NRI Secure SANS NewsBites 日本版

Vol.7 No.20 2012年5月29日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.20 2012年5月29日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
「2012年度・25の最も重要なサイバーセキュリティ革新」の候補として手始め にあげられた革新事項は、素晴らしくよい内容だ。新しく、かつ革新的な(そ して大規模組織で積極的に用いられており、その効果を組織が保証できる)製 品やサービス、システム、ユーザーの取り組みで、以下のいずれかの分野で測 定可能なセキュリティの改善が見られたものをご存知の方は、それを「25の革 新」に、あなたが推薦する革新事項として 25innovations@sans.org 宛てまで メールを送信していただきたい。対象となっている革新分野は次のとおりだ。 (1) 標的型攻撃の阻止 (2) 20の重大なコントロール   (http://www.sans.org/critical-security-controls/)のいずれかを使用   した継続的な監視 (3) BYOD(個人所有デバイスの持ち込み)やモバイルセキュリティ (4) クラウドセキュリティ (5) インシデントレスポンスと深層フォレンジック (6) 認証

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□        早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
       SANS Tokyo 2012 トレーニングイベント
      http://sans-japan.jp/training/event.html

  【SEC401】SANS Security Essentials Bootcamp Style
          2012年7月9日(月)~14日(土)
  【SEC542】SANS Web App Penetration Testing and Ethical Hacking
          2012年11月5日(月)~10日(土)

  【FOR558】SANS Network Forensics
          2012年11月5日(月)~9日(金)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.40-41
(原版:2012年5月18日、5月22日)

◆米国OMB(行政予算管理局)の役人 ホワイトハウスのサイバー責任者HowardSchmidtの後任に (2012.5.17)
ホワイトハウス・サイバーセキュリティ対策責任者のHoward Schmidtは、公務 を退任すると発表した。Schmidtは、2009年後半にこの役職に就いて以来、大 統領の特別補佐役として奉職してきた。Schmidtは発表において、「我々は、 サイバー空間にあるリスクへの対応を改善する取り組みで、真の前進を遂げた」 と述べた。Schmidtが5月に退任した後は、OMB(行政予算管理局)の国家安全保 障部門に17年間勤めたMichael Danielが引き継ぐ。彼はこれまでの10年間、情 報部門の責任者としてサイバーセキュリティに重点的に取り組んできたという。

http://abcnews.go.com/Technology/wireStory/budget-official-picked-top-cybersecurity-post-16370635#.T7ZuxXlYt-Z
http://www.washingtonpost.com/world/national-security/white-houses-cybersecurity-official-retiring/2012/05/16/gIQAX6fmUU_story.html?tid=pm_world_pop
http://news.cnet.com/8301-1009_3-57436466-83/u.s-cybersecurity-chief-howard-schmidt-retiring/
http://www.nextgov.com/cybersecurity/2012/05/schmidt-resigns-white-house-cyber-post/55790/?oref=ng-channeltopstory

【編集者メモ1】(Murray)
Howard、よくやった!そして、お疲れさま。それが私たち皆の気持ちである。

【編集者メモ2】(Paller)
Mike Danielは、この職務にもってこいの人材だ。法規制に関する構想は行き 詰っており、サイバーセキュリティも、それを待っていられる状況にはない。 ホワイトハウスが最も強力な方策として行使できるのは、米国政府が毎年ITに 費やす800億ドルの予算管理を行うことである。Mikeは、800億ドルを管理する 財務方策や、政府がサイバーセキュリティ分野で模範を示して指導する能力を 向上させるための方策、および、より安全性の高い製品やシステムを出荷する ための動機を産業界に与える方策を知っている、選ばれしサイバーセキュリティ 分野の人間である。

────────────────

◆テロリストと国家がアノニマスを悪用するおそれ (2012.5.17)
Microsoftの幹部によると、国家やテロリストが自分達の目的を果たす為に、 アノニマス団を扇動する可能性があるという。Microsoft's Institute for Advanced Technology in GovernmentsのLewis Shepherdディレクターは、内容 は機密ではあるが、国家がその他の国家主義者の行動を管理したことを示す証 拠や前例があったこと引き合いに出している。

http://www.nationaldefensemagazine.org/blog/Lists/Posts/Post.aspx?ID=791

────────────────

◆ユタ州のCIO 医療情報の侵害で辞任 (2012.5.15-16)
今週はじめ、ユタ州のCIO(最高情報責任者)のStephen Fletcherが、メディケ イド(連邦と州が負担し、州が運営する低所得者向け医療費補助制度)の患者28 万人分のSSN(社会保険番号)や、その他個人情報が漏えいするというデータ セキュリティ侵害事件に関連して辞任した。
Gary Herbertユタ州知事がFletcherの辞任を発表し、「同州の技術システムに ついては、サードパーティによる監査が進行中だ」と述べた。同州は新たに、 医療情報セキュリティ行政監査官も任命している。

http://www.govtech.com/policy-management/Utah-CIO-Steve-Fletcher-Resigns-State-Promises-Security-Reforms.html
http://www.computerworld.com/s/article/9227215/Utah_CTO_takes_fall_for_data_breach?taxonomyId=17

────────────────

◆クロスブラウザのマルウェア感染 Facebookを介して広がる (2012.5.21)
LilyJadeという新しいマルウェアがFacebookを介して広がって、ブラウザやプ ラットフォームを通じて様々なコンピュータを感染させている。LilyJadeは、 CrossriderというJavascriptクロスブラウザ拡張フレームワークを使って作成 されている。Crossriderは現在ベータテストの段階にあり、InternetExplorer、 Chrome、およびFirefoxで実行可能である。Safariのサポート版も、間もなく 入手可能になる見込みだ。LilyJadeはクリック詐欺を確立する目的で作成され たようである。

http://www.computerworld.com/s/article/9227351/Cross_browser_worm_spreads_via_Facebook_security_experts_warn?taxonomyId=17

【編集者メモ】(Northcutt) 私が思うに、これは単なる始まりにすぎない。Facebookはまさに、高度なフレー ムワークで詐欺を行うには、パーフェクトなターゲットだ。私は、ソーシャル メディアのほとんどを1年間お休みして、賢い人たちにこの問題を収拾しても らうことに決めた。

────────────────

◆米国DoJ(司法省)の犯罪統計サイト ハッキングされる (2012.5.21)
ハッカーらが、米国司法省のWebサイトへのアクセスを獲得していたようだ。 米国BJS(司法統計局)は、サイバー攻撃など米国における犯罪に関するデータ を収集、分析、および、公表を行う組織である。ハッカー集団「アノニマス」 は、問題の攻撃に関する犯行声明を出し、内部の電子メールや、同サイトの 「データベース全てのダンプ」も含め、1.7GB分のデータをインターネットに アップロードしたと述べている。

http://www.zdnet.com/blog/security/anonymous-hacks-bureau-of-justice-leaks-17gb-of-data/12260
http://www.chicagotribune.com/sns-rt-usa-hackersl1e8glmqz-20120521,0,6264972.story

────────────────

◆フィッシング詐欺で5年の懲役 (2012.5.18)
カリフォルニア州の女性が、フィッシング詐欺団に関与し、詐欺団のメンバー に100万ドル以上の利益をもたらしたため、5年の懲役刑に科されることとなっ た。この女性、Nichole Michelle Merziは昨年、銀行詐欺および有線通信不正 行為の陰謀、加重身元詐称、コンピュータ詐欺、資金洗浄で有罪判決を受けて いる。Merziは、「フィッシュフライ作戦」と称される国際的な取り組みの一 環で逮捕された。以前、この作戦で、米国とエジプトでハッカー容疑者100人 が告訴されている。

http://www.scmagazine.com/cyber-crime-ringleader-sentenced-to-five-years-in-prison/article/241822/

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月7日(大阪)・6月21日(東京)・6月22日(名古屋)
 事件から読み解く!企業に求められるセキュリティ対策セミナー
 ~製造業の方必見!あなたの会社の機密情報は守れていますか?~
http://www.nri-secure.co.jp/seminar/2012/motex01.html?xmid=300&xlinkid=06

○6月13日(水)
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=07

○6月15日(金)
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=08

○6月20日(水)
 ~国産2強ベンダーが提言~ 特権ID管理対策セミナー
  :事例から読み解く「アクセス管理」「ID管理」の最適解
http://www.nri-secure.co.jp/seminar/2012/0620.html?xmid=300&xlinkid=15

○6月27日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○7月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃設計・製造ソリューション展(DMS)に出展      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
会期:2012年6月20日(水)~22日(金)10:00~18:00(最終日のみ17:00終了)
会場:東京ビッグサイト 主催:リード エグジビション ジャパン株式会社
製造業のお客様のお役に立てるセキュリティソリューションをミニセミナーや
デモ展示にてご紹介します。         【弊社ブース小間No.20-28】
http://www.dms-tokyo.jp/
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月2日(月)・9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○7月3日(火)~4日(水)・9月11日(火)~12日(水)・12月26日(水)~27日(木)
セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃秘密分散技術によって安全なクラウドストレージサービスを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ファイルを所定のフォルダに入れるだけで、非重要情報化して複数のクラウド
に遠隔地分散保管。1ファイルが足りなくても、ダブルクリックで簡単復元!
クラウドバックアップやファイルサーバ、大容量ファイル共有、BCP対策に。
http://www.nri-secure.co.jp/service/pv/secretshare/index.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情をご説明するとともに、常態化した Webアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイア
ウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。 組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。