NRI Secure SANS NewsBites 日本版

Vol.8 No.25 2013年6月26日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.25 2013年6月26日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
          世界最高レベルのセキュリティトレーニングを東京で!
                  = SANS Tokyo 2013 =

       http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

     <9月開催コース>9/3-4・9/19-20・9/25-26 [6日間]
       【SEC401】SANS Security Essentials Bootcamp Style (NEW!)

     <10月開催コース>10/21-26 [6日間]
       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


───────────────────
■■SANS NewsBites Vol.15 No.048-049
  (原版: 2013年6月18日、21日)
───────────────────

◆秘密監視、他国も①(2013.6.16-17)

The Guardian紙によると、英国政府通信本部(GCHQ)の情報当局も2009年ロン ドンG20 サミット開催期間に諸外国代表を監視していた。GCHQは、メールの傍 受と通話の監視をしていた。さらに、サミット開催後も特定の対象人物の監視 を可能にするために、諸外国の派遣団用にインターネットカフェを設置し、ア カウントのログイン情報を不正に取得していた。The Guardianによると、この 件に関しても、スノーデンのリーク文書内に証拠が含まれていた。

http://www.guardian.co.uk/uk/2013/jun/16/gchq-intercepted-communications-g20-summits
http://www.computerworld.com/s/article/9240107/U.K._spy_agency_reportedly_snooped_on_delegates_at_G20_meetings_in_09?taxonomyId=17

【編集者メモ】(Murray) 政府とはそういうものだ。それができるのが政府だし、やるべきだ。国民は、 何が行われているか知りたいのであって、反対しているわけではない。

────────────────

◆秘密監視、他国も②(2013.6.13)

豪州政府は、首都キャンベラ郊外にデータストレージ施設を建設している。こ の施設の目的は、インターネットや電話通信からの大量データの管理を可能に することだ。最新設備による施設は、豪州の国防省情報本部信号部(DSD)の 活動を支援している。豪州情報当局はPRISMによるデータ収集プログラムから も情報を入手している。

http://www.canberratimes.com.au/it-pro/security-it/black-vault-for-a-deluge-of-secrets-20130612-2o48w.html
http://www.bordermail.com.au/story/1569837/australia-gets-deluge-of-us-secret-data-prompting-a-new-data-facility/?cs=12

────────────────

◆PRISMについてわかっていること(2013.6.14-16)

米国家安全保障局(NSA)のPRISM監視プログラムが報道されたことで、プログ ラムの不適当性について技術的に細かく議論されている。この話は、米国の大 手インターネット企業が、自社サーバに対してNSAからのアクセスを許可して いたというものだ。今回の暴露でNSAの監視範囲が公表されたが、リークされ たプレゼンテーション資料によると、PRISMシステムは、FBIとNSAからのデー タ提供要請を自動化しているシステムで、当局に対して自由にサーバへのアク セスを許可しているわけではない。また、NSAが取得するデータは広範囲にわ たっているが、PRISMはその一部に過ぎないことは長年周知されてきたことだ。 NSAが取得しているのは、インターネットのバックボーンを流れるファイバー ケーブルから吸い上げられ、トラフィックデータは米国内に出入りする時点で 収集され、NSAに分析される。

http://www.zdnet.com/how-did-mainstream-media-get-the-nsa-prism-story-so-hopelessly-wrong-7000016822/
http://bigstory.ap.org/article/secret-prism-success-even-bigger-data-seizure

────────────────

◆NSA FISA要請件数を公開(2013.6.14-15)

米政府は、技術系各社に対して、顧客情報を含む国家安全保障命令の部分的な 情報の開示を許可した。先週、Googleは米国当局に宛てた書簡を公開し、情報 の公開許可を求めた。ほかにも同じような要望をしている企業は複数社存在し ていた。今後、透明性レポートで一定の制限の下、「米国内の地方、州、連邦 司法局からの要請総件数」を統計として公開することが許可された。
Googleは今回の決定に対し、「2つの分類(NSLとFISA(Foreign Intelligence Surveillance Act)によるNSAからの要請)を統計としてまとめることは、ユー ザにとっては後退しているように見える」と述べた。Microsoft、Facebook、 Appleは情報を公開した。

http://www.zdnet.com/u-s-government-loosens-gag-order-on-security-related-data-requests-7000016863/
http://www.washingtonpost.com/business/technology/2013/06/14/61a6ff1e-d55c-11e2-a73e-826d299ff459_story.html
http://www.computerworld.com/s/article/9240091/Apple_received_thousands_of_personal_data_requests_from_US?taxonomyId=17

────────────────

◆スノーデンはUSBドライブに情報を保存(2013.6.13)

エドワード・スノーデンは、USBメモリを使ってNSAからの機密文書を盗み出し たようだ。米国防総省は、2008年に同省のシステムが小型デバイス経由でマル ウェアに感染して以来、USBメモリの使用を禁止していた。このルールに変わ りはなかったが、2年後にさらに強化された。ブラッドリー・マニングが多数 の政府文書を機密ネットワークからUSBメモリに保存して盗み出した事件が発 覚したためだ。2010年12月に取り外し可能な外部メディアが利用禁止となった が、徹底は困難であり、職務上必要な担当者には許可されていた。システム管 理者という立場から、スノーデンはUSBドライブの利用は、疑わしい行為とは 受け取られなかったのである。

http://www.wired.com/threatlevel/2013/06/snowden-thumb-drive/

────────────────

◆Microsoft 政府とゼロデイ脆弱性の情報を共有しているとする報道内容を否定(2013.6.14)

Microsoftは、テロリストや敵対国のコンピュータに侵入するため、米国当局 との間で脆弱性情報を共有しているという報道を否定した。ブルームバーグの マイケル・ライリーが伝えたところによると、脆弱性情報を入手する代わりに 政府が保持している脅威情報が提供されていた。Microsoftは、これに対して 公式文書を公開し、脆弱性の事前告知や修正プログラムの提供は、確立された プログラムをもとに実施されていると回答した。仮に政府が敵対国を攻撃する ためにゼロデイ脆弱性を入手したいなら、もっと有効な方法があるだろう。脆 弱性情報の販売をビジネスとしている企業だ。

http://www.h-online.com/security/news/item/Microsoft-denies-providing-US-government-with-vulnerabilities-1890696.html
http://arstechnica.com/security/2013/06/nsa-gets-early-access-to-zero-day-data-from-microsoft-others/
http://www.nextgov.com/cybersecurity/2013/06/prism-20-new-phase-nsa-leaks/64964/?oref=ng-channelriver
ブルームバークの記事:
http://www.bloomberg.com/news/2013-06-14/u-s-agencies-said-to-swap-data-with-thousands-of-firms.html

────────────────

◆米露がサイバーセキュリティホットライン開設(2013.6.17-20)

米国とロシアは、サイバー紛争へのリスクを軽減することを目的とし、サイバー セキュリティ問題についてコミュニケーションを図ることに同意した。25年前に 核兵器問題で利用されたリアルタイムのコミュニケーションと同様、両国は情報 の欠如や誤解による大惨事発生を回避することを望んでいる。両国は、お互いに サイバー演習について事前連絡をすることで、攻撃的アクションと誤認されるの を防ぐこと、他国のサイバー空間やそれぞれの国から発信されている脅威と考え られるサイバー活動について問い合わせを可能にすること、ホットラインを開設 し、両国首脳が必要に応じて直接対話ができるようにすることとした。

http://www.washingtonpost.com/world/national-security/us-and-russia-sign-pact-to-create-communication-link-on-cyber-security/2013/06/17/ca57ea04-d788-11e2-9df4-895344c13c30_story.html
http://www.h-online.com/security/news/item/US-and-Russia-install-red-telephone-for-cyber-threats-1893196.html
http://www.whitehouse.gov/the-press-office/2013/06/17/fact-sheet-us-russian-cooperation-information-and-communications-technol

【編集者メモ】(Pescatore)
米露が話し合いを始めたのは2011年で、これはよいことである。2超大国が核 兵器使用を抑止するために均衡を保っていた冷戦時代と似通っているところは ある。しかし、これらの兵器開発における科学者や資金は巨大国政府の独占 だった。サイバー兵器の場合はそうではない。国が犯罪に対して取り組みなが らも、民間や一般市民が犯罪から身を守る努力をする必要があるという状況の 方が、例えとしては近い。

────────────────

◆Microsoft ユニークなバグ発見報奨金プログラムを発表(2013.6.19)

Microsoftは、GoogleやMozillaに続き、バグ発見報奨金プログラムを開始した。 実際には3つのプログラムを導入する。まず、期間指定付ではあるが、6月26日 に公開する予定のInternet Explorerに対して、7月26日までに危険度が高いバ グを発見した場合には最高1万1,000ドル、場合によってはそれ以上の報奨金が 支払われる。残りのプログラムには期間の指定がない。 Mitigation Bypass BountyとBlueHat Bonus for Defenseと呼ばれる2つのプロ グラムでは、Windows 8.1の悪用防止機能通過に成功すると、最高10万ドルが 支払われ、そこで利用されたエクスプロイトの防衛策に対して5万ドルが支払 われる。Microsoftセキュリティレスポンスセンターのマイク・リーベイシニ アディレクターは、今回のバグ発見報奨金プログラムにより、Pwn2Ownのハッ キングコンテストへの参加者が少なくなることを期待している。

http://www.reuters.com/article/2013/06/19/us-microsoft-bounties-idUSBRE95I1AZ20130619
http://arstechnica.com/security/2013/06/microsoft-will-pay-up-to-100k-for-new-windows-exploit-techniques/
http://www.darkreading.com/vulnerability/microsoft-establishes-rewards-programs-f/240156968

────────────────

◆Firefox トラッキング機能ブロックを次期バージョンで導入(2013.6.19)

Mozillaの開発者たちは、次期バージョンの方向性としてトラッキング機能を 防止するようだ。広告主は、トラッキング機能よりターゲット型広告が可能に なり、Webサイトの売上げ向上につながるため、この変更には反対の意向を示 している。Cookieはユーザが対象のWebサイトに明確に許可をした場合、また はユーザが定期的にサイトにアクセスしている場合にのみ許可される。今回の 変更により影響を受けるのは、ユーザの許可なしにトラッキングしている企業 のようだ。

http://www.washingtonpost.com/business/technology/firefox-browser-to-move-ahead-with-do-not-track/2013/06/19/b0ad618c-d8f6-11e2-a9f2-42ee3912ae0e_story.html



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月27日(木)・7月18日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

○7月19日(金)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○7月24日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=12

○7月25日(木)
 情報セキュリティ人材育成セミナー&SANS/CSSLP体験セミナー
http://www.nri-secure.co.jp/seminar/2013/isc03.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中のハンズオン研修(有料)    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=02

◎9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)~/11月11日(月)~/2014年1月20日(月)~/
 2014年3月10日(月)~:各5日間 (※連続した日程ではございません。)
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=04

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「短縮URLとQRコード」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 6月号は、短縮URLやQRコードについて、一般のユーザ向けに、分かりやすく
 解説しています。社員の意識向上ツールとしてお使いください。
 http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。