NRI Secure SANS NewsBites 日本版

Vol.8 No.40 2013年10月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.40 2013年10月8日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
米DHS(国土安全保障省)とGSA(米連邦調達局)が1.5億ドル以上の初期予算 を発表したことで、サイバーディフェンスの更新プログラムが先月から始まっ た。連邦政府の各部局は費用を負担することなく、対策が必要とされる重要な セキュリティコントロールの継続監視が可能になる。これは予算凍結の影響を 受けることなく、数日後には発表されるだろう。最終的に州や各都市にまで広 げるもので、何十億ドルという規模になる。これによって、基幹インフラや民 間企業において、セキュリティ予算の優先順位を決める上でも参考にされ、費 用対効果が低い高価なツールへの無駄使いが減るだろう。11月6日、NSAのサイ バーディフェンスプログラムを取り纏めているTony SagerとGarnerのサイバー セキュリティプログラムを確立したJohn Pescatoreが、このプログラムによる 影響と学ぶべきことについて、講演する。さらに、本プログラムを作成した政 府高官も参加する。Critical Control別に利用されるツールについても説明す るため、企業のセキュリティ担当者もイメージがしやすいはずだ。参加費用は、 連邦職員は無償で、請負企業やベンダは有償だ。会場での参加希望者は、 http://www.sans.org/event/sans-dhs-cdm-award-workshop から、Web経由の 参加希望者は、https://www.sans.org/webcasts/dhs-cdm-award-workshop-97170 をご覧いただきたい。
追伸: NewsBitesの78号の最後のTech Cornerにも面白い記事がある。

サイバーセキュリティの先導者として先端をいく州知事は誰だろう?
サイバーセキュリティで重要な技術職員となる人材を輩出するのは、いずれの 州になるか、米国州知事7名が友好的ながらも激しく争っている。各州は、 「サイバーエース州大会」を開催し、優秀な人材に奨学金を与えて、より高度 な教育や訓練を受けさせ、高収入が約束されているサイバーセキュリティの職 場に送り込もうとしている。
10月4日8時現在のスコアは以下のとおりだ。
  イリノイ州クイン知事 2,971
  マサチューセッツ州パトリック知事 826
  ニュージャージー州クリスティン知事 705
  ニューヨーク州クオモ知事 665
  バージニア州マクドネル知事 618
  デラウェア州マーケル知事 293
  ミネソタ州デイトン知事 322
ニューヨーク州クオモ知事は、取り組み開始したのは遅かったが追い上げは早 く、デラウェア州はスコアが低いが人口比率からすれば2番目に位置付けられ るはずである。クイン知事とイリノイ州の退役軍人局長Erica Boggrenは、退 役軍人の重要な雇用機会と考え、339名の退役軍人を参加させている。他州で 就職活動をしている学生や退役軍人も参加しているが、州によるサポートは無 い。サイバーエースのスコアボードの全容はNewsBites 79号の最後に記載され ている。今後も、進捗を伝えていく予定だ。詳細はCyberaces.orgを参照して いただきたい。


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   <間もなく開催 -今すぐお申込みを!>
           グローバルで通用するスキル&資格の取得を

               = SANS Tokyo 2013 =
             10月21日(月)-26(土) [6日間]

      【SEC504】Hacker Techniques, Exploits and Incident Handling
      http://sans-japan.jp/courses/sec504.html?xmid=300&xlinkid=01
  
      【SEC575】Mobile Device Security and Ethical Hacking
      http://sans-japan.jp/courses/sec575.html?xmid=300&xlinkid=02
  
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

───────────────────

■■SANS NewsBites Vol.15 No.078-079
  (原版: 2013年10月1日、4日)

───────────────────

◆英国防省、統合サイバー予備軍に数百名を採用(2013.9.29-30)

英国防大臣フィリップ・ハモンドは、英国防省(MoD)は、サイバー予備員と してIT専門家を数百名規模で採用する計画があることを明らかにした。昨年英 国のサイバーディフェンス要員は、政府のシステムに対する高度なサイバー攻 撃400,000件を阻止した。予備員は、正規IT要員と共に、統合サイバー予備軍 (Joint Cyber Reserve Unit)として従事する。共同サイバー予備軍の主な役 割は基幹ネットワークとデータを守ることだ。MoDはこのプログラムに対して 5億ポンド(8.1億ドル)の予算を組んでいる。

http://news.cnet.com/8301-1009_3-57605262-83/uk-gears-up-for-cyberwarfare-offensives/
http://www.theregister.co.uk/2013/09/30/uk_cyber_reserve_force/
http://www.bbc.co.uk/news/uk-24321717

【編集者メモ】(Henry)
サイバー脅威に対して、常備軍と予備軍の双方で人員強化を図る国が増えてい る。この傾向は最終的には民間企業にもスキルと経験がある人材が増えること になるだろう。国のリソース的には重要ではあるが、国民を守るというのも国 の役割である。より実践的な知識が民間企業と共有され、企業の自衛力向上に つながることを願う。

────────────────

◆NSA/DHS、CAEプログラムの応募資格を期限後に変更(2013.9.30)

米国家安全保障局(NSA)は、情報保証(IA)のCAE(Center of Academic Excellence)プログラムへの受け入れ基準を引き上げた。これにより、すでに プログラムへの参加が認められていた200校は再認定を受ける必要がある。米 国立科学財団で年間数百万ドルに渡るサイバーセキュリティの教育や技術訓練 用プログラムに関する費用を管理しているVictor Piotrowskiは、「この変更 は、かなり遅い」とコメントし、さらに「このような変更は、方針として正し いと考えるが、本当に効果があるのか疑問だ。結果はこの数年でわかるだろう」 と述べた。CAEプログラムは参加大学にとって大きなメリットがあるが、連邦 当局の報告によると、CAE参加大学が国家レベルまたはCAEプログラムが目的と するレベルの技術力を有する卒業生を輩出していないと指摘されている。技術 力に欠けた卒業生は、就職活動で厳しい状況に直面し、ソフト、調査、ポリシー 中心の講義内容は、巨額な学生ローンの価値があったのか疑問だ。

http://chronicle.com/article/Federal-Agencies-Revamp/141953/

────────────────

◆IEの脆弱性を狙う攻撃を確認(2013.9.27)

更新プログラムが提供されていないIEの脆弱性を悪用するコードが多用されて いる。IEの全バージョンがこの脆弱性の影響を受け、7月から台湾のシステム に対する標的型攻撃に利用されている。Microsoftは、この問題を認識してお り、更新プログラムをリリースする前にセキュリティアドバイザリと回避策を 提供している。

http://www.computerworld.com/s/article/9242768/IE_zero_day_vulnerability_exploited_more_widely_than_previously_thought?taxonomyId=17
http://www.zdnet.com/ie-zero-day-actively-being-exploited-in-the-wild-rapid7-7000021249/
http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx

【編集者メモ】(Pescatore)
手動の回避策は、手間がかかるし費用が高くつく。運送トラックの運転手が数 キロごとに停車して、タイヤにガムテープを貼ってタイヤの空気漏れの対応を するようなものだ。
【編集者メモ】(Murray)
脆弱性による影響はグローバルだが、実際の攻撃は日本に特定されている。リ スクを取りたくないなら、回避策を試してみるのがいいだろう。ただし、実際 のところ、次の更新プログラムがリリースするのを待ってリスクをとる方が、 回避策を現時点で適用するよりコスト的にはメリットがあるだろう。

────────────────

◆FBIが闇サイトのシルクロードを摘発(2013.10.2-3)

米司法当局は、違法薬物、ハッキング代行、ハッキングツールの販売などで知 られている闇フォーラムシルクロード(Silk Road)を摘発した。シルクロード へのアクセスはTorネットワーク経由のみ、支払方法はビットコイン(Bitcoin) に限定されている。 今回の摘発で、シルクロードの運営者Ross William Ulbrichtも逮捕された。 Ulbrichtには、麻薬販売の共謀、コンピュータハッキングの共謀、マネーロン ダリングの共謀といった容疑が課されている。

http://www.scmagazine.com/fbi-brings-down-silk-road-underground-market/article/314691/
http://krebsonsecurity.com/2013/10/feds-take-down-online-fraud-bazaar-silk-road-arrest-alleged-mastermind/
http://www.wired.com/threatlevel/2013/10/silk-road-raided/
訴状原文:
http://media.scmagazine.com/documents/54/ulbrichtcriminalcomplaint_13437.pdf

────────────────

◆シルクロード摘発後ビットコインの価値下落(2013.10.3)

FBIがシルクロードのWebサイトを摘発したことで、ビットコイン(Bitcoin) の価値が下落した。シルクロードから押収されたビットコインは約360万ドル 相当に値する。ビットコイン価値下落の理由としては、仮想通貨と違法取引が 行われる闇サイトとの関係を、投資家が嫌ったためと考えられる。FBIは押収 したコンピュータ機器から暗号化鍵を入手したことでビットコインを押収した。

http://www.bbc.co.uk/news/technology-24381847
http://www.washingtonpost.com/business/economy/bitcoin-industry-reeling-as-authorities-shut-down-silk-road-online-marketplace/2013/10/02/961b105a-2ba1-11e3-97a3-ff2758228523_story.html

────────────────

◆外国情報活動監視裁判所の改革法案(2013.10.1)

米国議員2名が、外国情報活動裁判所(FISC: Foreign Intelligence Surveillance Court)の改革を行う法案をサポートしている。提出された法案 は、今年初めに上院が提出した法案に付随するもの。法案の中で、Office of the Constitutional Advodate(憲法支持室)を設置し、裁判所が審議進行中 に国民の権利に関する議論を可能にしている他、FISCの特定の決議に対して法 務長官が機密区分解除または概要を述べるための要件を定義している。

http://www.washingtonpost.com/blogs/the-switch/wp/2013/10/01/the-house-is-divided-over-almost-everything-but-fisa-court-reform-might-be-able-to-unite-it/

────────────────

◆米NSA、携帯電話ロケーション情報収集を試験的に実施していたことを認める(2013.10.2-3)

米国家安全保障局(NSA)は、2010年に一般市民の携帯電話ロケーション情報 を試験的に収集していたことを認めた。情報の「利用価値」が不十分であった ために、収集活動は2011年に停止された。NSA局長のアレキサンダー大将は、 10月2日(水)に、サンプルで携帯電話のロケーション情報を収集し、「対象 のデータ形式に対して(同局の)システムの処理能力を確認するために収集し ただけで、それ以外の用途はない」と述べた。アレキサンダー氏は、先週行わ れた公聴会では本件に対する質疑応答を避けている。上院Ron Wyden(民-オレ ゴン州)は、未だ「相当の情報」が公開されていないと述べている。

http://www.washingtonpost.com/world/national-security/nsa-had-test-project-to-collect-data-on-americans-cellphone-locations-director-says/2013/10/02/65076278-2b71-11e3-8ade-a1f23cda135e_story.html
http://www.theregister.co.uk/2013/10/03/nsa_admits_tracking_us_cellphones/

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=05

◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

◎2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月10日(木)・11月14日(木)・12月12日(木)】
 エンドポイントセキュリティセミナー
 ~グローバルセキュリティの推進に向けて~
http://www.nri-secure.co.jp/seminar/2013/endpoint01.html?xmid=300&xlinkid=12

○10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=09

○10月24日(木)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。