NRI Secure SANS NewsBites 日本版

Vol.8 No.30 2013年7月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.30 2013年7月30日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

上院が公開した法案に対する専門家の一言:
米上院が公開したサイバーセキュリティ法案に対して、NewsBitesのエディタ でありFBIのサイバー犯罪部門のアシスタントエグゼクティブディレクターで あるShawn Henryが辛辣なコメントをしている。
「過去7年間、法案の審議を影で見守ってきた立場からすると、これはストレ スがたまる。一国民として、一納税者としては、怖くもある。この問題が難 しいのは理解できるし、利害の不一致があるのもわかる。しかし、政治的な影 響は別にして、そろそろ考え方を変えて意味ある決断をするときだ」「ブリー フィングにも公聴会にも参加した。ブッシュ政権で上院議員の反応は、脅威は わかるが重要度がわからないというレベルだった。議員たちは包括的国家サイ バーセキュリティ・イニシアティブ(Comprehensive National Security Initiative)には賛成している。これは2007年にブッシュ政権で作成され、 2009年にオバマ政権が採用したものだ。この構想でいろんな問題に対応できる はずだった。6年たった今、状況は悪化している。いまだに「任意準拠のガイ ドライン」や、脆弱性の調査について話をしている状態だ。バカじゃないのか。 今ごろ敵対国は乾杯しているだろう」

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
          世界最高レベルのセキュリティトレーニングを東京で!
                  = SANS Tokyo 2013 =

       http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

     <9月開催コース>9/3-4・9/19-20・9/25-26 [6日間]
       【SEC401】SANS Security Essentials Bootcamp Style
     <10月開催コース>10/21-26 [6日間]
       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■■SANS NewsBites Vol.15 No.058-059
(原版: 2013年7月23日26日)

────────────────
◆Apple開発者サイト攻撃される(2013.7.22)

Apple社は、開発者サイトが先週攻撃されたことを発表した。このサイトは、 7月18日(木)からアクセスができない状態になっていた。パスワードのリセッ トを呼びかけるメールを受信した利用者もいるため、情報が不正に取得され 悪用されていると考えられる。Appleはサイトの徹底的な調査を行っている。

Internet Storm Center:
https://isc.sans.edu/diary/Apple+Developer+Site+Breach/16210
http://www.computerworld.com/s/article/9240928/Apple_confirms_hack_of_its_developer_website?taxonomyId=17
http://www.scmagazine.com//hackers-attempt-to-steal-data-of-apple-developer-site-members/article/303922/
http://www.zdnet.com/amid-extended-apple-developer-site-downtime-users-report-unauthorized-password-reset-emails-7000018333/
http://arstechnica.com/apple/2013/07/apple-blames-days-long-developer-center-outage-on-intruder/

────────────────

◆外国情報監視裁判所、NSAの通話記録収集継続を認可(2013.7.22)

米外国情報監視裁判所は、国家安全保障局(NSA)による電話通信業者の通信 記録収集活動の継続を認可した。今回の継続は、「通信情報収集プログラムは 公共の利益を保持する活動である」として許可された。通話内容や利用者の個 人情報へのアクセスは許可されていない。

http://www.computerworld.com/s/article/9240931/U.S._court_renews_permission_to_NSA_to_collect_phone_metadata?taxonomyId=17
http://www.zdnet.com/foreign-intelligence-surveillance-court-asserts-authority-over-phone-records-7000018323/
http://arstechnica.com/tech-policy/2013/07/snowden-be-damned-government-renews-us-call-record-order/
────────────────

◆米司法省 NSAの監視は憲法違反ではない(2013.7.19)

国家安全保障局(NSA)による通信情報収集活動に対する訴訟に対して、米政 府は情報機関の活動が裁判所に対する異議申立ての対象とはなり得ないと回答 した。オバマ政権は、今回の収集活動は憲法で守られた国民の権利を侵害する ものではなく、「公益」のための施策であるとしている。

http://www.wired.com/threatlevel/2013/07/spygate-snooping-standing/
米司法省の回答:
http://www.wired.com/images_blogs/threatlevel/2013/07/nsaacluresponse.pdf

────────────────

◆NSAが局内ネットワークのデータ保護施策を導入(2013.7.18)

国家安全保障局(NSA)は、局内ネットワークに保存されている最高機密のデー タ を保護するため、新たに「2名ルール」を採用した。このルールでは、機密 性の高いデータにアクセスする際には、2名の管理者が共同で作業する必要が ある。仕組みは核兵器の操作手続きをもとに作成された。さらに、同局では究 極の機密情報に対して強固な暗号を採用する予定がある。

(Please note: The New York Times requires a paid subscription.)
http://www.nytimes.com/2013/07/19/us/military-to-deploy-units-devoted-to-cyber-operations.html?src=recg

────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆クレジットカード情報1億6,000万件の窃盗 ウォールストリートへのハッキングが起訴状で発覚(2013.7.25)

7年間にわたりクレジットカード情報1億6,000万件を窃取したサイバー攻撃事 件で5名が起訴された。このうちの1名に対する起訴状で、NASDAQのコンピュー タに2年間にわたり侵入していたことが発覚。世界的金融システムの脆弱性が 浮上した。被告人5名には、現在懲役20年で服役中のAlbert Gonzalezも含まれ ている。
2005年から2012年にかけて、犯行グループは、Heartland Payment Systems、 Hannaford Brothers、Dexia Bank Belgiumなど多数の金融機関のコンピュータ に不正アクセスをしていた。

http://dealbook.nytimes.com/2013/07/25/wall-streets-exposure-to-hacking-laid-bare/?_r=0
http://www.wired.com/threatlevel/2013/07/albert-gonzalez-conspirators/
http://www.computerworld.com/s/article/9241078/Five_indicted_in_massive_hacking_scheme?taxonomyId=17
http://krebsonsecurity.com/2013/07/hacker-ring-stole-160-million-credit-cards/
http://www.bbc.co.uk/news/technology-23448639
http://news.cnet.com/8301-1009_3-57595482-83/feds-accuse-five-men-of-largest-u.s-hacking-scheme/
http://www.justice.gov/opa/pr/2013/July/13-crm-842.html

────────────────

◆英情報機関 セキュリティ評価で大手企業を支援(2013.7.25)

英ビジネス・イノベーション・職業技能省により国内大手企業に対してサイバー ガバナンス健康診断(Cyber Governance Health Check)の実施が要請されて いる。この要請に際して、英情報機関の政府通信本部(GCHQ)と保安局(MI5) がこの試みを支援する。今回の診断プロセスでは、まず各社の幹部と監査委員 長がWebガバナンスのアンケート調査票に回答する。その後、各社の監査委員 会は発見された問題に対して質疑応答の機会が与えられ、参加企業の間では匿 名化された他社情報が共有される。

http://www.zdnet.com/uk/intelligence-bosses-ask-biggest-uk-firms-to-take-security-health-check-7000018560/
http://www.v3.co.uk/v3-uk/news/2284860/gchq-and-mi5-push-all-ftse-350-firms-to-have-cyber-security-audit
http://www.telegraph.co.uk/technology/internet-security/10202772/MI5-and-GCHQ-urge-FTSE-350-to-step-up-cyber-defences.html
http://www.computerworlduk.com/news/security/3460812/mi5-gchq-urge-ftse-chiefs-carry-out-cyber-security-health-check/

【編集者メモ】(Pescatore)
セキュリティのベンチマークは非常に有用だ。しかし幹部と監査担当者が回答 するアンケートでは、ほとんど意味がないだろう。対象企業が一般に公開して いるWebアプリに対してアプリケーション脆弱性検査と解析を行い、その結果 をベンチマークとして取締役会に報告する方がセキュリティは改善されるだろ う。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「スピアフィッシング」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 7月号は、スピアフィッシングについて、概要や危険性、防御法について
 一般のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
 
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)~/11月11日(月)~
 /2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=02

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

◎10月28日(月)~11月1日(金)
 CSSLP 8ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/csslp.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のハンズオン研修(有料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=05

◎9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月27日(火)・9月26日(木)・10月23日(水)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=07

○8月29日(木)・9月25日(水)・10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○9月20日(金)
 ISMS規格改訂セミナー ~改訂の中核メンバーが語る!~
http://www.nri-secure.co.jp/seminar/2013/0920.html?xmid=300&xlinkid=09
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。