NRI Secure SANS NewsBites 日本版

Vol.8 No.10 2013年3月12日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.10 2013年3月12日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
連邦および地方の職員に対してSANSのサイバー脅威情報サミットの特別価格が 提供されている。この特別価格は、期間限定で、登録費用$895が$395になる。 早い者勝ちだ。登録はこちらから。コードはCTIGOVだ。
http://www.sans.org/event/what-works-cyber-threat-2013


■■SANS NewsBites Vol.15 No.018-019
(原版:2013年3月5日、3月8日)

◆政府請負業者に広がる サイバーセキュリティバブルの崩壊(2013.3.4)

複数の政府の請負業者が、サイバーセキュリティ担当のスタッフを解雇してい る。サイバーは今後も伸びるが航空機や戦艦の規模には達しないと、業界内で 認識されつつある。「これがサイバーに対する神話と現実だ。サイバーは急成 長分野で、巨大な潜在需要があり、誰でも儲かるチャンスがあるという思い込 みがあるが現実は違う。特別なスキルと能力に対して、一定のニーズがあるだ けだ。」とBooz Allen Hamiltonの上級副社長Roger Cresseyは述べた。

http://www.defensenews.com/article/20130304/DEFREG02/303040015/Cybersecurity-Bubble-Bursting-U-S-Contractors

【編集者メモ】(Paller)
今のところ解雇対象のほとんどは事業開発や管理職層であり、市場競争や価格 競争が原因となった。予算の保留状況で、政府局は費用削減を模索している。 ここでサイバーセキュリティのコンサルタントに毎年10億ドルを費やしている にも関わらず安全になっていないことに気付いたのだ。そして特別の技術力が ある人材を維持し、NIST-FISMA報告書を書くだけのコンサルタントを削減した のだ。

────────────────

◆サイバー攻撃の透明性を高めることはセキュリティに有益(2013.3.1)

この数週間で少なくとも19の米国金融機関が、自社のコンピュータシステムに サイバー攻撃を受けていたことを明らかにした。これは米国証券取引委員会 (SEC)に提出された年次会計報告書の中で開示されたものだ。(2011年10月、 SECは企業に対し重大なコンピューターセキュリティインシデントの報告を求 める指導要綱を発行した。)また、サイバー攻撃の被害を報告したほぼ全ての 機関のシステムは2012年にトップ記事になった一連のDDoS攻撃を受けていた。 関係筋は、イラン政府がこれらの攻撃に関与していたことをほのめかしている。 情報公開のレベルが高くなったのは、非常に有益である。なぜなら、「認知度 向上、診断力向上に繋がり、解決意欲が強くなる」と金融サービス業界団体の 社長はコメントした。また上院商業委員会の職員は、情報開示が進むことで 「サイバーセキュリティの市場ソリューションになる。投資家にも問題意識が 芽生えてきた。そして上級役員たちは、サイバーリスクをビジネスリスクとし て考え始めたのだ」と述べた。

http://www.washingtonpost.com/world/national-security/more-companies-reporting-cybersecurity-incidents/2013/03/01/f7f7cb68-8293-11e2-8074-b26a871b165a_story.htm

【編集者メモ】(Henry)
最近、業種をまたいで多くの企業が報告しているのはよいことだ。サイバー攻 撃が報道で取り上げられるようになったことで、ビジネスへの影響を懸念して 報告を躊躇する傾向が和らぎ、その結果サイバー攻撃の認知度も上がった。こ れはすべていいことだ。しかし、今回のケースでは、何千億ドルという費用に 調子を合わせるかのように攻撃されていることを報告している。攻撃は、周知 のごとく、イランによるもののようだ。銀行はそれなりに適切な対応をしてい るが、5か月経過してもなお攻撃されて続けているだろう。脅威を緩和できる 人物を動かさない情報共有は、中途半端な解決策である。

【編集者メモ】(Paller)
Shawn Henryのコメントがいい。NASAのサイバー防衛のトップを数年勤めている Tony Sagerは、「情報共有を評価しすぎだ」と言っている。彼の言葉に付け足 すなら、共有された情報を受け取る側の企業が行動を起こす準備ができていな ければ、共有してもあまり意味がないということだ。個人的には、行動に移せ るスキルと権限がある技術担当者に対して情報が共有されるべきだと思う。そ うでなければ情報共有は、ショーウィンドウの飾りつけだ。

【編集者メモ】(McBride) SECへの報告文書を公開するのは、最初のステップとして良い。ここで壁にぶ ちあたる。サイバー攻撃を企業の役員や投資家(財務諸表に影響するかを懸念 している人たち)に理解できるような言葉に置き換えるのは、非常に難しく、 その難関は変わらない。

────────────────

◆OracleがJavaのパッチを緊急リリース(2013.3.1-4)

Oracleが修正プログラムをリリースし、Javaの脆弱性をさらに2件対応した。 1件はMcRatと呼ばれるマルウェアをインストールする実攻撃に利用されている。 Oracleは、この脆弱性による実被害が2月当初から発生していると認識した上 で、4月16日に予定されていた修正プログラムを前倒ししてリリースした。脆 弱性は、いずれもリモートから認証なしで悪用が可能だ。Javaの最新バージョ ンは、Java 7 Update 17(7u17)とJava 6 Update 43(6u43)だ。Java 6の更 新プログラムは、一般に公開されているものでは最後になるため、Java 7への アップグレードすることをユーザに薦める。セキュリティジャーナリストの Brian Krebsは、Javaを必要としないユーザは無効にする、またはJavaが必要 なサイトにのみ使用するブラウザ上でのみ有効にすることを薦めている。McRat マルウェアは、Bit9から盗み出された証明書で署名されている。

Internet Storm Center:
https://isc.sans.edu/diary.html?storyid=15310
https://isc.sans.edu/diary.html?storyid=15283
http://krebsonsecurity.com/2013/03/oracle-issues-emergency-java-update/
http://www.computerworld.com/s/article/9237322/Oracle_releases_emergency_fix_for_Java_zero_day_exploit?taxonomyId=17
http://www.zdnet.com/java-zero-day-malware-was-signed-with-certificates-stolen-from-security-vendor-7000012079/
http://arstechnica.com/security/2013/03/another-java-zero-day-exploit-in-the-wild-actively-attacking-targets/

【編集者メモ】(Honan)
最近発見されたJavaの脆弱性の数を考えると、OracleはJavaのセキュリティモ デルを見直し、セキュリティ改善ロードマップと計画を公開する時期だと思う。

【編集者メモ】(Paller)
Javaの脆弱性の数と緊急性、犯罪者などによる被害や影響を考えるとBrianの 提案はかなり重要だ。Java開発チームがセキュリティの解決策を早く見つけな い限り、Oracleのサイバーセキュリティ担当者達が、今のようなペースで、後 ろ向きの業務(おそらく)を続けるのは難しいと思う。

────────────────

◆調査結果:米軍システムはサイバー闘争に準備不足(2013.3.5-7)

DSB(Defense Science Board)の研究調査によると、充分な装備の敵対国と深 刻なサイバー戦をするには、米軍は準備不足であることがわかった。報告書は、 米国諜報機関に対して、他国のサイバー(戦闘)能力の情報収集活動向上を推 奨し、さらに国防総省に対して複雑で高度なサイバー攻撃を「分裂」させる仕 組み作成を要請した。また、軍のシステム全てをサイバー攻撃から保護するの は非現実的であるため、重大システムを特定、隔離し、「高度な防衛対策」に より保護すべきであると指摘した。

http://www.washingtonpost.com/world/national-security/pentagon-cyberdefenses-weak-report-warns/2013/03/05/b0c8af5a-8504-11e2-999e-5f8e0410cb9d_story.html
http://www.acq.osd.mil/dsb/reports/ResilientMilitarySystems.CyberThreat.pdf

────────────────

◆ホワイトハウスが隠す政府内のサイバーセキュリティ問題(2013.3.7)

米国上院Tom Coburn(オクラホマ州)は木曜日の公聴会で、ホワイトハウスが 連邦政府のサイバーセキュリティ年次報告書(FISMA法では締め切りが3月1日) を公開しない理由は、報告書で指摘されている脆弱性が「恥をさらす」内容で あるからだと述べた。公聴会の焦点は、ナポリターノ国土安全保障長官と Gallagher NISTディレクターによるサイバーセキュリティに関する新大統領令 の実装の説明だった。

http://www.washingtontimes.com/news/2013/mar/7/white-house-puts-report-on-cybersecurity-on-hold/

【編集者メモ】(Paller)
まだ公開されていない報告書で指摘されている脆弱性は、危険度が低いプロセ スの問題だ。国が関与する実攻撃で政府のシステムを乗っ取るために悪用され るような欠陥ではない。セキュリティの欠陥はあるのだが、検査員たちはその 欠陥にたどりついていない。NISTの指導要綱に準拠した600ページにおよぶ報 告書を読むために時間を取られているのだ。検査員たちの説明によると、OMB (行政予算管理局)が要求しているのは、何でもありの検査だ。利用価値のな い報告書を書いた請負業者自身が、これらの報告書ではセキュリティの向上は ないと認めているのだ。政府内のサイバーセキュリティにおける欠陥の問題点 は、NIST主導のセキュリティ報告書を書くのに年間10億ドル費やすのを止め、 その予算をコードの安全化、セキュリティ欠陥の修正、修正の確認作業に費や すように、OBTが政府局に要請しないからだ。OMBのSteve Van RoekelやLisa Schlosserを知っていたら、なぜ上院議員Carper(上院国土安全・政府問題委 員会の議長)のデータを無視し、政府当局にサイバーセキュリティで毎月$80M 以上、毎日$3Mの無駄遣いをさせているのか聞いてほしい。

────────────────

◆航空機のネット接続でセキュリティ問題浮上(2013.3.6)

航空機産業カンファレンスのパネリストは、新型航空機がデータネットワーク やインターネット接続を拡張したことに対し懸念を示した。新型航空機の多く は、地上とのデータ送受信に加え、乗客用のWi-Fiシステムが備え付けられた。 ボーイング社の商用航空機事業部の航空セキュリティディレクターのMichael Garrettは、サイバー攻撃から航空機を守るための手引書などがボーイング社 より提供されているが、最終的な安全レベルは各航空会社の実装に依存すると 述べた。カンタス航空のセキュリティおよび設備グループのトップである Steve Jacksonは、Wi-Fiに関して現在の設定方法は「何でも可能だ」と疑問を 投げかけた。カンタス航空では、社内でセキュリティのあらゆる問題点を洗い 出すまで乗客に対するWi-Fiサービスの開始を行わない。

https://www.flightglobal.com/news/articles/new-generation-aircraft-face-increased-cyber-threat-383137/

【編集者メモ】(Pescatore)
航空機の世界には、DO-178B(Software Considerations in Airborne Systems and Equipment Certification:空輸システムおよび認定装置におけるソフト ウェアの考察)があり、最近DO-178Cに更新された。これは航空機内で実行で きるソフトウェアの要件と認定プロセスを定義している。信頼性の点では、す ばらしい実績がある。20年に渡り、航空機内でソフトウェアが原因となった事 故は1件、小事故は片手に余る。しかし、我々がPCとサーバの世界で学んでき たように、信頼性が高い=攻撃に強いということではない。これは「The Internet of Things(モノのインターネット)」の1つと言える。設計当初は 考えもしなかったタイプのソフトウェアが外部から利用される可能性を残した のだ。医療器械やATM機で、簡単なマルウェアで影響が発生する例を見てきた。 今回も重大セキュリティコントロールを強調したい分野である。

────────────────

◆GoogleがNSLの情報を公開(2013.3.5)

Googleが3月5日に発行した透明性レポートの付記としてNSL(National Security Letters)情報を公開した。政府は民間企業がNSLの受領を公開する ことを禁止しているため、Googleが2009年以降ある程度の範囲で公開できるよ うに調整した。2009年、2011年、2012年、Googleはユーザまたはアカウント 1,000~1,999件の範囲でNSLを受け取った。2010年には、2,000~2,999件であっ た。NSLとはFBIが国家セキュリティ調査を理由に民間企業に対してユーザ情報 の開示を要求できるものであり、裁判所命令を必要としない。金融機関、信用 情報機関、旅行会社、通信会社から情報を取得する際にNSLが利用されている。

http://news.cnet.com/8301-1009_3-57572634-83/google-offers-data-on-fbis-national-security-related-requests-for-user-identities/
http://www.wired.com/threatlevel/2013/03/google-nsl-range/
http://www.google.com/transparencyreport/userdatarequests/US/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 3月号(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 3月号はSNS(ソーシャルネットワーキングサイト)セキュリティについて、
 一般のコンピュータユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。 http://www.securingthehuman.org/ouch

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月19日(火)・4月24日(水)・5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=03
○4月19日(金)・5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=05
○4月23日(火)・5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=06
○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。