NRI Secure SANS NewsBites 日本版

Vol.8 No.12 2013年3月28日発行

*********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.12 2013年3月28日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
速報:韓国で同時多発的に機能停止させる論理爆弾が仕掛けられたようだ。 発生しやすい状況にあったのかもしれない。これはSaudi Aramco攻撃(個々の マシン修復に実作業が発生し膨大な損害を与えた攻撃)と銀行への攻撃を一つ にしたようなもので、さらに(ソースの手がかりによると)米国の同盟国を狙っ た攻撃だ。
http://www.wired.com/threatlevel/2013/03/logic-bomb-south-korea-attack/


■■SANS NewsBites Vol.15 No.022-023
(原版: 2013年3月19日、22日)

◆連邦裁判官がNSLを違憲判決(2013.3.15)

カリフォルニア州の連邦裁判所が、NSL(national security letters)は違憲 であるとする判決を下した。Susan Illston裁判官は、NSLに付随する口外禁止 令が合衆国憲法修正第1条に違反しているとした。この口外禁止令によると、 NSL受領者は情報提供の要請を受け取ったことを認めることもできない。FBIは、 裁判所命令がなくてもNSLを使って米国民の情報を入手できる。NSLの発行に必 要なのは、国家安保関連調査に必要であると上司が承認するだけ。今回判決が 下された訴訟は、2011年にNSLを受領した匿名の通信会社が、NSLの権限と付随 する口外禁止命令の正当性について異議を申し立てていた件。この異議申し立 てはいずれも法により許可されている。司法省は、司法当局の権限に対して異 議申し立てをしたとして、この通信会社を訴えていた。

http://www.washingtonpost.com/world/national-security/fbi-survillance-tool-is-ruled-unconstitutional/2013/03/15/d4796396-8db9-11e2-9f54-f3fdd70acad2_story.html
http://www.wired.com/threatlevel/2013/03/nsl-found-unconstitutional/
http://www.forbes.com/sites/andygreenberg/2013/03/15/heres-the-judges-order-banning-the-fbis-secret-requests-for-companies-user-data/
http://www.scribd.com/doc/130615238/NSL-Ban

────────────────

◆ロイター社員起訴、ハッカーと共謀し前勤務先システムに侵入(2013.3.15)

ロイターのソーシャルメディア担当副編集者マシュー・キーズは、2010年にア ノニマス集団のメンバーがトリビューン社のサーバにアクセスする手助けをし たとして起訴された。キーズは過去にサクラメントのトリビューン社のテレビ 局に勤務していたが、この事件の数ヶ月前に解雇されていた。起訴内容による と、キーズはアノニマス集団のメンバーにトリビューン社のサーバへのユーザ 名とパスワードを提供し、その結果複数の記事が改ざんされた。キーズは、保 護されたコンピュータに被害を与え、悪意のあるコードを転送および転送を試 みたとする共謀罪が問われている。キーズはロイター社で一時出社停止になっ ている。起訴されている罪が全て認められた場合、キーズは最長25年の実刑と 75万ドルの罰金が課される。この罰則は少し厳しすぎるという説もある。

http://latimesblogs.latimes.com/lanow/2013/03/matthew-keys-attorneys-hes-target-of-draconian-computer-laws.html
http://www.nextgov.com/cybersecurity/2013/03/one-act-cyber-vandalism-worth-25-years-jail/61890/?oref=ng-channelriver
http://www.nytimes.com/2013/03/18/technology/outcry-over-computer-crime-indictment-of-matthew-keys.html?pagewanted=all
http://www.nytimes.com/2013/03/18/technology/outcry-over-computer-crime-indictment-of-matthew-keys.html?pagewanted=all
http://uk.reuters.com/article/2013/03/15/us-thomsonreuters-keys-idUKBRE92D1CM20130315
http://big.assets.huffingtonpost.com/MatthewKeysIndictment.pdf
(注:ニューヨークタイムズ紙は有償購読が必要
http://www.nytimes.com/2013/03/18/technology/outcry-over-computer-crime-indictment-of-matthew-keys.html?pagewanted=all
http://www.nytimes.com/2013/03/18/technology/outcry-over-computer-crime-indictment-of-matthew-keys.html?pagewanted=all

【編集者メモ】(Honan) 従業員退職時における正式ポリシーの必要性をわからせる事例だ。特に不満を 持つ従業員が退職する際、適切かつ迅速に退職者のアカウントを無効にし、そ の他重要なアカウントのパスワードを変更すべきだ。

────────────────

◆カジノ監視システムをハッキング、豪32百万ドルの詐欺事件(2013.3.14-15)

オーシャンズ11の映画を連想させる仕掛け:犯行グループはオーストラリアの メルボルンにあるカジノの監視システムにアクセスし、これを利用してプライ ベートルームの高額ポーカーの勝負を観察した。共犯のプレイヤーは、この情 報を受け取り、豪ドル32百万ドル(US33百万ドル)を勝ち取った。高額の勝ち 負けをすることで有名だったこのポーカープレイヤーは、同カジノへの入店を 禁止され、自国に帰ったと伝えられている。

http://www.theregister.co.uk/2013/03/15/cctv_hack_casino_poker/
http://www.crn.com.au/News/336797,cctv-hack-leaves-crown-casino-32-million-down.aspx
http://www.heraldsun.com.au/news/law-order/crown-casino-hi-tech-scam-nets-32-million/story-fnat79vb-1226597666337
【編集者メモ】(Pescatore) 継続監視システムは攻撃者に狙われやすいという事実を、セキュリティに関わっ ている人々に気づかせるにはちょうどよい事例だ。

────────────────

◆韓国で大規模サイバー攻撃発生(2013.3.20-21)

今週初めに、韓国の銀行や放送局が大規模なサイバー攻撃を受けた。攻撃され たのは、韓国内の銀行大手2行と放送局3社で、政府のシステムは攻撃されなかっ た。マルウェアは感染したコンピュータからファイルを一斉消去した。攻撃の 直後、北朝鮮関与説が流れたが、明確な証拠はない。 米国連邦通信委員会(FCC)の前公共安全国土安全保障部局長のJames Barnett は、「これで皆わかっただろう。この事件はどの国で発生してもおかしくない」 と述べた。調査当局によると、マルウェアはソフトウェアの自動更新プログラ ムを配信するサーバ経由で拡散したと考えられている。Symantecの研究者によ ると、今回利用されたマルウェアはJokraとして知られるトロイの木馬で、コ ンピュータのマスターブート情報と保存データすべての上書きが可能だという。

http://www.washingtonpost.com/business/technology/police-investigating-reports-that-computers-of-south-korean-banks-media-paralyzed/2013/03/20/a7366760-9126-11e2-9173-7f87cda73b49_story.html
http://www.latimes.com/news/world/worldnow/la-fg-wn-south-korea-cyber-attack-20130320,0,1356665.story
http://www.scmagazine.com/south-korean-corporations-hit-by-widespread-attack-that-wiped-data-and-shut-down-systems/article/285315/
http://www.foreignpolicy.com/articles/2013/03/21/who_is_whois

【編集者メモ】(Honan)
攻撃元の特定が困難というだけでなく、この事件から学ぶことは多い。韓国当 局が実施した初期解析では、攻撃元が中国内のIPアドレスであるとし、非難の 矛先は中国に向けられた。しかし、調査が進むと中国のものと思われていたIP アドレスは、マルウェアに感染していた銀行の内部ネットワークのものである と断定された。最近、サイバー攻撃や破壊的兵器への反撃行為が論じられてい るが、今回の件でわかったことは、IPアドレスのみで攻撃先と断定せず、より 慎重な対応が望まれるということだ。詳細はこちら http://edition.cnn.com/2013/03/22/world/asia/south-korea-computer-outage/index.html

【編集者メモ】(Assante)
データ消去による上書きは目新しい攻撃ではないが、攻撃者にとって価値ある 情報を消去するというのはナンセンスだ。今回のような破壊的攻撃により、規 模の面からも、サイバーが特別なメッセージを伝え、害を及ぼす政治的手段に なっているということがわかる。経済やインフラを危険に晒すことができると 言える人間は、世の中に沢山いるに違いない。だが、我々の答えはシンプルに 「我々は恐れない」。なぜなら、このような攻撃の効力を無くす手順や技術が あるからだ。

────────────────

◆米政府 インターネットトラフィックスキャンの範囲を拡大(2013.3.21)

2月に発動されたサイバーセキュリティに関する大統領令では、インターネッ トトラフィックの走査の拡大を求めている。この走査は、米国諜報機関が提供 する現在または将来のサイバースパイ活動や攻撃に関する機密情報に基づいて 実施される。

http://www.reuters.com/article/2013/03/21/net-us-cybersecurity-sharing-idUSBRE92K11620130321
────────────────

◆米サイバー軍 2015年末までにサイバー防衛100部隊を配備(2013.3.19-21)

米国防総省サイバー軍は、2015年末までにサイバー防衛軍100部隊以上を配備 する。この100部隊の目的は軍のネットワークを守ることで、敵対国のシステ ムに対する攻撃ではない。サイバー軍司令官のアレキサンダー大将は、2013年 9月までにサイバー戦闘担当の13部隊を配備すると、先週発表したばかりだ。 この13部隊は米国内の重要なインフラシステムに対する攻撃阻止を目的として、 敵対国のネットワークへの措置に注力をする。

http://www.nextgov.com/defense/2013/03/pentagon-plans-deploy-more-100-cyber-teams-late-2015/61948/?oref=ng-channelriver
http://www.nextgov.com/cybersecurity/cybersecurity-report/2013/03/military-cyber-strike-teams-will-soon-guard-private-networks/62010/?oref=ng-HPtopstory
────────────────

◆10年間にわたるサイバースパイ活動TeamSpy(2013.3.21)

研究者が、東欧と前ソ連に対する10年間のサイバースパイ活動の証拠を発見し たと公表した。このサイバースパイ活動は、ターゲットコンピュータに遠隔操 作とネット会議のソフトウェアTeamViewerをインストールし、コードに変更を 加えてバックドアを作成する。研究者達は、このスパイ活動をTeamSpyと命名 している。この攻撃グループの標的は政府、民間企業、人権活動家など。 TeamSpyにより暗号鍵と機密文書が収集された。

http://www.theregister.co.uk/2013/03/21/teamspy_cyber_espionage/
http://www.computerworld.com/s/article/9237778/TeamViewer_based_cyberespionage_operation_targets_activists_researchers_say?taxonomyId=17
http://arstechnica.com/security/2013/03/decade-old-espionage-malware-found-targeting-government-computers/

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 3月号(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 3月号はSNS(ソーシャルネットワーキングサイト)セキュリティについて、
 一般のコンピュータユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4月19日(金)・5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=05

○4月23日(火)・5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=06

○4月24日(水)・5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=03

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=07
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。