NRI Secure SANS NewsBites 日本版

Vol.8 No.33 2013年8月20日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.33 2013年8月20日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
「NSA、システム管理者廃止へ」に関するニュースへの追加コメントがある。 Gartnerで15年間セキュリティアナリストをしていたPascatoreからだ、見逃し ていたらしい。
『大目に見たとしても、情報漏洩対策としてはおかしな論理だ。90%の管理者 が減ることで、小さなミスや不正行為の数は減るが、大きなミスや不正行為が 増える。管理者1人が与える影響は1000%になるからだ。自動化された証券シ ステムにおいて不正なコマンドによる不正取引によって、金融業界は何億万ド ルの損害を出している。システム管理者を調べる方法を改善し、トレーニング やプロセス、コントロール方法を改善しない限り、人数を限定してもリスクは 減らない。』


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
           グローバルで通用するスキル&資格の取得を
                  = SANS Tokyo 2013 =

       http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

     <9月開催コース>9/3-4・9/19-20・9/25-26 [6日間]
       【SEC401】SANS Security Essentials Bootcamp Style
     <10月開催コース>10/21-26 [6日間]
       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.15 No.064-065
(原版: 2013年8月13日、16日)

◆NSA、システム管理者廃止へ(2013.8.9)

米国家安全保障局(NSA)は、情報漏洩のリスクを軽減するために、システム 管理者の派遣契約者を9割削減する予定を明らかにした。NSA局長アレキサン ダー大将は、自動化されたクラウドインフラへの移行を計画していると述べた。 ニューヨークで開催されたセキュリティ会議で開催されたFBI長官Robert Mueller とのパネルディスカッションの席でアレキサンダー大将は、最近の NSA監視内容の暴露について触れ、「人は間違いを犯す、意図して法に背いた り、国民の自由やプライバシーを奪おうとしたりしているわけではない」と 語った。

http://www.nbcnews.com/technology/nsa-cut-system-administrators-90-percent-limit-data-access-6C10884390
http://arstechnica.com/information-technology/2013/08/nsa-directors-answer-to-security-first-lay-off-sysadmins/
http://www.theregister.co.uk/2013/08/09/snowden_nsa_to_sack_90_per_cent_sysadmins_keith_alexander/

【編集者メモ】(Paller)
スノーデン事件で幹部達を驚かせた事実が、今回のNSAの決定に反映されてい る。システム管理者の力だ。メインフレーム時代にはIBMとIBMユーザは、コン ピュータを制御するのに15年を費やした(1967-1982)。特にシステムプログ ラマーの力を制御することだった。60~70年代当時のシステムプログラマーと 同じくらい力があるのがシステム管理者だが何の制限もないのが現状である。 NSAの決定は今後セキュリティを必要とする組織にも波及するだろう。
20 Critical Controlsの最初の4つを導入することが、ITセキュリティ組織が 生き残るためには重要である。Raising the Barの記事を読んでほしい (http://csis.org/publication/raising-bar-cybersecurity)。このような改 革を導入していかない組織は、システム管理者や管理自体をクラウドサービス に移行するように組織の上層部から圧力を受けることになるだろう。

────────────────

◆DHS副長官、世界のサイバーセキュリティを先導(2013.8.11)

Jane Holl Lute(ジェーン・ホール・リュート)氏は、サイバーセキュリティ・ カウンシルを設立すると語り、その目的として、官民の幹部がサイバーセキュ リティ分野のセキュリティと能力について理解できるような一般的な最低基準 を提供することだと述べた。Luteは、この春DHS(国土安全保障省)副長官を 辞職したが、ナポリターノ長官辞任後の次期DHS長官候補として名前があがっ ている。

http://thehill.com/blogs/hillicon-valley/technology/316611-former-dhs-deputy-secretary-launches-cybersecurity-council
【編集者メモ】(Paller)
リュート氏は、サイバーセキュリティにおける課題と対策について政府関係者 の中では屈指の知識を有しており、NSA勤務34年の経験をもち600名の脆弱性解 析部門を取り纏めていたTony Sager(トニー・セガール)を採用した人物だ。 DHSの前職は国連の平和交渉事務副総長職をこなし、世界中の上層部がリュー ト氏とセガール氏を信頼して、セキュリティの改善を進めている。セガール氏 は、世界中からセキュリティ分野のトップレベルを採用し、同委員会の Critical Security Controlsが現在の攻撃の大半を効果的に防止できるものと なるために尽力している。

────────────────

◆NYタイムズ紙に侵入したハッカー、ツールを更新して活動再開か(2013.8.12)

ニューヨークタイムズ紙などのネットワークに侵入したとされる中国のハッカー が、ツールを改良して新たな攻撃を開始した。中国人民解放軍との関係がある とされる「APT12」は、今年初めにNYタイムズ紙への侵入が表面化してから、 影をひそめていた。同グループの活動が再び確認されたのは、2013年5月から。 今回の標的は明らかになっていないが、「経済政策に影響力をもつ組織」だと いう。マルウェアに改良が加えられ、最新版では、侵入検知システムを迂回す る仕組みが追加されている。

http://www.computerworld.com/s/article/9241577/The_Chinese_hacker_group_that_hit_the_N.Y._Times_is_back_with_updated_tools?taxonomyId=17
http://arstechnica.com/security/2013/08/theyre-ba-ack-hacker-gang-that-infiltrated-nyt-for-months-returns/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「2段階認証」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
8月号は、2段階認証について、本人確認やパスワードについての解説も交えて、
一般のユーザ向けに、分かりやすく解説しています。
社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆来年春にWindows XPサポート終了、大被害へとつながるか?(2013.8.12)

MicrosoftのWindowsXPサポート期間終了まで8か月を切った。2014年4月8日以 降、一般ユーザにはセキュリティ更新プログラムは提供されないこととなる。 ただし、特別サポート費用を支払っている企業ユーザや官公庁ユーザには、重 要なセキュリティ更新プログラムが提供される。XPのサポート終了が間近にな ると、ハッカーはXPの脆弱性を発見しても、脆弱性情報の公開を保留し、サポー ト終了後に、脆弱性情報を売ることができる。XPの稼動数が多いことから、脆 弱性情報は価値あるものになる。世界中では、未だに33%のパソコンがXPで動 作しているという。

http://www.computerworld.com/s/article/9241585/XP_s_retirement_will_be_hacker_heaven?taxonomyId=17

【編集者メモ】(Pescatore)
Windows 95とNTの経験から、Windows 95を組み込んだアプライアンス/機械/デ バイスが一番の問題となってその対応に苦労した。「ネット接続機器」は、だ んだん古くなってきており、古いOSが組み込まれているものは、いつの時代も 攻撃の対象になるのだ。

────────────────

◆ワシントンポスト紙、CNN、タイムズ誌のWebサイトが攻撃(2013.8.15)

ワシントンポスト、CNN、タイムズといった米主要メディアのWebサイトが攻撃 された。各社サイト内のリンク情報が数か所改ざんされ、アクセスすると Syrian Electronic Army(SEA:シリア電子軍)のサイトに転送された。SEAに よると、3社が利用しているリンク推奨サービスOutbrain経由で攻撃をしたと いう。ワシントンポストは、攻撃された経緯は「高度なフィッシング攻撃を受 けてパスワード情報にアクセスされた」と発表した。

http://www.washingtonpost.com/lifestyle/style/syrian-group-hacks-washington-post-web-site/2013/08/15/4e60d952-05bd-11e3-88d6-d5795fab4637_story.html
http://www.washingtonpost.com/blogs/the-switch/wp/2013/08/15/heres-how-the-syrian-electronic-armys-hack-worked/
http://money.cnn.com/2013/08/15/technology/security/outbrain-hack/
http://www.bbc.co.uk/news/technology-23712007
http://www.zdnet.com/washington-post-confirms-it-was-hacked-by-syrian-electronic-army-7000019459/
http://krebsonsecurity.com/2013/08/washington-post-site-hacked-after-successful-phishing-campaign/

【編集者メモ】(Northcutt)
NewsBitesを長年読んでいる人は、私がサイバーセキュリティ関連の報道内容 に疑問をもっているのは知っているだろう。しかし、これは「確実な証拠」だ。 ちゃんと保存しておこう。

────────────────

◆ネット社会:ベビーモニターに侵入(2013.8.14)

米テキサス州の一軒家で、子供部屋に設置してあるベビーモニターから不振な 物音が流れた。その物音の原因は、男性がモニターから子供にわいせつな言葉 を叫んでいたためで、両親が部屋に入ると、男性は両親に対しても同じように わいせつな言葉を叫んだ。家族は用心のため、ファイアウォールを設置し、家 庭用ルータと家庭内Wi-Fiネットワークに接続されているベビーモニターカメ ラにパスワードを設定した。

http://www.bbc.co.uk/news/technology-23693460
http://news.cnet.com/8301-1009_3-57598499-83/attention-parents-baby-monitor-hacked-default-password-to-blame/
http://www.nbcnews.com/technology/hacker-attempts-harass-toddler-through-baby-monitor-6C10916536

【編集者メモ】(Pescatore)
インターネットに接続されている「モノ」にセキュリティは必須だ。一般利用 でもビジネス利用でも同じだ。20年前に設計されたパソコンやサーバがインター ネットに接続される「モノ」だった時代と同じ間違いを繰り返す必要はない。 SANSは「Securing the Internet of Things」サミットを10月22日にサンフラ ンシスコで開催する。詳細はこちら。

http://www.sans.org/event/internet-of-things-summit]
────────────────

◆アンドロイドマルウェア、モバイル広告のネットワークを介して拡散(2013.8.13)

アンドロイド機器を狙ったマルウェアが、モバイル広告のネットワークを介し て拡散しているのが発見された。多くのモバイルアプリには、販売促進用の広 告フレームワークが含まれている。モバイルアプリの広告は、アプリ内部の コードによって表示されている。アジアで発見された事例では、まず詐欺用広 告のネットワークからモバイル機器へコード(マルウェア)がプッシュされる。 ユーザが普通のアプリをダウンロードしてインストールしようとすると、ダウ ンロードしたばかりのアプリのインストールの一部に見せかけて、ユーザにイ ンストール許可メッセージを表示するというもの。

http://www.computerworld.com/s/article/9241596/New_Android_malware_is_being_distributed_through_mobile_ad_networks?taxonomyId=17
【編集者メモ】(Murray)
上記の記事のPescatoreのコメントをフォローする。アンドロイドは、パソコ ンで起こったことなど知らない世代だ。彼らは自らの成功の結果を考えていないのだ。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)・12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=05

◎9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=06

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

◎10月28日(月)~11月1日(金)
 CSSLP 8ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/csslp.html?xmid=300&xlinkid=04

◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=02

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月29日(木)・9月25日(水)・10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○8月30日(金)<福岡>
 NRIセキュアテクノロジーズ-ISIT連携セミナー
 サイバーセキュリティの脅威と対策ビジネスの展望
http://www.nri-secure.co.jp/seminar/2013/0830.html?xmid=300&xlinkid=09

○9月12日(木)
 情報セキュリティ人材育成セミナー&SANS/CSSLP体験セミナー
http://www.nri-secure.co.jp/seminar/2013/isc04.html?xmid=300&xlinkid=11

○9月20日(金)<東京 銀座>
 ISMS規格改訂セミナー ~改訂の中核メンバーが語る!~
http://www.nri-secure.co.jp/seminar/2013/0920.html?xmid=300&xlinkid=10

○9月26日(木)・10月23日(水)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=07

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。