NRI Secure SANS NewsBites 日本版

Vol.8 No.17 2013年4月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.17 2013年4月30日発行
**********************************************************************


■■SANS NewsBites Vol.15 No.032-033
(原版: 2013年4月23日、4月26日)

◆Verizonの報告書:サイバー攻撃の発信元は中国が最多(2013.4.23)

Verizonが本日公開した2012年データ漏洩/侵害調査報告書によると、昨年活発 にサイバースパイ活動を行ったハッカーは中国政府に関係している可能性が高 いとのことだ。Verizonは、18団体の協力を得て本報告書を作成しており、協 力団体の中には米国や他国の政府も含まれている。今回の報告書で目新しいの は、Verizonのアナリストによる”20 Critical Security Controls”(日本語 訳もあり)の説明が含まれていること。基本的な10の脅威(攻撃手法)は、20の コントロールを組み合わせることで回避できると説明している。よくまとまっ ている記事は以下のとおり。

http://www.zdnet.com/verizon-data-breach-report-state-sponsored-attacks-surge-7000014286/
http://www.upi.com/Science_News/2013/04/22/China-tops-list-of-sources-of-cyber-espionage-attacks-in-2012/UPI-23131366682218/
報告書のダウンロードはこちら
http://www.verizonenterprise.com/DBIR/2013/
20 Critical Security Controls Ver3.1の日本語訳はこちら
http://sans-japan.jp/resources/20controls.html
────────────────

◆ホスティングプロバイダの元管理者が2700以上の組織にバックドア(2013.4.19)

ホスティングプロバイダHostgatorの元社員の男性Eric Gunnar Gisseが、2,700 以上の組織のサーバにバックドアをインストールした疑いで逮捕された。Gisse がHostgatorの管理者として勤務していた期間は、2011年9月から2012年2月15日 まで。Gisseが解雇された翌日、インストールされているバックドアをHostgator の担当者が発見した。発見されたバックドアは、Unixの管理者ツールに見せか ける細工がされていた。

http://arstechnica.com/security/2013/04/former-employee-arrested-charged-with-rooting-2700-hostgator-servers/
【編集者メモ】(Pescatore)
業務をアウトソースしている企業にとっては悪夢のような話だ。クラウドも例 外ではない。クラウドプロバイダに求められている透明性とはまさにこの点で、 業務分担と責任の明確化、特権管理、変更管理などだ。FedRAMPの継続監視ガ イドラインは、このあたりをうまく網羅している(前述の”20 Security Critical Controlsとも上手く紐づけされている)。

【編集者メモ】(Paller)
バックドアを仕掛ける行為は、想像以上によくある話だ。例えば、プログラマ は、顧客がアクセス方法を変更してもコードのメンテができるように、あらか じめコードを書き込むことがある。「信頼された」セキュリティ専門家も例外 ではない。今では情報セキュリティ専門会社の社長となった業界著名人の講演 録音テープがあったので聞いてみたが、彼はクライアントのコンピュータをペ ネトレーションテストするときにバックドアを仕掛けると話していた。彼の理 屈から想像するに、クライアントが彼に対して何か気に障ることをしたら、そ のバックドアを使うに違いない。自身過剰だ。

────────────────

◆銀行が336,600ドル返済を求めて不正取引の被害企業を起訴(2013.4.19)

ノースカロライナ州の銀行が、不正取引を補てんする短期貸付金336,600ドル の返済を求めて顧客企業を訴えた。不動産関連の法務サービス専門会社である Wallace & Pittman PLLCは、補てん金は貸付金ではないとして返済を拒否して いる。Park Sterling銀行によると、同行はWallace & Pittmanの信託口座の借 越を防止するために、不正取引の損失が回復するまでの間短期貸付金を提供し た。Wallace & Pittmanによると、問題となっている資金はオンライン元帳に 「前電信送金の取り消し」と記載されているとし、さらに同行のセキュリティ 対策が不十分であったことも非難している。この取引は、過去に例のないIPア ドレスから要求されており、電信送金先は過去に例のない国外銀行(ロシア) であったため、Park Sterling銀行はWallace & Pittmanに不審な取引である旨 を通知すべきであったと反論している。

http://krebsonsecurity.com/2013/04/bank-sues-cyberheist-victim-to-recover-funds/
Park Sterling銀行の申し立て
http://krebsonsecurity.com/wp-content/uploads/2013/04/Park-Sterling-Bank-Complaint.pdf
Wallace & Pittmanの回答
http://krebsonsecurity.com/wp-content/uploads/2013/04/Answer-Wallace-Pittman.pdf
【編集者メモ】(Pescatore)
FFIEC(米国連邦金融機関検査協議会)は、「リスクを考慮した認証」が必要で あると明言している。今回のような電信送金システムは、再利用可能なパスワー ドよりも強い仕組みが必要なケースだ。しかし、銀行はそのような仕組みを提 供する様子がない。一般向けの無料メールサービスが二要素認証を提供してい る今日、法人向け銀行サービスに強い認証を要求すべきだ。安全な仕組みを提 供せずに顧客を訴えるような銀行の戒めになるだろう。

【編集者メモ】(Shpantzer)
エンドユーザ側の認証不備と取引の正当性確認の不備の2つの問題が、この事 例にはある。どうしても必要なら問題は1つに絞るべきだ。銀行側の言い分は、 顧客が振り込みを実行する際に2名の承認を必要とする「二重制御」方法の採 用を拒否したとしている。顧客は回答を否定している。

【編集者メモ】(Northcutt)
私が知る限り、個人口座は比較的保護(弁済可)されており、法人口座はあま り保護されていない。しかし、法人が勝利した裁判例もある。それはそれとし て、今やるべきことを教えよう。もし業務でオンラインバンキングを使うなら、 オンラインバンキング専用パソコンを割り当て、それ以外の用途には使わない ことだ。 http://normantranscript.com/x1301512034/Who-pays-when-your-bank-account-is-hacked
────────────────

◆中国の司令官がサイバー攻撃を核爆弾に例える発言(2013.4.22)

西側企業に対するサイバースパイ活動の背後に中国軍がいるという事実は否定 しているものの、人民解放軍の参謀長は、サイバー攻撃を核爆弾になぞらえたコメ ントをした。「もしインターネットのセキュリティが保証されないなら、結果は、 核爆発と同じような結果になる」

http://online.wsj.com/article/SB10001424127887323551004578438842382520654.html
http://www.informationweek.com/security/attacks/cyber-strikes-like-nuclear-bombs-says-ch/240153442
【編集者メモ】(Paller)
まったく外れているわけではない。Gary Roughead氏は海軍作戦部長時代に、 「海軍にとって、今やサイバーは核より重要だ」と、Tony SagerとJim Lewis と私に向かって言った。悲しいことだが、海軍の新しい幹部の考えは違うよう だ。

────────────────

◆AP通信のTwitterアカウントがハッキングされる:虚偽メッセージで金融市場に影響(2013.4.23-24)

今週初めにAP通信のTwitterアカウントがハッキングされ、ホワイトハウスが 爆撃されたとする虚偽のツイートが書き込まれた。これを受けてダウ工業株平 均が140ポイント落ちた。その後、ホワイトハウスがこのツイートはデマであ ると発表して回復した。Twitterに対して、セキュリティレベルの向上を求め る声は過去にもあったが、今回の件が転換の切っ掛けになりそうだ。Twitter は、二要素認証を検討していると発表しており、「まもなく」利用可能になる という。ただし、二要素認証がハッキングの防止策になるか疑いの声もある。 今回の事件の発端はAP通信の従業員がフィッシング攻撃を受けたせいであり、 Twitterのセキュリティの問題ではないからだ。

http://arstechnica.com/security/2013/04/hacked-ap-twitter-feed-rocks-market-after-sending-false-news-flash/
http://www.computerworld.com/s/article/9238637/AP_Twitter_hack_looks_like_a_security_tipping_point?taxonomyId=17
http://www.theregister.co.uk/2013/04/23/hacked_ap_tweet_dow_decline/
http://www.informationweek.com/security/attacks/twitter-preps-two-factor-authentication/240153539
http://www.nextgov.com/mobile/2013/04/good-timing-twitter-will-soon-release-two-step-security-solution/62747/?oref=ng-channelriver
http://www.scmagazine.com/two-factor-authentication-may-have-done-little-to-stop-the-ap-twitter-hijack/article/290396/
【編集者メモ】(Pescatore)
怖いのはどっちだろう。
(1)AP通信の公式Twitterアカウントのセキュリティ管理が弱いこと
(2)機関株トレーダーがツイートをもとに株式を売買していること
現実的には(2)の方が怖い。

【編集者メモ】(Ranum)
Twitterをする人なら携帯電話は誰もが持っているだろう。携帯による二要素 認証を提供しないのは馬鹿げている。しかしながら、昨年セキュリティ担当者 に対してアンケートしたとき、二要素認証を使うと回答したのは、300名中4名 だけだった。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の研修(有料)             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月26日(水)・9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

◎6月27日(木)~28日(金)/9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月10日(月)~/9月2日(月)~/11月11日(月)~/2014年1月20日(月)~/
 2014年3月10日(月)~:各5日間 (※連続した日程ではございません。)
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=08

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月9日(木)オンラインセミナー
 Business IT Online Seminar May セッション【A01】
  うっかりで起きるメール誤送信への対策は?
  メール誤送信の原因と対策を徹底分析します!
http://www.nri-secure.co.jp/seminar/2013/bios05.html?xmid=300&xlinkid=01

○5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=02

○5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=03

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=04

○5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。