NRI Secure SANS NewsBites 日本版

Vol.8 No.35 2013年9月3日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.35 2013年9月3日発行
**********************************************************************



┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
           グローバルで通用するスキル&資格の取得を
                  = SANS Tokyo 2013 =

       http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

     <9月開催コース>9/3-4・9/19-20・9/25-26 [6日間]
       【SEC401】SANS Security Essentials Bootcamp Style
     <10月開催コース>10/21-26 [6日間]
       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■■SANS NewsBites Vol.15 No.068-069
  (原版: 2013年8月27日、30日)

◆FBIとDHS、Androidの脆弱性を懸念(2013.8.26)

米政府の公開文書によると、FBIと国土安全保障省(DHS)は、Android OSのセ キュリティに関して懸念を示している。特に、司法当局職員が、古いバージョ ンのOSで動作しているデバイスを使用している場合の脅威について報告書を作 成している。報告書では、「Androidは、世界中で最も利用されているモバイ ルOSであり、オープンソースアーキテクチャであることから、マルウェアの主 な攻撃対象になりうる」としている。さらに報告書では、特定の脅威に対する 回避策も紹介している。

http://news.cnet.com/8301-1009_3-57600105-83/android-security-holes-worry-fbi-dhs/
http://info.publicintelligence.net/DHS-FBI-AndroidThreats.pdf

【編集者メモ】(Murray)
皮肉だな。DHSはセキュリティが理由でiOSよりAndroidを好んでいる。少なく とも、政府の購買においては「安全」よりも「オープン」であることが好まれ てきたのが、現状である。

────────────────

◆EUの新規則、侵害通知を24時間以内(2013.8.22-23)

8月25日より、欧州連合加盟国(EU)の通信事業者およびインターネットサー ビスプロバイダ(ISP)は、データセキュリティの侵害が発生した場合、24時 間以内に各国の管轄当局に報告しなければならない。報告義務は以前からあっ たが、24時間以内という短い時間ではフォレンジック調査を十分に行うことが できないと懸念する声がある中で、さらに今回の改定を全ての産業に適用する という動きもある。

http://www.scmagazine.com/stern-new-data-breach-reporting-requirement-takes-hold-in-eu/article/308530/
http://www.v3.co.uk/v3-uk/news/2290763/eu-24hour-breach-disclosure-laws-to-come-into-force
http://www.infosecurity-magazine.com/view/34102/eu-businesses-prep-for-regulations-requiring-24hour-data-breach-notification/

【編集者メモ】(Honan)
情報漏洩を発見してから24時間以内に関係当局に報告する義務は、漏洩がいつ 発生したかを報告するものとは異なる。情報漏洩の発見を共有することは、 2012年のENISAの報告書からもわかるとおり、十分にメリットがある。
http://www.enisa.europa.eu/media/press-releases/new-major-incidents-in-2012-report-by-eu-cyber-security-agency-enisa
上記の報告では、8%のインシデントはサイバー攻撃によるものであり、そのう ち75%はシステム障害が原因だ。システム設計を改善するためには、市場調査 に頼らずに、独自にデータと事実を確認することが必要だ。

【編集者メモ】(Murray)
Verizonのデータ漏洩/侵害調査報告書などの報告書によると、多くの侵害は発 見するのに数週間から数か月かかっている。

────────────────

◆HITECH法遵守の実施開始が4週間後にせまる(2013.8.26)

2013年9月23日から、米国の医療データを取り扱う組織・団体は、HITECH法 (経済的および臨床的健全性のための医療情報技術に関する法律)への遵守が 要求される。HITECH法は、医療に関する個人情報の共有方法や開示方法に制限 を設け、情報漏洩した場合の標準的な報告手続きを新たに定めている。以前は 情報漏洩時の報告は、重要な被害がある場合に限られていた。新しい法律では、 漏洩リスクが少ないことを説明可能な場合を除き、対象となった組織は報告す る義務がある。データ処理を行う企業は、業務代行企業や業務関係者がHIPPA 法(医療保険の携行性と責任に関する法律)を遵守しているか確認する責務が 課される。

http://www.computerworld.com/s/article/9241913/Sept._23_deadline_looms_for_business_compliance_with_HITECH_Act_on_patient_privacy?taxonomyId=17

────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ニューヨークタイムズ紙、フィッシングメールによりドメインハイジャックされる(2013.8.29)

水曜日夜、シリア電子軍(Syrian Electronic Army)を名乗るハッカーが、 ニューヨークタイムズ紙、イギリスのHuffington Post紙、Twitterの画像共有 サイトTwing.com社のWebサービスを妨害したと伝えた。最初に攻撃を受けた、 オーストラリアのドメイン登録業者Melbourne ITは、今回被害にあったサイト のドメイン登録業者だったが、その販売代理店に対して、「標的型フィッシン グ攻撃」が行われたという。フィッシング攻撃により、販売代理店のユーザ名 とパスワードを取得した攻撃者は、攻撃対象となったサイトのDNS登録情報を ロシアにある攻撃用サーバに書き換えたというもの。現在は、ドメイン情報は 復旧され、対象サービスは復旧している。Internet Storm Centerの情報は次 のとおり。

https://isc.sans.edu/diary/NY+Times+DNS+Compromised/16451
http://www.theregister.co.uk/2013/08/27/twitter_ny_times_in_domain_hijack/
http://www.net-security.org/secworld.php?id=15478
http://www.scmagazine.com/hacker-group-takes-responsiblity-for-dns-attack-on-major-media-sites/article/309132/
http://www.theguardian.com/technology/2013/aug/28/twitter-newyorktimes-hack-syrian-electronic-army

【編集者メモ】(Ullrich)
単純な「パスワードを入力してください」攻撃だ。追記しておきたいのは、 Twitterの主ドメインtwitter.comにはドメインロックが設定してあったため に、Twitterへの影響は部分的なものに限られたということだ。

────────────────

◆NISTがサイバーセキュリティ・フレームワーク案を公開(2013.8.28)

米国立標準技術研究所(NIST)は、サイバーセキュリティ・フレームワークの 草案を公開した。これは、今年2月にオバマ米大統領が「基幹インフラのサイ バーセキュリティを改善する」大統領令を実現するための標準とガイドライン をまとめたもの。NISTの文書には、「業界の協力を得て開発されたフレーム ワークは、金融、安全、運用リスクと同じようにサイバーセキュリティにおけ るリスク管理を行うためのガイダンスとしてまとめた」と記載されている。 NISTの広報担当は、9月に予定されているサイバーセキュリティに関する産業 界との話し合いの場で、本草案をたたき台として使用し、今後のフレームワー ク構築に役立てる予定であると述べている。

http://fcw.com/articles/2013/08/28/nist-cybersecurity-framework.aspx
http://www.federaltimes.com/article/20130828/IT01/308280005/NIST-seeks-feedback-draft-cybersecurity-framework
http://www.pcworld.com/article/2047778/nist-subjects-draft-cybersecurity-framework-to-more-public-scrutiny.html
http://nist.gov/itl/upload/discussion-draft_preliminary-cybersecurity-framework-082813.pdf

【編集者メモ】(Paller)
このフレームワークが正しい方向に進む第一歩になると望んでいる。草案自体 は、大統領令が指示した目的(優先度、柔軟性、反復性があり、性能がよく且 つ費用対効果の高いアプローチ)は達成していない。今回の案で優れている箇 所は「柔軟性」に関わるところで、このフレームワークに従えば何をしてもよ いことになっているが、優先度や費用対効果については、全く触れられていな い。ホワイトハウスの担当者達は、フレームワーク草案で可能なことを限定す ることが、DHS担当者の仕事を確保することだと知っていたのだろう。草案を 作成する担当者が、米国国務省のCISOであるJohn Streufertに優先度や費用対 効果をまとめさせていたら、このフレームワークは改善の大きな一歩となった に違いない。

────────────────

◆ウォールストリート企業からソースコードを搾取したとして3名起訴(2013.8.27)

ウォールストリートの企業から株式取引ソフトウェアのソースコードを窃取し たとして、3名の男性が起訴された。起訴された3名のうち2名は企業の社員 だった。起訴内容は、会社のメールアカウントから個人のメールアカウントに 送信したというもの。証券取引担当であったGlen Cressmanは、取引戦略と評 価アルゴリズムを含んだ情報を個人アカウントに送信したとされ、コンピュー タ関係情報の不正な複製と機密情報の不正使用による2件起訴される。前社員 Jason Vuuともう一名の共犯者は、20件にも上る同じ罪状で起訴されている。 Vuuは、証券取引会社設立をもくろみ、窃取した情報を過去の同僚と共有していた。

http://www.bloomberg.com/news/2013-08-26/three-charged-with-stealing-flow-traders-trading-software.html
http://www.theregister.co.uk/2013/08/27/wall_street_secrets_stolen_via_email/

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

◎10月28日(月)~11月1日(金)        【特別料金キャンペーン中!】
 CSSLP 8ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/csslp.html?xmid=300&xlinkid=04

◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=02

◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=05

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月20日(金)<東京 銀座>
 ISMS規格改訂セミナー ~改訂の中核メンバーが語る!~
http://www.nri-secure.co.jp/seminar/2013/0920.html?xmid=300&xlinkid=10

○9月25日(水)・10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=08

○9月26日(木)・10月24日(木)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=07

○9月27日(金)                        【NEW!】
 IT-BCPソリューションセミナー
 ~ITセキュリティからみた実行力ある事業継続計画のポイント~
http://www.nri-secure.co.jp/seminar/2013/0927.html?xmid=300&xlinkid=11
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。