NRI Secure SANS NewsBites 日本版

Vol.8 No.23 2013年6月12日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.23 2013年6月12日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  <10/21~26開催>
                 = SANS Tokyo 2013 =
                   [ 申込受付中 ]
      http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■■SANS NewsBites Vol.15 No.044-045
(原版: 2013年6月4日、7日)

◆米下院公聴会で米国サイバーセキュリティ認定プログラムの欠陥が露呈(2013.6.4)

4日午後に行われる米下院退役軍人委員会・監視調査小委員会(Oversight and Investigations Subcommittee of the House Veterans Affairs Committee) の公聴会で、米政府のサイバーセキュリティプログラムの全容が注目されるこ とになる。今回の公聴会は、1月末に退役軍人省(VA)情報セキュリティ担当 次官補(DAS IS)Jerry Davis氏が議会に宛てた書簡によって実施が実現した。 Davis氏は「情報セキュリティ担当次官補(Deputy Assistant Secretary)と して、多くの退役軍人の機密情報が漏洩する、または侵害される危険は明らか に存在すると証言する。その理由は、不適切なプロセスの下でシステムセキュ リティ評価が強制的に実施されたためである」と述べた。VAのシステムはNIST 指導の下に導入されており、国土安全保障省(DHS)、民間団体、国防総省 (DoD)のシステムとほぼ同じである。Davis氏の指摘が正しいと証明された場 合には、NISTの認定モデルを破棄することになり、改善措置を取らなければな らない。

http://www.federalnewsradio.com/538/3344870/VAs-security-shortcuts-put-millions-of-veterans-data-at-risk-former-VA-cyber-official-alleges

────────────────

◆NSLへ応じる裁判所命令がGoogleに出される(2013.5.31-6.3)

カリフォルニア州の連邦裁判官は、NSL(National Security Letters) 19件 を破棄または変更するというGoogleの要請を却下した。 米地方裁判所判事 Susan Illstonは、FBI当局が機密事項に関する宣誓供述書を提出する条件で、 Googleに対し17件のNSLに応じるように命令した。また残りの2件に関しては、 政府に対して「補足資料の提出」を求めた後に最終審議するとした。Illston 判事は3月、NSLが「付随する口外禁止条項が、修正第1条に違反する」として、 違憲判決を出しており、この判決に対して米国政府は、この判定を不服として いた。Illston判事は、前回NSLが破棄・変更された根拠として、Googleが広義 の論議を展開したことに対する判決であったのに対し、今回は特定の19件の NSLについての議論となったことを挙げている。FBIおよび米司法省は、NSLを 使って特定個人の情報を提供するように通信企業に要請できるが、多くのNSL は、口外禁止命令が付随しており、企業はNSLの存在すらも公表することがで きない。また、情報提供を要請された個人は、この命令に申し立てすることが できないばかりか、NSL発行は、司法介在を必要としないという特徴がある。

http://news.cnet.com/8301-13578_3-57587003-38/judge-orders-google-to-comply-with-fbis-secret-nsl-demands/
http://www.zdnet.com/google-fails-to-strike-down-fbis-secret-gagging-orders-despite-constitutionality-concerns-7000016185/
http://www.infosecurity-us.com/view/32720/google-must-comply-with-nsls-says-judge/
3月の判決:
http://www.wired.com/threatlevel/2013/03/nsl-found-unconstitutional/

────────────────

◆PRISMプログラムによりNSAが米主要インターネット企業サーバへアクセス実施(2013.6.6)

国家安全保障局(NSA)は、Verizonが保管する通話記録以外の情報にアクセス しているようだ。ある関係者がワシントンポスト紙に明かした情報によると、 NSAとFBIは、米国内の主要インターネット関連企業9社のサーバから直接デー タマイニングを行っているという。 Microsoft、Apple、Yahoo、Google、 Facebook、Skype、YouTubeが対象企業であり、音声、ビデオチャット、写真、 メール、接続ログデータなど広範囲にわたって情報収集が行われている。この プログラムは、PRISMと呼ばれており、国外との通信に焦点を絞っている。対 象企業の一部は、PRISMの存在を明確に否定しており、Facebookのセキュリティ 最高責任者(CSO)Joe Sullivanは、「当社は、いずれの政府機関当局に対し ても直接サーバへのアクセスを提供していないし、同社が政府より顧客データ の提供を要請された場合には、法に準拠しているか注意深く確認し、法で定め られた内容のみを提供するようにしている」と述べた。2013年4月のPRISMの内 部ブリーフィング資料によると、NSAは、調査報告書の7件中1件程度の割合で PRISMにより収集された生データを使用している。対象プログラムを認識して いる米議員は秘密保持の宣誓をしており、昨年の外国情報監視裁判所(FISA) 修正法案に関する上院議会の議論の場でも発言していない。

http://www.washingtonpost.com/www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html

【編集者メモ】(Ullrich)
昔は、政府機関がデータ保護能力に欠ける場合、データ自体やデータを取り込 むバックドアやAPIにアクセスできる人が他にいるのか?と反問されたものだ (が、今は違う)。

────────────────

◆米FISA 、全通話記録をNSAへ提出するようにベライゾンに命令(2013.6.5-6)

The Guadianが入手した文書によると、2013年4月25日から7月19日の3か月に渡 る全ての通話記録を国家安全保障局(NSA)に提供を要請する令状が、外国情 報活動監視裁判所(FISA)からVerizonに対して発行された。対象となるデー タは、受発信者の電話番号、携帯電話のIMSI番号(International Mobile Subscriber Identity)、利用された通話用プリペイドカードの番号、通話時 刻と通話時間である。通話の内容は録音されておらず、提出対象にもなってい ない。しかし、受発信者の位置情報は、携帯電話のサイト情報に含まれている。 Ron Wyden(共和党-オレゴン)およびMark Udall(共和党-コロラド)上院議 員は、秘密保持の宣誓も行っているが、この監視プログラムの存在をほのめか そうとしている。オバマ政権は、本プログラムがテロリスト攻撃から国家を守 るために必要であると弁明しており、クラッパー米国家情報長官は、今回の問 題に対して声明を発表した。

http://www.dni.gov/index.php/newsroom/press-releases/191-press-releases-2013/868-dni-statement-on-recent-unauthorized-disclosures-of-classified-information
http://www.guardian.co.uk/world/2013/jun/06/nsa-phone-records-verizon-court-order
http://www.wired.com/threatlevel/2013/06/nsa-verizon-call-records/
http://arstechnica.com/tech-policy/2013/06/white-house-spying-on-us-citizens-critical-tool-for-fighting-terror/
裁判命令:
http://www.guardian.co.uk/world/interactive/2013/jun/06/verizon-telephone-data-court-order

【編集者メモ】(Honan)
欧州委員会のデータ保持命令の結果、同様のデータは、司法当局などの要請に対応するためにEU各国で最低6カ月保持されることとなった。デンマークの警察が発行した報告書によると、データ保持によって、思ったような成果は出ていないという。
http://www.techdirt.com/articles/20130523/02542423184/danish-police-admit-that-data-retention-hasnt-helped-all.shtml

────────────────

◆FBIとMicrosoftがCitadelボットネットを摘発(2013.6.6)

MicrosoftとFBIが協力し、Citadelボットネットを摘発した。Citadelはオンラ インバンキングの口座から推定で5億ドルの窃取に利用された推定されている ボットネット。今回の摘発には、80カ国の警察が協力しており、Citadelを構 成するネットワーク1,400件のうち、約70%が閉鎖されたとしている。Citadel が消滅するわけではないが、今後の運用に大きな打撃を与えたと言えるだろう。

http://www.reuters.com/article/2013/06/05/net-us-citadel-botnet-idUSBRE9541KO20130605
http://www.bbc.co.uk/news/technology-22795074
http://www.h-online.com/security/news/item/1-462-botnets-shut-down-by-Microsoft-FBI-and-financial-sector-1884174.html
http://www.scmagazine.com//microsoft-torpedoes-citadel-botnet-infrastructure/article/296682/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のハンズオン研修(有料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月26日(水)・9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=02

◎6月27日(木)~28日(金)/9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)~/11月11日(月)~/2014年1月20日(月)~/
 2014年3月10日(月)~:各5日間 (※連続した日程ではございません。)
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=04

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月14日(金)
 グローバル・IT推進セミナー
 ~中国・アジア拠点におけるIT管理の効率化とセキュリティ管理の実際~
http://www.nri-secure.co.jp/seminar/2013/0614.html?xmid=300&xlinkid=07

○6月20日(木)・7月19日(金)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=09

○6月27日(木)・7月18日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

○7月 3日(水)                          NEW!
 情報セキュリティ人材育成セミナー&CISSP/SSCP体験セミナー
http://www.nri-secure.co.jp/seminar/2013/isc02.html?xmid=300&xlinkid=11

○7月24日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=12

────────────────


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。