NRI Secure SANS NewsBites 日本版

Vol.8 No.20 2013年5月21日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.8 No.20 2013年5月21日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  <10/21~26開催>
                 = SANS Tokyo 2013 =
                    [ 申込受付中 ]
      http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■■SANS NewsBites Vol.15 No.038-039
(原版: 2013年5月14日、17日)

◆ハッキングツール買い手のトップは米政府(2013.5.10-13)

ロイターの報道によると、攻撃用ハッキングツールの「グレー市場」における 買い手のトップは米国政府のようだ。未知の脆弱性を悪用するツールにより、 戦術的優位を保つことはできる。しかし情報を共有しないと、米政府以外の国 内組織は攻撃されやすい状態のままということになる。この状況に対して、元 サイバーセキュリティの高官たちが懸念を示している。リチャード・クラーク 元ホワイトハウスサイバーセキュリティ補佐官は、「平常時では、米国政府が 悪用可能な脆弱性を認識しているなら、当然の義務として米国内の利用者に伝 えるべきだ」と述べた。さらにハワード・シュミット元ホワイトハウスサイバー セキュリティ補佐官も、「ゼロデイの脆弱性を発見した時に、自分だけが知っ ていると考えるのは考えが甘い」と述べた。元国家安全保障局(NSA)長官の マイケル・ヘイデンは、「自国の攻撃能力保持と、防衛力強化は、微積分学的 な関係があるというのが慣例だ。しかし、重要なポリシーレベルで考え直す時 期が来たのかもしれない」と語っている。マルウェア用の脆弱性情報提供者に 支払うという仕組みは、ソフトウェアのメーカーに欠陥を報告しようとする有 能なハッカー達のやる気を削ぐ行為でもある。

http://www.reuters.com/article/2013/05/10/us-usa-cyberweapons-specialreport-idUSBRE9490EL20130510
http://www.zdnet.com/u-s-government-becomes-biggest-buyer-of-malware-7000015242/

【編集者メモ】(Pescatore)
国はあらゆる攻撃用兵器の最大の買い手であり、米国(国防総省、CIA、FBIな ど)は、世界最大の買い手である。これは「アヘンの最大購買者は製薬会社だ」 という話と同じだ。

【編集者メモ】(Assante)
盛業なツール市場ができた結果、脆弱性を発見するためにリソースが投入され、 エクスプロイトの組み立て検証用に強力なツールが開発された。転換期は2006 年で、アンダーグラウンドのツール市場が形成されて、専門家が育ち、売買の 仕組みができた。ハッキングで金儲けができることで、上流のツール開発者や 関係者を育て、攻撃者達は有償ツールに頼るようになった。大手の買い手が存 在することは市場に影響を与えているが、市場形成している一部にすぎない。 この市場は今後も存続するだろう。

────────────────

◆ブルームバーグ社員がクライアントのアカウント情報にアクセス(2013.5.11.12.13)

ブルームバーグ・ニュースの編集主幹マシュー・ウィンクラーは、社員が自社 の金融情報端末を利用して顧客を詮索していたことに対して謝罪した。ブルー ムバーグの記者が閲覧できた情報は、ログイン履歴、「統計情報ベースのユー ザ機能」、ヘルプデスクへの問い合わせ情報。このような情報にアクセスする ことで、同社の記者たちは、他の記者よりも優位にあったのかもしれない。多 くの金融機関に設置された情報端末では、金融業界の専門家向けにリアルタイ ムのマーケットデータ、ニュース、メッセージサービスなどが提供されており、 多くの企業は、年間2万ドルでこのような端末をレンタルするという。ウィン クラーの謝罪記事では、「わが社の記者は、所有権によって保護されるデータ へのアクセス権を持つべきではない。残念だがそうしたアクセス権を記者は手 にしていた。その落ち度に弁解の余地はない」と謝罪した。この問題は、ゴー ルドマンサックス役員に、他の役員は最近ログインしていないとブルームバー グの記者がコメントしたことで発覚した。この記者たちは顧客情報へのアクセ スを無効にされた。

(ニューヨークタイムズ紙は有償コンテンツ)
http://www.nytimes.com/2013/05/11/business/media/privacy-breach-on-bloombergs-data-terminals.html
マシュー・ウィンクラー氏による謝罪文
http://www.bloomberg.com/news/2013-05-13/holding-ourselves-accountable.html

【編集者メモ】(Northcutt)
ベン・ライトが講師を務めるデータセキュリティと調査における法則(Law of Data Security and Investigations)で、インシデントは素早く透明性を持っ て扱うことを学んだ。ブルームバーグはこのテストには合格した。だから次第 に忘れ去られてゆくだろう。

────────────────

◆司法当局を悩ませるiPhoneの暗号(2013.5.10-11)

米司法当局はiPhoneの暗号にストレスを感じている。iPhoneに利用されている 暗号が強すぎるためで、司法当局は、押収したデバイスのデータを復号するの に、アップル社にセキュリティ設定を手動でオーバーライドするように依頼す る必要があるからだ。押収端末が非常に多いため、バックログが生じている。 ある司法当局員は、アップル社の情報復号作業に7週間待つ必要がある報告し ている。司法当局がアップルの暗号にストレスを感じているのは、目新しいこ とでもない。数週間前、米麻薬取締局(DEA)はアップルのメッセージアプリ で送信されたメッセージの傍受はほぼ不可能であると警告している。今回の問 題は、特定の通信を傍受する必要がある司法当局のニーズと、プライバシーを 守る個人の権利の間でバランスが必要となる事例となっている。

http://www.v3.co.uk/v3-uk/the-frontline-blog/2267468/apple-iphone-encryption-causing-police-backlog
http://arstechnica.com/apple/2013/05/apple-will-reportedly-unlock-your-iphone-for-police-but-theres-a-wait-list/

────────────────

◆ソフトウェアセキュリティ基準への牽引(2013.5.14)

今週初めに開催されたSAFECode(安全なソフトウェア開発の実践を進める業界 団体)カンファレンスの席で、マイクロソフトはISO 27034への支持を公にした。 ISO 27034は、安全なソフトウェア開発のプロセスと実践を明確にしている国 際標準。同日、同カンファレンスにおいて、SAFECodeが、開発者向けのセキュ アコード実践するための無償トレーニングのモジュールを提供すると発表した。 ISOの安全なプログラミングテクニックに関する文書 27034-1は、2011年11月 に公開されている。安全な開発プロセスの要素が説明されており、開発者にとっ ても消費者にとっても役立つ内容となっている。

http://www.eweek.com/security/microsoft-it-industry-push-software-security-standard/

【編集者メモ】(Pescatore)
この件で、マイクロソフトのSteve LipnerとRSAカンファレンス中に長い立ち 話をした。個人的には、ソフトウェア開発プロセス認定がアプリケーションセ キュリティの終着点とするのは否定的だ。理由はISO 9000ブームを思い出させ るからで、さまざまな研究の結果、ISO 9001の認定基準による定性的効果は認 められなかった。DartmouthのISO 9000の11年間にわたる調査によると、この ような認定によりシグナリング効果はあった。グローバル市場において、サプ ライヤー選定の判断基準を定めるのが困難な場合、品質認定は、「わかりやす い」差別化(認定を取得する投資に対する努力を十分認めるもの)となった。 また、品質が差別化要因となったため、全体的には肯定的な結果となったが、 トータルのコストは非常に高くついた。言ってみれば、SAS-70に対して整備さ れたSSAE 16の流れを踏襲しようとしたのと同じである。脆弱性の観点からソ フトウェアの品質を本当に向上させたいなら、製造部門で品質を高めたときと 同じくらいの労力が必要だ。欠陥/脆弱性の再発防止を目的とした製品内の真 因を修復するために、製品化の上流工程にフィードバックする正規のプロセス があり、そのプロセスの一部として製品が生産工程に入る前のテストを改善す る必要がある。もし、このプロセス認定がそこに注目しているのであれば、費 用対効果はあるだろうが、このようなプロセス系の認定は、無駄を増やし時間 経過とともに価値がなくなるのが常だ。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 5月号「パスワード」(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 5月号は、安全なパスワードについて、一般のコンピュータユーザ向けに、
 分かりやすく解説しています。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中のハンズオン研修(有料)    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月26日(水)・9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=02

◎6月27日(木)~28日(金)/9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月10日(月)~/9月2日(月)~/11月11日(月)~/2014年1月20日(月)~/
 2014年3月10日(月)~:各5日間 (※連続した日程ではございません。)
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=04

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=05


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=09

○6月11日(火) NEW!
 グローバル・セキュリティ・ソリューションセミナー
 ~中国・アジア拠点におけるセキュリティ対策の推進~
http://www.nri-secure.co.jp/seminar/2013/0611.html?xmid=300&xlinkid=10

○6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=11

○6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=12
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。