NRI Secure SANS NewsBites 日本版

Vol.8 No.41 2013年10月16日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリ版)
                     Vol.8 No.41 2013年10月16日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
2013年のセキュリティを変えた人物大賞についてノミネート募集中
セキュリティの課題などは、大手企業や政府機関のセキュリティ侵害事件など ニュースのヘッドラインとなっており、十分だろう。12月16日にワシトンDCで 開催されるSANS Cyber Defense Initiativeのカンファレンスにおいて、セキュ リティに貢献した人物の表彰が行われる。

我々が認識している人達もいるが、ノミネートはまだ募集中だ。11月8日まで に連絡してほしい。SANSのチームが評価を行う。何か質問があれば trends@sans.org まで送付してほしい。
詳細は、http://blogs.sans.org/security-trends/?p=2048をご覧いただきた い。表彰のカテゴリは、NewsBites 80号の末尾に記載されている。

昨日、毎年行われるセキュリティ教育を修了した。驚いたことに、非常に短い 時間ながらも正確で、学ぶことが多く、価値があるものだった。そして当組織 のCISOが実施している毎月のスピアフィッシングテストも非常にうまくできて いた。この自動化されたシステムを作ったエンジニアに話をしたところ、他社 も私の意見に賛成らしい。この21カ月間で自動化されたセキュリティ教育トレー ニングは、915社289万人に展開された。自社で行うよりもコストを抑えること ができるし、効果的でもある。コースのデモはこちらを参考にしていただきた い。
http://www.securingthehuman.org/

SANSはCouncil on CyberSecurityと協力し、システム管理ツールのセキュリ ティベンチマークプロジェクトを4つのCritical Security Controlsに対して 開始する。Windowsを500台以上管理している企業の方は是非、NewsBites 81号 末尾の4つのアンケート項目に回答いただきたい。回答いただいた企業はベー タテストへの早期アクセスが可能になる。


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  <いよいよ来週開催 -今すぐお申込みを!>
           グローバルで通用するスキル&資格の取得を

               = SANS Tokyo 2013 =
             10月21日(月)-26(土) [6日間]

      【SEC504】Hacker Techniques, Exploits and Incident Handling
      http://sans-japan.jp/courses/sec504.html?xmid=300&xlinkid=01
  
      【SEC575】Mobile Device Security and Ethical Hacking
      http://sans-japan.jp/courses/sec575.html?xmid=300&xlinkid=02
  
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

───────────────────

■■SANS NewsBites Vol.15 No.080-081
  (原版: 2013年10月8日、11日)

───────────────────

◆米NSA、Torへのクラックはほぼ失敗(2013.10.7)

リークされた文書によると、米国家安全保障局(NSA)は、Firefoxの脆弱性を 利用してTorを使っているターゲットの監視を試みていた。米NSAと英GCHQは Torを解明しようとしている。TorはThe Onion Routerの略称で、暗号化された 通信を他のコンピュータを経由させ、ネット上での接続匿名性を守るサービス を提供しているが、Torを利用するユーザの環境によっては匿名性が無効にな るとされており、NSAはTor通信の復号に失敗しているが、Tor利用者の一部の 匿名性解除には成功しているという。

http://www.bbc.co.uk/news/technology-24429332
http://www.theguardian.com/world/2013/oct/04/nsa-gchq-attack-tor-network-encryption
https://www.schneier.com/blog/archives/2013/10/how_the_nsa_att.html
http://arstechnica.com/security/2013/10/nsa-repeatedly-tries-to-unpeel-tor-anonymity-and-spy-on-users-memos-show/

【編集者メモ】(Ullrich)
エンドポイントの脆弱性はトラッキングが可能のようだ。特にFirefox 17か。

────────────────

◆FBI、Silk Road摘発でビットコインを押収するも、所有者の隠し財産は暗号化のまま(2013.10.4-7)

FBIは、先週行った闇サイトSilk Roadの摘発により、2,600万ドル相当のビッ トコインを押収した。この資金の所有者はSilk Roadの利用顧客である。一方、 先週逮捕されたSilk RoadのオーナーRoss William Ulbricht が保有している とされる8,000万ドル相当のビットコインは依然として押収できていない。 FBIは、法的処理が終了するまで押収したビットコインを保持し、処理終了後 に清算・換金する予定だ。

http://www.theguardian.com/technology/2013/oct/07/fbi-bitcoin-silk-road-ross-ulbricht
http://www.forbes.com/sites/kashmirhill/2013/10/04/fbi-silk-road-bitcoin-seizure/

────────────────

◆米政府機関閉鎖によりパッチ適用も問題に(2013.10.9)

米連邦政府機関閉鎖により、各局はパッチ適用作業ができない状態となる可能 性がある。これによって、各システムは新たに公開された脆弱性を悪用する攻 撃に対して脆弱なまま放置されることになる。必須でないと指定されたITシス テムは閉鎖されている。IT担当者は、「無防備な」状態だ。今回の閉鎖で従業 員のコンピュータも停止状態であるので、業務再開時にパッチは適用されてい ないままの状態になる。

http://www.computerworld.com/s/article/9243078/Shutdown_could_delay_government_s_patching_of_IE_Windows_and_.NET_flaws?taxonomyId=17

────────────────

◆AdobeがReader、Acrobat、RoboHelpのセキュリティ更新プログラムをリリース(2013.10.8-10)

10月8日(火)、AdobeはReaderとAcrobatのセキュリティ更新プログラム2件を リリースした。最初の更新プログラムでは、パブリッシングソフトウェア RoboHelp 10のメモリ破損の問題を修正している。もう一つの更新プログラム ではJavaScriptのセキュリティコントロールに影響を与えるReaderとAcrobat の不具合を修正している。いずれの更新プログラムも対象はWindows版のみ提 供される。

Internet Storm Center:
https://isc.sans.edu/diary/Other+Patch+Tuesday+Updates+%28Adobe%2C+Apple%29/16763
https://isc.sans.edu/diary/The+Adobe+Breach+FAQ/16727
http://www.scmagazine.com/adobe-fixes-critical-bugs-in-reader-acrobat-and-robohelp-publishing-tool/article/315807/
http://www.cbronline.com/news/security/adobe-issues-two-security-updates-for-windows-products-091013
http://www.infosecurity-magazine.com/view/34947/adobe-issues-two-fresh-patches/
ReaderとAcrobat:
https://www.adobe.com/support/security/bulletins/apsb13-25.html

────────────────

◆Microsoftが8件のセキュリティ情報を公開、実攻撃で悪用されているIEの脆弱性2件に対応(2013.10.9)

10月8日(火)Microsoftは、8件のセキュリティ情報を公開した。パッチの内 訳は緊急が4件、重要が4件で、合計27件の脆弱性に対応した。対象となる製品 はWindows、Internet Explorer(IE)、Microsoft .NET、Microsoft Office、 Microsoft Server SoftwareおよびSilverlightとなる。緊急4件のうち、1件で は実際に悪用が確認されているIEの脆弱性2件に対応した。

Internet Storm Center:
https://isc.sans.edu/diary/Microsoft+October+2013+Patch+Tuesday/16760
http://www.theregister.co.uk/2013/10/09/patch_tuesday_double_ie_trouble/
http://www.zdnet.com/microsoft-patches-28-vulnerabilities-including-zero-day-7000021709/
http://technet.microsoft.com/en-us/security/bulletin/ms13-oct

セキュリティ情報の内容を数えると、合計28件の脆弱性に対応したことになる が、MicrosoftはMS13-080について10番目の項目が実際の更新プログラムには 含まれていないことを明らかにし、「今後の更新プログラムで対応する」と発 表した。

http://www.zdnet.com/microsoft-one-less-bug-fixed-on-patch-tuesday-7000021841/
────────────────

◆日本が必要とする情報セキュリティ専門家は8万人(2013.10.9)

日本政府は、情報セキュリティ専門家が大幅に不足していると述べた。先ごろ 開催された専門家のパネルディスカッションで、日本は重要インフラの保護に、 約8万人の情報セキュリティ専門家を必要としていると述べた。また、現在す でに情報セキュリティ業務に従事している専門家へも追加トレーニングが必要 であるとした。

http://www.theregister.co.uk/2013/10/09/japan_infosecurity_skills_shortage/

【編集者メモ】(Paller)
需要は常に変化している。10年前いや、5年前は多くの大学で一般的なセキュ リティ講座が開かれていたし、それでセキュリティ業界で就職することができ た。今は、高度なハンズオンスキルが必要とされる。ペネトレーションテスト、 フォレンジック、テクニカル監査、侵入検知、脆弱性分析、セキュリティの実 践知識があるプログラマにシステム管理者とさまざまだ。何でもできる万能選 手が少なくなってきている。

【編集者メモ】(Pescatore)
サイバーセキュリティに必要な人員をこんなに明確に示した報告書は珍しい。 現在日本には、26万人の専門家が存在するというが、この数値はどこからきた のだろうか(日本の購読者はぜひ調べていただきたい)。米国や英国のみなら ず多くの国でスキルをもった人材が不足している。しかし実際に何名が仕事に 従事しているかは不明だ。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=05

◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

◎2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=09

○10月24日(木)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

○11月14日(木)・12月12日(木)】
 エンドポイントセキュリティセミナー
 ~グローバルセキュリティの推進に向けて~
http://www.nri-secure.co.jp/seminar/2013/endpoint01.html?xmid=300&xlinkid=12

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。