NRI Secure SANS NewsBites 日本版

Vol.8 No.39 2013年10月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.39 2013年10月1日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
SANS News Bites Vol. 15 Num. 076のニュース2件は、原子力発電所や他の発 電設備などのセキュリティに関係したものである。Pescatoreは、米エネルギー 省(DoE)のサイバーセキュリティに関する予算割り当てを不適切と指摘して いるが、それだけでは改善は望めない。エネルギーセクターの担当者の多くは、 攻撃の大半を防護できる安価なセキュリティコントロールの導入方法を学ぶよ りも「真新しく飾られたツール」に惑わされることになる。 この中ではよい ニュースに触れていなかったのだが、DoEはサイバーセキュリティ評議会と協 力し、サイバー担当者のスキルを向上する草分け的なプログラムGICSPを開始 するという。世界の大手から構成される国際コンソーシアム(Shell, BP, Pacific Gas & Electric, ABB, Emerson Process Management, Schneider Electric, Invensys, Rockwell Automation, 横河, ECJRC(欧州委員会共同研 究センター), KPMGなど)が主導しており、産業制御システムを構築・使用す る企業や、セキュリティのコンサルティングサービスを提供する企業には必須 の内容となっている。この新しいサイバーセキュリティの資格制度GICSP (Global Industrial Cyber Security Professional)のテストは11月22日か ら開始される。
http://www.infosecurity-magazine.com/view/34638/industry-launches-global-certification-effort-targeting-critical-infrastructure-/
GICSPの詳細はこちら。
http://www.giac.org/certification/global-industrial-cyber-security-professional-gicsp


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   <いよいよ今月開催 -今すぐお申込みを!>
           グローバルで通用するスキル&資格の取得を

               = SANS Tokyo 2013 =
             10月21日(月)-26(土) [6日間]

      【SEC504】Hacker Techniques, Exploits and Incident Handling
      http://sans-japan.jp/courses/sec504.html?xmid=300&xlinkid=01
  
      【SEC575】Mobile Device Security and Ethical Hacking
      http://sans-japan.jp/courses/sec575.html?xmid=300&xlinkid=02
  
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

───────────────────

■■SANS NewsBites Vol.15 No.076-077
  (原版: 2013年9月24日、27日)

───────────────────

◆5月の米労働省への攻撃と類似するエネルギーセクターへの攻撃、原子力関係職員が標的(2013.9.20)

エネルギーセクターのとあるWebサイトへアクセスしたユーザに感染範囲を広 げているマルウェアは、今年前半に発生した労働省への水飲み場攻撃と関係が あるようだ。5月に発生した攻撃では、原子力関係を担当していた前エネルギー 省職員が興味を持つWebページに仕掛けられた。いずれの攻撃も、IEの脆弱性 を悪用しており、ほぼ同じエクスプロイトが使用されている。

http://www.nextgov.com/cybersecurity/2013/09/energy-industry-website-hacks-resemble-compromises-labor-site-nuclear-workers/70630/?oref=ng-HPtopstory
────────────────

◆米エネルギー省の基幹インフラセキュリティ支出が3000万ドルに(2013.9.20-23)

米エネルギー省(DoE)は、サイバー攻撃から国内電力グリッド、石油、ガス インフラを保護するプロジェクトに対し11社との間で総額3000万ドルにも上る 契約を行った。現在、これらのインフラネットワーク設備の強化対策は任意で 行われている。米国議員が今年初めに行った調査結果では、これらインフラ企 業がサイバー攻撃を常時または頻繁に受けていることが判明した。回答は112 社から得られたが、サイバー攻撃の検出数や損害額に関する質問については、 多くが具体的な回答を避けた。

http://www.computerworld.com/s/article/9242544/Energy_Department_spends_30M_to_bolster_utility_cybersecurity_tools?taxonomyId=17
http://www.informationweek.com/government/security/energy-dept-invests-30-million-in-utilit/240161651
【編集者メモ】(Pescatore)
これらの契約と2013年2月にDoEが発表した2000万ドルの予算は、一般に販売さ れているセキュリティ製品やサービス購入に使われるようだ。私なら、5000万 ドルを基幹インフラ企業のセキュリティ担当マネージャに割り当て、すでに効 果が実証されているソリューションCritical Security Controlを使って、既 知の脆弱性を修復することに使うだろう。

【編集者メモ】(Assante)
エネルギー産業の制御システムのセキュリティを強化するために研究開発プロ ジェクトが開始されることは頼もしいことだ。しかし、大規模システムにおい て、投資効果があり実績のあるソリューションがあることを十分に説明してい ない。もっとも優先順位の高い緊急措置が必要なものは何で、資源を集中され るべきはどこなのか。その質問に回答するだけで、設計からデモをするまでに 何年もかかるプロジェクトになるに違いない。

────────────────

◆未対応のIEの脆弱性を悪用する攻撃が日本のWebサイトに(2013.9.23)

日本の人気サイトの訪問者を対象にした、未対応のIEの脆弱性を悪用する水飲 み場攻撃が出現した。標的となっているサイトは、政府、メーカー、テクノロ ジー関連企業と幅が広い。Internet Storm Centerでは、「実攻撃で悪用され ている証拠が増加している」とし、週末にかけて脅威レベルを「黄色」に引き 上げた。

https://isc.sans.edu/diary/Threat+Level+Yellow%3A+Protection+recommendations+regarding+Internet+Explorer+exploits+in+the+wild/16634
http://www.scmagazine.com/hackers-leveraging-ie-zero-day-used-watering-hole-attacks-to-compromise-users/article/313075/
http://threatpost.com/compromised-japanese-media-sites-serving-exploits-for-latest-ie-zero-day
http://www.computerworld.com/s/article/9242570/Security_org_raises_Internet_threat_level_after_seeing_expanded_IE_attacks?taxonomyId=17

────────────────

◆米国防総省、ネットワークを統合(2013.9.20)

米国防総省(DoD)は、15,000のネットワークを単一の相互運用情報環境(JIE: Joint Information Environment)に統合すると発表した。今回の変更は、冗 長なシステムを廃止することで、必要経費を削減するだけではなく、ネット ワークセキュリティを強化し、マニングやスノーデンが行った内部漏洩の発生 を抑制することも狙っており、ネットワークが統合されることで、サイバー攻 撃から守りやすくなることも期待される。

http://www.computerworld.com/s/article/9242542/Experts_praise_Pentagon_s_march_to_security_standards?taxonomyId=17
http://www.nationaldefensemagazine.org/blog/Lists/Posts/Post.aspx?List=7c996cd7-cbb4-4018-baf8-8825eada7aa2&ID=1267

【編集者メモ】(Pescatore)
卵を入れる籠を減らすのはいいことだが、その籠を本当にしっかりと監視する 必要がある。ネットワークの統合は簡単ではない。米連邦政府は、2007年に Trusted Internet Connectionプログラムを立ち上げ、4300あったインター ネット接続ポイントを100以下に削減するという目標を掲げたが、最新の報告 書によると2010年時点で接続ポイントの数は1800以下となっている。3年間 たってもゴールにはほど遠い。

────────────────

◆個人情報を売買するアンダーグランドサイト、データアグリゲータ企業をハッキング(2013.9.25)

不正に取得した個人情報を売買するアンダーグラウンドサイトは、米国の大手 データアグリゲータ(情報収集解析企業)のコンピュータに侵入して情報を収 集しているという。SSNDOBは、社会保障番号(SSN)や生年月日などの個人情 報を販売しているWebサイトだが、LexisNexis、Dun & Bradstreet、Kroll Background Americaといった米国大手のデータアグリゲータ企業のサーバを支 配下に収めていたボットネットは、SSNDOBの管理者によって運営されていたこ とが、ネットワーク分析より明らかになった。

http://krebsonsecurity.com/2013/09/data-broker-giants-hacked-by-id-theft-service/s
http://www.theregister.co.uk/2013/09/25/krebs_lexisnexis_db_and_kroll_hacked/

【編集者メモ】(Paller)
Brian Krebsが、またスクープした。LexisNexis、D&B、Krollといった大手デー タベース企業の侵害だ。つまり犯罪者はお金を使うほぼ全てのアメリカ人の データを保有していることになる。データベース企業が侵害されたのはこれば 初めてではない。信用調査を行う会社も過去に侵害されている。

────────────────

◆Googleの電子メールスキャン、通信傍受法違反の可能性(2013.9.26)

米カリフォルニア州の米連邦判事は、Googleが通信傍受法(Wiretap Law)違 反をしているという訴訟申立を認めた。訴訟内容は、Googleが行う電子メール スキャンが通信傍受法に違反をしているというもの。Google側の主張は、サー バを通過する際に実施されるメールスキャンは、スパムチェックを行うと共に、 ユーザプロファイルを作成することで、ターゲット広告の仕組みを提供してい るというもの。Googleは、通信傍受法において、メッセージ配信に必要または サービスを効率化するために偶発的に発生したものである場合、プロバイダの 傍受は許容されるとして訴訟却下申立を行っていた。Lucy Koh米地方判事は、 「電子通信事業者のビジネスモデルへの利益をもたらすことを目的とした傍受 行為に対して、無制限にその裁量の余地を与えることを前提として法が制定さ れたわけではない」と、判決文 に記載した。

http://www.washingtonpost.com/business/technology/judge-allows-lawsuit-against-googles-gmail-scans-to-move-forward/2013/09/26/3b4bedaa-26e4-11e3-b75d-5b7f66349852_story.html
http://www.wired.com/threatlevel/2013/09/gmail-wiretap-ruling/

────────────────

◆米FDAが医療系アプリ規制へ(2013.9.24)

米食品医薬品局(FDA)が、特定のモバイル用医療系アプリに対して、医療機 器と同じ規制を適用することを明らかにした。対象となるアプリは、血圧測定 などの医療機器と同様の機能を提供するもの。FDAは、「モバイルアプリが医 療機器と同じように、診断、治療、緩和、防止などに使わる場合、アプリが動 作するプラットフォームに関わらず医療機器と見なす」としている。ログを取 得したり、傾向を記録したりするアプリに対しては、規制管理の対象外となる。

http://www.nextgov.com/mobile/2013/09/fda-will-regulate-some-mobile-medical-apps-devices/70760/?oref=ng-HPriver
FDAの文書(原文)
http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM263366.pdf

【編集者メモ】(Pescatore)
モバイルアプリのベンダーから「FDA認定を必要とするためにパッチの提供が できません」という状況を作り出してはならない。FDAは、今年になって2005 年と2009年に発行したガイドラインを再発行した。その中で、脆弱性へのパッ チ適応により、自動的に認定が更新されたわけではない。またパッチが適用さ れない機器やソフトウェアは基準を満たしていないとしている。

【編集者メモ】(Ullrich)
もし診断できるアプリがあるなら、従来の診断機器と同じような認定が必要だ ろう。残念ながら、規制側は、医療機器における新たな脅威や脆弱性を把握し、 即座に対応するプロセスを整備するといったことに追いついていないのが現実 だ。

【編集者メモ】(Shpantzer)
医者は、アプリがたくさんインストールされたiPadの愛好者だ。医師たちは、 医療の場では、FDAから認定されるまで使っていないに違いない(笑)。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=05

◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

◎2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月10日(木)・11月14日(木)・12月12日(木)】
 エンドポイントセキュリティセミナー
 ~グローバルセキュリティの推進に向けて~
http://www.nri-secure.co.jp/seminar/2013/endpoint01.html?xmid=300&xlinkid=12

○10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=09

○10月24日(木)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。