NRI Secure SANS NewsBites 日本版

Vol.8 No.38 2013年9月24日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.38 2013年9月24日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
NSAの活動において、深刻なプライバシー漏えい問題があったことが明らかに なった。問題と今後について戦略国際問題研究所長のDr. John Hamreが、各国 のリーダー格の人物やグループに対して考察を送信した。これはみなさんにも ぜひ読んでいただきたい。NewsBites Vol.15 Num.075を参照してほしい。
http://www.sans.org/newsletters/newsbites/newsbites.php?vol=15&issue=75#sID400

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 <開催まであと1か月 -今すぐお申込みを!>
          グローバルで通用するスキル&資格の取得を

               = SANS Tokyo 2013 =
               10月21日(月)-26(土) [6日間]

    【SEC504】Hacker Techniques, Exploits and Incident Handling
    http://sans-japan.jp/courses/sec504.html?xmid=300&xlinkid=01
 
    【SEC575】Mobile Device Security and Ethical Hacking
    http://sans-japan.jp/courses/sec575.html?xmid=300&xlinkid=02
 
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
■■SANS NewsBites Vol.15 No.074-075
(原版: 2013年9月17日、20日)

────────────────

◆米FISCが愛国者法の情報の機密区分変更(2013.9.13)

米外国情報活動監視裁判所(FISC)は、政府による大量の通話記録収集活動の 正当性について、その法的見解を明らかにすると述べた。同時にFISCは、米愛 国者法に関する専門的意見の一部を開示するように米政府へ命令した。文書の 公開は、ACLUによる訴訟の結果であると言える。

http://arstechnica.com/tech-policy/2013/09/top-intelligence-court-will-reveal-some-of-its-secret-legal-opinions/
http://www.wired.com/threatlevel/2013/09/secret-spy-court/
http://www.computerworld.com/s/article/9242395/Surveillance_court_orders_transparency_review_of_its_NSA_opinions?taxonomyId=17
FISC命令原文:
http://www.uscourts.gov/uscourts/courts/fisc/misc-13-02-order-130813.pdf

────────────────

◆ペンタゴンがサイバー防衛を強化(2013.9.15)

国内の電力網、金融インフラ、水道設備に対する攻撃が予測される中、国防総 省(ペンタゴン)はサイバー防衛強化に乗り出した。軍幹部は戦闘部隊の攻守 にわたるサイバースキル強化を目指しているため、米軍サイバー戦争シミュレー タ、CyberCityが注目されている。現在の主な脅威はDoS攻撃によるもので、キ ネティック攻撃は、「非常に困難」「きわめて低い可能性」とする意見もある。 しかし、前NSA(国家安全保障局)局長のヘイデン氏は、Stuxnetをほのめかし ながら、「誰かが新兵器を使ったばかりだ。一度使われれば未使用の状態には 戻らない」とコメントした。

http://www.csmonitor.com/USA/Military/2013/0915/Cyber-security-The-new-arms-race-for-a-new-front-line

-
────────────────

◆米保健福祉省の監察官、医療保険販売用Webのセキュリティ未検査により非難される(2013.9.11-16)

先週行われた米下院議会の公聴会で、社会保障局の前コミッショナーと議員が、 システムの脆弱性テストが実施されていないとして米保健福祉省の監察官(IG) を召喚した。IGは10月1日から開始が予定されている医療保険のオンラインマー ケットプレースのセキュリティ対策計画を確認・評価しないと述べたばかり。 対象システムは、健康保険の申請処理に必要なデータを保持する州や連邦機関 がやりとりをするように設計されているほか、医療保険取扱局(CMS)は、公 聴会の前にファクトシートを提出しており、データのハブは強力なセキュリティ 対策が施され、個人情報を格納しないとしている。

http://www.nextgov.com/cybersecurity/2013/09/health-agency-watchdog-doesnt-have-time-vet-obamacare-cyber-designs/70352/?oref=ng-HPtopstory
http://thehill.com/blogs/healthwatch/health-reform-implementation/321605-hhs-defends-security-of-obamacare-data-hub

────────────────

◆FBIがFreedom Hostingを管理していた(2013.9.13-16)

今年の始めにTorサーバでユーザを特定するマルウェアが発見された直後、FBI はFreedom Hostingを管理下においていたことを認めた。8月上旬より、Freedom Hostingがホスティングしていたサイトからは、不正に埋め込まれているコー ドがあるというエラーメッセージが表示されていた。解析したところ、埋め込 まれていたコードは、Firefoxの脆弱性を悪用し、Torブラウザを組み合わせて 使用しているユーザを特定することがわかり、特定した情報はバージニア州北 部に送信されていた。この情報は、Eric Eoin Marques逮捕事件におけるFBI職 員の証言で明らかになったもの。Marquesは、現在幼児ポルノを配信した罪で 米国への強制送還が請求されている。

http://arstechnica.com/tech-policy/2013/09/fbi-admits-what-we-all-suspected-it-compromised-freedom-hostings-tor-servers/
http://www.scmagazine.com/fbi-takeover-of-tor-server-leads-to-arrest/article/311880/
http://www.wired.com/threatlevel/2013/09/freedom-hosting-fbi/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 9月号「個人データのバックアップと復元」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
9月号は、データのバックアップ方法と用途に合わせたバックアップについて
一般のユーザ向けに、分かりやすく解説しています。
社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆英GCHQがベルギー通信企業に侵入(2013.9.20)

内部告発者エドワード・スノーデンからドイツの新聞Der Spiegelに提供され た米国家安全保障局(NSA)の内部資料によると、英政府通信本部(GCHQ)は ベルギーの最大通信企業Belgacomのシステムにマルウェアを秘密裏に仕掛けて いた。これは、「Quantum Insert」と呼ばれる攻撃手法で、対象ユーザをスパ イ活動用Webサイトへ密かに誘導し、そこで次のマルウェアに感染させるとい うもの。この技法は元々NSAが開発したものとされている。

http://www.spiegel.de/international/europe/british-spy-agency-gchq-hacked-belgian-telecoms-firm-a-923406.html
http://www.theregister.co.uk/2013/09/20/gchq_belgacom_hack_link/

────────────────

◆RSA、NSAバックドアがある暗号コンポーネントを使用しないように顧客に勧告(2013.9.19)

RSA Securityは、NSAのバックドアが含まれていると暴露された暗号コンポーネ ントの使用について、同社顧客に使用を停止するようアドバイザリで通知した。 対象となるのは、同社の製品BSAFEツールキットとData Protection Managerの 2製品で、DualEC_DRBGと呼ばれる機能が初期設定として使用されているもの。 RSAは対象製品を使用している顧客に対して、PRNG擬似乱数生成機能への変更 を推奨している。

http://arstechnica.com/security/2013/09/stop-using-nsa-influence-code-in-our-product-rsa-tells-customers/

【編集者メモ】(Murray)
RSAの特許が期限切れを迎えた時、BSAFEのライブラリは商売道具となった。こ れは多くの実装に使われている。「乱数生成を数学的に捉えていること自体が 間違っている」とジョン・フォン・ノイマンも言っている。

────────────────

◆ブラジル、米ISPへの依存を縮小へ(2013.9.18)

米国のインテリジェンス機関によるデータ収集が明らかになり、ブラジルは米 国ISPへの依存度を下げることを検討している。ブラジル政府は、国民による 米国インターネットサービスの利用を制限するわけではないが、民間企業へは 企業のデータを国内で保管するように要請するという。

http://www.bbc.co.uk/news/technology-24145662
http://world.time.com/2013/09/18/brazil-looks-to-break-from-u-s-centric-internet/

────────────────

◆NSA、情報漏洩防止策を導入(2013.9.18)

米国家安全保障局(NSA)は、エドワード・スノーデンによる情報漏洩と同様 の事件の再発を防ぐために対策を導入することを明らかにした。機密文書にデ ジタルタグを付け、特定のアナリストにのみアクセスを許可するというもので、 タグを付けることで誰がデータにアクセスしているかもわかるという。NSAの 最高技術責任者(CTO)であるLonny Andersonによると、スノーデンの手法は 再現不可能になったという。現在は、システム管理者など、NSA局内のシステ ムに特権アクセスが可能な担当者は単独作業が許可されないほか、職員がデー タをリムーバルメディアに保存する方法も制限されている。

http://arstechnica.com/security/2013/09/nsa-aims-to-plug-holes-that-sprang-snowden-leaks/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎10月28日(月)~11月1日(金)        【特別料金キャンペーン中!】
 CSSLP 8ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/csslp.html?xmid=300&xlinkid=04

◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=05

◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

◎2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月25日(水)・10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=09

○9月26日(木)・10月24日(木)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

○9月27日(金)
 IT-BCPソリューションセミナー
 ~ITセキュリティからみた実行力ある事業継続計画のポイント~
http://www.nri-secure.co.jp/seminar/2013/0927.html?xmid=300&xlinkid=11

○10月10日(木)・11月14日(木)・12月12日(木)】
 エンドポイントセキュリティセミナー
 ~グローバルセキュリティの推進に向けて~
http://www.nri-secure.co.jp/seminar/2013/endpoint01.html?xmid=300&xlinkid=12

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。