NRI Secure SANS NewsBites 日本版

Vol.8 No.36 2013年9月10日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.36 2013年9月10日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
今週号の始めにあった話題のうち、米政府のサイバー攻撃に関するものがある。 Pescatoreの意見はこうだ。「あらゆる政府はあらゆる技術を使って他国への スパイ活動をしている。経済的な理由があるかないかは関係ない」

サイバー防衛が変わる。米国土安全保障省(DHS)と米連邦調達局(GSA)は、 政府機関に対して継続的監視とCritical Security Controlsを導入するために 1億5000万ドル以上の予算を発表した。そのうち、CDM(継続的診断と対策)プ ロジェクトは先月開始されたばかりであり、最終的には、何十億ドルという規 模で州や地方の公共機関に展開される。基幹インフラや民間企業もこのプロ ジェクトから、効果があるセキュリティ対策を選択する知恵を学んでほしい。
9月10日に、NSAのサイバー防衛プログラムのリーダであるTony Sagerと Gartnerのサイバーセキュリティプログラムを構築したJohn Pescatoreが Webcastで詳細を開設する。席を確保したければ、すぐにサインアップするこ とだ。
http://www.sans.org/info/138235

1)DHSのMark Kneidingerが、9月10日のCDMのWebcastに参加する。彼は連邦、 州、地方局に対して本プログラムを説明する。

2)John Pescatoreのブログ
http://www.sans.org/security-trends/2013/09/06/free-money-for-continuous-monitoring
がCDMプログラムで紹介される。

The U.S. National Cyber Talent Search(米国家サイバー人材開発)が月曜 日から活動を開始した。多くの州知事がスポンサーになっており、登録者には 全員SANSレベルのトレーニングと技術力を競う機会が与えられるとあって、最 初の72時間で千名以上が登録した。イリノイ州、マサチューセッツ州、カリ フォルニア州が先頭を切っており、ミネソタ州が続いている。成績優秀者には、 より上位のトレーニングコースへの奨学金と政府機関や民間企業でのインター ンシップが約束されている。登録締め切りまで残り2週間だ。無料の初級コー スも含まれているので、スキルがある人材を知っていたら、是非登録するよう に進めてほしい (http://www.cyberaces.org/)。


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
           グローバルで通用するスキル&資格の取得を
                  = SANS Tokyo 2013 =

                10月21日(月)-26(土) [6日間]

       【SEC504】Hacker Techniques, Exploits and Incident Handling
       http://sans-japan.jp/courses/sec504.html?xmid=300&xlinkid=01

       【SEC575】Mobile Device Security and Ethical Hacking
       http://sans-japan.jp/courses/sec575.html?xmid=300&xlinkid=02

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.15 No.070-071
  (原版: 2013年9月3日、9月6日)

◆米政府、2011年に231件のサイバー攻撃を実施(2013.08.31)

エドワード・スノーデンがワシントンポスト紙にリークした予算関連文書によ ると、米政府は2011年に231件のサイバー攻撃を実施したことが明らかになっ た。文書に記載されていたのは、米国が各国の情報を入手するためにネット ワーク侵入に必要とされる予算項目の詳細だった。主な標的は、中国、ロシア、 イラン、北朝鮮で、NSAの役割はソフトウェア開発であり、そのために民間の 研究機関から「ソフトウェアの脆弱性を内密に購入するために約2,520万ドル」 が費やされた。NSAからワシントンポストに対するメールの回答には、「国防 総省はコンピュータネットワーク攻撃を実施することはあるが経済効果を目的 としたスパイ活動は行っていない」と述べられていた。

http://www.washingtonpost.com/world/national-security/black-budget-summary-details-us-spy-networks-successes-failures-and-objectives/2013/08/29/7e57bb78-10ab-11e3-8cdd-bcdc09410972_story.html
http://www.atlanticcouncil.org/blogs/natosource/us-spy-agencies-mounted-231-offensive-cyber-operations-in-2011-documents-show
http://www.net-security.org/secworld.php?id=15494
http://www.wired.com/threatlevel/2013/08/black-budget/
────────────────

◆インド政府、Gmail利用禁止を検討(2013.8.30)

米国内に設置されているメールサービスは米国当局により傍受されているとい う疑惑があるため、インド政府は、米国のメールサービスの利用を禁止する予 定があると発表した。これにより、政府職員が職務遂行時に利用するのは、イ ンド政府が提供する公式メールサーバに限られる。大臣を含む職員の多くは、 公式システムよりも機能が多いホスティングサービスのメールアカウントを使 用している。インドのIT担当大臣Kapil Sibalは、インドから確認している限 りでは米国がデータにアクセスしているという証拠はないと述べている。

http://timesofindia.indiatimes.com/tech/tech-news/internet/Cyberspying-Government-may-ban-Gmail-for-official-communication/articleshow/22156529.cms
http://www.zdnet.com/in/india-will-reportedly-ban-use-of-us-e-mail-services-7000020059/
http://articles.economictimes.indiatimes.com/2013-08-30/news/41618948_1_google-india-us-national-security-agency-government
────────────────

◆NSA、インターネット暗号を無力化(2013.9.4-5)

エドワード・スノーデンがリークした文書によると、米政府は4年間で100億ド ル以上を統合暗号解読プログラム(Consolidated Cryptologic Program)に費 やしたほか、現在標準で利用されている暗号の仕組みに弱点を加えるように NSAから圧力があったことが明らかとなった。弱点を加える方法はさまざまで、 ハッキングしてテクノロジー企業から暗号鍵を入手したり、対象マシンに侵入 して暗号化される前にメッセージを傍受したりするといった方法もあった。 (ニューヨークタイムズ紙の閲覧は有償です)

http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html
http://arstechnica.com/security/2013/08/feds-plow-10-billion-into-groundbreaking-crypto-cracking-program/

【編集者メモ】(Murry)
NSAは読みたいメッセージを読める。NSAは読みたいメッセージを読めない。 どちらを仮定するにしても用心深さは必要だ。大多数の人間にとってNSAは危 険をおよぼすものではない。

【編集者メモ】(Pescatore)
暗号の輸出禁止を議論しなくなった代わりに、悪者の暗号を破る方に方針転換 したのか?それとも第二次世界大戦時のように暗号化される前に通信内容を傍 受するという方法をとっているのか?それこそが諜報機関の仕事じゃないか。 セキュリティコミュニティで驚いている人物がいるなら、猫をかぶっているだ けだ。

【編集者メモ】(Honan)
セキュリティ業界で、このリークに驚く人間はいないだろう。何も変わってい ない。犯罪者、テロリスト、スパイはやりたいことをやっている。インター ネットによって奴らの行動範囲が広がったし、多くの商用サービスがそれを可 能にしている。政府に透明性を求める前に、自らのインターネット上の公私に わたる活動に責任を持ち、プライバシーを守る必要があると認めよう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 9月号「個人データのバックアップと復元」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
9月号は、データのバックアップ方法と用途に合わせたバックアップについて
一般のユーザ向けに、分かりやすく解説しています。
社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


────────────────

◆FTC、安全対策不足のWebcam提供メーカーと合意(2013.9.4-5)

米連邦取引委員会(FTC)は、安全面が考慮されていないWebcam製造企業とい くつかの合意に達した。Trendnet社製のカメラは、オンライン上でデバイス フィードの閲覧が可能な脆弱性が確認されていたが、合意内容としてTrendnet 社は、対象のWebカメラの説明で「安全」と記載しないこと、顧客に対してセ キュリティの問題を通知すること、デバイスの安全性を高める方法などを提供 すること、2033年まで2年に1度、外部によるセキュリティ監査を受けることが 含まれた(NewsBites Vol.15 Num. 065で掲載されたテキサス州で発生した赤 ちゃんモニターに使われていたのと製造元が異なる。)。

http://money.cnn.com/2013/09/05/technology/security/ftc-webcam-hack/index.html
http://www.theregister.co.uk/2013/09/05/ftc_slaps_trendnet_with_20_years_probation_over_webcam_spying_flaw/
http://www.bbc.co.uk/news/technology-23971118
http://www.washingtonpost.com/blogs/the-switch/wp/2013/09/04/now-selling-insecure-devices-can-get-you-in-hot-water-with-regulators/

【編集者メモ】(Pescatore)
家庭用WiFi機器業界が学んだことを他の機器業界が学び、最初からセキュリ ティ機能を組み込まなければ、今後もコンシューマー系製品はサイバー犯罪者 に狙われるだろう。今年初めに、家庭電子機器メーカーが「Internet of Things Consortium」を設立し、セキュリティを主要目的の一つに設定した。 しかしその後進展はないようだ。

【編集者メモ】(Shpantzer)
2033年まで2年に1度外部のセキュリティ監査を受ける。つまり1回5万ドルで10 回監査を受ければ、監査だけで50万ドルだ。

────────────────

◆モバイル端末のボットネット経由でAndroidのトロイの木馬が拡散(2013.9.5)

Androidのトロイの木馬Obad.aがモバイル端末のボットネット経由で拡散して いる。現在、Obadはロシアのユーザに対して悪意のあるリンクを含むテキスト メッセージを送りつけている。このリンクにアクセスすると、Opfakeと呼ばれ るAndroidのトロイの木馬に感染する。感染すると、C&CサーバはOpfakeに対し てモバイルデバイスのアドレス帳に載っている連絡先へスパムを送信するよう に指示する。送信されたスパムはObadへ誘導するという仕組みだ。

http://www.zdnet.com/first-case-of-android-trojan-spreading-via-mobile-botnets-discovered-7000020292/
http://www.scmagazine.com/obad-android-trojan-spreads-through-mobile-botnets-other-vectors/article/310456/
【編集者メモ】(Pescatore) Obadが狙っているのはウクライナ、ロシア、ベラルーシで、サイドローディン グが可能なAndroidのバージョンや設定が利用されている。この脆弱性に対応 するパッチもあるが適用してはならない。Google Play App Store機能か自動 更新を有効にすることでマルウェア感染は難しくなる。iPhoneやiPadのエコシ ステムでマルウェア感染が少ないのは、それが理由だ。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

◎10月28日(月)~11月1日(金)        【特別料金キャンペーン中!】
 CSSLP 8ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/csslp.html?xmid=300&xlinkid=04

◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=05

◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月20日(金)<東京 銀座>
 ISMS規格改訂セミナー ~改訂の中核メンバーが語る!~
http://www.nri-secure.co.jp/seminar/2013/0920.html?xmid=300&xlinkid=08

○9月25日(水)・10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=09

○9月26日(木)・10月24日(木)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

○9月27日(金)                        【NEW!】
 IT-BCPソリューションセミナー
 ~ITセキュリティからみた実行力ある事業継続計画のポイント~
http://www.nri-secure.co.jp/seminar/2013/0927.html?xmid=300&xlinkid=11

○10月10日(木)・11月14日(木)・12月12日(木)          【NEW!】
 エンドポイントセキュリティセミナー
 ~グローバルセキュリティの推進に向けて~
http://www.nri-secure.co.jp/seminar/2013/endpoint01.html?xmid=300&xlinkid=12


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛



Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。