NRI Secure SANS NewsBites 日本版

Vol.8 No.28 2013年7月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.28 2013年7月16日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
          世界最高レベルのセキュリティトレーニングを東京で!
                  = SANS Tokyo 2013 =

       http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

     <9月開催コース>9/3-4・9/19-20・9/25-26 [6日間]
       【SEC401】SANS Security Essentials Bootcamp Style

     <10月開催コース>10/21-26 [6日間]
       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


───────────────────
■■SANS NewsBites Vol.15 No.54-55
(原版: 2013年7月9日、12日)
───────────────────

◆緊急警報放送に脆弱性(2013.7.8)

先月末、緊急警報放送装置の脆弱性をUS CERT(米国コンピュータ緊急対応 チーム)が報告した。この装置はテレビやラジオ放送を中断するために利用さ れる機器で、この脆弱性を悪用されると、第三者により不正に操作され偽の警 告を放送することが可能になる。報告されている脆弱性は、公開されている ファームウェアにルートSSHの秘密鍵が含まれているというものだ。ここ数年 間で、同様の機器やシステムに対して、ローカルレベルで攻撃可能な弱点が報 告されている。アドバイザリによると、特定のベンダはすでに問題を修復済み という。

http://www.wired.com/threatlevel/2013/07/eas-holes/
http://www.kb.cert.org/vuls/id/662676

────────────────

◆EPIが米最高裁判所に対してNSAの通話記録収集停止を要請(2013.7.8)

電子プライバシー情報センター(EPIC)は、米国家安全保障局(NSA)による 通話履歴の収集停止を求める嘆願書を米連邦最高裁(SCOTUS)に提出した。 EPICが直接SCOTUSに対して提訴したのは、外国情報活動監視裁判所への提訴は 不可能であること、他に外国情報活動監視裁判所の命令を無効とする権利を持 つ裁判所が存在しないということが理由だ。米愛国者法の第215条では、外国 情報活動監視裁判所は、承認された捜査に関係する情報であると認められた場 合には、令状を発行することができると定められているが、EPICは、全通話履 歴は、捜査には関係ないと主張している。

http://www.wired.com/threatlevel/2013/07/scotus-nsa-spying/
http://arstechnica.com/tech-policy/2013/07/supreme-court-asked-to-halt-nsa-phone-surveillance/
嘆願書原文:
https://epic.org/EPIC-FISC-Mandamus-Petition.pdf

────────────────

◆韓国へのサイバーの攻撃の背後には大規模サイバーエスピオナージが存在(2013.7.8)

McAfee Labは、3月に発生した韓国へのサイバー攻撃事件(別名:Dark Seoul) は、軍事機密情報収集を目的とした大規模エスピオナージ活動の一部であった とする調査結果を報告した。この策動は、マルウェアのコード内に使われてい た古代都市名を引用し、「トロイ作戦」名付けられ、少なくとも2009年には存 在していたようだ。McAfeeは、3月に韓国の銀行やTV局のネットワークのコン ピュータからデータを削除された事件に基づき調査を進めたもの。攻撃の背後 にいる首謀者は、米国・韓国の共同軍事演習に関する報告資料などを探した形 跡が見られ、韓国や米国の軍事情報を狙っていたと考えられるという。

http://www.bbc.co.uk/news/technology-23227543
http://arstechnica.com/security/2013/07/hard-drive-wiping-malware-that-hit-s-korea-tied-to-military-espionage/
http://www.cbsnews.com/8301-202_162-57592604/hackers-targeting-u.s-south-korea-are-after-military-secrets-cybersecurity-experts-say/

────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆NSAへの協力を惜しまないMicrosoft(2013.7.11)

The Guardianの報道によると、Microsoftは、FBIと協力して、NSAに対して Outlook.comのチャットなどMicrosoftサービスの暗号を迂回する手段を提供し ていたほか、Skypeサービスのやり取りを監視していたという。さらに同紙に よると、MicrosoftとFBIの連携により、Microsoftが外国情報諜報目的で協力 を要請された場合には、NSAが同社のオンラインストレージサービスである SkyDriveのユーザファイルに容易にアクセスできるようなっているという。 これに対してMicrosoftは、政府当局に直接的または無制限アクセスを付与し ていないと回答した。

http://blogs.wsj.com/digits/2013/07/11/guardian-says-documents-show-microsoft-help-for-nsa/?mod=WSJBlog&mod=

────────────────

◆韓国の金融監督庁が、銀行各社に対してセキュリティ要件を義務化(2013.7.11)

韓国金融委員会(FSC)は、大手銀行に対して社内利用と外部利用にネット ワークを分離することを義務化する予定であることを明らかにした。これは先 日発生した韓国銀行ネットワークが大規模なサイバー攻撃を受けたことに対す る措置となる。さらにFSCは、バックアップストレージセンターの構築も検討 している。

http://www.zdnet.com/s-korea-banks-to-segment-network-establish-data-backup-7000017927/

【編集者メモ】(Murray)
今や銀行に限らず大企業のネットワークは全て、社内用か社外用かに限らず、 アプリケーションレベルでのエンドツーエンドの暗号に移行すべきだ。ネット ワークやOSレベルの暗号はもう古い。NSAですら社内システムが侵害されてい るという可能性を否定できない時代に、ネットワークの分割や多層化では不十 分だろう。

────────────────

◆インド政府、一般ユーザのBlackBerry通信を傍受(2013.7.11)

BlackBerryとインド政府は、リアルタイムに通信を「合法的傍受」する協定に 合意した。これにより、インド政府はBlackberry経由で送受信された一般ユー ザの通信を追跡できることとなる。対象となる送受信情報は、メッセージが読 まれたか、実際にメッセージが受信されたかは関係ない。ただし、BlackBerry Enterprise Server経由で送信された企業ユーザの通信は対象外となる。今回 の協定に関する合意が報道されて以来、アナリスト間で話題になっているのは、 エンドツーエンドの暗号が利用されているAppleのiMessageとFacetimeサービ スを対象にするかだという。

http://www.zdnet.com/in/indias-blackberry-monitoring-system-ready-for-use-7000017937/
http://www.bbc.co.uk/news/technology-23265091

【編集者メモ】(Pescatore)
法執行機関やや諜報機関による合法な傍受は、どの国や社会でもある程度必要 だと判断しているようだ。それは、「合法」の定義や傍受に対する制限事項や 保護対策が違うだけであり、20年前にアナログからデジタルへの移行、暗号利 用の普及という技術が進歩しても、通信の本当の「合法的」監視の必要性が変 わるわけではないのだ。

【編集者メモ】(Murray)
暗号化することで、政府当局からも情報を守れると思っているなら、 Phil Zimmermanの論文を読むといいだろう。PGPについての最初の論文であり、 その制限事項が説明されている。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「スピアフィッシング」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 7月号は、スピアフィッシングについて、概要や危険性、防御法について
 一般のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
 
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のハンズオン研修(有料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=04

◎9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月18日(木)・8月27日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=06

○7月19日(金)・8月29日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=07

○7月24日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=08

○7月25日(木)
 情報セキュリティ人材育成セミナー&SANS/CSSLP体験セミナー
http://www.nri-secure.co.jp/seminar/2013/isc03.html?xmid=300&xlinkid=09
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。