NRI Secure SANS NewsBites 日本版

Vol.8 No.32 2013年8月13日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.32 2013年8月13日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
来週ワシントンで開催されるCritical Security Controlsのワークショップで 扱う事例は、サイバーセキュリティコンサルティングの今後を予測する上で有 益である。クライアントは、わかったふりをしているコンサルタントと実際に 脅威を理解し防ぐことができる実知識と経験を持ったコンサルタントの違いが わかるようになるだろう。トップレベルのコンサルティングサービスに興味が あるなら、是非参加してほしい。
登録はこちら http://www.sans.org/event/critical-security-controls-summit


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
          世界最高レベルのセキュリティトレーニングを東京で!
                  = SANS Tokyo 2013 =

       http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

     <9月開催コース>9/3-4・9/19-20・9/25-26 [6日間]
       【SEC401】SANS Security Essentials Bootcamp Style
     <10月開催コース>10/21-26 [6日間]
       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────

■■SANS NewsBites Vol.15 No.062-063
(原版: 2013年8月6日、9日)

────────────────

◆IWF報告、正規サイトに侵入して幼児ポルノ画像を密かに提供(2013.8.5)

IWF(Internet Watch Foundation)の報告によると、ハッカーは正規の企業サ イトに侵入して児童ポルノ画像をホスティングしているという。IWFに報告さ れた件数は、この6週間で200件以上となった。実際に被害にあったサイトでは、 「orphan folders」というフォルダが作成され、このフォルダに違法画像が保 存されていた。さらに合法のポルノサイトに特別な仕掛けをして、他のサイト にある隠し画像へユーザをリダイレクトしている事例もあるという。

http://www.bbc.co.uk/news/uk-23551290

【編集者メモ】(Pescatore)
Webサーバのセキュリティ状態は悲しいほど低い。これは、Webアプリケーショ ンのセキュリティ予算を確保するために使える事例だ。

【編集者メモ】(Murray)
密売品をホスティングしていながら公共のネットワークに接続しているサーバ を「正規」と呼べるのか?公共ネットワークに接続している企業の責任は追及 されなくなったのか?無責任なことをするなら、認可しないほうがいい。

────────────────

◆IPv6への対応遅れにより情報漏洩の可能性(2013.8.5)

ある研究者によると、IPv6へ完全に対応していない場合、ユーザを攻撃用サイ トにリダイレクトすることが可能になるという。最近のオペレーティングシス テムは、IPv6互換で出荷されているが、新プロトコルに対応していないネット ワークは多い。つまりネットワーク監視やセキュリティ対策はIPv4レベルでし か行われていない。研究者の説明によると、攻撃者は、偽のIPv6のWebサイト を作成し、IPv4のサイトに見せかけてユーザにアクセスさせることで重要情報 を取得することが可能になるという。

http://www.v3.co.uk/v3-uk/news/2286734/ipv6-is-latest-tool-for-stealing-credit-card-numbers-and-passwords
http://news.techworld.com/security/3461923/researchers-demo-new-ipv6-attack-against-windows-8-pcs/

【編集者メモ】(Ullrich)
現在、IPv6の不完全な実装や想定外の実装がリスクを生んでいる。今年のSANS IPv6サミットでは、Richard Porterがこれに関連したリスクについて講演する。 具体的には、ローカルネットワークがIPv6接続を許可している場合、VPN接続 したリモートユーザから情報漏洩が発生する場合があるというものである。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「2段階認証」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
8月号は、2段階認証について、本人確認やパスワードについての解説も交えて、
一般のユーザ向けに、分かりやすく解説しています。
社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆中国のハッカー、囮の治水管理システムへ侵入(2013.8.2)

中国軍に関係していると思われるハッカーグループが、米国内の都市向け水利 施設装った囮システムに侵入した。この囮システム(別名ハニーポット)は研 究用に設置されたもの。囮システムへの侵入が確認されたことで、中国の標的 が、企業ネットワークから産業制御システムにシフトしていることが認められ るという。今年の3月から6月にかけて、数十件の産業制御システム(ICS)に ハニーポットを仕掛けたところ、16か国から計74件の攻撃を受けたことが判っ た。その中でも10件の攻撃は、システム全体の乗っ取りに成功していたという。 ハニーポットを設置した研究者は、水道局などをはじめとするICSの利用施設 はすでに侵入されているが、未だに検知していない可能性が高いと述べた。

http://www.technologyreview.com/news/517786/chinese-hacking-team-caught-taking-over-decoy-water-plant/

【編集者メモ】(Assante)
今回の研究からわかるのは、規模に関係なく攻撃されるし、ICSが攻撃されて いるということだ。研究者が囮システムとして治水管理システムを選んだのは 評価できるところで、Webベースでエンジニアや技術者にリモートアクセスを 許可しているシステムが多い。システムに完全に掌握できた攻撃が10件という のは問題にならないが、心配なのはこのうち4件は産業プロトコルまたは施設 のフロアデバイスに影響を与えていたということだ。さらに、ICSのオペレー タ達は実際の侵入を検知するために必要なスキルや知識がないことから、侵害 され完全性が失われたシステムを知らずに運用していることだろう。治水管理 システムのエンジニアをパイロットと仮定して、第三者が知らない間に操縦シ ステムのの乗っ取りに成功したが、何をしたかわからないままで、自信をもっ て安全に飛行することができるだろうか。

【編集者メモ】(McBride)
中国軍と関係するとされる攻撃者が、攻撃対象を場当たり的に選択していると いう点に注目した。SCADAをハッキングするスキルを磨いているのだろうか。 訓練用のインフラは無いのだろうか。それとも既にもっと先を行っているのか。 攻撃者が、実際の運用システムを攻撃していたと思い込んでいるなら、人間へ の実害は考えていないのだろうか?SCADAのハニーポットと一般的な「テロリ スト」の囮捜査にいくつもの共通点を感じる。

────────────────

◆カリフォルニアのエスクロー会社閉鎖、150万ドル詐欺発覚後(2013.8.7)

昨年150万ドルの送金詐欺の被害にあったカリフォルニア州のエスクロー会社 が、管財人の管理下におかれた。同社(Efficient Services Escrow Group) は、ロシアに送金指定されていた約43万ドルは回収したものの、110万ドルは 中国北部の口座へと消えた。同社は、3日間で紛失した資金を確認できなかっ たため、事件を州の監督機関に報告、監督機関は同社を閉鎖する決定を下した。 同社は保険会社に申請すると共に、First Foundation銀行へ支援を要請してい る。同社は過去に今回のような送金手続きをしたことがないため、銀行がなぜ 不審処理であると気が付かなかったのか、同社のオーナーは首をかしげていた。 残念ながら、国別で送金阻止をする仕組みを持つ銀行はほとんどない。また、 多くの小規模な銀行は、第三者のサービスプロバイダを利用してオンラインバ ンキングを提供している。民間企業も今回のような詐欺が発覚しないかぎり、 対策について問い合わせを行うこともないという。

http://krebsonsecurity.com/2013/08/1-5-million-cyberheist-ruins-escrow-firm/
Brian Krebsの法人ユーザのためのオンラインバンキングのベストプラクティス
http://krebsonsecurity.com/online-banking-best-practices-for-businesses/

────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ホワイトハウスが、サイバーセキュリティのフレームワーク採用企業に奨励制度(2013.8.6-7)

ホワイトハウスは、「Cybersecurity Framework」のセキュリティ施策を促進 するために、民間企業(特に重要インフラ事業者)への奨励制度を取りまとめ た。この奨励制度には、サイバーセキュリティ保険、助成金、損害賠償の上限 額などが含まれる。

http://www.scmagazine.com/white-house-offers-incentives-for-critical-infrastructure-companies-participating-in-cyber-security-program/article/306472/
http://news.cnet.com/8301-1009_3-57597303-83/white-house-to-offer-companies-cybersecurity-incentives/
http://www.computerworld.com/s/article/9241407/Feds_explore_cybersecurity_incentives_for_the_private_sector?taxonomyId=17
http://www.whitehouse.gov/blog/2013/08/06/incentives-support-adoption-cybersecurity-framework

【編集者メモ】(Pescatore)
毎年4月14日の深夜近くになると、確定申告用ソフトウェアに向かって必死な 私がいる。寄付や住宅ローン、ノースダコダ州から購入するベアリングなどの 節税コードといった優遇制度は、節税のために時間を費やす価値が十分にある からだ。

【編集者メモ】(Murray)
保険への優遇措置、損害賠償責任の上限などで、プログラム参加を勧誘できて も、セキュリティレベルは向上しない。セキュリティは参加することに意義が あるものではない。インフラの中でも最も弱い電力業界の主な問題点は、電力 会社は地方企業であり、地方の政治家によって管轄されていることだ。地方政 治家は、電気代を短期的に低くすること以外考えていない。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

◎10月28日(月)~11月1日(金)
 CSSLP 8ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/csslp.html?xmid=300&xlinkid=04

◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=02

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のハンズオン研修(有料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)・12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=05

◎9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月29日(木)・9月25日(水)・10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○8月30日(金)<福岡>
 NRIセキュアテクノロジーズ-ISIT連携セミナー

 サイバーセキュリティの脅威と対策ビジネスの展望
http://www.nri-secure.co.jp/seminar/2013/0830.html?xmid=300&xlinkid=09

○9月20日(金)<東京 銀座>
 ISMS規格改訂セミナー ~改訂の中核メンバーが語る!~
http://www.nri-secure.co.jp/seminar/2013/0920.html?xmid=300&xlinkid=10

○9月26日(木)・10月23日(水)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=07


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。