NRI Secure SANS NewsBites 日本版

Vol.8 No.29 2013年7月24日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.29 2013年7月24日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 いよいよ明日7月25日(木)開催!
 
      情報セキュリティ人材育成セミナー&SANS/CSSLP体験セミナー

   http://www.nri-secure.co.jp/seminar/2013/isc03.html?xmid=300&xlinkid=09
  >>>SANSトレーニングや、日本初上陸のCSSLPを体験できるチャンス<<<

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
───────────────────

■■SANS NewsBites Vol.15 No.056-057
(原版: 2013年7月16日、19日)
───────────────────
◆米上院、サイバーセキュリティ法草案を公開(2013.7.12)

米上院は、サイバーセキュリティ法草案の公開を開始した。昨年否決された法 案と類似している。今回の法案の目的は、国の重要インフラ運用に携わる組織 に対して、任意のサイバーセキュリティ標準を確立するというもの。さらに、 サイバー防衛に関する研究開発の増加と、ソフトウェアの脆弱性情報共有を推 進するように要求している。

http://www.nextgov.com/cybersecurity/2013/07/analysis-senate-cybersecurity-bill-uncontroversial-also-unambitious/66578/?oref=ng-channeltopstory
http://www.theregister.co.uk/2013/07/12/senate_critical_infrastructure_cybersecurity_bill/

【編集者メモ】(Henry)
過去7年間、法案の審議を影で見守ってきた立場からすると、これはストレス がたまる。一国民として、一納税者としては、怖くもある。この問題が難しい のは理解できるし、利害の不一致があるのもわかる、しかし政治的な影響は別 にして、そろそろ考え方を変えて、意味ある決断をする時だ。

【編集者メモ】(Pescatore)
18歳の若者が新聞を読めるようになってから、毎年同じニュースを読んでいる 事になるのではないか。

────────────────
◆WellPoint、HIPAA違反で170万ドルを支払う(2013.7.11-12)

インディアナポリスに拠点を置く医療保険会社WellPointは、HIPAA(医療保険 の携行性と責任に関する)法に違反したとして、170万ドルの罰金を米保健福 祉省(HHS)に支払うことになった。理由は、WellPointのデータベースに対す るセキュリティの不備により、保険加入者600,000名以上の個人情報を漏洩し たというもの。問題のデータベースは、加入者の氏名、社会保障番号、医療情 報などが含まれており、2009年10月から2010年3月の間、自由にアクセス可能 な状態になっていたという。同社は、HIPAA法の規定に従い事件を報告したが、 HHSが実施した事後調査から、オンラインデータへのアクセスを保護するため の社内ポリシーと手順が不十分であることが判明した。WellPointは、2011年 にも、インディアナ州の患者32,000名の個人情報を漏洩させせたとしてイン ディアナ州に和解金10万ドルを支払うように命じられている。

http://www.scmagazine.com//wellpoint-settles-following-government-investigation-in-wake-of-breach/article/302871/
http://www.computerworld.com/s/article/9240752/Insurance_company_WellPoint_fined_1.7m_over_data_exposure?taxonomyId=17
http://www.businesswire.com/news/home/20130711006294/en/WellPoint-pays-HHS-1.7-million-leaving-information

【編集者メモ】(Pescatore)
170万ドルは非常に大金のように感じるが、情報を漏洩された60万人の対応を 含めた総費用は、2,000万ドル以上になるだろう。今回は、システム的な問題 が指摘されている。僅かなセキュリティコントロールやプロセスで防止できた というものでもないが、未然に防ぐための対策は、発生した場合の被害総額の 20%にも満たないだろう。

────────────────
◆ファイルに感染してFTPの認証情報を盗むマルウェア(2013.7.15)

ドライブバイダウンロード攻撃を経由して広がっているファイル感染型マル ウェアは、FileZilla FTCクライアントからFTPの認証情報の取得も同時にする。 このマルウェアはEXPIROの変種で、Javaの脆弱性を悪用してユーザコンピュー タに感染するものだが、対象となっているJavaの脆弱性は、2012年6月と2013年 3月に修正されているもので、感染者の大半は米国内のようだ。今回の変種に 限っては、EXEファイルをローカルドライブ、リムーバルドライブ、ネット ワークドライブで検索し、発見すると悪意のあるコードを挿入するという。

http://www.computerworld.com/s/article/9240795/Unusual_file_infecting_malware_steals_FTP_credentials?taxonomyId=17
http://www.infosecurity-magazine.com/view/33453/expiro-file-infector-variant-presents-unusual-threat-combo

【編集者メモ】(Murray)
FTPは「歴史的に不具合だらけ」だ。未だに利用しているなら、他にも問題が あるに違いない。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
          世界最高レベルのセキュリティトレーニングを東京で!
                  = SANS Tokyo 2013 =

       http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

     <9月開催コース>9/3-4・9/19-20・9/25-26 [6日間]
       【SEC401】SANS Security Essentials Bootcamp Style

     <10月開催コース>10/21-26 [6日間]
       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ロイズ社のリスクインデックス、サイバーセキュリティが12位から3位に浮上(2013.7)

2013年のロイズ社のリスクインデックスでは、ビジネスリスクの要因として、 サイバーセキュリティが上位に位置づけられた。サイバー事件・事故によるリ スクは2011年には12位であったのに対し、この3年で3位にまでなった。その他 で上位に位置づけられたリスクは、高い税率と顧客損失となった。サイバー問 題には、政治、犯罪、セキュリティのリスクが含まれる。このことは、政治的 または思想的な動機を持つ攻撃者が最近増加し、攻撃の被害額が増加したため と考えられる。報告書では、組織が「サイバーセキュリティの向上に有効な対 策に投資しているか」と疑問が投げかけられており、さらに、サイバー攻撃に よる被害損額を負担する保険を購入するより、セキュリティ対策に投資し、推 奨対策の導入状況を確認する方が得策であるとしている。2013年4月の米保険 情報研究所(Insurance Information Institute)の報告書では、サイバー事 件・事故の3分の2は、組織内の管理体制に起因すると報告している。

http://www.lloyds.com/news-and-insight/risk-insight/lloyds-risk-index
http://www.lloyds.com/lloyds/press-centre/press-releases/2013/07/tax-at-the-top-of-global-business-concerns
http://www.lloyds.com/~/media/Files/News%20and%20Insight/Risk%20Insight/Risk%20Index%202013/Report/Lloyds%20Risk%20Index%202013report100713.pdf

【編集者メモ】(Pescatore)
この報告書のサイバーリスクの部分は、Critical Security Controlsのよい宣 伝としても使える。ただし、ロイズは、組織内の管理体制に起因するサイバー 事件・事故の件数を過小評価している。悪意のある攻撃による侵害事件は37% と報告されているが、簡単で一般的なセキュリティコントロールで未然に防げ た割合までは調べていない。おそらく63%、もしかしたら、80-90%が防げたは ずだ。ところで、セキュリティ問題については、保険業界が取り組み自体を 改善する必要があるといっているにもかかわらず、保険に頼る人がいること は、ある意味滑稽だ。

【編集者メモ】(Assante)
攻撃件数が増え、非金銭目的の攻撃被害が明らかになってきたのを考えれば、 今回の飛躍は当然と言えるだろう。経営者のサイバーリスクに対する考え方は、 政府の「軽い」ポリシーよりも、保険業界によって形成されるだろう。まだ十 分なデータはないが、企業がバランスのとれた投資をしていない組織に対して、 保険業者が下す結論は否認しがだいだろう。

【編集者メモ】(Honan)
保険会社が、被害損額を支払う前に、基本的なセキュリティコントロール(次 の記事のような)をクライアント要件とするまでに、何年かかるのだろう。

────────────────

◆豪通信電子局が、4大施策のガイドラインを公開(2013.7.18)

2012年10月、Protective Security Policy Framework(防護セキュリティのポ リシーフレームワーク)により、ASD(豪通信電子局)の4大施策が豪州の全政 府機関に義務付けられた。ASDは、今月の初めに、各機関のシステムが対策を 実施するための技術ガイドラインを公開した。ASDによると、アプリケーショ ンのホワイトリスティング、アプリケーションのパッチ適用、OSのパッチ適用、 管理者権限の最小限化などが適切に運用されれば、サイバーセキュリティ運用 センター経由で確認されている85%の侵入攻撃を防ぐことができるという。

http://www.zdnet.com/au/asd-shows-government-how-to-do-security-right-7000018231/
Top Four Strategies Guide:
http://www.dsd.gov.au/infosec/top-mitigations/top-4-strategies-explained.htm

【編集者メモ】(Murray)
アプリケーションのホワイトリスティングは、アプリケーション利用を制限す るポリシーで非常に効果があるが、誰もやっていない。それどころか、多くの ユーザは、金欲、性欲、恐怖、惰性、好奇心、笑いを誘うものは、なんでも許 可してしまう。MJRが言ったとか「セキュリティの罠にかけるなら踊る豚が一 番だ("Dancing pigs trump security every time.)」と。

【編集者メモ】(Paller)
ハッシュベースのアプリケーションホワイトリスティング適用の難しさを説明 させると、Bill Murrayはいつも正しい。しかし米NSA(国家安全保障局)が利 用したロケーションベースのホワイトリスティングは、国防総省内で、非常に 便利で効果があった。

────────────────

◆調査報告:昨年、世界の金融機関の半数がサイバー攻撃に遭う(2013.7.18)

国際取引所連合と証券監督者国際機構(IOSCO)によると、昨年世界の金融取 引市場の半数が、サイバー攻撃を受けたことがわかった。報告書によると、 金融市場を妨害するものが、主に増加しているという。金融機関の幹部は脅威 を認識しており、「大規模で組織化された攻撃を受けた場合、現状の防護策や 災害復旧対策では耐えられない」と回答した幹部は4分の1を占めた。

http://www.theregister.co.uk/2013/07/18/half_of_all_financial_exchanges_hit_by_cyber_attacks/
http://www.zdnet.com/as-nasdaqs-site-hit-by-hackers-report-says-half-of-worlds-exchanges-suffered-cyberattacks-7000018243/
http://www.world-exchanges.org/files/statistics/pdf/IOSCO_WFE_Cyber-crime%20report_Final_16July.pdf

【編集者メモ】(Pascatore)
半数?「世界の金融機関の半数が詐欺の試みにあった」というなら、私の反応 は、「意外に少ないね」となる。調査を詐欺に関して限定したとしても、25% は大規模な組織的詐欺を未然に防げるか自信がないと答えるだろう。

【編集者メモ】(Honan)
もっと正確にいうなら、昨年起きたサイバー攻撃を発見した世界の金融機関は 半数だったと言うべきだろう。何度も何度も侵害は起きている。例えば、TJX は、何か月もそのままだ。


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「スピアフィッシング」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 7月号は、スピアフィッシングについて、概要や危険性、防御法について
 一般のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
 
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のハンズオン研修(有料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=04

◎9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月24日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=08

○8月27日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=06

○8月29日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=07
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。