NRI Secure SANS NewsBites 日本版

Vol.1 No.7:2006年9月22日発行

**********************************************************************
           NRI Secure Security Information
          (SANS NewsBites、@RISKサマリー版)
                           2006年9月22日発行
**********************************************************************

このメールマガジンは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。


■■ SANS NewsBites <日本語版>   2006年9月21日   Vol.8  No.73-74

◆国土安全保障省 2月のサイバー・ストーム演習に関する報告書を公表
  (2006.9.13)

国土安全保障省 (DHS) は、2006年2月に行われたサイバー・ストーム演習の
成果詳細を記した報告書を公表した。この演習は、自然災害や大きなサイバー
アタックが発生し、官と民を統括しなければならない状態を想定した。この演
習では、アタックが及ぼし得るさまざまな重要なインフラに対する影響を想定
し、連鎖的イベントもシミュレートした。DHSによると、この演習から官と民
両組織が連携して災害に対応し得る能力について、多数の有益な情報が得られ
たという。報告書には、特定の事態においては官と民の間でのコミュニケーショ
ンを改善する必要性が示されている。
http://ig.secure-cube.jp/info-g/topics/index.html#060919_1
http://www.eweek.com/print_article2/0,1217,a=188583,00.asp
http://www.dhs.gov/dhspublic/display?content=5827
http://www.dhs.gov/interweb/assetlibrary/prep_cyberstormreport_sep06.pdf

【編集者メモ1】 (Schultz)
演習後7か月も経ってから報告書が公表されるのは、遅すぎるように思う。た
ぶんこれも官と民の間での連携不足を示す1つの指標にちがいない。
【編集者メモ2】(Northcutt)
報告書はよくできており、一読の価値がある。読後にDR/BCPプロセスについて
考えてみるとよい。報告書にある結果について驚くべきことは特にない。甚大
な事態が発生した場合にコミュニケーションが問題視されるのは常である。実
際に事が起こると、電話回線はパンクしてつながらない状態に陥る。では、事
前にどのような対策をとったらよいのか?
  ・重要な役職員全員がお互いにメッセージを残せるようなボイスメール機能
   付きPBXを設け、共通のパスワードでそれを保護する。
  ・家庭用無線機は役に立つ。我々はConferenceなどではいつも使用している。
   チャンネル数が多い方がよい。
  ・帯域幅に問題のある条件下では、パスワードで保護されたスタティックな
   ページのWebサーバを更新に使用するとよい。
  ・事前に指名した、熟練のドライバーなどに依頼して、DVDやテープでファ
   イルを配送させる(レーテンシーは高いが、帯域はかなり広い)。
しかし、アイデアは他にも多くある。何かよいアイデアがあれば、
Stephen@sans.eduまで。
────────────────

◆盗難された患者記録を使用して医療保険金虚偽請求をした2人組起訴
  (2006.9.9)

Isis MachadoとFernando Ferrer,Jr. は、コンピュータ詐欺、身元詐称詐欺、
身元の明らかな個人の健康情報を不当に開示するなどの共謀罪、およびその他
コンピュータ関連罪、 HIPAA(Health Insurance Portability and
Accountability Act:医療保険の相互運用性確保及び説明責任に関する法律)
違反の疑いで起訴された。MachadoとFerrerは、クリーブランドクリニック・
フロリダの患者1,100人以上の個人医療情報を盗み出し、それらを利用して医
療保険金2,800万ドルの虚偽申請を企んでいた。クリーブランドクリニックは、
データを盗まれた患者にその旨を書簡で伝えた。これらの罪でMachadoと
Ferrerが有罪になれば、彼らには最高で10年の懲役および25万ドルの罰金が課
せられる。
http://www.sun-sentinel.com/news/local/southflorida/sfl-dfraud09sep09,0,2612716,print.story?coll=sfla-home-headlines

【編集者メモ】 (Northcutt)
問題は、実際にいくらだまし取ったのかである。結局のところ、彼らは
CAN-SPAM法下では合法とみなされるツールを使用して、詐欺行為を研究してい
たにちがいない。
詳細はこちら:
http://www.earthlink.net/about/press/category/#memberexperience
キーワードに"spam"と入力すれば、詳細情報を検索できる。
────────────────

◆カリフォルニア州検事 HP裁判用の証拠つかむ:Dunnは辞任
  (2006.9.12-13)

カリフォルニア州検事Bill Lockyerの広報によると、検察側は、Hewlett
Packard (HP)の社員および同社の請負業者を起訴するための証拠を十分に握っ
ているという。問題の社員や請負業者には、記者やHP取締役らの通話記録を獲
得するために電話詐欺を行っていた疑いがある。マサチューセッツ州検事局は、
カリフォルニア州と連携してこのケースに取り組んでいることを認めたが、今
のところ、その理由や経緯については触れていない。問題の情報を入手するよ
うに依頼を受けた私立探偵事務所がマサチューセッツ州にあることが、理由と
して考えられる。HP会長のPatricia Dunnは、2007年1月18日に会長を辞任する
が、取締役会にはそのまま在籍する見込みだ。関連して、George Keyworthは、
自身が漏えいの源であることを認め、HP取締役を退職した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9003253
(下のサイトを閲覧するには無料登録が必要)
http://www.washingtonpost.com/wp-dyn/content/article/2006/09/13/AR2006091301830_pf.html
http://www.theregister.co.uk/2006/09/12/hp_keyworth_out/print.html
────────────────

◆米国判事、Spamhausに1,170万ドルの損害賠償の支払いを命じる
  (2006.9.15)

連邦判事は、Spamhausに対し、あるアンチスパム組織がブラックリストに載せ
ていた企業1社に、1,170万ドルの損害賠償の支払うように命じた。また、
Spamhausは、e360 Insight LLCからの電子メールのブロックを外し、「e360
Insightはスパマーではない」と記した謝罪の意をWebサイトに掲示するように
命じられている。英国基盤の企業であるSpamhausは、自社のWebサイトにおい
て「米国の州・連邦裁判所で下ったこの欠席判決は、英国で通用するもではな
い。したがって、英国法においてその判決を施行することもできない」と述べ
ている。Spamhausによると、e360 Insightは英国のアンチスパム法に違反して
いるため、ブラックリストから外す意向はないという。
http://www.msnbc.msn.com/id/14855085/
http://www.zdnet.co.uk/print/?TYPE=story&AT=39283356-39020375t-10000025c

【編集者メモ1】(Northcutt)
あなたがこのケースについての結論を下す前に、Spamhausの返答をこちらのサ
イトでご確認あれ:
http://www.spamhaus.org/legal/answer.lasso?ref=3
【編集者メモ2】(Grefer)
被告が法廷に現れなかったのだから、これが欠席判決になってしまったのは仕
方がない。したがって、陪審員は誰一人とも、前述の行為の評価を問えなかっ
た。しかし、裁判所も、被告が管轄外にいるにもかかわらず、このケースを受
理してしまっているとは・・・・・・。
http://www.userfriendly.org/cartoons/archives/06sep/uf009518.gif
http://www.spamhaus.org/rokso/evidence.lasso?rokso_id=ROK7008
【編集者メモ3】(Ullrich)
ネットワーク管理者として、特定のネットワークからの通信を拒否したり許可
したりできる位置にいたい。しかし、このケースのように、ブロックリストを
定期購入してコントロールするということは、第三者に電子メールポリシーの
コントロールを委ねてしまっていることになる。DShieldの活動で我々はブラッ
クリストを作成してきたが、公表することは控えてきた。なぜなら、このアン
チスパム・ブラックリストがDOSアタックに利用されたケースが過去にあった
からだ。
【編集者メモ4】(Honan)
このストーリーに、前述のような妥当性があるかどうかはわからない。しかし、
SpamhausがDDosアタックに抵抗できるというのは偶然すぎないか?
http://www.theregister.co.uk/2006/09/18/spamhaus_ddos_attack/
【編集者メモ5】(Schultz)
Spamhausは孤立したのか、それとも、e360 Insightは米国政府と関係のない真
のスパマーだという前提で、e360 Insightからの通信をブロックし続けること
ができるのか? このケースのこれからの展開を観察するのは、非常に興味深
い。
────────────────

◆EU データ侵害通知法を思案
  (2006.9.13)

欧州連合(EU)は、データセキュリティ侵害発生の際、影響のある顧客や当局に
その旨を報告することを通信事業者に義務付ける法案を検討している。現在の
規定によると、通信事業者はセキュリティリスクがあることを顧客に通知する
ことを明示しているが、侵害通知に関する命令は一切ない。新しい法案では、
情報の損失や改ざん、破壊、個人情報への未承認アクセスにつながるようなセ
キュリティ侵害が発生した場合は、その旨を顧客に通知すること義務付ける。
また、セキュリティ侵害が発生してサービスに支障が出た場合には、当局に報
告しなければならない。
http://www.out-law.com/default.aspx?page=7287

【編集者メモ1】(Grefer)
これは、米国のデータ侵害通知法案よりも、かなり顧客寄りの法案だ。米国の
ものは、関連産業の強い政治的働きかけで毒されている。
【編集者メモ2】(Honan)
現在のEUデータ保護法によると、企業は顧客や従業員の個人情報に十分な保護
措置をとるべきであると明示されているが、保護措置が破られ、侵害された場
合に対象者に通知を義務づける法整備や機能はない。これは、EUの前向きな動
きととらえられる。しかし、この法案の対象が現在、通信事業者に限られてい
るのが残念だ。
────────────────