NRI Secure SANS NewsBites 日本版

Vol.7 No.13 2012年4月11日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.13 2012年4月11日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.26-27
(原版:2012年3月30日、4月3日)

◆FBIのサイバー部門の責任者談:米国はハッカーとの戦争に負けている(2012.3.28)
Wall Street Journalのインタビューで、FBIのサイバー部門の責任者である Shawn Henryは、ハッカーが企業用ネットワークに対して仕掛けてきている戦 争に、米国は勝っていないと述べた。「我々は、長い間守勢にまわっていた。 しかしそれでは、せいぜいフェンスを高くできるだけで、攻撃の方が防御より も優れているということに気づいた」という。彼は、「FBIの捜査で、企業か ら盗み出されたデータが見つかることがあるが、その企業自身は侵入されたこ とに気づいていないというケースが増加している」と言及している。Henryは 20年以上勤務したFBIを去り、民間企業に転職する予定だ。米国戦略国際問題 研究所(CSIS)のサイバーセキュリティ部門上級研究員のJames A. Lewisも、 「政府や、もちろん民間セクターも、どれほど悪い状況にあるかを意図的に受 け入れたくないというある種の願望がある」と述べ、このHenryの評価に同意 している。

http://online.wsj.com/article/SB10001424052702304177104577307773326180032.html?mod=djemalertNEWS
http://www.technolog.msnbc.msn.com/technology/technolog/not-winning-war-hackers-fbi-cyber-chief-581557
http://blogs.computerworld.com/19951/cybersecurity_america_is_losing_the_war_china_hacked_every_major_us_company?source=CTWNLE_nlt_security_2012-03-29
http://news.cnet.com/8301-1009_3-57405707-83/u.s-not-winning-war-with-hackers-says-fbi-bigwig/?tag=txt;title

【編集者メモ1】(Pescatore)
本当のところ、私には、物事が実際よりも悪い状態にあるように思わせたいと いう非常に意図的な願望があるように思える。セキュリティの取り組みを数世 紀に渡り行ってきたにもかかわらず、小売業は依然として、「シュリンケージ (訳注:万引きや内部犯行によって商品が盗まれて、在庫数が減少すること)」 や、その低いセキュリティ水準にとどめるために行われる取り組み費用によっ て、収益の3%を損失している。結局、これくらいの損失レベルであれば、それ は事業経営上容認できる費用であることがわかる。なぜなら、シュリンケージ をゼロにまで減らすということは、更なるセキュリティ費用が発生し、これに よって収益が3%以上減ることになり、結果的に「経営状況が悪くなる」から だ。銀行強盗、その他どんな領域の物理的な犯罪・サイバー世界の犯罪におい ても同様のことが言える。犯罪との戦いに「勝利」することとは、事業能力を 損なってまで犯罪阻止を行うことではない。「犯罪される費用」に加えて、 「容認できるレベルにまで減らされたセキュリティの維持管理費用」の両方を 手に入れることだ。

【編集者メモ2】(Honan)
適切に交戦できる場合に限り、戦いに勝つことを望める。Verizonのデータ漏 洩/侵害調査報告書などの報告書で、調査対象となった侵害の97%は、簡単な コントロールか、もしくは、中間制御で回避できるものだったという統計を見 れば、組織の多くは、情報セキュリティとなると、競技場どころか駐車場にも 入ってきていない状況にあるとわかるだろう。

────────────────

◆元・米国テロ対策の第一人者談:中国は、米国のあらゆる大手企業をハッキング (2012.3.29)
Smithsonian Magazine掲載のインタビューで、元・米国のサイバー分野の第一 人者Richard A. Clarkeは、記事に掲載される発言として「中国のハッカーは、 米国のあらゆる企業に侵入し、特に企業の研究開発など新アイデアに対し、 『手痛い』影響を与えている」と述べている。

http://www.fastcompany.com/1826665/counterterrorism-czar-chinas-hacked-every-major-us-firm?partner=rss&utm_medium=referral&utm_source=pulsenewsthem.
【編集者メモ】(Murray)
全ての大手企業はターゲットになっているという前提で、すでに自社ネットワー クのシステムは侵害されているがごとく行動すべきだと思うが、Clarkeが述べ ている実態など知らない企業がほとんどである。

────────────────

◆国家安全保障局(NSA)・Alexander長官 RSAのハッキングは中国だと指摘(2012.3.29)
米国国家安全保障局(NSA)長官および米国サイバー軍司令官のKeith Alexander は上院軍事委員会に対し、昨年のRSAに対する攻撃には中国が関与していたと 述べた。問題の攻撃では、RSAのSecurIDトークンのセキュリティが侵害された。 持ち出された情報はLockheed Martin社に対する攻撃に用いられたが、この攻 撃は最終的には失敗し、未遂に終わっている。また、Alexander大将は、「中 国は米国から軍の知的財産を大量に盗み出している」と述べ、「この種の攻撃 の実行を困難にするための変更が必要だ」と続けた。さらに、「政府には、民 間企業と連携して攻撃を阻止する、リアルタイムな対処能力が必要だ」と指摘 している。

http://www.theregister.co.uk/2012/03/29/nsa_blames_china_rsa_hack/
http://www.informationweek.com/news/government/security/232700341

【編集者メモ】(Murray) 最近のVerizonのデータ漏洩/侵害調査報告書によると、民間企業は、攻撃が仕 掛けられていることをリアルタイムに把握することができないという。

────────────────

◆Alexander大将談:サイバー攻撃の実行には大統領の承認が必要 (2012.3.27)
Alexander大将は米国上院軍事委員会に対し、「敵のシステムに対してサイバー 攻撃を行う場合は、大統領の承認が必要であり、軍司令官ら個々の裁量に任せ られるべきではない」と述べた。Alexander大将は、サイバー空間での交戦に 関する軍の規則に関し、今まで交わされてきた機密の議論の中で問題となって いたことを指摘した。また、「同委員会に対し、NSAは民間のネットワークに サイバー上の脅威があるかどうかの監視は行いたくない意向であるが、代わり に、民間産業自体がネットワークを監視できるように、企業らにマルウェアの シグネチャを提供していきたい意向だ」と加えた。脅威に関する情報も、その 後、リアルタイムで共有する計画だという。

http://www.washingtonpost.com/world/national-security/cyberattacks-should-require-presidential-authorization-official-says/2012/03/27/gIQA0312eS_story.html
http://www.wired.com/threatlevel/2012/03/nsa-malware-signature/

────────────────

◆Global Paymentsの侵害で決済カード口座150万件に影響 (2012.4.12)
Global Paymentsのカード決済処理装置システムのセキュリティ侵害が原因で、 150万件ものクレジットカード口座が侵害された。この侵害によって、Visaと MasterCard両方の口座に影響が生じた可能性が高い。この件に関する捜査は現 在進行中である。問題の侵害は、2012年1月21日から2月25日までの間に発生し たようだ。Global Paymentsは、この侵害について多くの詳細情報を提供して いない。報告によると、侵害された口座およそ800件に不正行為が検知された という。この侵害を受けて、VisaはGlobal Paymentsの認定証を取り消してい る。

http://www.h-online.com/security/news/item/Global-Payments-loses-up-to-1-5-million-credit-card-records-in-data-theft-1498448.html
http://www.wired.com/threatlevel/2012/04/global-payments-breach/
http://krebsonsecurity.com/2012/04/global-payments-1-5mm-cards-exported/
http://www.bbc.co.uk/news/technology-17569336
http://www.scmagazine.com/visa-expels-global-payments-following-15m-card-breach/article/234865/
http://www.globalpaymentsinc.com/DataProtection.html

【編集者メモ】(Murray)
これは、CardServicesやHomelandで発生した侵害の規模ではない。これらのイ ンシデントについては、侵害されたカードの件数も100万件単位ではなく、 数万件程度だった。Global Paymentsは優先指定を失ったものの、決済処理を 行う権利は失っていない。銀行は、どのカードが侵害を受けたのかを把握して いるので、それらについては新しいカードを発行させるか、直々に発行するだ けである。また、侵害されたカードをATMで使用できないようにする措置を講 じている。不正取引がまだ発生していないカードの消費者については、同じ措 置は講じられていないようだ。販売業者には、ほとんど影響はない。(しかし ながら、販売業者が、磁気ストライプだけがついた未使用のカードでの決済は 拒むようになると考えれば、それはいいことだ。)Global Paymentsの財務上 の損失は、利益の4分の1相当にのぼる見込みだ。同社の株価は20%ほど下落し たものの、廃業に追い込まれることはなさそうだ。そうは言っても、小売決済 システムで磁気ストライプとPINは相変わらず使用され続けるので、消費者は、 オンラインサービスで少なくとも週に1度は自分の口座の決済額を照合すべき である。EMVカードを使用すれば、「カード不介在」詐欺(訳注:キャッシュカー ドまたはクレジットカードを物理的に介在させずに行う詐欺)からカードの発 行者は守られないものの、回避できないように思える大規模な侵害から消費者 を守る役に立つだろう。

────────────────

◆最高裁がGPS追跡データを却下後、検察は再審で携帯電話の位置データを利用する方針 (2012.3.31)
米国最高裁判所で「GPS追跡デバイスを容疑者の車両に取り付ける際には、事 前に『相当な理由に基づいた令状』を獲得する必要がある」という判決が下さ れたことを受けて、連邦検事は、携帯電話利用時の位置データを利用しようと 考えている。本決定は、ワシントンDC地域のドラッグの売人、Antoine Jones 容疑者に対する再審の公判前手続きを申請したことによって明らかになった。 Jonesの弁護団は、携帯電話の中継塔の位置データは、依頼人の合衆国憲法修 正第4条に違反していると主張する方針だ。今回の判決を受け、1月に最高裁が 「正式な令状なしに収集したGPSデータ」に基づきJonesに対し下した終身刑は、 覆された。Jonesの裁判の証拠は、同人の車に取り付けられたGPSデバイスで収 集されたものであたったため、結果として伏せられた。

http://www.wired.com/threatlevel/2012/03/feds-move-to-cell-site-data/

────────────────

◆ACLU談:米国警察の多くは令状なしに携帯電話を追跡 (2012.4.2)
ACLU: American Civil Liberties Union (米国自由人権協会)によると、米国 警察の多くは、令状なしに携帯電話の位置の追跡を行っているという。中には、 行方不明者を見つけ出す目的で、緊急に追跡を行ったケースもいくつかあった。 ACLUが、この件に関して警察に情報を求めたところ、200以上の回答が寄せら れた。電話会社を介して追跡情報を探すケースがほとんどだったが、警察自身 で追跡技術を調達した管轄区域もいくつかあった。

http://www.nextgov.com/nextgov/ng_20120402_7520.php?oref=topnews

【編集者メモ】(Murray) 携帯電話の情報が乱用されることもありうる一方で、行方不明者の捜索に既存 の記録を使うことと、容疑者に無線発信機を付けて捜査を進めることとはかけ 離れたものである。令状の獲得は簡単にできることであり、捜査の過熱を食い 止める唯一の防御策でもある。したがって、例外はほとんどあってはならない、 このように令状なしに獲得した証拠が受けいれられることは、それ以上にあっ てはならないことである。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4/17:名古屋・4/18:大阪・4/19:東京
 グローバルIT・セキュリティセミナー
 「攻めと守りのIT活用でグローバルビジネスを拡大」
 ~グローバル展開のためのクラウド活用、
      海外拠点のIT実態、新たなリスクとその対策~
http://www.nri-secure.co.jp/seminar/2012/global01.html?xmid=300&xlinkid=12

○4/19・4/25                <東京 汐留シティセンター>
 クラウドを利用した契約書の管理革命
http://www.nri-secure.co.jp/seminar/2012/sri01.html?xmid=300&xlinkid=13

○5/18・6/21                <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○4/20・5/24・6/13             <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=05

○4/26・5/16・6/15             <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=06

○5/30・6/27                <東京 汐留シティセンター>
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=11


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情をご説明するとともに、常態化した Webアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイア
ウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃秘密分散技術によって安全なクラウドストレージサービスを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ファイルを所定のフォルダに入れるだけで、非重要情報化して複数のクラウド
に遠隔地分散保管。1ファイルが足りなくても、ダブルクリックで簡単復元。
クラウドバックアップやファイルサーバ、BCP対策にも!
http://www.nri-secure.co.jp/service/pv/secretshare/index.html?xmid=300&xlinkid=10
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。