NRI Secure SANS NewsBites 日本版

Vol.7 No.11 2012年3月21日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.11 2012年3月21日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
ニューヨーク州の大手法律事務所の執行パートナーはFBIの来訪を受け、同法 律事務所の顧客全員のファイルが事務所のサーバからコピーされ、APT攻撃の 中継点として知られているアジアのサーバに置かれていたと知らされた。 (APT攻撃で緩やかに中国のサーバへ情報を変換していることも知らされた。) 9日後の日曜の朝、彼は、同法律事務所のもう1人のパートナーを引き連れ、話 を交わしに私の自宅を訪れた。彼らは、侵入者がなぜ対象のデータを欲しがっ たのか、どのように侵入したのか、なぜコンサルタントの指示でファイヤウォー ルやAV、その他のセキュリティツールをインストールしたものの、それによっ てアタックが阻止できなかったのか、どのようにしたら今後阻止できるのかを 知りたがっていた。このときの会話の内容を、以下に掲示している。
http://www.sans.org/security-resources/cybersecurity-conversations

■■SANS NewsBites Vol.14 No.20-21
(原版:2012年3月9日、13日)

◆報告書、中国のサイバー戦争技術がもたらす危険について警告 (2012.3.7-8)
Northrop Grumman社が米中経済安全保障検討委員会のために作成した報告書に よれば、中国のサイバー戦争技術は、紛争勃発時に米軍へ危険をもたらすとい う。ここでは、米軍が台湾を防御する必要性が生じれば、そのような紛争状態 が起きる可能性があると説明されている。報告書では、「サイバー攻撃の真の 攻撃元の特定が難しいことが攻撃への対応の妨げとなり、意思決定が遅れ、敵 国はこの状況につけ込んで有利な立場を得ることになる」と続けられている。 さらに、報告書によれば、中国軍は訓練で、軍のサイバー攻撃能力のテストを 始めているという。また、米国には、規模の大きなサイバー攻撃が発生した場 合、それに応じた適切な対応の決定方針がないことも指摘されている。

http://www.defensenews.com/article/20120308/DEFREG02/303080006/China-Cyber-Warfare-Skills-Risk-U-S-Military-Report?odyssey=tab|topnews|text|FRONTPAGE
http://www.washingtonpost.com/world/national-security/china-testing-cyber-attack-capabilities-report-says/2012/03/07/gIQAcJwDyR_story.html
http://www.reuters.com/article/2012/03/08/china-usa-cyberwar-idUSL2E8E82TD20120308
http://thehill.com/blogs/defcon-hill/policy-and-strategy/214919-pentagon-cyber-war-capabilities-falling-short-of-expectations

【編集者メモ】(Paller)
Joel Brenner(米国の元米国国家情報局長)は新しい著書にて、「中国は、人民 解放軍に3万人のハッカーを、また、コネのあるプライベート階位の兵士15万 人を有している。そして、彼らのほとんどが、サイバー上の防御、攻撃、フォ レンジックの分野で実践的な訓練と実際の仕事の経験を通じて深い知識を培っ た人間である」と述べている。米国国防総省(DoD)は、テストによってサイバー セキュリティ関連の技術職の「資格がある」人間を選定する「8570」という政 策および資格制度を発起し、引き続き支援を行っている。しかしながら、この テストは、専門的・実践的な技術がない営業職の人間や記者、その他数万人が 合格できる程度のものである。このプログラムを運営している人々は、自分が 何を行っているかを承知しており、「私達は司令官に対し、『あなたのセキュ リティ職者達は、システムの安全性を確立する方法をわかっていない』と言え ないので、無理やり彼らをテストに合格させるしかなかった。」と私にこぼし ていた。もし、国家のサイバーセキュリティについて、実際に関心を持つ者が DoDにいれば、このポリシーは変えられるだろう。

────────────────

◆政府用ソフトウェアのバグ、市場版を上回る (2012.3.13)
雑誌「Forbes」は、来る欧州BlackHatカンファレンスで行われるプレゼンテー ションを公開した。このプレゼンテーションによって、「政府用ソフトウェア の開発者は、民間産業用プログラムの開発者よりも著しく多いセキュリティの 欠陥(ハッキンングしてコードに辿りつけるような欠陥)を残したままにして いる」ことがわかった。こうなってしまった理由の1つとして、政府の請負業 者に、追加契約を取り付けたいと思う動機があることがあげられている。その 動機とは、セキュリティ欠陥があれば、(それに対処するために)追加契約が 生じる仕組みになっていることである。

http://www.forbes.com/sites/andygreenberg/2012/03/13/study-confirms-governments-produce-the-buggiest-software/

────────────────

◆ソーシャルネットワーキングサイトの地理位置情報 軍に脅威を与える(2012.3.9-12)
米国陸軍は兵に対し、「インターネットに掲示している画像に含まれるチェッ クインやメタデータから、悪事を働こうとしている者に情報を読み取られる場 合がある」と注意を喚起している。2007年には、イラクの基地でヘリコプター 部隊の到着後に撮られた写真に、敵国が迫撃砲攻撃を実行するに十分な情報が 含まれていたため、その後実際に、アパッチヘリコプター4機が破壊されたこ とがあった。現在、GPSデータは、さまざまなデジタルカメラで撮影した画像 にデフォルトで組み込まれている。

http://www.technolog.msnbc.msn.com/technology/technolog/us-army-soldiers-check-ins-can-kill-405150
http://www.bbc.co.uk/news/technology-17311702

【編集者メモ】(Murray)
ソーシャルネットワーキングサイトでは、意図的かつ故意にデータが吐き出さ れるようになっている。兵がこのようなサイトを使えば、当然、作戦保全が危 ぶまれる。位置情報は、「情報漏えい」の明白な事例の1つに過ぎない。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4/17:名古屋・4/18:大阪・4/19:東京
 グローバルIT・セキュリティセミナー
 「攻めと守りのIT活用でグローバルビジネスを拡大」
 ~グローバル展開のためのクラウド活用、
      海外拠点のIT実態、新たなリスクとその対策~
http://www.nri-secure.co.jp/seminar/2012/global01.html?xmid=300&xlinkid=12

○4/18・5/18・6/21             <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○4/20・5/24・6/13             <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=05

○4/26・5/16・6/15             <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=06

○5/30・6/27                <東京 汐留シティセンター>
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=11


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃秘密分散技術によって安全なクラウドストレージサービスを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ファイルを所定のフォルダに入れるだけで、非重要情報化して複数のクラウド
に遠隔地分散保管。1ファイルが足りなくても、ダブルクリックで簡単復元。
クラウドバックアップやファイルサーバ、BCP対策にも!  <NRIセキュア>
http://www.nri-secure.co.jp/service/pv/secretshare/index.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃いまだけの特割キャンペーン!            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
~クライアント型で、負荷なく楽々導入&運用!従業員の意識向上も~
メール誤送信防止ソリューション「SecureCube / Mail Adviser」
  ◇年度末キャンペーン :ライセンス料を特別価格にて!
  ◇乗り換えキャンペーン:ライセンス料を50%OFF!
http://www.nri-secure.co.jp/service/cube/mailadviser.html?xmid=300&xlinkid=08

 ○2011年12月、1万ユーザに導入したお客様のコメント
http://www.nri-secure.co.jp/whats_new/2012/0125_2.html?xmid=300&xlinkid=09
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2012年3月8日 Vol.11 No.10)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
7
Linux
1
Cross Platform
7 (#1)Web Application - Cross Site Scripting
1
Web Application - SQL Injection
1
Web Application
5
Network Device
1
Hardware
1
======================================================================
1.危険度【高】:AdobeのFlash Playerにさまざまな脆弱性

<影響を受ける製品>
Winodws、Machintosh、Linux、Solaris用の、Adobe Flash Player11.1.102.62以前のバージョン

<詳細>
Adobeは、同社製Flash playerに影響を及ぼすさまざまな脆弱性にパッチをリ リースした。問題には、詳細不明なメモリ崩壊のエラー、整数処理のエラーな どがある。攻撃者は、悪意のあるページを閲覧するようにターゲットを仕向け ることができれば、これらの脆弱性を悪用して、ターゲットのマシン上で任意 のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb12-05.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/52297
http://www.securityfocus.com/bid/52299
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。