NRI Secure SANS NewsBites 日本版

Vol.8 No.3 2013年1月23日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.3 2013年1月23日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
OT(運用技術)に対するサイバー攻撃の増加と複雑性が高まる中、あるパター ンが出てきた。攻撃対象システムは、SCADA電力システムからガスや製油(そ して遠心分離機)の産業用制御、ハイテク医療機器、環境用制御システム、多 種多様の装置などがある。これらは基本的に、コンピュータでコントロールさ れた技術であるが、いわゆる情報システム部門の管轄資産でも運用対象でもな い。大規模な団体・組織の中では、OTシステムとITシステムは量的にライバル 関係であるが、脆弱性の数と有事の場合の被害は、ITシステムの比ではない。 国家が関与している攻撃、またそれ以外の攻撃でも、OTはピンポイントで狙わ れている。OT自体が狙われている場合もあれば、他の標的を狙うための足場と して攻撃される場合がある。2月12~13日にオーランドで、OTテクノロジーと ITセキュリティのリーダたちを一同に集めた、OTを守る最新技術を学ぶチャン スがある。また、ワークショップの前後に集中コースも提供される(これを学 ぶことで、君の会社も君のキャリアも変わる可能性がある。) さらに、他で は絶対にないような内容としては、DHSを退職したばかりのICSセキュリティの トップの見解を聞いて話し合えるチャンス、そしてICSセキュリティの国際コ ンソーシアムは2013年のプロジェクトをキックオフする。(もし主要ICS利用 企業、またはサプライヤー側で何か提供できると思ったら、Mike Assanteに連 絡をし、招待するように要請してほしい)
登録先:http://www.sans.org/event/north-american-scada-2013


■■SANS NewsBites Vol.15 No.004-005
(原版: 2013年1月15、1月18日)

◆Red October コンピュータとモバイル端末からデータを盗むサイバースパイ活動(2013.1.14)

複数のコンピュータ緊急レスポンスチーム(CERT)が、RocraまたはRed October と呼ばれるサイバーエスピオナージの形跡があったことを明らかにした。この スパイ活動の標的は、、イラン、米国、ロシア連邦の加盟地区などを含む39カ 国の団体・組織に及んでいる。Red Octoberは、モバイル端末、コンピュータ システム、ネットワークから情報を収集しており、少なくとも5年間検出され ずに潜伏していた可能性がある。

http://arstechnica.com/security/2013/01/red-october-computer-espionage-network-may-have-stolen-terabytes-of-data/
http://www.wired.com/threatlevel/2013/01/red-october-spy-campaign/
http://www.zdnet.com/red-october-spies-on-diplomats-governments-worldwide-7000009775/

【編集者メモ】(Murray)
5年経った今も、被害者の多くは感染していることすら気づいていない。

────────────────

◆国土安全保障省 産業用制御システムの保護を民間企業に求める
(2013.1.11-14)

研究者らは、Shodan検索エンジンを使用して、米国内の重要インフラを支える SCADAシステムから、インターネット接続されている脆弱なものを特定した。 実に、7,200ものシステムが、弱いデフォルトパスワードを使用していたのだ。 米国土安全保障省(DHS)は、これらのシステムの保有企業に連絡をとり、そ の警告を促した。

http://www.bbc.co.uk/news/technology-20984827
http://news.techworld.com/security/3420347/important-scada-systems-secured-using-weak-logins-researchers-find/

【編集者メモ】(McBride)
7,200もの脆弱なシステムには、PLCも含まれていると考えられる。これは、ア クセスするのにクレデンシャル(認証情報)がまったくいらないシステムであ る。制御システムの最も大きな問題は、多くの場合リスク管理部門の管轄外で あるということだ。この結果、システムインテグレータやパートナー社員が、 セキュリティを考慮せずに機械的につなげてしまうのだ。その上、制御システ ムの多くは、設計上デフォルトでは安全でない。だから、こうなるのだ。

────────────────

◆集中トレーニングコースと6か月のインターンシップを提供するニュージャージー州知事クリスティ氏のサイバーセキュリティ競技会(2013.1.14)

ニュージャージー州知事のクリスティ氏が、サイバーセキュリティ競技会に応 募するように同州の住民に対して呼びかけた。 勝者は、New Jersey CyberCenterのスカラーシップが与えられる。このプログ ラムでは、短期間で高度なハンズオンのコースを受講でき、プログラム修了認 定書が授与される。さらに銀行、FBI、軍事機関など国内の重要インフラをサ ポートする組織にインターンとして6か月間勤務できる。ネット上で6週間にわ たって実施される一次予選で上位60位に入ると、Brookdaleで開催されるサイ バーアタックシミュレーション競技会への参加資格が与えられ、最終的に15~ 20名が選出される。先週末時点で、700名以上が一次予選に応募した。 CyberCenterのプログラムは、学生には、サイバーセキュリティの領域で公認 されている認定を受け、攻撃・防御両面の集中ハンズオンコースに参加するこ とを課す。さらに、学生は、上級フォレンジック、上級ペネトレーションテス ト、上級セキュアコンフィグレーションの中から専門分野を選択する。競技会 への参加は無料、応募資格は、退役・現職軍人、求職者(副業も可)であるこ と、学生の場合は、ニュージャージー州内の高校生、大学生であること。

http://www.nextgov.com/cybersecurity/2013/01/new-jersey-invites-vets-compete-cyber-residencies-key-institutions/60632/?oref=ng-HPriver

【編集者メモ】(Paller)
本日が応募の締切日となっているが、ニュージャージー州のプログラムは全米 展開のためのモデルでもある。この競技会とは別に、教育指導者と連邦政府の シニアオフィサーからなる50名が、ニュージャージー州の取組みから学び、国 家サイバー人材パイプラインプログラムのモデルをデザインするために、先週 の土曜日にワシントンDC郊外に集まった。

────────────────

◆米銀行がDDoS攻撃対策支援をNSAに要請(2013.1.11)

昨今DDoS攻撃の標的となっている米国内の銀行各行が、NSA(国家安全保障局) に対して支援を要請した。攻撃が始まったのは約1年前だが、昨年秋から深刻 度が高まっている。銀行がNSAに対して要望したのは、自社システムを診断す るための技術的な支援と、攻撃手法の詳細情報の提供だ。NSAは、システムが 国家の安全保障上重要であると判断された場合には、民間企業の支援が可能で あるが、正式な支援要請は、支援対象企業の監督官庁から申請される必要があ る。


【編集者メモ】(Northcutt)
実は前例があり、2010年にGoogleがNSAに支援要請している。

http://www.wired.com/threatlevel/2010/02/google-seeks-nsa-help/
────────────────

◆正体はマルウェアのJava偽パッチ、Javaのゼロデイエクスプロイト販売か
(2013.1.17)

ハッカーの典型的な便乗作戦である。悪意のあるソフトウェアをJavaの最新パッ チに見せかけて、感染するとマシンを指令管制用サーバに接続する。さらに、 セキュリティのレポーターとしてトップランクのBrian Krebによると、水曜日 には裏のハッカーフォーラムで、まったく新しい脆弱性を悪用するJavaのゼロ デイのエクスプロイトが5,000米ドルという広告があったらしい。Krebによる と、広告は一時的に掲載されていたが、その後消えた。

http://krebsonsecurity.com/2013/01/new-java-exploit-fetches-5000-per-buyer/
http://www.computerworld.com/s/article/9235946/Malware_masquerades_as_patch_for_Java

────────────────

◆Red October Javaの既知の脆弱性を悪用(2013.1.15-16)

サイバーエスピオナージ(サイバー諜報活動)「Red October」では、古いJava の脆弱性を悪用したエクスプロイトが使われていた。最低でも5年間にわたっ て潜伏していたようだが、Red Octoberの標的となったのはコンピュータやモ バイル端末上に保存された外交、軍、政府のデータだった。Kaspersky Labsは、 この発見を1月14日の月曜日に公開した。同社は、犯人はエクセルやワードの 脆弱性を悪用し、攻撃を仕掛けたと報告している。火曜日にはSecurlertとい う会社がJavaの既知の脆弱性も悪用していたと報告している。なお、この脆弱 性は2011年にOracleがパッチを提供済みだ。

http://www.zdnet.com/red-october-hackers-also-used-java-exploit-for-spy-campaign-7000009881/
http://www.theregister.co.uk/2013/01/16/red_october_java_connection/
http://www.computerworld.com/s/article/9235859/Java_exploit_used_in_Red_October_cyberespionage_attacks_researchers_say?taxonomyId=17

────────────────

◆イラン サイバー領域では「侮れない勢力」(2013.1.17)

イランは、Stuxnetに影響され、サイバーパワーを攻守にわたって強化してお り、「侮れない勢力」であると、米空軍大将スペース司令塔幹部のWilliam Shelton大将が述べた。アナリストは、イランからのサイバー攻撃は、ますま す高度化していると述べている。イラン当局は、米国の銀行に対するDDoS攻撃 増加に対して、国の関与を否定している。

http://www.nbcnews.com/technology/technolog/iran-beefed-cyber-capabilities-after-stuxnet-us-general-1B8024450
http://www.bloomberg.com/news/2013-01-17/iran-s-cyber-threat-potential-great-u-s-general-says.html

【編集者メモ】(Murray)
国家が関与した「サイバー戦争」の最初の被害者になったイランが、このまま 黙っているわけがない。
【編集者メモ】(Paller)
サイバー戦争の最初の被害国はグルジアまたは他にもあると突っ込む人がいる かもしれないが、Murrayのコメントはもっともである。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 1月号(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 JAVAの脅威・脆弱性、対策について、一般のコンピュータユーザ向けに、
 分かりやすく解説。社員の意識向上ツールとしてお使いください。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○1月29日(火)・2月26日(火)・3月19日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=01

○2月8日(金)
 近時の企業不祥事のトレンドとその対応策
 ~スマートフォン&クラウドコンピューティング時代の不正対応~
http://www.nri-secure.co.jp/seminar/2013/0208.html?xmid=300&xlinkid=02

○2月19日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=03

○2月20日(水)・2月22日(金)
 クラウドを活用した、失敗しない文書管理プロジェクトの進め方
 ~紙や電子といった媒体にとらわれず、継続できる文書管理の秘訣をご紹介
http://www.nri-secure.co.jp/seminar/2013/sri02.html?xmid=300&xlinkid=04

○2月28日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=05

○3月7日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2013/mail02.html?xmid=300&xlinkid=06

○3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。 http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=08
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃「企業における情報セキュリティ実態調査2012」を公開
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRIセキュアが企業を対象に情報セキュリティに関するアンケート調査を行い、
そのデータを集計・分析した結果を公開!
      ↓↓↓ 無償ダウンロードはこちらから↓↓↓
http://www.nri-secure.co.jp/news/2013/0109_report.html?xmid=300&xlinkid=09


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。