NRI Secure SANS NewsBites 日本版

Vol.8 No.34 2013年8月28日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.34 2013年8月28日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
2013年9月にラスベガスで開催されるNetwork Security Conferenceで最も人気 があるコースはEric ColeのSecurity Essentials Bootcampだが、高度なフォ レンジックや企業防衛、ぺネトレーションテストのほか、法律問題やマネジメ ントに関するコースも人気が高い。攻撃側の巧妙さが増したため、それに応え る防衛側も対応の進歩が必要になってきており、それが、SANSのサイバーセ キュリティトレーニングで提供されているのだ。SANSは、複雑巧妙な最新の攻 撃データを保持しており、その内容は年に3回講座内容に反映されている。
SANSでは最新のテクニックについて各分野の著名講師により学ぶことができ、 終了後に職場ですぐに実践で利用できるスキルを取得することができる。また、 サイバーセキュリティの最先端を学び、技術とマネジメントの双方を学びたい なら、SANSTechnology Institute (STI)のMaster of Science in Security Engineeringをお勧めする。STIの修士は、軍事、電力業界では一目おかれる存 在になりつつある。
Network Security 2013の詳細はこちら: http://www.sans.org/event/network-security-2013
STIの修士課程の詳細はこちら:http://www.sans.edu/academics/curricula/msise


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
           グローバルで通用するスキル&資格の取得を
                  = SANS Tokyo 2013 =

       http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

     <9月開催コース>9/3-4・9/19-20・9/25-26 [6日間]
       【SEC401】SANS Security Essentials Bootcamp Style
     <10月開催コース>10/21-26 [6日間]
       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.15 No.066-067
(原版:2013年8月20日、23日)

◆裁判官、IPアドレス変更とプロキシー利用はCFAA違反(2013.8.19)

カリフォルニア州の連邦判事は、アクセスを禁止されたユーザが、IPアドレス の変更またはプロキシーサーバを利用してWebサイトにアクセスすることは、 コンピュータ詐欺および不正利用防止法(CFAA)違反であるとする判決を下し た。本件は、Craigslistから広告を集めて繰り返し公開するサービスを提供し ている企業3tapsが関係している。Craigslistは、3tapsに対して排除通告を送 信すると共に、3tapsに関係するIPアドレスをブロックした。3tapはこれに対 して、IPアドレスを変更してプロキシ―サーバを利用し、ブロックを迂回して アクセスしていた。

http://arstechnica.com/tech-policy/2013/08/changing-ip-address-to-access-public-website-ruled-violation-of-us-law/

【編集者メモ】(Murray)
プロキシの利用はインターネットでは不可欠ではあるが、不正利用してはなら ない。我々はすべてのゲートウェイ、ルータ、ファイアウォール、VPNがCFAA 違反でないことを確かめるべきだ。攻撃元を隠すためにボットを利用すれば言 い逃れができると思っているのだろうか。「詐欺」や「悪用」の場合は、判事 にもわかる。

────────────────

◆研究者、悪意のあるアプリをAppleストアに登録する方法を公開(2013.8.17-19)

Apple社のアプリ検査をすり抜け、悪意のあるアプリをAppleストアに登録する 方法が公開された。Jekyllと呼ばれるマルウェアは、アプリ検査中には存在し ないプログラムパスを利用することができ、途中で排除されることなくアプリ として正式に登録することができたという。

http://www.nbcnews.com/technology/apple-app-store-infiltrated-researchers-jekyll-malware-6C10945771
http://www.informationweek.com/mobility/smart-phones/apple-ios-security-defeated-by-sneaky-ap/240160105

【編集者メモ】(Pescatore)
セキュリティチェックプロセスが強力なApp Storeは、世の通念を変えること ができる。とくに携帯アプリについては、アプリの初期レビューや公開までプ ロセスを広げる必要があるだろう。

【編集者メモ】(Schpantzer)
AppleのApp Storeのプロセスはすり抜け可能だ。とはいえ、一旦マルウェアと 認定されるとiOS上の起動パーミッションを一斉に破棄することができる。
http://www.telegraph.co.uk/technology/3358134/Apples-Jobs-confirms-iPhone-kill-switch.html
Androidの場合:
http://gizmodo.com/5572510/google-remotely-removes-apps-from-android-phones-for-security-reasons

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 8月号「2段階認証」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
8月号は、2段階認証について、本人確認やパスワードについての解説も交えて、
一般のユーザ向けに、分かりやすく解説しています。
社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆Microsoftが、XPから移行しない場合の危険性を警告(2013.8.16)

Microsoftは、先週公開されたブログで、2014年4月8日にWindows XP Service Pack 3への修正プログラム提供が終了すると、XPユーザに対して通知を行った。 同社のTrustworthy ComputingのディレクターTim Rainsは、XPのセキュリティ 対策技術は、リリース当時は最先端技術であったが、現在の最新攻撃からは防 御ができないと、セキュリティブログの中で述べている。XPのサポートが終了 すると、XPより新しいWindowsのバージョンには更新プログラムが提供される が、XPには提供されない。ハッカーは更新プログラムをリバースエンジニアリ ングして、新しいバージョンで修復された脆弱性がXPに存在するか確認できる。 そのため、利用者は攻撃されるリスクが高くなる。

http://www.computerworld.com/s/article/9241683/XP_Z_Microsoft_scares_Windows_XP_users_straight_with_undead_bug_warning?taxonomyId=17
http://www.zdnet.com/microsoft-warns-windows-xp-users-risk-zero-day-forever-7000019503/

【編集者メモ】(Pescatore)
NTやWindows 95の経験から考えると、今回のような移行で最も問題になるのは アプライアンス、専用作業機械、キオスクといったXPを組み込みとして使って いる場合だ。

────────────────

◆DDoS攻撃を隠れ蓑にして銀行自動支払スイッチを攻撃(2013.8.20)

Gartner副社長兼アナリストのAvivah Litanは、銀行の電信振込システムを 狙った窃盗事件があったことを明らかにした。攻撃に遭ったのは、3行だが銀 行名は明らかにされていない。特定の口座を狙う代わりに、金融機関の電信 振込スイッチに侵入し、大量の口座から金銭を窃盗した。今回の攻撃スキー ムは、資金を吸い上げる間、「手軽な」DDoS攻撃を使って銀行の監視システ ムをすり抜けている。DDoS攻撃で目隠しをするのは、新しい手法ではない。 窃盗犯は、自動振り込み(ACH)詐欺でも、銀行の監視システムをすり抜ける ためにDDoS攻撃を使っている。

http://www.scmagazine.com/fraudsters-target-wire-payment-switch-at-banks-to-steal-millions/article/307755/
http://blogs.gartner.com/avivah-litan/2013/08/12/ddos-diverts-attention-during-payment-switch-takeover/

【編集者メモ】(Pescatore)
ここ数年でDDoS攻撃を利用する高度な標的型攻撃は増加傾向にある。SANSは 9月5日にWebセミナーを開催する。詳細はこちら。
https://www.sans.org/webcasts/fight-real-ddos-threat-96892]

────────────────

◆保険会社、情報漏洩損害は対象外(2013.8.20)

ミズーリ州裁判所が受理した申告によると、Liberty Mutual保険会社は、スー パーマーケットチェーンSchunucksの情報漏洩事件に対して訴訟費用の支払い を拒否した。Schnucksが契約している一般損害賠償のポリシーでは、今回の費 用は損害給付金の対象外であり、データは有形資産ではないとして異議を唱え ている。Liberty Mutualによると、今回の情報漏洩で被害を受けた複数の銀行 側の申告内容では、責任の所在が銀行側ではなくSchnucks側にあると主張して いるという。

http://www.scmagazine.com/insurer-to-schnucks-we-wont-pay-for-lawsuits-related-to-your-breach/article/307960/
【編集者メモ】(Murray)
保険を契約して被害を申告するには知識、スキル、能力が必要だ。貴社の残存 リスクの一部を保険会社に依存しているなら、考え直した方がよい。自社で対 応する自身がないなら、仲介業者、コンサルタント、専門とする弁護士に支援 を依頼したほうがよい。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)・12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=05

◎9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=06

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

◎10月28日(月)~11月1日(金)
 CSSLP 8ドメインレビューセミナー     【特別料金キャンペーン中!】
http://www.nri-secure.co.jp/service/isc2/csslp.html?xmid=300&xlinkid=04

◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=02

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月29日(木)・9月25日(水)・10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○8月30日(金)<福岡>
 NRIセキュアテクノロジーズ-ISIT連携セミナー
 サイバーセキュリティの脅威と対策ビジネスの展望
http://www.nri-secure.co.jp/seminar/2013/0830.html?xmid=300&xlinkid=09

○9月20日(金)<東京 銀座>
 ISMS規格改訂セミナー ~改訂の中核メンバーが語る!~
http://www.nri-secure.co.jp/seminar/2013/0920.html?xmid=300&xlinkid=10

○9月26日(木)・10月23日(水)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=07


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。