NRI Secure SANS NewsBites 日本版

Vol.8 No.21 2013年5月28日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.21 2013年5月28日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  <10/21~26開催>
                 = SANS Tokyo 2013 =
                    [ 申込受付中 ]
      http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■はじめに(Alan Paller:SANS Director of Research)
SANFIREの開催まで、あと2週間程(本配信時点)だ(ワシントンDC、6月14日 から22日)。提供されるコース数は42と、サイバー系キャリアに役立つトレー ニングとしては、ワシントンDCでは最大だ。ベンダによる展示会もあり、新し いサービスや製品を知る機会となるほか、夕方にはSANSの教員とInternet Storm Centerの担当者による最新の脅威と対応についてのブリーフィングがあ る。登録はこちらを参照いただきたい。
http://www.sans.org/event/sansfire-2013

■■SANS NewsBites Vol.15 No.040-041br /> (原版: 2013年5月21日、24日)

◆中国のハッカーがGoogleの監視データベースにアクセス(2013.5.20)

2009年と2010年にGoogleのサーバに侵入した中国のハッカーは、再び米国政府 によって監視対象となっているGoogleのデータベースにアクセスした。米司法 当局が監視している中国諜報部員を特定するための情報を探していたと考えら れる。最近になって、Microsoft担当者も同じ時期に侵入の被害にあったと解 釈できるコメントをしており、米国当局により盗聴命令の対象となっているア カウント情報を探していたようだ。

http://www.washingtonpost.com/world/national-security/chinese-hackers-who-breached-google-gained-access-to-sensitive-data-us-officials-say/2013/05/20/51330428-be34-11e2-89c9-3be8095fe767_story.html#

【編集者メモ】(Ullrich)
大規模中央監視システムは、バックドアと同様、敵に見つかるまでは非常に便 利なツールだ。

【編集者メモ】(Christopher Burgess)
自国の職員や協力者が、米国政府の調査対象になっていることを確認すると、 中国は次のいずれかの対策をとると考えられる。1つ目は、活動を抑制し、調 査対象となった人物を活動から除外すること。もう1つは、調査対象となった 人物の存在を利用して、米国のセキュリティサービスを誤った方向に誘導する ことである。今回のポイントは、米国政府からスパイ防止活動を目的として合 法な盗聴命令の発令を受けたサービスプロバイダに、十分な注意をすべきとい うことだ。これらのプロバイダは、国家が関与するカウンターインテリジェン スプログラムの対象になっている。 Prevendraの代表であり創始者でもある Christopher Burgessは前CIA職員であり、Secrets Stolen, Fortunes Lostの 作者でもある。彼の履歴の詳細は以下のURLを参照いただきたい。
http://www.prevendra.com/about/bio-christopher-burgess/

────────────────

◆中国のハッカーが米国の政府機関や企業に対する攻撃を再開(2013.5.20)

2013年に入り、中国が米国企業や政府機関に対して行ってきたサイバー攻撃を 非難する報告書が公になって以降、この数か月の間、中国人民解放軍による米 国のサイトへの活動は沈静化していたが、また攻撃が再開された。過去に比べ ると70%程度の範囲に留まっており、攻撃対象は以前と同じであるが、新しい 手法が使われている。

http://arstechnica.com/tech-policy/2013/05/chinese-army-hackers-return-from-vacation-renew-attacks-on-us/
http://www.v3.co.uk/v3-uk/news/2269159/chinese-military-unit-resumes-cyber-attacks-on-us-businesses
http://www.bbc.co.uk/news/technology-22594140
(ニューヨークタイムズ紙は有償サービス)
http://www.nytimes.com/2013/05/20/world/asia/chinese-hackers-resume-attacks-on-us-targets.html?ref=technology

【編集者メモ】(Henry)
中国がサイバースパイ活動を止めると信じている人間がいるだろうか?中国に とって、知的財産、研究開発、企業戦略、軍事情報は、何億ドルもの価値を生 み出すもので、そのリスクは実質的にはゼロだ。中国に対して何度となく指摘 をしても、返答はいつも決まって「ハッキングはしていない」だ、しかし攻撃 は続いている。つまり、我々の防衛力を改善するしかないのだ。中国は今後も 損失額が取得価値を超えない限り活動を止めることはない。両国政府が話し合 いを始め、容認できないパラメータを特定し、一線を越えた場合の責任を定義 することから始めるのだ。

────────────────

◆サイバーエスピオナージ「SafeNet」発見(2013.5.17-20)

Microsoft Officeにある既知の脆弱性に対する攻撃が世界中で検出されている。 この攻撃を発見したTrend Microは、「SafeNet」という呼称を使用している。 この攻撃は、スピア型フィッシング攻撃によりマシンに感染し、感染マシンか ら情報を不正に取得する仕組みになっている。C&Cサーバは2つ用意されており、 それぞれが独自に攻撃指令などを管理する。悪用されている脆弱性は、2012年 4月に修正されているもの。今回のマルウェアの呼称はコードの一部を参照し て名づけられており、同名の情報セキュリティ企業とはなんら関係ない。

http://www.theregister.co.uk/2013/05/20/safe_cyber_espionage/
http://www.computerworld.com/s/article/9239342/Researchers_uncover_new_global_cyberespionage_operation_dubbed_Safe?taxonomyId=17
http://www.v3.co.uk/v3-uk/news/2269242/microsoft-office-security-flaw-hits-thousands-in-latest-hacker-attack
Microsoftセキュリティ情報(Office用パッチ):
http://technet.microsoft.com/en-us/security/bulletin/ms12-027
【編集者メモ】(Ullrich)
今回の攻撃ではユーザエージェントに「Fantasia」という特定の文字列が使わ れている。実際には、長い間、検出されていなかったということからも分かる ように、ネットワーク関連の業務に携わってきた人々にとって、X線機器内の 缶ジュースと爆弾を見分けるようなものだ。

【編集者メモ】(Shpantzer)
残念ながら(まったくの偶然だと思うが)セキュリティ企業がマルウェア名と して正式な会社名と同じ名称を使用した。実際にNetのNを大文字にするところ までも、www.safenet-inc.comのSafeNet社とまったく同じだ。SafeNet社が、 暗号実装の欠陥を発見していて、Trend Microと名付けたら、Trend Micro社は どう思うのだろう。

────────────────

◆米スマートグリッドに継続的攻撃(2013.5.22)

米議会報告書によると、米国内のスマートグリッドを構成する電力系企業のコ ンピュータシステムは日々攻撃を受けている。議員2名が150社以上にアンケー トを送信したところ、112社より回答があった。実際にアンケートに回答した のは53社のみで、その他は回答が部分的であったり、質問に答えていなかった りであった。「毎日」「絶え間なく」「頻繁」に攻撃を受けていると回答した のは数十社以上、1か月に1万件以上の攻撃試行があると回答した会社も1社あっ た。しかし、攻撃によりシステムに被害があったと回答した企業は無かった。 報告書「スマートグリッドの脆弱性:民間企業の回答によりセキュリティの格 差が露呈」と題した報告書には、ハッカーによる脅威と一般的な脅威が報告さ れている。報告書には、「しかるべき権限を有する、連邦政府機関により、ス マートグリッドがサイバー攻撃や磁気嵐から保護されていること確認する必要 がある」と議会に対して要請が出されている。

http://arstechnica.com/information-technology/2013/05/power-company-targeted-by-10000-cyber-attacks-per-month/
http://news.cnet.com/8301-1009_3-57585618-83/power-utilities-claim-daily-and-constant-cyberattacks-says-report/
http://www.computerworld.com/s/article/9239442/U.S._power_companies_under_frequent_cyberattack?taxonomyId=17
報告書原文:
http://markey.house.gov/sites/markey.house.gov/files/documents/Markey%20Grid%20Report_05.21.13.pdf
【編集者メモ】(Pescatore)
議員がアンケートを作成する機会が増えたので、世論調査の企業に法律を書か せた方が良いのかもしれない。すべてのIPアドレスは、その場所に関わらず一 定の攻撃を受けている。だから、「貴社の電線は太陽フレアによる放射線を受 けていますか」という質問に対する回答と同じ結果になる。もちろん、それは あたりまえのように発生している。議員たちにも変化は起こっているが、その 変化はまだまだだ。彼らは2003年の北アメリカ大停電(この事件は考えられる サイバー攻撃の影響よりも大きい被害をもたらした)を引用しているが、それ は手入れがされていない樹木に接近し過ぎていたこととコンピュータエラーが 遠因であって、同様の事件が再発しないように電力会社に対策を要請したこと がないという事実は知らないようだ。

【編集者メモ】(McBride)
今回のアンケートで質問された内容から、担当議員とそのスタッフの構想はう かがえる。回答率だけではなく回答内容にもがっかりだが、予想どおりだ。電 力系企業は、コンプライアンスを重視するからである。

【編集者メモ】(Assante)
議員からのアンケートは、米国パトリオット法の第215条に基づき、連邦政府 の職員が、国際テロリズムやスパイ活動から保護するため、調査目的で帳簿、 記録、紙、文書等の有形物を作成する命令の申請権を有すると定められている ため、気をつける必要がある。今回は、平時のリスク管理しか調査されておら ず、有事の幹部による直接指揮の情報は提供していない。緊急時には、連邦政 府の権限が行使されるだろうが、実際の災害や事件に対応に関して明示する必 要があるし、議論も重要となるだろう。

────────────────

◆知的財産保護に対する強硬策を推奨(2013.5.23)

民間団体である米国知的財産の窃盗に関する委員会(The Commission on the Theft of American Intellectual Property)が報告書を公開し、米国企業は ハッカーによる知的財産の窃盗に対して、強い行動にでることが許可されるべ きであるとした。報告書には、「何千億ドルもの価値がある米国の知的財産が 毎年盗難されており、国際知的財産窃盗罪のうち50-80%は中国によるものだ」 とし、「知的財産権侵害における法プロセスの遅延が、製品のライフサイクル や利益サイクルが短期間で急速な企業のニーズには見合わない」とした、報告 書の中では、知的財産の窃取をすることが、利益をもたらさないようにするこ とで、抑止効果をつくる必要があると述べている。報告書では、法律により知 的財産所有者は、盗まれた知的財産に対して「作業停止」を求める権利がある べきだと述べている。「メタタグ」「ビーコン」「透かし」技術は、通知効果 があるため、情報が盗難された時点で知的財産保有者に知らせる仕組みにより、 プロセスが向上すると伝えている。
カリフォルニアで今週行われたFuture In Review会議において、同じような問 題が話し合われた。国土安全保障省(DHS)の元グローバルサイバーセキュリ ティ管理ディレクターのRichard Marshallは、「我々の知的財産権を守る技術 はある。知的財産保護においては攻撃的になるべきだ」と述べた。

http://news.cnet.com/8301-1009_3-57585907-83/is-protecting-intellectual-property-from-cyberthieves-futile/

http://www.computerworld.com/s/article/9239503/U.S._urged_to_let_companies_hack_back_at_IP_cyber_thieves?taxonomyId=17
http://www.scmagazine.com//commission-offers-suggestions-for-stemming-online-spy-threat-from-china/article/294494/
http://www.zdnet.com/us-urged-to-permit-self-defense-retaliation-on-hackers-7000015731/
http://www.forbes.com/sites/emmawoollacott/2013/05/23/us-should-get-tough-on-chinese-ip-theft-committee-warns/
報告書原文:
http://www.ipcommission.org/report/IP_Commission_Report_052213.pdf
【編集者メモ】(Pescatore)
このような攻撃を成功させるために脆弱性を減らすことは大賛成だ。報告書に は、「Critical Security Controls」の考え方が推奨されている。しかし報告 書は、途中で「脅威別抑止効果」に方向を変えており、攻撃を開始する前に窃 盗者を攻撃することを議論している。これは馬鹿げている。物理的な犯罪環境 で、内部に情報窃盗者がいる環境を考えてほしい。こちらの方がサイバー攻撃 に比べれば影響ははるかに大きい。トムクルーズの映画になりそうだが、実際 のビジネスやセキュリティの戦略としては成り立たない。

【編集者メモ】(Murray)
知的財産保護のためにどのようなセキュリティを実装するかが課題となる。透 かしの利用は、コストが安いが、処理が遅いため致命的な状態になるまで確認 できない。強力な認証技術、アクセス制御技術、アプリケーション間のエンド ツーエンドで行われる暗号、そして専用ハードウェアにも安価なソリューショ ンは存在する。これらを拒絶しているところが最初に被害にあっているのだか ら、組織における優先順位を明確にしておこう。

────────────────

◆ノースカロライナ州企業が電子清算センター(ACH)の詐欺により80万ドルの損害(2013.5.23)

ノースカロライナ州の企業が、多数のACHの不正処理により、合計80万ドルの 損害を被った。J.T. Alexander & Son Inc.は、燃料卸業社で、同社の取引銀 行Peoples Bancorp of North Carolina Inc.は異常な取引処理に5年間気が付 かなかった。企業の給与口座から盗難されたもので、 J.T. Alexander社の15 名の社員は同口座から2週間ごとに給与が支払われていた。通常の給与支払い 額は3万ドルだった。同社は、サイバー詐欺による損害をカバーする保険にも 加入していたが、損害額は保険支払額を上回った。 J.T. Alexanderの社員に よると、銀行は、セキュリティ手順を最近変更したとのことで、会社の端末か らログインID、パスワード、銀行から付与されたパスコードを使う方法で、ど こからでもアクセスできるようなっていた。

http://krebsonsecurity.com/2013/05/nc-fuel-distributor-hit-by-800000-cyberheist/

【編集者メモ】(Pescatore)
特定のPCからのみアクセスを許可するのは、戦略的ではない。ビジネス要件は、 移動性が必ず求められている。再利用可能なパスワードに依存するなら、専用 PCがハッキングされるだろう。電子清算センター(Automated Clearing House) のような法人向けサービスや、即座に資金移動が可能なEコマースサービスは 危険だ。強い認証が必要となる。まったく! Twitterのやり方を見習ってほし い。ツイートの方がACHの処理で要求される認証よりも強くなるのだから面白 い話だ。

【編集者メモ】(Murray)
ハードウェアは安くなっている。オンラインバンキングを使う端末と、メール やネットサーフィンをする端末を分けるのは無理なことだろうか。Google、 Twitter、Dropbox、PayPal、そして私が使っている地元の銀行は、それぞれ強 力な認証機能を提供している。FFIEC(米国連邦金融機関検査協議会)が一般銀 行に強制することはできないのだろうか。規範を増やすことを避けたいのはわ かるが、馬鹿げている。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 5月号「パスワード」(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 5月号は、安全なパスワードについて、一般のコンピュータユーザ向けに、
 分かりやすく解説しています。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中のハンズオン研修(有料)    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月26日(水)・9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=02

◎6月27日(木)~28日(金)/9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月10日(月)~/9月2日(月)~/11月11日(月)~/2014年1月20日(月)~/
 2014年3月10日(月)~:各5日間 (※連続した日程ではございません。)
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=04

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月29日(水)・7月24日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=06

○6月11日(火) NEW!
 グローバル・セキュリティ・ソリューションセミナー
 ~中国・アジア拠点におけるセキュリティ対策の推進~
http://www.nri-secure.co.jp/seminar/2013/0611.html?xmid=300&xlinkid=07

○6月14日(金) NEW!
 グローバル・IT推進セミナー
 ~中国・アジア拠点におけるIT管理の効率化とセキュリティ管理の実際~
http://www.nri-secure.co.jp/seminar/2013/0614.html?xmid=300&xlinkid=08

○6月20日(木)・7月19日(金)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=09

○6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=10

○6月27日(木)・7月18日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=11
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。