NRI Secure SANS NewsBites 日本版

Vol.8 No.24 2013年6月19日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.24 2013年6月19日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  <10/21~26開催>
                 = SANS Tokyo 2013 =
                   [ 申込受付中 ]
      http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


───────────────────
■■SANS NewsBites Vol.15 No.046-047
(原版: 2013年6月11日、13日)
───────────────────

◆米大統領がサイバー攻撃の潜在的標的リスト作成を指示 (2013.6.7)

英国新聞社The Guardianが取得した米政府の秘密文書によると、オバマ大統領 は、国家安全保障担当部門に対して、潜在的にサイバー攻撃の攻撃対象となり うるリストを作成するように指示していた。2012年10月付けのPresidential Policy Directive 20(大統領指示)に含まれていたが、公開はされていない。

http://news.cnet.com/8301-1009_3-57588291-83/revealed-u.s-compiled-secret-cybertargets-list/
http://www.wired.com/threatlevel/2013/06/presidential-cyber-targets/
http://www.theatlanticwire.com/politics/2013/06/obamas-cyberwar-target-list-china-xi/66022/

【編集者メモ】(McBride)
実際に狙われるような資産を所有したり運用したりしている団体や企業は、標 的となっていることを理解していない。国家が関与する攻撃において、標的が 選ばれる手順を最一通り学んでみると、標準的セキュリティ対策のアプローチ は、APTのような高度で複雑な脅威には役に立たないことがわかるだろう。

────────────────

◆Android機器を攻撃する高度なトロイの木馬が出現(2013.6.7-10)

Android機器を攻撃する高度で複雑なトロイの木馬が発見された。Obadと呼ば れるトロイの木馬は、Androidの脆弱性2件と、他のソフトウェア脆弱性1件を 悪用する。Obadは、感染するとプレミアムサービス番号(有料)に対してテキス トメッセージを送信して携帯電話所有者の気が使いないうちに課金されるほか、 マルウェアがダウンロードされて、すでに感染している携帯電話にさらにイン ストールされる。今回悪用されているAndroidの脆弱性は2件あるが、感染して いる携帯電話上での検出と駆除は困難になっている。また、ObadはBluetooth とWi-Fiも利用して他の機器にも感染する。

http://www.h-online.com/security/news/item/Sophisticated-Android-Trojan-identified-1885824.html
http://arstechnica.com/security/2013/06/behold-the-worlds-most-sophisticated-android-trojan/
http://www.theregister.co.uk/2013/06/07/android_obad_trojan/

────────────────

◆米FDAが電子医療機器を向けサイバーセキュリティの推奨対策を公開(2013.6.13)

米食品医薬品局(FDA)は、医療機器を対象にしたサイバーセキュリティの推 奨対策を公開した。FDAは医療機器の製造企業に向けて、マルウェアやサイバー 攻撃に対する保護対策を対象機器へ適用することを強く推奨するとともに、 サイバーセキュリティ対策が十分に考慮されていない場合には、同局からの許 可が得られない可能性も示唆した。今回、推奨対策を公開に踏み切った理由は、 生命維持に関わる特定の体液解析モニター装置やソフトウェアに関するセキュ リティの問題がニュースで取り上げられたためだ。今までのところ、医療機器 が攻撃対象になったという証拠もなく、サイバー攻撃により患者が怪我または 死亡したという報告がない中で、FDAは医療機関に対して、アクセスが限定さ れるべきソフトウェアのパスワードが広く配布されていることや、更新プログ ラムを「適宜に」適用していないことなどを挙げて、サイバーセキュリティ対 策の実施・運用について改善するように促している。

http://www.computerworld.com/s/article/9240040/FDA_calls_on_medical_device_makers_to_focus_on_cybersecurity?taxonomyId=17 FDAによる医療機器および病院ネットワークのサイバーセキュリティについて
http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm356423.htm

【編集者メモ】(Pescatore)
今回公開されたのは、2005年(8年前!)にFDAが「注:FDAは医療機器ソフト ウェアの変更がサイバーセキュリティ強化を目的に行われた場合、確認・承認 する必要はない」とした指導通達を再確認しているだけだ。医療機器の製造元 の多くは、この通達を利用し、機器の再認定を必要とするため、パッチの適用 ができないという言い訳に使っていたが、事実は全く違う!今回のガイドライ ンの後半は、多くのCritical Security Controlについて再確認をしている。

【編集者メモ】(Murray)
医療機器への攻撃は、知名度を上げたい「研究者」達が取り上げているだけだ。 ニュースが取り上げることで、いたずらが増えるだけだ。

【編集者メモ】(McBride)
医療機器のセキュリティガイドラインは、まだ草案状態で、歯抜けの状態だ。

────────────────

◆ICS-CERTが医療機関に医療機器のハードコードされたパスワードに関する警告を発令(2013.6.13-14)

米国家安全保障省(DHS)は、病院や医療施設に対して、電子医療機器の多く には、潜在的なセキュリティの欠陥があると警告を発した。発行元はDHSの ICS-CERTで、医療機器の多くはハードコードされたパスワードが含まれている 状態で製造されている。つまり、攻撃者は機器の設定を変更したり、悪意があ るファームウェアの追加が可能となる。医療機関に対する警告には、対象機器 をインターネットやローカルネットワークから切り離すように推奨している。

http://arstechnica.com/security/2013/06/vast-array-of-medical-devices-vulnerable-to-serious-hacks-feds-warn/
http://www.theregister.co.uk/2013/06/14/medical_device_security_warning/
http://ics-cert.us-cert.gov/alerts/ICS-ALERT-13-164-01

【編集者メモ】(Pescatore)
「Internet of Things」が現実のものとなろうとしている。かつて使われたア スベストや水銀が悪であると認識し、建築設計者が使わなくなったのと同じよ うに、次世代の設計者が、パスワードをハードコードするというのが悪である ことを常識とする時代になることを望む。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月20日(木)・7月19日(金)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○6月27日(木)・7月18日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

○7月 3日(水)
 情報セキュリティ人材育成セミナー&CISSP/SSCP体験セミナー
http://www.nri-secure.co.jp/seminar/2013/isc02.html?xmid=300&xlinkid=11

○7月24日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のハンズオン研修(有料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎6月26日(水)・9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=02

◎6月27日(木)~28日(金)/9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)~/11月11日(月)~/2014年1月20日(月)~/
 2014年3月10日(月)~:各5日間 (※連続した日程ではございません。)
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=04

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=05


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。