NRI Secure SANS NewsBites 日本版

Vol.8 No.13 2013年4月2日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.13 2013年4月2日発行
**********************************************************************


■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
□■ 
■ 4月16日(火)                  <東京 丸の内>

  『情報セキュリティ人材育成セミナー&CISSP体験セミナー(無料)』

  http://www.nri-secure.co.jp/seminar/2013/isc01.html?xmid=300&xlinkid=01

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.15 No.024-025
(原版: 2013年3月26日、29日)

◆韓国企業を襲った論理爆弾型マルウェアは、社内パッチシステム経由で拡散(2013.3.25)

とあるセキュリティ会社が、韓国で銀行や放送局のコンピュータ内のファイル を一斉消去したマルウェアは、社内パッチ配信システムに仕掛けられ、通常の セキュリティ更新プログラムとして、社内のコンピュータに一斉配信された、 とする見解を発表した。当初、誤認されたが、攻撃元IPアドレスは、社内シス テムのものであることが判明した。マルウェアは3月20日に動作するようにプ ログラムされていた。

http://www.theregister.co.uk/2013/03/25/sk_data_wiping_malware_latest/

【編集者メモ】(Assante)
横断的な仕組みを悪用される攻撃は、予備対策すべきサイバーインシデントの 一つだ。これを悪用されると、複数の資産に損害が発生するからだ。IT管理ソ リューションの機能である、ホストへ迅速に到達する管理ツール機能は、スキ ルある特定の担当者にのみ使用が許可されている。軍隊用語を使えば、このよ うなツールは、サイバー攻撃増幅機となるのだ。今回のインシデントからわか るのは、攻撃を学び防衛手順を周知することの重要性だ。社内ネットワークに 攻撃者がいたら、何を利用するか自問してほしい。

【編集者メモ】(Northcutt)
一番いいのはSophosのブログの説明だ。以下のリンクを参照してほしい。 Saudi Aramcoで3万台のシステムを破壊したShamoonワイパーも同じだったが、 専門家は高度で複雑な攻撃ではないとコメントしている。ハードドライブを上 書きするのに複雑な技術は要らない。とにかく、今回の攻撃方法は今後も発生 する。ネットワークドライブに保存して、バックアップされていないデータに ついて考え始めるべきだ。
http://nakedsecurity.sophos.com/2013/03/20/south-korea-cyber-attack/
【編集者メモ】(Pescatore)
この攻撃方法を推測するセキュリティ会社が多すぎる。実際に調査した会社が 発表するまで、今後の記事は読む前に削除するつもりだ。

────────────────

◆サイバーな才能に全額奨学金:マクドネル知事とクリスティン知事がサイバーチャレンジを開始(2013.3.23-25)

バージニア州とニュージャージー州の知事がCyber ACES Challengesを始めた。 ここに参加している学生や退役軍人が見せた才能は、サイバーセキュリティに 遅れをとっている米国の課題が一気に解決させそうだ。ニューヨークタイムズ の月曜日の一面には、バージニア州の大会で見つかった学生のプロフィールが 書かれている。国が必要としている能力を持った少年だ。ニュージャージー州 の大会でも2名見つかった。大会勝者には集中学習訓練の全額奨学金が与えら れ、訓練終了後にインターンシップが保証されている。

http://www.nytimes.com/2013/03/25/technology/united-states-wants-to-attract-hackers-to-public-sector.html?pagewanted=al
http://www.app.com/article/20130323/NJNEWS15/303230049/Cybersecurity-center-Brookdale-serve-national-model
http://www.abc27.com/story/21776412/dozens-battle-for-spots-at-nj-cybersecurity-center

────────────────

◆Appleが二要素認証を追加、アカウントハイジャック攻撃の脆弱性を修正(2013.3.22-23)

Appleアカウントのハイジャック防止を目的とし、Appleが二要素認証を追加し た。この機能は、まずは米国、イギリス、アイルランド、ニュージーランド、 オーストラリアで展開される。具体的には、SMSで4文字の独自コードが送信さ れ、ユーザは信頼されたデバイスからアカウントにアクセスする際にこのコー ドを入力する。ユーザがパスワードを忘れてデバイスにアクセスできない場合 のために、Appleはユーザに14文字のリカバリー鍵を提供する。Appleは、この リカバリキーを印刷し安全な場所に保管するようユーザに推奨する。Appleの サポートスタッフはApple IDのリセットできない。この新たなスキームでは、 ユーザはAppleIDを使用している同じデバイスに確認コードを受信することが できる。Appleは、一要素認証によりアカウントが悪用させる脆弱性を認識し ており、実際の攻撃で悪用されている。この脆弱性は、Appleが二要素認証を 導入する直前に公開された。

http://www.eweek.com/security/apple-enables-two-step-verification-to-thwart-account-hijacking/
http://www.theregister.co.uk/2013/03/22/apple_id_lock/
http://www.computerworld.com/s/article/9237845/Security_experts_applaud_Apple_s_new_two_factor_authentication?taxonomyId=17

【編集者メモ】(Pescatore)
PCからログインしているユーザにとっては、テキストメッセージを第二要素と するのは非常によく、ユーザも受け入れやすい。だがスマートフォンを使って Webを使っているユーザには、セキュリティ的によいとは言えない。第二要素 (別デバイス)が成立しないからだ。しかし、実際には、ノートパソコンの代 わりになっているのはタブレットで、携帯電話は第二要素でしかないというの も事実であろう。「Phablet」が急速に普及している国もある。そのような国 ではデバイスは一台のみだ。Appleがそんなデバイスを販売する時がきたら、 少し前に買収したバイオメトリクス技術を採用するだろう。

────────────────

◆サイバーセキュリティ評価方法を再考し、リスクを削減(2013.3.27)

「サイバーセキュリティ評価における効果的な取り組み方を促進するためのフ レームワーク」が、National Academy of Public Administration発行の報告書 (担当:Karen Evans、Frank Reeder)で説明されている。米国政府局の中には、 継続監視など効果が認められている方法に移行する組織もあれば、サイバーセ キュリティの向上に貢献せず報告書の紙ばかりが増えてコンプライアンスモデ ルから抜け出せない組織もある。今回の報告書は、サイバーセキュリティの新 法案の提案はしておらず、現在のFISMA(連邦情報セキュリティマネジメント) 法の中でコンプライアンス手順を変革していくロードマップを提案している。

http://www.federalnewsradio.com/241/3264785/Report-offers-pathway-for-cyber-reform-without-legislation
http://fcw.com/articles/2013/03/27/cybersecurity-without-congress.aspx
http://www.safegov.org/media/46155/measuring_what_matters_final.pdf

【編集者メモ】(Paller)
連邦政府のサイバーセキュリティの有効性における進歩だ。連邦監察官には、 必要ないのに簡単に指摘できるコンプライアンス的な項目を数えさせるのでは なく、実際のセキュリティを評価させるのだ。OMB(行政予算管理局)に対して 監察官の変革を切望する声は6年前からあった。OMBが遅れる分だけ、米国はサ イバー防衛競争に遅れをとることになる。この報告書によって何かが変わるだ ろう。

【編集者メモ】(Pescatore)
連邦監察官への指導要綱(OMBA-130, Appendix III)は、1999年以来改訂され ていない。この指導要綱の改善が望まれる。NAPAの報告書には、「この取り組 みを実施する前に、政府局は、重大セキュリティコントロールの導入、自動継 続監視・診断・対策を導入し、組織内で最低限のサイバーセキュリティとデー タ保護を管理できる仕組みを構築すべきだ。」指摘している。個人的な意見だ が、監察官に注力してほしいのは、リスクの想定ではなくセキュリティプロセ スの完成度を監査すること、そして重大セキュリティコントロールが有効であ るか実際に検証し確認するメカニズムが必要だ。

【編集者メモ】(Henry)
標的型攻撃による被害を抑えるには、絶えず敵を「捕らえる」ことができる ネットワーク継続監視が最も効果的だ。想定するのは、敵がすでにネットワー ク内にいる状況だ。昔の測定基準は、「敵をネットワークに侵入させない」こ とだった。今の基準は「侵入されたら、いつ検知できるか」でなくてはならな い。2週間、2ヶ月、2年後に検知など許されない。侵入の被害を最小限に抑え るには、実際に2分で検知しなくてはならない。

────────────────

◆ソーシャルメディアの世界がサイバーセキュリティの強者を発見(2013.3.28)

ソーシャルメディアのニュースソースMashableは今週、急速に進化していくサ イバーセキュリティでリーダーになれるスキルをもった「プレーヤー」を特定 するCyber Aces大会を特集した。この大会は革新的な考え方を持つ「探究者で ありツール作成者」を探している。参加者は高校生、大学生、博士所有者、退 役軍人と幅広い。勝者には、高度なトレーニングの奨学金が付与される。

http://mashable.com/2013/03/28/cyber-aces/

USA Todayの記事には、国家サイバーセキュリティの人材育成と今大会の関係 が説明されている。

http://www.usatoday.com/story/tech/2013/03/28/cyberwar-obama-executive-order-training-troops/2029309/

【編集者メモ】(Murray)
一般的に考えれば、セキュリティの世界はプロの手にかかっている。アマチュ アではない。

【編集者メモ】(Paller)
Murray、ナンセンスだ。君の考え方だと、兵士を熟年層から選ぶことになる。 即戦力は年齢で決まるものではない。関連性と運用経験がものをいうのだ。今 現在の攻撃を除去し、悪意のあるコードを発見・解析し、能動的で機敏なハン ズオンの防衛作業を何千時間と経験することが必要だ。50代や60代よりも、20 代で関連した経験を豊富に持つ人材を見つける方が簡単だろう。

────────────────

◆判決 440,000ドル自動振り込み詐欺で銀行に責任なし(2013.3.26)

2010年3月、自動振り込み詐欺により、440,000ドルを損失したとして、Choice Escrow and Title LLC(Choice社)が、金融機関に損害賠償を求めていた件で、 ミズーリ州の裁判所は、金融機関に損害賠償の責任はないとする判決を下した。 Choice社は、Bancorp South銀行に対して、同社は過去に国外からの振り込み はしておらず、同行は、Choice社に対して通知すべきであったとし、同行のセ キュリティ対策が不十分であるとして、2010年11月に訴訟を起こしていた。 Bancorpは、これに対して、Choice社の銀行口座に関連するIPアドレス経由で 正規にアクセスされたアカウントによって振り込み手続きが行われたとして、 異議を唱えていた。米ミーズリ州西地区裁判所は、このような詐欺を警告され ていたにも関わらず、Choice社はBancorpが推奨していた振り込みの2名承認手 順を採用していなかったと判断した。また、同社は一日の振り込み限度額も設 定していなかった。

http://krebsonsecurity.com/2013/03/missouri-court-rules-against-440000-cyberheist-victim/
http://www.computerworld.com/s/article/9237919/Victim_of_440K_wire_fraud_can_t_blame_bank_for_loss_judge_rules?taxonomyId=17
http://krebsonsecurity.com/wp-content/uploads/2013/03/Choice-Escrow-SJ-Decision-031813.pdf

【編集者メモ】(Murray)
Krebsよりの意見だ。通常、民間企業では2名承認の採用は非効率的で現実的で ない。今回は、防止可能な事件だったが、現実的な手順か否かという問題は考 慮されていない。今回の判決は、むしろUCCの4a条に興味を向けさせる。これ は、セキュリティレベルが非現実的でない場合に、契約者に責任が発生すると しているからだ。Krebsに同意する点としては、この事件は控訴されないだろ う。全ての取引が適切に承認されていることを確認する銀行の根本的な責任を 軽減するという危険な判例になるわけではない。

【編集者メモ】(Paller)
この判決によって、より多くの銀行が小企業すべての損失支払を拒絶するよう になり、自動振り込みの被害者にとっては何のメリットもないだろう。銀行に よっては、個人の顧客に対しても、損失は個人の責任であるといいかねない。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4月24日(水)・5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=02

○5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=03

○5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=04

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。