NRI Secure SANS NewsBites 日本版

Vol.8 No.16 2013年4月23日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.16 2013年4月23日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
6月のSANSFIREは、ワシントンDCで行われるサイバーセキュリティトレーニン グとしては最大で、30以上のコースが提供される。夜の部ではInternet Storm Centerによる最新の攻撃手法や対応法などの説明もある。特別価格での提供期 間は残り僅かだ。 http://www.sans.org/event/sansfire-2013


■■SANS NewsBites Vol.15 No.030-031
(原版: 2013年4月16日、4月19日)

◆米国政府 日本および中国とサイバーセキュリティに関するワーキンググループ設立へ(2013.4.14-15)

ジョン・ケリー米国国務長官は、サイバーセキュリティ問題に取り組むために 日本および中国とワーキンググループを組織していると語った。 理由として 「企業を対するサイバー脅威の中で最も深刻なもの」はアジア太平洋地域から 発生しており、同地域の国々と問題解決に取り組むことが重要であると述べた。

http://www.computerworld.com/s/article/9238385/John_Kerry_Cyberdefense_a_major_part_of_Asian_security?taxonomyId=17
http://www.zdnet.com/cn/us-china-to-form-cybersecurity-working-group-7000013976/

【編集者メモ】(Pescatore)
今日のサイバーセキュリティにおける国際問題は、冷戦時代に米ソが「相互確 証破壊」原則により核抑止戦略をとっていた状況のようなものだ。サイバー空 間においても、外交・軍事の「両面」から取り組むことが重要だ。

【編集者メモ】(Murray)
中国はコンテンツを規制したい(一党制国家のリーダから見れば、Facebookは 不都合なものにすぎない)。米国は、ぜい弱なインフラを守りたい。そうは言 っても、両国とも秩序あるインターネットを求めている。インターネットが戦 場になる前に、外交的な折り合いを模索すべきだ。「戦争」を避けることが両 国の利益になる。

────────────────

◆EPICがNISTにサイバー犯罪とサイバーテロリズムの定義分けを要請(2013.4.15)

EPIC(電子プライバシー情報センター)は、NIST(米国標準技術局)に対して サイバー犯罪とサイバーテロを明確に区別することを要請した。NISTは、サイ バーセキュリティにおける大統領令の一環としてサイバーセキュリティ要綱を 作成しており、これに対するパブリックコメントを公募していた。そのパブリ ックコメントでEPICは「無数に発生しているサイバーセキュリティ事件のほと んどが『国家安全保障問題』ではない」とコメントした。

http://www.gsnmagazine.com/node/28918?c=cyber_security

【編集者メモ】(Pescatore)
最初に、ボストンマラソンの残酷な攻撃は、またもや「サイバーテロリズム」 という単語の陳腐さを浮かび上がらせた。1995年のオクラホマ市事件に始まり、 2011年9月のテロ事件など、爆弾と流血という実際のテロ事件が発生する度に 「次のテロはサイバーだ」と言われ続けてきた。いや、それは違う。それだと EPICはここでダメだ。サイバー攻撃の宣伝活動は、サイバー犯罪から中国に変 わった。その方が国家予算を確保しやすいからだ。民間企業が直面している攻 撃量と被害状況は、何も変わっていない。

【編集者メモ】(Murray)
EPICは、NISTが行ったコメントの募集をこの問題を指摘するためにうまく使っ た。しかしこの問題はNISTだけに限らない。インターネット攻撃の背景にある のは、経済などテロ以外の問題だ。テロ化しようとしている人々は、「国家安 全保障問題」としたいようだが、それこそがテロリストの思うままなのだ。こ れらすべてを「戦争」と扱う政府の方針は効率的ではないし、少なくとも効果 的ではない。基本的に必要なのは、実在する脅威と人為的に起こりうる状態を 区別することだ。

【編集者メモ】(McBride)
これは明確にすべき要となる定義だ。国家安全保障問題と、それ以外を区別す る明確な定義があれば、連邦政府は人権を守り、税金の無駄遣いをせず、的確 な援助を提供することができる。民間のサイバーセキュリティ企業が提供する 協力や技術革新を落胆させることなく推進できる。

────────────────

◆Microsoft:Webベースの脅威がネットワークの脅威を上回る(2013.4.17-18)

Microsoftのセキュリティインテリジェンスレポートは、企業が利用するネッ トワークにおいて、Webベースの脅威がネットワーク経由で拡散するワームよ りもリスクが大きいと報告した。最も多いと報告されたのはIframeRefマルウ ェアで、Conficker以外がトップになったのは、4年間ぶり。

http://www.scmagazine.com/threats-from-the-web-becoming-more-prevalent-than-network-worms/article/289470/
http://www.darkreading.com/vulnerability/microsoft-worms-and-rogue-av-dying-web-t/240153128

【編集者メモ】(Pescatore)
重要なのは量でなく質だ。自動化された大量攻撃ツールによって、Windowsマ シンの大半がパッチを適用した数年後も、数でいえばSlammerとBlasterがトッ プだろう。今、問題視されている標的型攻撃が、その攻撃数でトップになるこ とはない。しかし、標的型攻撃がもたらす被害はとてつもなく大きい。天気予 報で言えば、一番多いのは小雨だ。

【編集者メモ】(Shpantzer)
XPからWindows7/8に移行し、ブラウザ、Java、Adobeにパッチを当て、EMETを 使えば、Windowsマシン上でマルウェアは劇的に減るだろう。マイクロソフト の脆弱性悪用防止ツールのβ版EMET v4のベータがリリースされたが、3.5は安 定している。
http://www.microsoft.com/en-us/download/details.aspx?id=38761

【編集者メモ】(Murray)
インテリジェンスレポートを公開している企業や団体は、Verizon、Mndiant、 Kroll、Sophos、IBM、McAfee、Symantec、Microsoft、Google、Trustwave、Tr usteer、SANSなど非常に多い。その内容は政府がしぶしぶ出す報告書よりも価 値が高い。とはいえ、処理能力に限界がきているようだ。私のデスクトップは、 読む時間がない報告書の山である。

────────────────

◆米下院がCISPAを可決、ホワイトハウスは拒否権発動か(2013.4.16-18)

4月18日(木)米国下院は、CISPA (サイバーセキュリティ法案)を288対127 で可決した。同法案により、電子メールやインターネットのサービスプロバイ ダーは米政府と情報共有が可能となる。CISPAは、今後上院で審議される。し かし、CISPAが現行のままであれば、ホワイトハウスは拒否権を発動するとし ているため、この法案の行く末は不明だ。オバマ政権が問題視しているのは、 情報共有時に、無関係な個人情報の削除を民間企業に求めていない点。立案者 が、提供社の利用約款やプライバシーポリシーは有効であり法的効力があると する修正を加えたが、あまり意味がないようだ。批評家はCISPAを「修正第4条 違反の可能性あり」と指摘している。

【編集者メモ】(Murray)下院は、金の言うなりで、この法案に対する多くの 反対意見を無視している。CISPAは、本来の目的以上にビジネスの免責を取り 除いている。乱用される可能性がある。

────────────────

◆ACLUがAndroidセキュリティアップデートに関してFTCに苦情を申し立て(2013.4.17)

ACLU(アメリカ自由人権協会)はFTC(連邦取引委員会)に対して、主要携帯 電話通信事業者のAndroid OSの修正プログラムの配信状況について調査するよ う苦情を申し立てた。具体的には、既知のセキュリティ問題の修正プログラム を配信していないだけでなく、対象デバイスが危険な状態であることを携帯電 話利用者に告知していないため、利用者に対して公平性を欠くというもの。 Googleが修正アップデートをリリースしても、通信事業者はタイムリーにエン ドユーザに配信していない。Apple社は、製品のアップデートを自ら行ってい るが、Androidの場合は、各通信事業者が修正プログラムを配信する責任を担 っている。

http://www.wired.com/threatlevel/2013/04/aclu-android-security-issue/
http://www.h-online.com/security/news/item/ACLU-calls-for-FTC-investigation-into-carrier-Android-1844175.html
http://arstechnica.com/security/2013/04/wireless-carriers-deceptive-and-unfair/
http://www.washingtonpost.com/business/technology/2013/04/16/1d7364fc-a6c9-11e2-a8e2-5b98cb59187f_story.html
申し立て原文:
http://www.aclu.org/files/assets/aclu_-_android_ftc_complaint_-_final.pdf

【編集者メモ】(Pescatore)
「政治は不思議な結びつきを生むもの」というシェイクスピアの引用がある。 今回はまさにそれだ。ACLUがセキュリティ問題を苦情?いい考え方だ。もし通 信自業者がセキュリティパッチを電話に配信しないなら、契約上で利用者を縛 っておきながら、自らの責任を無視しているため、契約は無効だということで ある。通信事業者が定期的にAndroidの更新をする理由づけになる。また、 AppleやBlackberryのセキュリティモデルの方が優れていることも指摘されて いる。AndroidやWindowsのようにユーザ毎にハードが異なる場合と比べると、 1社がハードとソフトを製造している場合は、定期的に更新を配信できる。
【編集者メモ】(Northcutt)
素晴らしい!ニュース収集担当のKathy Bradfordに賞賛を送りたい。これは大 きなニュースだ。BYOD(Bring Your Own Device)やMDM (Mobile Device Management) を実践している場合、(端末を選んだ)本人の責任になるのだ。
【編集者メモ】(Shpantzer)
Googleは、Appleのクローズエコシステムから学び、Androidの通信会社やOEM 会社らに規律を守らせればいい。大量のマルウェアの影響度など、役割分担に よるメリットもある(モノカルチャーではなく、無数のハードとソフトの組み 合わせでテストするのが困難なため)。しかしAndroidの古い脆弱なバージョ ンは数カ月から数年もそのままだ。AppleのiOSは数日から数週間で90%が最新 の状態になる。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 4月号「子供たちのネット利用を守るために」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 4月号は、ネットの脅威から子供を守るために、知るべきその脅威や
 親ができることについて、一般のユーザ向けに、分かりやすく解説
 しています。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
  ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月9日(木)オンラインセミナー
 Business IT Online Seminar May セッション【A01】
  うっかりで起きるメール誤送信への対策は?
  メール誤送信の原因と対策を徹底分析します!
http://www.nri-secure.co.jp/seminar/2013/bios05.html?xmid=300&xlinkid=01

○5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=02

○5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=03

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=04

○5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。