」(2)
  • 4. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 2020年5月に影響度の高い脆弱性情報が多数公開された。以下に概要をまとめる。 対象製品 概要 CVE CVSSv3.x 基本値 参考情報 Oracle WebLogic Server 4月公開セキュリティパッチのうち、攻撃の 兆候が観測されたT3プロトコル関連の脆 弱性の注意喚起。 CVE-2020-2883 9.8 https://www.jpcert.or.jp/at/2020/at200 019.html WordPress 遠隔の第三者がユーザのブラウザ上で任 意のスクリプトを実行するなどの可能性の ある脆弱性。 CVE-2020-11025 ~CVE-2020-11030 8.1 (CVE-2020- 11027) https://wordpress.org/news/2020/04/w ordpress-5-4-1/ Site Kit (WordPressプラグイン) 認証済みの攻撃者が権限昇格し、 Google Search Consoleへのアクセスな どが可能となる脆弱性。 なし 9.1相当 https://github.com/google/site-kit- wp/releases/tag/1.8.0 Page Builder (WordPressプラグイン) サイト管理者を装ったリクエストを送信し、 任意コードの実行を行える脆弱性。 CVE-2020-13643 8.8 https://wordpress.org/plugins/siteorigi n-panels/#developers PHP 遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性のある脆弱性 CVE-2019-11048 5.3 https://www.php.net/archive/2020.php #2020-05-14-3  2020年5月に公開された主な脆弱性情報(1) 3
  • 5. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連  2020年5月に公開された主な脆弱性情報(2) 対象製品 概要 CVE CVSSv3.x 基本値 参考情報 Apache Tomcat デシリアライズ対象データの検証の不備に起因 して、遠隔の第三者により任意のバイトコード を実行される可能性のある脆弱性。 CVE-2020-9484 7.0 https://tomcat.apache.org/security- 9.html#Fixed_in_Apache_Tomcat_9.0.35 実証コードが6月に公開されている。 PAN-OS 遠隔の第三者が、特権ユーザとしてアクセスし たり、サービス運用妨害 (DoS) 攻撃を行った りするなどの可能性のある脆弱性。 CVE-2020-2018 他 9.0 https://security.paloaltonetworks.com/CVE- 2020-2018 他 Movable Type 遠隔の第三者が任意のスクリプトを実行する などの可能性のある脆弱性。 CVE-2020-5574 CVE-2020-5575 CVE-2020-5576 CVE-2020-5577 6.3 https://jvn.jp/jp/JVN28806943/ https://www.sixapart.jp/movabletype/news/2020 /05/13-1100.html Cisco CCX 認証されていない第三者が任意のコードを実 行する可能性のある脆弱性。 CVE-2020-3280 9.8 https://tools.cisco.com/security/center/content/ CiscoSecurityAdvisory/cisco-sa-uccx-rce- GMSC6RKN Drupal 遠隔の第三者が、ユーザのブラウザ上で任意 のコードを実行したり、任意の URL にリダイレ クトしたりする可能性のある脆弱性。 CVE-2020-11022 CVE-2020-11023 CVE-2020-13662 6.1 (XSS) https://www.drupal.org/sa-core-2020-002 https://www.drupal.org/sa-core-2020-003 4
  • 6. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 Googleは、Chromiumプロジェクトにおいて2015年以降に発見 された深刻度「high」[1]以上の脆弱性のうち、約70%がメモリ関 連の脆弱性であることを公表した(図1)。Microsoftからも同様 の傾向であることが過去に公表されており [2] 、世界全体で毎年登 録・公開されるすべての脆弱性でも、常に20%程度をメモリ関連の 脆弱性が占めている[3]。 メモリ関連の脆弱性、特にメモリ領域に関連する脆弱性の原因は、 主にC/C++のポインタ周りのコーディングミスによるものである。代表 的な脆弱性として、バッファオーバーフロー、領域外読み取り、Use- after-free(解放済メモリの再利用)といったものがあげられる。 C/C++のメリットの一つにメモリ領域管理での柔軟性があり、それが 処理の高速性をもたらす一方で、脆弱性を生み出すという皮肉な 結果に結びついている。 人が管理する範囲が広く、柔軟性が高いということは、人が失敗す る可能性を高めているともいえる。「人間はもともとミスを起こしやす い動物である」という認識が大切である[4] 。  コーディングミスによる脆弱性とどう付き合うか(1) 36% 33% 24% 7% 図1:Chromiumプロジェクトのhigh以上の脆弱性 解放済メモリに関連する脆弱性 他のメモリ関連の脆弱性 その他 セキュリティ関連のアサート 参考情報: [1] この深刻度はGoogleのChromiumプロジェクトが定める深刻度となる。 https://chromium.googlesource.com/chromium/src/+/master/docs/security/s everity-guidelines.md [2] https://github.com/Microsoft/MSRC-Security- Research/blob/master/presentations/2019_02_BlueHatIL/2019_01%20- %20BlueHatIL%20- %20Trends%2C%20challenge%2C%20and%20shifts%20in%20software%20v ulnerability%20mitigation.pdf [3] https://www.cvedetails.com/vulnerabilities-by-types.php [4] http://www.iryokagaku.co.jp/frame/03-honwosagasu/376/376_35-45.pdf 5 出典:https://www.chromium.org/Home/chromium-security/memory-safety
  • 7. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 対策としてChromiumプロジェクトではC/C++カスタムライブラリの導 入や、LLVMなどハードウェア寄りの対策などを挙げている[2]。一方 のMicrosoftも安全にコードを構築するためのしくみやツールの利用 をなどの対策を行っている[3]。さらに両者ともにC/C++より安全な言 語への移行の検討を行っている[2][3]。すでにC/C++の利用はフロン トシステムからはある程度消えつつあり、現在は特定の分野での利 用が中心だが(図2)、今後はデスクトップアプリの分野からも姿を 消していくとみられている。 一方でC/C++が今なお必要とされる分野(IoTデバイス、組み込 み)も存在する。また、いかなるプログラミング言語を使用しても ヒューマンエラーは発生しうる。今後も設計段階での脅威モデリング やリスク分析による事前の対策と、開発・検証・リリース段階でのコー ドレビューや各種テストによる問題の発見と解消による対策を地道に 続けていく必要がある。昨今ではコードレビューやCI/CDなどに自動 化ツールも増えていることから、従来よりも工数をかけずに脆弱性を 解消できる可能性もあることが救いかもしれない。  コーディングミスによる脆弱性とどう付き合うか(2) <参考情報> https://insights.stackoverflow.com/survey/2020#technology-what-languages- are-associated-with-the-highest-salaries-worldwide-global https://s3-eu-west-1.amazonaws.com/vm-blog/uploads/2020/04/DE18-SoN- Digital-.pdf 図2:主要プログラミング言語と現在利用されている代表的分野 6
  • 8. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連  不正ログインに関する注意 パスワードをめぐる状況(1) 2020年に入り、日本国内では過去に流出した情報などをもとに作成された認証情報のリストを用いて不正ログインを試行するリス ト型攻撃が原因と推測されるインシデントが散見されている。リスト型攻撃では2019年に注目されたスマホ決済に対する攻撃が記 憶に新しいが、今後も引き続き十分な警戒と対策が必要となるだろう。 リスト型攻撃に用いられる認証情報のリストは、世界中で日々発生している情報漏洩によって、そのリストが常に更新され続けてい る。セキュリティ企業の実態調査などによると、多くのユーザが複数のシステムで単一のパスワードを使いまわしている傾向が強く見ら れるが、拡充し続けているリストに対して、IDとパスワードのみで行う認証に対する危険性が高まっているのは明らかだ。 ここではパスワードのみを用いた認証の代替として、多要素を用いた認証や、そもそもパスワードを用いない認証を対策として述べる。 MFA MFA(Multi-Factor Authentication:多要素認証)とは、Webシステムへのログ インや入館等の時に種類の異なる2つ以上の要素が必要となる認証方式である。 認証に必要な要素は大きく「物理情報」「知識情報」「生体情報」という3つの要素 に分類される。 ・物理情報:物理デバイスに組み込まれた情報 ・知識情報:本人のみが知りうる情報 ・生体情報:人体から読み取る情報 MFAではこれらの中から複数の情報が、認証に必要な要素として要求される。 ただし、パスワードと秘密の質問といった、同じ要素を複数要求する場合は、多要 素とは認められない点に気を付ける必要がある。 物理情報 物理トークン、IC チップなど 知識情報 パスワード、秘 密の質問など 生体情報 指紋、虹彩など MFA 7
  • 9. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連 参考情報: http://staff.livedoor.blog/archives/51975448.html https://www.nintendo.co.jp/support/information/2020/0424.html https://web-mc.net/mainte2/index.html  不正ログインに関する注意 パスワードをめぐる状況(2) 顔 認証 耳介 認証 手の ひら 認証 声紋 認証 静脈 認証 虹彩 認証 指紋 認証 バイオメトリクス認証バイオメトリクス認証 パスワードを用いない認証として、ヨーロッパを中心に導入が進められているのがバイオ メトリクス認証(生体認証)である。 前述のMFAの要素としても利用されているが、パスワードのように忘れてしまうこともなく、 物理デバイスのように紛失してしまうことがない点が評価されている。一方で、その性質 上、登録していた認証部位が変化してしまった場合に、認証ができなくなるなど、注意 が必要な点もある。 万が一インシデントが発生してしまった場合は こうした対策を行っていたとしても、将来においても完璧なセキュリティといったものは存 在しない。万が一、インシデントが発生してしまった場合は、迅速な対応が重要となる。 経済産業省が後援している「第5回情報セキュリティ事故対応アワード」では、毎年イ ンシデントに対して対応を含めて公表してきた通販事業者が、殿堂入りとして表彰さ れた。このように、インシデント後の対応も併せて充実させることで、より一層ユーザの 安心感に繋げることができるといえるだろう。 8
  • 10. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 法令・制度関連 2020年5月4日、EU加盟国のデータ保護監督機関の代表によって構成される欧州データ保護会議(EDPB:European Data Protection Board)は、「同意に関するガイドライン」を可決した。これは、2018年にGDPR施行前の第29条作業部会により採択された ガイドラインの改訂版である。下記(右下)のような具体的な記載があるため、GDPR遵守対応にあたって注意する必要がある。  欧州データ保護会議(EDPB)「同意に関するガイドライン」可決 https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf参考情報: ■ガイドライン改訂内容 「Cookieウォール」による同意は有効でない Webサイト側のCookie利用に同意しなけ ればサイトの利用を拒否する、いわゆる 「Cookieウォール」による同意は有効では ない。 スクロールやスワイプは同意と見做さない Webサイトを閲覧するためのスクロールやス ワイプ行為は同意の「明確で肯定的な行 為」に当たらない上、スクロール同様に簡 易な同意撤回方法を提供することも困難 である。 Example 6a:Webサイトの提供元が、Cookieおよび取得した情報の利用目的に同意が得 られない限り、コンテンツを閲覧不能にするスクリプトを実行し、ユーザが「(Cookieの使用に) 同意する」ボタンをクリックしない限りコンテンツにアクセスできない場合は、データ主体(ユーザ) 自らの意志で選ぶ機会が与えられていないため、この同意は自由意志によるものと見なされない。 サービスの供給が、データ主体による「(Cookieの使用に)同意する」ボタンのクリックに依存して いるため、有効な同意ではない。自由意志による選択肢が示されていない。 Example 16:<前略>Webページでのユーザによるスクロールやスワイプ、またはそれに類する 操作は、いかなる状況においても、明確で積極的な行動の要件を満たさない。当該操作は、 ユーザによる他の操作ややりとりとの区別が難しいため、明確な同意が得られたと判断することは、 不可能である。さらに、この場合、同意したときと同程度に簡単な手段でユーザが同意を撤回す る方法を提供することが困難である。 「同意に関するガイドライン(EDPB)」より 「Guidelines 05/2020 on consent under Regulation 2016/679」(2020/05/04)より抜粋当社和訳 9
  • 11. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. その他 10 2020年5月22日、総務省のサイバーセキュリティタスクフォー スより、「IoT・5Gセキュリティ総合対策 プログレスレポート 2020」が公表された。 同サイバーセキュリティタスクフォースでは、2020年1月の「我 が国のサイバーセキュリティ強化に向け速やかに取り組むべき 事項 [緊急提言]」公表以降、中長期的な課題と方策の検 討を行っていく、としており、本文書はその一環として、2019 年8月に公表された「IoT・5Gセキュリティ総合対策」の進捗 状況と今後の取組をまとめたものである。構成は右表のとおり。 情報通信サービス・ネットワークの個別分野の セキュリティに関する具体的施策 • IoT のセキュリティ対策 • 5G のセキュリティ対策 • クラウドサービスのセキュリティ対策 • スマートシティのセキュリティ対策 • トラストサービスの在り方の検討 • 公衆無線 LAN のセキュリティ対策 • 重要インフラとしての情報通信分野のセキュリティ対策 • 地域の情報通信サービスのセキュリティの確保 横断的施策 • 研究開発の推進 • 人材育成・普及啓発の推進 • 国際連携の推進 • 情報共有・情報開示の促進 総務省では、サイバーセキュリティ対策の在り方に関する議論 を行っていき、プログレスレポートの結果を反映させていくという。 引き続きIoT・5Gのセキュリティ強化に向けて、対策が期待さ れる。 次ページでは、個別分野のセキュリティに関する具体的施策 に焦点をあて、その進捗・今後の取り組みについてまとめた。  「IoT・5Gセキュリティ総合対策 プログレスレポート2020」公表(1)
  • 12. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. その他 11  「IoT・5Gセキュリティ総合対策 プログレスレポート2020」公表(2) (1)IoT のセキュリティ対策 • 端末設備等規則の技術基準の改正 • IoTセキュアゲートウェイの必要性の検討 • 「NOTICE」(IoT 機器の調査及び当該機器の利用者への注意喚 起を行う取り組み)の継続・ISP間での情報共有 • その他、民間団体における任意の取組 (2)5G のセキュリティ対策 • 5Gネットワークにおけるソフトウェアの脆弱性調査の実施 • ハードウェアチップの脆弱性検知手法の研究開発の実施 • 「特定高度情報通信技術活用システムの開発供給及び導入の促進 に関する法律案」成立に向けた取組 (3)クラウドサービスのセキュリティ対策 クラウドサービスのセキュリティ評価制度の基本的枠組みの決定 (4)スマートシティのセキュリティ対策 • スマートシティのセキュリティ・セーフティの確保の在り方の検討 • 日EU共同研究「Fed4IoT」(スマートシティアプリケーションに拡張性 と相互運用性をもたらす仮想 IoT-クラウド連携基盤の研究開発) の取組 (5)トラストサービスの在り方の検討 「トラストサービス検討ワーキンググループ」での取組状況 (タイムスタンプ・eシール・リモート署名に関する今後の取組を提示) (6)公衆無線 LAN のセキュリティ対策 公衆無線LANの提供者・利用者向けのガイドラインの見直し・改訂 (7)重要インフラとしての情報通信分野のセキュリティ対策 情報通信ネットワーク安全・信頼性基準の制度化 放送法施行規則の改正 (8)地域の情報通信サービスのセキュリティの確保 国の行政機関の地方支分部局、産業界、大学等の教育機関、都 道府県警、地方公共団体など様々な主体によるセキュリティコミュニ ティの形成 <各項目の進捗状況と今後の取組> 参考情報:https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00068.html
  • 13. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 12 その他  JNSA、「緊急事態宣言解除後のセキュリティ・チェックリスト」を公開(1) "Withコロナ"に向け、オフィスワーク/テレワークの両シナリオでセキュリティを確保 2020年5月19日、特定非営利法人 日本ネットワークセキュリティ 協会(JNSA)は、「緊急事態宣言解除後のセキュリティ・チェックリス ト」を公開した。これは、企業・組織が、緊急事態宣言解除を受けて 対応を進める際のセキュリティ考慮事項を4つのカテゴリ(右記参照) に整理し、チェックリスト形式でまとめたものだ。 同宣言は5月25日に全面解除されたものの、感染第二波、第三波 への懸念は残る。企業・組織には、オフィス業務再開への取り組みと 同時に、今回強制的、緊急避難的に導入したテレワーク環境を改 めて見直し、より安全かつ安定的な形で継続運用できるようにするた めの取り組みも求められているといえよう。 100年に一度と言われる歴史的なパンデミックを受け、これからの 企業・組織には、今後いつ感染拡大が起きたとしても機動的な対応 を行える"Withコロナ"の事業運営体制を構築することが必須だ。 セキュリティの確保は、そうした体制の基盤をなす最重要事項となる。 対応すべき作業は膨大だが、課題把握・整理の手がかりとして、こう したチェックリストをぜひとも有効活用したい。 1.停止したシステムの再稼働における注意事項 長期間停止していたシステム・関連機器のセキュリティを確保するためのチェック項目 2.テレワークで社外に持ち出した機器を社内NWに接続する際の注意事項 テレワークで社外に持ち出していた機器を再びオフィス環境で用いるにあたり、セキュリ ティを点検・確保するためのチェック項目 3.緊急措置としてテレワークを許可した業務やルールを変更した業務の扱い 差し迫ったテレワーク移行が求められる中やむを得ず変更を認めた業務やルールにつ いて、宣言解除後の対応をあらためて検討するためのタスク項目 4.Withコロナフェーズに向けた、業務見直しとセキュリティ対策 今回のテレワーク導入での課題を洗い出し、今後の感染再拡大・緊急事態宣言再 発令を見据えた体制を構築するためのタスク項目 JNSAチェックリストの4つのカテゴリ (詳細は次ページ参照)
  • 14. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. その他 【緊急事態宣言解除後のセキュリティ・チェックリスト】  JNSA、「緊急事態宣言解除後のセキュリティ・チェックリスト」を公開(2) https://www.jnsa.org/telework_support/telework_security/index.htmlより ※同ページよりWord版チェックリストをダウンロード可能 13
  • 15. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 今後のセキュリティ脅威傾向の予測 ※ 赤字は今月のトピックスで 紹介した項目 標的型攻撃(APT含む)の巧妙化および増加  マルウェア・ランサムウェア・ワイパーウェア攻撃のさらなる増加  IoT機器・5Gに対する脅威やセキュリティ対策  ITサプライチェーンの弱点を狙った攻撃  東京五輪の開催に向けた海外から日本国内へのサイバー攻撃の増加  キャッシュレス社会の進展にともなうリスク  クラウドサービスにおけるセキュリティリスク  ビッグデータ・AI技術を用いたサイバー攻撃  個人情報の保護と各種法令の遵守課題  認証技術の転換と対応の遅れによるリスク 14
  • 16. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 今後のセキュリティ脅威に対する基本的対策例  自組織のCSIRTの成熟化、自組織外の機関との連携強化 (⇒定期的な情報セキュリティに関する訓練や演習の実施)  多方面から鑑みた総合的なセキュリティ対策の強化(特に人的対策の強化)  多要素認証の導入  SLAやサポート条件等の評価に基づくサービス・ベンダの選定  クラウド環境におけるセキュリティ設定の徹底  アセット・インベントリ管理の充実  各種法令の把握と体制構築  定期的な診断の実施とセキュアコーディングの徹底 15