NRI Secure SANS NewsBites 日本版

Vol.8 No.22 2013年6月4日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.22 2013年6月4日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  <10/21~26開催>
                 = SANS Tokyo 2013 =
                    [ 申込受付中 ]
      http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■はじめに(Alan Paller:SANS Director of Research)
サイバー空間における次の新分野である運用技術(Operational Technology) に注目する時だ。「Securing the Internet of Things」と題するワークショッ プでは、CiscoやGartnerなどからすごい人物達が集まる。席を確保するには、 プレゼンテーションの投稿が受理されることだ。John Pescatoreは、国家レベ ルで運用技術のセキュリティ向上を先導しており、10月末にサンフランシスコ で予定されているワークショップを取り纏めている。このパネルディスカッ ションへの参加希望者は、自身の情報を2013年7月1日までに trends@sans.org にメールを送ってほしい(件名:SANS Securing the Internet of Things CFP)。 提出のガイドラインは以下を参考にしていただきたい。
http://www.sans.org/event/internet-of-things-summit/bonus-sessions/2787/#bonus-box

■■SANS NewsBites Vol.15 No.042-043
(原版: 2013年5月28日、31日)

◆NSA/CyberComはサイバー攻撃への対抗策に青信号(2013.5.27)

国防総省(DoD)は、近々新たな交戦規定を承認する。この規定は、サイバー 攻撃を受けた場合に国としての対抗策を初めて認めるものとなる。これは今ま での軍事戦略に合わせる動きであり、国家安全保障会議による討議が不要にな る。新たな規則により、ホワイトハウスの承認なしに、サイバー攻撃に対する 攻撃的対応の発動権限が与えられる。

http://www.defensenews.com/article/20130527/DEFREG02/305270014/Slowed-by-Debate-Uncertainty-New-Rules-Green-Light-Response-Cyber-Attacks

────────────────

◆イランのハッカー 米エネルギー企業の制御システムを攻撃(2013.5.27)

米国当局は、イラン政府が関与するハッカーが米エネルギー企業の産業用制御 システムを攻撃し国家の重要なインフラ設備に危害を加えようとしていること を明らかにした。これまでの攻撃はシステムの運用についての情報収集が中心 であった。米国政府内には、2010年にイラン国内の核施設の遠心分離器を狙っ た高度なマルウェアStuxnetを引き合いに出して、イランはサイバー攻撃能力 を強化し報復を狙っていると考える意見もある。

http://www.theregister.co.uk/2013/05/27/iran_payback_stuxnet_ics_attacks/
http://www.eweek.com/security/iranian-hackers-launching-cyber-attacks-on-us-energy-firms-report/

────────────────

◆調査結果:中国ハッカーが、米軍兵器システムの設計情報にアクセス(2013.5.27)

国防科学委員会の機密報告書によると、中国のハッカーは、最新の米軍兵器シ ステムの設計情報にアクセスしていた。この報告書は、国防総省向けに作成さ れたもので、政府系ネットワークまたは請負業社のネットワークのいずれにア クセスしていたかは明らかにされていない。報告書では、「このような脅威か ら情報を守る準備が、国防総省にはない。現在の能力と技術では最新のサイバー 攻撃から守るのは不可能である」と指摘している。匿名の米軍幹部は、ワシン トンポスト紙に対して、「多くの場合、FBIがやって来るまで、ハッキングさ れたことすら気付いていない」と語っている。

http://www.washingtonpost.com/world/national-security/confidential-report-lists-us-weapons-system-designs-compromised-by-chinese-cyberspies/2013/05/27/a42c3e1c-c2dd-11e2-8c3b-0b5e9247e8ca_story.html
http://uk.reuters.com/article/2013/05/28/uk-usa-china-hacking-idUKBRE94R02H20130528
http://news.cnet.com/8301-1009_3-57586355-83/chinese-hackers-reportedly-accessed-u.s-weapons-designs/

報告書原文:
http://www.acq.osd.mil/dsb/reports/ResilientMilitarySystems.CyberThreat.pdf
────────────────

◆「Critical Security Controls」に対する初の投資対効果分析(2013.5.30)

アイダホ州立大学(ISU)の患者データ漏洩事件に関して、導入していれば事 件を防ぐことができたと考えられるセキュリティ対策費用と罰金などを支払っ た場合について、John Pascatoreが比較している。HIPAA(医療保険の相互運 用性と説明責任に関する法律)違反でISUが米保健福祉省(HHS)に支払う罰金 や、漏洩事件管理対策費用、再発防止対策費用を含むと、想定費用は2年間で 100万ドルになる。一方、データ漏洩検出に必要なセキュリティ対策にかかる 費用は、7.5万ドルだ。脆弱性評価やセキュリティ監視の5万ドルを追加しても、 漏洩事件に伴う想定費用の1年分でしかない。

http://www.sans.org/security-trends/2013/05/30/analyzing-the-cost-of-a-hipaa-related-breach-through-the-lens-of-the-critical-security-controls

────────────────

◆連邦下級判事が裁定破棄、ウィスコンシン州男性にストレージ機器暗号解除命令(2013.5.28)

連邦下級判事William Callahan Jr. は、幼児ポルノ所有容疑で拘留されてい るウィスコンシン州の男性に対して、司法当局が容疑者自宅から押収したハー ドドライブの暗号を解除するように命令した。4月初旬、同判事は、Jeffrey Feldmanに対する暗号解除命令を合衆国憲法修正第5条(財産権の保障)の権利 に違反すると判決を出していた。当時、検察側では押収デバイス上の暗号を破 ることができずにいたが、その後検察側は一部の復号に成功し、Feldmanと押 収したデバイスの関連性を明らかにした。これにより、Callahan判事は、判決 を破棄して、「当局より、Feldmanが対象デバイスに対してアクセスおよび管 理可能な状態であることが『確実な結果』であるため、修正第5条の保護は、 被告人は適用されない」とした。Callahan判事は、Feldmanに対して、データ の暗号解除用のパスワード、またはハードドライブ上の全データのコピーの提 出を求めた。

http://www.wired.com/threatlevel/2013/05/decryption-order/
http://www.computerworld.com/s/article/9239612/Decryption_disclosure_doesn_t_violate_Fifth_Amendment_judge_rules_in_child_porn_case?taxonomyId=17
http://www.wired.com/images_blogs/threatlevel/2013/05/decryptorder.pdf

【編集者メモ】(Pesctore)
司法決定は、概ねこういった方向に動く。昔は、物的証拠を隠すロッカーに鍵 をかけ、金庫を開けるように要求する必要があったことに気が付いたのだ。

【編集者メモ】(Northcutt)
法曹界では、同様のケースが存在している。この件に関係している記事のリン クは以下のとおり。ただし、法学者ではなくジャーナリストによる記事である ことを念頭に置いて読んでほしい。ワシントンポスト紙の記者は、最初の事例 であるBoucherを知らないらしい。私が知る限りChryptomeの分析が一番よい。
http://www.washingtonpost.com/wp-dyn/content/article/2008/01/15/AR2008011503663.html
http://www.forbes.com/sites/andygreenberg/2012/02/24/two-cases-lessons-if-cops-dont-know-what-you-encrypted-they-cant-make-you-decrypt-it/
http://cryptome.org/isp-spy/crypto-spy.pdf
さらに、覚えてほしいのは、幼児ポルノとテロリズムは、憎むべき行動であり、 許しがたい行動である。しかし、この判例は、離婚、脱税、交通違反などの様 々な事例にも適用されるだろう。
http://www.wired.com/autopia/2013/02/russian-dash-cams/]
────────────────

◆Google :攻撃に悪用されている脆弱性の猶予期間を7日間に短縮(2013.29-30)

Googleは、製品の脆弱性が攻撃などに悪用されている場合、修正または回避策、 リスク軽減策を含むアドバイザリを7日間以内に公開することをソフトウェア ベンダ各社に求めると発表した。1週間の猶予期間の後、Googleは、問題の詳 細を公開することで、ユーザ所有の機器を保護できるようになると述べた。今 まで、Googleが各社に求めていた猶予期間は60日間だった。Googleは、今回の 変更がかなり「積極的」であるとしながら、1週間はリスク回避策の提供に十 分な期間であると述べた。Googleは自社製品に対しても同様の要件を適用する。

http://www.darkreading.com/vulnerability/google-sets-new-aggressive-7-day-deadlin/240155757
http://www.zdnet.com/google-security-flaws-not-fixed-in-a-week-should-be-made-public-7000016124/
http://www.h-online.com/security/news/item/Google-cuts-grace-period-for-vendors-of-vulnerable-software-1873878.html
http://googleonlinesecurity.blogspot.com/2013/05/disclosure-timeline-for-vulnerabilities.html

【編集者メモ】(Pescatore)
ソフトウェアベンダに苦痛を与えない限り、ソフトウェア開発やパッチプロセ スが改善されないことはすでに実証されている。しかし、複雑なソフトウェア にとって、7日間は少し短すぎる。例えばOS、データベース、組込み系、産業 制御システムの特別アプリなどだ。30日が妥当だろう。不十分な回避策を短期 間で公開するのもよくない。

────────────────

◆民間企業によるサイバー報復行動は「非常に短絡的な考え方」(2013.5.29)

米国知的財産の窃盗に関する委員会(Commission on the Theft of American Intellectual Property)が最近公開した報告書で、民間企業がサイバー窃取 への報復活動が許可されるべきであると提示した内容に対して、CSIS(戦略国 際問題研究所)が、コメントを公表した。CSISのテクノロジー・政策プログラ ムのディレクター兼シニアフェローであるJames Lewisは、「我々のゴールは、 サイバー空間を安定させて安全にすることであり、その逆ではない。このゴー ルを脅かす報復行為を支持することは、安定・安全を目指す努力が全て無駄に なる」とした。米国が今まで働きかけているのは「国は国内住民に対する行動 に責任をもち、サイバー犯罪に対して立ち向かう」という方針への合意だ。 米国政府はブダペストサイバー犯罪条約も支援しているが、ここでも民間企業 または個人による報復は犯罪であると定義している。

【編集者メモ】(Murray)
自警団は、法の支配を捨てた暴力集団であり、法によって保護される対象には ならない。

【編集者メモ】(Honan)
自社システムを守れない企業が、攻撃者を特定し報復できるスキルがあると信 じていることには驚きだ。

【編集者メモ】(Shpantzer)
何もしないのと「報復」には雲泥の差がある。Dave Dittrichの考え方の参考 にしてほしい(本も出版される)。
http://www.honeynet.org/node/1004.]

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のハンズオン研修(有料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月26日(水)・9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=02

◎6月27日(木)~28日(金)/9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月10日(月)~/9月2日(月)~/11月11日(月)~/2014年1月20日(月)~/
 2014年3月10日(月)~:各5日間 (※連続した日程ではございません。)
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=04

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月11日(火)                          NEW!
 グローバル・セキュリティ・ソリューションセミナー
 ~中国・アジア拠点におけるセキュリティ対策の推進~
http://www.nri-secure.co.jp/seminar/2013/0611.html?xmid=300&xlinkid=06

○6月14日(金)                          NEW!
 グローバル・IT推進セミナー
 ~中国・アジア拠点におけるIT管理の効率化とセキュリティ管理の実際~
http://www.nri-secure.co.jp/seminar/2013/0614.html?xmid=300&xlinkid=07

○6月20日(木)・7月19日(金)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=09

○6月27日(木)・7月18日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

○7月 3日(水)                          NEW!
 情報セキュリティ人材育成セミナー&CISSP/SSCP体験セミナー
http://www.nri-secure.co.jp/seminar/2013/isc02.html?xmid=300&xlinkid=11

○7月24日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=12
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。