NRI Secure SANS NewsBites 日本版

Vol.8 No.15 2013年4月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.15 2013年4月16日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
最初の記事のMike Assanteの編集者メモは必見だ。Mikeは産業制御システム (ICS)セキュリティコミュニティの理事長で、大企業American Electric Power でCSO、NERC (The North American Electric Reliability Corporation)のCSO、 INLチームのリーダという経験がある。INLは、遠心分離機や発電機などの回転 機器をサイバー攻撃で破壊可能な脆弱性を発見したことがある。彼が指摘して いる問題は仮説ではない。電力会社など重大インフラ企業の社員は攻撃されて おり、その数は増えている。MikeはもうすぐICS業界のサイバーリスクを啓蒙 するポスターを完成する。さらに、ICSに依存しNERC CIP規制の対象となる組 織や石油・ガス会社などを対象にしたセキュリティ啓蒙プログラムを作成して いる。ポスターが役立つと思われる方は、ICSPoster@sans.org に連絡していた だきたい(紙のポスターなので、組織名と郵送先を添えて)。また、対話形式 でアニメーションを使ったセキュリティ認知度向上プログラムに興味を持ち、 お試し版やデモに興味がある方は ICSawareness@sans.org に連絡していただ きたい。

■■SANS NewsBites Vol.15 No.028-029
(原版: 2013年4月9日、4月12日)

◆ICS-CERT SCADA製品のセキュリティ問題を警告(2013.4.3)

ICS-CERTは、Mitsubishi MXにおけるヒープベースのバッファオーバーフロー の脆弱性を警告した。Mitsubishi MXはSCADA/HMI製品で、この脆弱性はリモー トからの攻撃が可能だ。この脆弱性は、対象システムを導入している企業の従 業員を狙うことでリモートからの攻撃が可能になる。

http://www.securityweek.com/ics-cert-warns-mitsubishi-mx-scada-vulnerability
http://ics-cert.us-cert.gov/pdf/ICS-ALERT-13-091-01.pdf

【編集者メモ】(Assante)
ICS-CERTが発行した警告とここで取り上げている問題は、特定の個人を攻撃す ることでICSネットワークを侵入が可能になるということだ。多くの査定評価 に関わったが、ICSの作業スタッフや運用方法を特定するのは簡単だ。攻撃者 の目的は、実行可能で最も抵抗が少ないパスを見つけることであり、ほとんど の場合、それは人だ。ICSへのアクセスが許可されている従業員は、システム はインターネットに接続されていないとか、ファイアウォールで守られている というような誤認識していることが多い。

【編集者メモ】(McBride)
実際に事件が発生してから6か月後にDHS(国土安全保障省)は報告書を公開し た。この手の情報をDHSから聞けると思っていたら、かなり遅れをとっている。 このような攻撃で使用された情報は、2012年10月に事件が発生し、Critical IntelligenceがES-ISACに報告した時点で特定されている。DHSは、ES-ISACか ら学んでいるのだ。

【編集者メモ】(Paller)
今週号のはじめに、新しいICSセキュリティ認知度向上プログラムやサービス が紹介されている。ICSを利用している組織は、このような情報をすでに聞い ているかと思う。何故なら、DHSが知る前に、問題を発見した組織はすでに、 Mike Assanteが組織したICSセキュリティネットワークでパートナーになって いるから。

────────────────

◆アンドロイドを狙ったトロイの木馬がスパムメール経由で拡散(2013.4.8)

アンドロイド端末を狙ったトロイの木馬を含むスパムが、Cutwailボットネッ トから送信されている。このマルウェアはStelsと呼ばれており、他のOSへも 感染する。ユーザがメッセージ内のリンクをクリックすると、IRS(内国歳入 局)などに見せかけたメッセージが表示され、その間にアンドロイド端末か確 認する。アンドロイドの場合は、アドビのFlashの更新に見せかけたページが 表示され、マルウェアをインストールされる。アンドロイドでない場合には、 スクリプトによりBlackholeエクスプロイトキットのWebページに転送される。

http://www.h-online.com/security/news/item/Botnet-now-spreading-Android-trojans-1837356.html
http://www.scmagazine.com/android-trojan-spreads-through-cutwail-spam-botnet/article/287554/

────────────────

◆米2014年度予算教書 サイバーセキュリティ予算増加(2013.4.11)

オバマ米大統領は、2014年度の予算案を提出した。今回の予算案にはサイバー セキュリティ防衛策への追加予算が含まれ、国防総省のサイバーセキュリティ および兵器開発予算は、21%増の8億ドル増加して、総額47億ドルになる。

http://www.zdnet.com/obama-budget-signs-cybersecurity-as-a-top-priority-7000013866/
http://www.v3.co.uk/v3-uk/news/2260839/obama-calls-for-usd1bn-boost-in-cyber-security-spending
http://www.nextgov.com/cio-briefing/2013/04/tech-spending-projected-rise-fiscal-2014/62405/?oref=ng-HPtopstory
【編集者メモ】(Pescatore)
5年ほど前、連邦政府予算におけるITセキュリティの割合は、民間企業より もっと少なかった。今やそれは過去となった。政府はセキュリティ問題に対し て「金を使わない」状態から「賢く予算を使う」ようになった。OMB(予算管 理局)の新しいPortfolioStatのプロセスレビューによってセキュリティ予算 の使い方(デスクトップのセキュリティ予算など)を見ることができる。この あたりは、セキュリティレベルを維持しながら、費用削減できる部分であり、 その分を次期セキュリティのニーズに対応するために貯蓄することもできる。

【編集者メモ】(Paller)
今回の予算案には、NISTに対して多額の予算が割り当てられている。 FedNewsRadioから、NISTの巨額予算増について月曜日の朝に話してほしいと依 頼を受けた。私が知る限りでは、NISTはサイバー攻撃への抵抗力や回復力の向 上に貢献した実績がない。何を話したらいいか提案求む。提案者の名前はちゃ んと言及する。

────────────────

◆オレゴン州の企業が250,000ドルの不正送金で銀行を起訴(2013.4.11)

Oregon Hay Products社が、Community Bankに対して「抑止可能であった事件 を抑止できなかった」不正送金で起訴した。2010年9月、同社の銀行口座から 3日間にわたって約250,000ドルが引き出された。サイバー犯罪者は3回にわたっ て送金処理をしており、一回あたりの送金額が、同社の送金限度額75,000ドル を下回ったため、ウクライナの銀行に対して送金された。Commercial Bankに 対する申し立ては、同行のセキュリティ警告が現在の脅威に対して充分なもの ではなく、Uniform Commercial Code(統一商事法典)が確立された。今回の 送金処理は、Oragon Hayが使用したことがないIPアドレスから行われた。申し 立ては、Commercial BankがUS Federal Financial Institution Examination Councilの推奨するセキュリティ対策を行っていなかったとし、そこには、オ ンラインバンキングにおける2要素認証の実施などがある。今回の件では、同 銀行が採用していた手順として、Cookieとチャレンジレスポンス認証の仕組み が使われていた。

http://krebsonsecurity.com/2013/04/hay-maker-seeks-cyberheist-bale-out/
申し立て原文:
http://krebsonsecurity.com/wp-content/uploads/2013/04/Oregon-Hay-v.-Community-Bank.pdf

【編集者メモ】(Paller)
サイバーセキュリティの欠如により経済的責任があるとわかると、弁護士は金 の匂いをかぎつける。今週オーストラリアの司法長官が、全政府局に対して少 数の重大コントロールを導入する法的要件をまとめた。どの会社も導入が必須 となっているのを知らなかったと言わせないためだ。米国政府も実施するだろ うが、Winston Churchilが少し前にコメントしている。「アメリカ人は、他に 選択肢がないと分かってから、正しいことをするのだ。」もしLondonで5月1-2 日のイベントに参加できたら、他より先に始められるだろう。

http://www.sans.org/event/critical-security-controls-international-summit)
または、4月18日のブリーフィングを聴講しよう
http://www.sans.org/info/128297]

────────────────

◆米空軍 サイバーツールを兵器指定(2013.4.8-9)

米空軍は、国防総省内の厳しい予算において資金を獲得するため、約6件のサイ バー兵器を再分類し組み替えています。空軍スペース司令部の副司令官John Hyten中将は、会議の参加者に対して、「サイバーの形勢を変えるには、注目 を得られるように変えるべき」と述べた。Heytenは、今回区分されたサイバー 兵器の詳細を明らかにしなかったが、空軍は既存の兵器とサイバー戦闘能力の 融合を進めていると述べた。

http://news.cnet.com/8301-1009_3-57578567-83/u.s-air-force-designates-six-cybertools-as-weapons/
http://www.zdnet.com/us-air-force-designates-cyber-tools-as-weapons-7000013727/
http://qz.com/72598/what-the-heck-is-a-cyber-weapon-anyway/

【編集者メモ】(McBride)
米国のサイバー戦略家らは防衛より攻撃を好むのは、疑いの余地がない。

【編集者メモ】(Ranum)
ここで言っているサイバー兵器は、請負御者が開発しているもので、ITAR対象 になるものなのだろうか。このようなコードが輸出される場合に、エンドユー ザ証明書を必要とすることなのか。これは予算の獲得のためだけでなく、サイ バーフレームワークなる規制を設けて、サイバーのバジル・ザハロフになるべ き人物が、サイバー戦争において、サイバー兵器の双方販売を禁止することを 目的としているのかもしれない。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 4月号「子供たちのネット利用を守るために」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 4月号は、ネットの脅威から子供を守るために、知るべきその脅威や
 親ができることについて、一般のユーザ向けに、分かりやすく解説
 しています。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch

  ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー         <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月9日(木)オンラインセミナー
 Business IT Online Seminar May セッション【A01】
  うっかりで起きるメール誤送信への対策は?
  メール誤送信の原因と対策を徹底分析します!
http://www.nri-secure.co.jp/seminar/2013/bios05.html?xmid=300&xlinkid=01

○5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=02

○5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=03

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=04

○5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。