NRI Secure SANS NewsBites 日本版

Vol.8 No.44 2013年11月6日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                    Vol.8 No.44 2013年11月6日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃開┃始┃
 ━┛━┛━┛━┛━┛━┛
                  = SANS Tokyo 2014 =
                       第一弾
    APTを含む標的型攻撃に対抗するデジタルフォレンジックを学ぶ6日間

   【FOR508】Advanced Computer Forensic Analysis and Incident Response
    http://sans-japan.jp/courses/for508.html?xmid=300&xlinkid=01
              2014年2月17日(月)~22日(土) [6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■はじめに(Alan Paller:SANS Director of Research)
1. 2013年のセキュリティを変えた人物大賞へのノミネートを募集中。12月12 日-19日にワシントンDCにて開催されるSANS Cyber Defense Initiativeのカン ファレンスで、2013年に最も意義があり効果測定が可能なセキュリティ対策の プロセスやテクノロジーを導入した人物への表彰を行う。締切は11月8日だ。
http://www.sans.org/cyber-innovation-awards

2. 来週水曜日に行われるDHS(国土安全保障省)のCDM(継続的診断と対策) のワークショップに登録いただいただろうか?CDMプログラムには、10億ドル の予算が割り当てられ、脆弱性を削減しプロアクティブな対策を行うことでセ キュリティレベルを向上させることが期待されている。ワークショップの参加 者は、CDMプログラムを先導してきた政府の主要リーダや政府の監査官から直 接話を聞くことができる。ベンダーセッションには、Forescout、IBM、Mcafee、 Qualys、RSA、Symantec、Tenableなどが参加する。
オンラインで参加する場合
https://www.sans.org/webcasts/dhs-cdm-award-workshop-97170


───────────────────

■■SANS NewsBites Vol.15 No.086-087
  (原版: 2013年10月29日、11月1日)

───────────────────

◆米国防長官、国防総省のデータ保護改善を要請(2013.10.25-28)

チャック・ヘーゲル米国防長官は、国防総省(DoD)に対して、機密指定には なっていない管理データへの不正アクセスを防止するための対策を実施するよ うに要請した。DoDのCIO(最高情報責任者)および購買・技術・調達、ポリ シー、インテリジェンスの各担当次官に対して発行された指示には、同省の機 密扱い以外のネットワークについても脆弱性を評価し、それぞれのリスクへの 対策戦略の構築することが含まれている。さらにヘーゲル長官は、DoD、NSA (国家安全保障局)、DISA(国防情報システム局)に対して、技術データの損 失発見と損失による影響を評価する仕組みを策定し、保護の強化が必要とされ る情報資産やプログラムを特定し、十分な保護対策が実施されているか確認す るように指示した。

http://www.federaltimes.com/article/20131028/IT01/310280018/Hagel-calls-better-protection-DoD-data
http://www.nextgov.com/cybersecurity/2013/10/hagel-wants-unclassified-sensitive-data-protected-cyber-spying/72686/?oref=ng-channeltopstory

【編集者メモ】(Paller)
今回必要とされている変更は、スノーデン事件直後にNSAに導入された。この 変更により契約企業は利益率がよい分散型のシステム管理業務をあきらめ、技 術的にも管理的にも一括管理システムへの移行を余儀なくされた。DoDも同じ ような変更を行うのは当たり前だろう。しかしDoD全体に変更を浸透させるた めに必要な信頼を、DoDのCIOは軍の司令官からも文官リーダからも失ってし まった。CIOのスタッフは司令官に対して多くの技術的ではない規定への準拠 を強制し大金を浪費させた。これは、軍事システムで行うべきことをわかって いないと言える。
【編集者メモ】(Murray)
長官が望んでいるのは、対象システムのリスクに対する許容範囲が低くなった ことを示している。しかし巨大なシステムに対して一定して効果的なリスク管 理を望んでいるなら、「十分な」レベルを求めるだけでは不十分だろう。

────────────────

◆ATM系マルウェアPloutusが米国内で拡散か(2013.10.28)

メキシコのATMで発見されたマルウェアが米国に拡散している。Symantec社は 英語版に改良されたPloutusの亜種を発見した。マルウェアは、CD-ROMドライ ブ経由でATMに仕込まれ、マルウェアによりATMから現金の取得が可能になる。 Ploutusは特定のATMのみで動作すると考えられているが、具体的な機種は未だ 明らかになっていない。

http://www.scmagazine.com/atm-malware-ploutus-updated-with-english-language-version/article/318336/
http://www.computerworld.com/s/article/9243572/ATM_malware_may_spread_from_Mexico_to_English_speaking_world?taxonomyId=17

【編集者メモ】(Murray)
このソフトウェアをインストールすることができるような人間なら、現金を取 得するために、このソフトウェアは必要ないはずだ。どうみても「内部」の犯 行だろう。

────────────────

◆英国企業、66%はサイバーセキュリティ人材不足(2013.10.29)

英国企業25社のうち24社は、サイバー攻撃に対する十分な対策がされておらず、 対策が不十分な理由として、3分の2の企業は高度な技術力をもった人材が不足 していると回答した。

http://www.telegraph.co.uk/technology/internet-security/10409330/Cyber-attacks-are-the-greatest-threats-UK-businesses-face.html

────────────────

◆PHP.net、侵害される(2013.10.24-28)

先週、PHP.netのWebサイトが攻撃され、同サイトのサーバは10月22日から24日 の間、マルウェアをユーザに配信していた。発見されたきっかけとなったのは、 同サイトがGoogleのSafe Browsingシステムにより悪意のあるサイトとして警 告されたためだという。PHP.netの管理者は、マルウェアによって書かれた JavaScriptのコードを削除したが、攻撃経路は未だ確認されていない。PHP.net の管理者によると、PHPのソースコードレポジトリは攻撃の影響を受けていな いと述べている。ただし、同サイトのSSL秘密鍵にアクセスされた可能性があ るため、同サイトの証明書は破棄された。現在、同サイトは新しいサーバに移 行され、新しい証明書がインストールされた状態で運用されている。

http://www.zdnet.com/php-project-site-hacked-served-malware-7000022513/
http://www.computerworlduk.com/news/security/3475691/phpnet-confirms-server-breach-after-google-flags-them-for-malware/
http://arstechnica.com/security/2013/10/hackers-compromise-official-php-website-infect-visitors-with-malware/
http://www.theregister.co.uk/2013/10/25/phpnet_compromise_analysis/

【編集者メモ】(Northcuttt)
この問題は、サプライチェーンの侵害と呼ばれるものだ。多くのサイトがPHP に依存している。PHPが侵害されれば影響は大きい。 http://dspace.mit.edu/handle/1721.1/33313

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「安全にオンラインショッピングを利用する」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 11月号では、オンラインショッピングの危険性とその危険から身を守る方法
 について、一般のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆Microsoft、Windows XPユーザにWindows 8へのアップグレードを喚起(2013.10.30)

Microsoft Trustworthy ComputingのゼネラルマネージャーMike Reavey 氏に よると、Windows XPが動作しているコンピュータは、Windows 8のコンピュー タと比較して6倍マルウェアに感染しやすいという。Microsoftは2014年4月に 12年前リリースされたOSへのサポートを終了するため、この状況はさらに悪化 することになる。4月8日以降、XPマシンがマルウェアに感染する可能性は、 66%増加する。

http://www.v3.co.uk/v3-uk/news/2303629/windows-xp-six-times-less-secure-than-windows-8-warns-microsoft
http://www.computerworld.com/s/article/9243660/Windows_XP_infection_rate_may_jump_66_after_patches_end_in_April?taxonomyId=17
http://www.scmagazine.com/microsoft-urges-users-to-upgrade-from-12-year-old-windows-xp/article/318715/
http://isc31.sans.edu/forums/diary/SIR+v15+Five+good+reasons+to+leave+Windows+XP+behind/16922

【編集者メモ】(Pescatore)
表面が擦り切れたタイヤで運転していればパンクするのは目に見えている。影 響を受けるのは、XPが組み込みされているアプライアンスや機械制御機器など だが、メーカー側はパッチ提供に費用をかけることはない。念のために伝えて おくが、「医療機器はパッチを適用すべきである」。FDAによれば、パッチを 適用することで再認定が必要なわけではない。Windows XPが組み込みされた機 器を購入する場合には、Microsoftのカスタムパッチサポートを受けることを 機器メーカーに保証させる必要がある。

────────────────

◆Adobe社の情報漏洩件数、3,800万件へ(2013.10.29)

最近発生したAdobe社への不正アクセスにより流出した同社製品の登録ユーザ 数は3,800万人を超えたと報告した。今回、情報漏洩が確認されたのは、10月 初旬のこと。当初Adobeは、暗号化されたクレジットカードデータ300万件が 漏洩した報告した。今回の発表では、漏洩件数を訂正すると共に、Photoshop のソースコードも漏洩した可能性があると述べた。

http://krebsonsecurity.com/2013/10/adobe-breach-impacted-at-least-38-million-users/

────────────────

◆ロサンジェルス、サイバー侵入指令センター開設(2013.10.30)

カリフォルニア州のロサンジェルス市に、Eric Garcetti市長の指令によりサ イバー侵入指令センターが設立された。同センターはFBIおよびシークレット サービスの協力を得て運用されるもの。同センターのミッションは、「専任 部隊として、市内の公共機関に対してセキュリティスタンダードの導入を促 進するとともに、サイバー攻撃発生時に迅速に対応する」としている。

http://www.latimes.com/local/lanow/la-me-ln-garcetti-cyberattack-command-center-20131030,0,6025801.story#axzz2jIcin7Iv
http://www.nbcnews.com/technology/los-angeles-creates-cyber-intrusion-command-center-8C11500067

【編集者メモ】(Murray)
このような組織を維持するには、ある程度の規模が必要だ。インシデントレス ポンス機能は、巨大企業以外はアウトソースをするのが常だ。

【編集者メモ】(Paller)
このような機能をアウトソースする理由は、社内のスタッフにはスキルがなく、 社外にはスキルがあるというのが前提だ。しかしながら実際には、インシデン トレスポンスを請負う企業で、本当にスキルがあるのは上から4-5%程度だ。 LA市のセンターなら人材を育成し、多くのインシデントを扱うことができるよ うになるだろう。費用的にも効果的だろうし、アウトソースに依頼するよりも よい結果になると思う。

────────────────

◆ICEでソーシャルエンジニアリング攻撃の抜き打ちテスト(2013.10.29)

米移民税関捜査局(ICE: Immigration and Customs Enforcement)のソーシャ ルエンジニアリングに対する取り組みが政府情報セキュリティリーダシップ賞 (Government Information Security Leadership Award)にノミネートされた。 今回の取り組みでは、職員に電話をかけてパスワードを言うように誘導したり、 フィッシングメールを送信してシステムへの認証情報を入力させる仕掛けが組 み込まれた。ICEの職員に対するトレーニングは2012年冬以降実施されている。 トレーニング開始前には50%が騙されていたが、現在では、5千名の職員がトレー ニングを完了しており、仕掛けに騙された職員は60%減少して20%になった。

http://www.nextgov.com/cio-briefing/2013/10/ice-hacks-employees-teach-self-defense-cyberspace/72800/?oref=ng-HPrivers

【編集者メモ】(Paller)
このようなフィッシング攻撃の抜き打ちテストは、職員に対する講義や社内ポ スターなどより、よほど効果がある。「Securing the Human」プログラムは、 今では250万人以上に利用されているが、ソーシャルエンジニアリング攻撃に 対する社員の対応力を評価する新機能を検討しており、数ヶ月内に開始される 予定だ。社内教育のセキュリティ認知度向上プログラムで、Securing the Human をまだ採用していないなら、この機会を利用いただきたい。スピア型フィッシ ングの演習は非常に役に立つ。Securing the Humanは自社で行うより費用を抑 えることができ、25ヶ国語で常に更新されている。従業員にも好評で、真剣に 学ぶことができる。www.securingthehuman.org

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月14日(木)
 エンドポイントセキュリティセミナー
 ~PCやスマホなどマルチデバイスの一元管理で差がつく情報漏洩対策~
http://www.nri-secure.co.jp/seminar/2013/endpoint01.html?xmid=300&xlinkid=03

○11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=04

○11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=07

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=08

◎2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=09

◎2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=10

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ※ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     < Discount Code:NRI >
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。