NRI Secure SANS NewsBites 日本版

Vol.8 No.19 2013年5月15日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.19 2013年5月15日発行
**********************************************************************

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  <10/21~26開催>
                 = SANS Tokyo 2013 =
                    [ 申込受付中 ]
      http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■■SANS NewsBites Vol.15 No.036-037
(原版: 2013年5月7日、5月10日)

◆国防総省が報告書で中国を批難(2013.5.6-7)

国防総省は、議会年次報告書の中で、中国が関与する軍事・安全保障問題の展 開と題し、初めて中国のサイバーエスピオナージ活動を明確に非難した。報告 書の中で、「昨年、世界中のコンピュータシステムが大量に侵入されており、 米国も例外ではない。侵入者は、中国政府・軍に直接関与しているものがある」 と述べている。中国の狙いは、産業情報のみならず、緊急時に悪用可能な米国 防衛ネットワーク、運搬、および関連軍事能力などの情報も含まれていた。 (ニューヨークタイムズ紙は有償コンテンツ)

http://www.nytimes.com/2013/05/07/world/asia/us-accuses-chinas-military-in-cyberattacks.html?hp&_r=0
http://www.bloomberg.com/news/2013-05-06/china-s-military-ambitions-growing-pentagon-report-finds.html

【編集者メモ】(Assante)
Mandiantの報告書は、氾濫間近の河川の水門を開けたようだ。サイバーの問題 は、今や米中間の主要外交問題として直接影響を与えるものとなっているが、 従来の軍事問題と異なり、サイバーの問題は単に扱いにくいだけではなく、ポ リシーメーカーに2つ返事で従うこともない。

────────────────

◆サイバー犯罪4,500万ドル窃取で8名告発(2013.5.9)

米連邦検察は、20か国以上に散在したATMから計4,500万ドルを盗み出した連続 サイバー窃盗の罪で8名を告発した。今回の犯行では、事前準備としてプリペ イドデビッドカード決済会社のコンピュータに侵入しデータを入手、カードの 引出し限度額を削除した。次いで、UAE国内の銀行系プリペイドカード決済管 理会社に侵入し、入手したカードデータが、20か国に分散する共謀者に送信さ れ、500万ドルを不正に引出したほか、2回目のターゲットは、オマーンのカー ド決済会社で、24か国に分散する共謀者が4,000万ドルを10時間以内に引出し たという。この行為に対し、ニューヨーク州ヨンカーズ市在住の8名が、ニュー ヨーク州内のATMから計520万ドルを引出した罪で告発された。罪名は、デバイ スへの不正アクセス、マネーロンダリング共犯、およびマネーロンダリングと なる。

http://www.wired.com/threatlevel/2013/05/eight-charged-in-bank-heist/
http://www.washingtonpost.com/business/economy/atm-thieves-conducted-massive-cyberattack/2013/05/09/0c3c3a1c-b8ec-11e2-92f3-f291801936b8_story.html
http://money.cnn.com/2013/05/09/technology/security/cyber-bank-heist/index.html
http://www.justice.gov/usao/nye/pr/2013/2013may09.html#FOOT1

【編集者メモ】(Honan)
同様の攻撃により、2011年フロリダのカード決済会社FISは1,300万ドル、2008 年RBS Worldpayは900万ドルの被害にあった。これらの攻撃が成功する理由は、 ICカードテクノロジーの欠如だ。多くのヨーロッパ企業ではすでに採用されて おり、カードの複製を困難にしている。

【編集者メモ】(Paller)
米国政府がICカードを必須とするのに数年かかるだろうが、それを待つとして、 決済会社は、今回のような攻撃を防ぐ方法を知らないわけではなく、対応して いないだけだ。PCIスタンダードは、時代遅れで、PCI監査の検査には欠けてい るところが多くある。あと数年もすれば、今回の4,500万ドルよりももっと大 きな被害額の事件がでてくるだろう。PCIやNISTなどの標準を記載した担当者 達こそが、これらの損害に対して責任を負うべきだ。このガイドラインのせい で各組織は、間違った防御方法を導入しているからだ。

────────────────

◆重大インフラへの攻撃リスク増大、米DHSのISC-CERTが警告(2013.5.9)

米国土安全保障省(DHS)は、「米国の重大インフラ関連組織」を狙ったサイ バー攻撃の脅威が増大している」として「許可されたユーザのみアクセス可能 な企業・政府内コンピュータネットワーク」に対して警告を発した。警告には、 知的財産の窃取のみならず、「制御プロセスの妨害」も懸念されている。今回 の警告の発行元は、DHSのUS-CERTとなっており、システムを保護するための具 体策、システムがすでに侵害されているかを確認するためのインジケータ一覧 も含まれていた。

http://www.washingtonpost.com/world/national-security/us-warns-industry-of-heightened-risk-of-cyberattack/2013/05/09/39a04852-b8df-11e2-aa9e-a02b765ff0ea_story.html

【編集者メモ】(McBride)
米国主導でイランに行ったサイバー攻撃の証拠は山とあり、イランの産業制御 システムもその中に含まれている。それこそが今回報告されている「エスカレー ション」の原因なのかもしれない。

────────────────

◆大統領令 米政府機関に対し政府情報のオープンデータ化実施を要請(2013.5.9)

ホワイトハウスは大統領令を発令し、「現代の政府の情報資源は、基本的に公 開されるべきであり機械的に読み込み可能であるべき」と要請した。今後6カ 月に渡り、各政府機関は、収集保存しているデータセット全てを棚卸しし、一 般公開されるべきデータか分類する必要がある。そして、一般公開される データは、容易に閲覧・利用できる場所に格納する必要がある。

大統領令原文
http://cdn.govexec.com/media/gbc/docs/pdfs_edit/050913jm1.pdf

【編集者メモ】(Pescatore)
大統領令には適用除外の条件も規定されており「情報を公開することで、法律 やポリシー違反する場合、プライバシー、機密性、および国家安全保障を侵害 する場合、各政府機関は情報を公開すべきでない」としているが、データの 「完全性」については触れられていないようだ。米国のCIOやCTOは、今後30日 で(データを公開する際の)ポリシーとベストプラクティスを公開する。この 中で、該当情報を政府のサイトで公開する際にWebサイトやWebアプリケーショ ンセキュリティの精査(デューデリジェンス)を要件にしてほしい。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 5月号「パスワード」(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 5月号は、安全なパスワードについて、一般のコンピュータユーザ向けに、
 分かりやすく解説しています。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の研修(有料)             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月26日(水)・9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=02

◎6月27日(木)~28日(金)/9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月10日(月)~/9月2日(月)~/11月11日(月)~/2014年1月20日(月)~/
 2014年3月10日(月)~:各5日間 (※連続した日程ではございません。)
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=04

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=07

○5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=09

○6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。