NRI Secure SANS NewsBites 日本版

Vol.8 No.46 2013年11月19日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.8 No.46 2013年11月19日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃開┃始┃
 ━┛━┛━┛━┛━┛━┛
                  = SANS Tokyo 2014 =
                       第一弾
    APTを含む標的型攻撃に対抗するデジタルフォレンジックを学ぶ6日間

   【FOR508】Advanced Computer Forensic Analysis and Incident Response
    http://sans-japan.jp/courses/for508.html?xmid=300&xlinkid=01

              2014年2月17日(月)~22日(土) [6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■はじめに(Alan Paller:SANS Director of Research)
来月12日から19日にかけて、SANSで最も評価の高いハンズオン15コースが、ワ シントンDCで開催される。ボーナスセッション「Updates on Advanced Persistent Threats, Digital Forensics Techniques, and Windows Exploratory Surgery」も用意されている。詳細は、以下のリンクを参照して いただきたい。
http://www.sans.org/event/cyber-defense-initiative-2013/
追伸:西海岸での受講希望者は、来週にはサンディエゴで、12月中旬にはサン フランシスコで開催される。


────────────────────

■■SANS NewsBites Vol.15 No.090-091
  (原版: 2013年11月12日、15日)

────────────────────

◆英GCHQ、LinkedInとSlashdotを偽装し通信会社の社内ネットワークへアクセス(2013.11.10-11)

リークされた文書によると、英国GCHQ(通信本部)は、LinkedIn社とSlashdot 社のページを偽装し、欧州でグローバルローミングサービスを提供している会 社に所属するエンジニアのコンピュータにマルウェアを感染させた。マルウェ アに感染すると、エージェントはベルギーの通信会社Belgacomとその子会社の 内部ネットワークへのアクセスが可能になる。利用された感染方法は、 「Quantum Insert(量子挿入)」として知られており元々NSAが開発したものだ。

http://www.spiegel.de/international/world/ghcq-targets-engineers-with-fake-linkedin-pages-a-932821.html
http://www.wired.com/threatlevel/2013/11/british-spies-hacked-telecom/
http://www.computerworld.com/s/article/9243937/British_spies_reportedly_spoofed_LinkedIn_Slashdot_to_target_network_engineers?taxonomyId=17
http://arstechnica.com/tech-policy/2013/11/uk-spies-continue-quantum-insert-attack-via-linkedin-slashdot-pages/
────────────────

◆調査報告:米企業の大半は情報漏洩を公開せず(2013.11.11)

ある調査によると、米国企業内で発生した情報漏洩の50%以上は公開されてい ないことが判明した。マルウェア分析に従事するセキュリティ専門家200名を 対象に調査を実施し、公表されていない情報漏洩事件の調査や対応支援を行っ たことがあるという回答が57%となった。

http://www.zdnet.com/enterprise-data-breaches-often-left-undisclosed-malware-analysts-say-7000023032/
http://www.csoonline.com/article/742878/senior-executives-blamed-for-a-majority-of-undisclosed-security-incidents?source=CSONLE_nlt_update_2013-11-10

【編集者メモ】(Skoudis)
漏洩時の公開ルールを守らないことによる、罰則が必要だ。でなければ、公開 されない情報漏洩は、今後もっと増えるだろう。

────────────────

◆Microsoft、サーバ間通信は暗号化に未対応(2013.11.14)

Microsoft社の役員は、欧州議会のメンバーに対して、同社はサーバ間のデー タ通信を暗号化していないと述べた。Microsoft欧州法務担当副社長Dorothee Belz氏は、「(Microsoft社の)セキュリティシステムを確認中」と回答した。 Belz氏はGoogle社とFacebook社の代表者と共に欧州議会の委員会に召喚された。 以前にBelz氏は、「サーバへの直接アクセスは許可していない」と回答してい る。今回の発言は、NSAとGCHQによりGoogle社のデータセンター間で暗号化さ れていない通信が傍受されていたとする文書のリークに続くものとなった。

http://arstechnica.com/security/2013/11/we-still-dont-encrypt-server-to-server-data-admits-microsoft/
http://www.theregister.co.uk/2013/11/14/ms_data_centre_link_uncryption/

【編集者メモ】(Pescatore)
サーバ間通信を暗号化するのは難しいが、データセンター間を暗号化するのは 比較的容易だ。2005年当時、「境界を無くす」というコンセプトが流行ってい た時代に、Microsoft社はIPSec機能により「サーバとドメインの孤立ができる」 と盛んに宣伝していた。つまりIPSecを全てのサーバで有効にすれば、境界が 必要なく、自社のIPアドレスを全て外部に公開してもよいという考えだった。 Microsoft社ですらサーバ間の認証はしても暗号化はしないということがわかっ たのだ。貴社のネットワークでも、運用やパフォーマンスを優先するために暗 号化されていないペイロードへのアクセスを可能にしてもよいだろう。
802.1aeスタンダードは、ホップ毎のlinksecをサポートしており、多くの問題 を解決しているがネットワーク一式の効率的導入には今一つで、普及速度は非 常に遅い。

【編集者メモ】(Ullrich)
Microsoft社が顧客企業に対して社内ネットワークでもIPSecの利用を推奨して いた時、Microsoft社は自社ネットワークを参考に紹介していた。Microsoft社 内データに適用されている対策は、Microsoft社のクラウドサービスの顧客企 業データには適用されないのだろう。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「安全にオンラインショッピングを利用する」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 11月号では、オンラインショッピングの危険性とその危険から身を守る方法
 について、一般のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
  http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆Loyaltybuild社の情報漏洩被害100万件以上に(2013.11.13-14)

アイルランド企業Loyalbuild社が受けた攻撃により、少なくとも37万6千件の クレジットカード情報一式が漏洩した。攻撃が発生したのは、10月中旬だった。 アイルランドデータ保護委員会(DPC)の初期段階の調査によると、盗まれた データにはカード番号、CVV番号が含まれており、そのデータは暗号化されて いなかった。さらに、氏名、電話番号、メールアドレスを含む顧客情報100万 件も盗まれた。

http://www.theregister.co.uk/2013/11/14/irish_loyalty_card_breach/
http://www.irishexaminer.com/analysis/glitch-in-the-system-the-loyaltybuild-data-breach-249392.html

【編集者メモ】(Honan)
Loyaltybuild社は、一般企業のポイントサービス管理業務の請負をしている。 Loyaltybuild社自体には勿論のこと、アウトソース元の企業にも影響が及ぶ。 アイルランドのデータ保護法では、アウトソース元の企業も顧客情報漏洩の責 任を負う。支払業務はアウトソースできるが、責任まではアウトソースできな い。今回の事件から、情報漏洩が発生した際に行ってはいけないコミュニケー ションの方法が明らかになった。

【編集者メモ】(Northcutt)
これは、夏の暑い日に煙草を吸いながらコップ一杯のガソリンを空中に撒くよ うなものだ。何が起こるか考えなかったのだろうか。カード支払業界のスタン ダードが皆無というわけではない。
https://www.pcisecuritystandards.org

────────────────

◆米司法省、Lavabit事件を上告審査(2013.11.12)

米司法省は、Lavabit事件において上告審理を申請した。国は、Lavabit創始者 Ladar Levisonが利用客と交わしている契約のセキュリティに対して裁判所命 令で適用外にされることがないとしている。審理申請書によると、司法省は Lavabitのアカウント1件からメタデータの取得を要請した(具体的な調査対象 は明記されていないが、エドワード・スノーデンのものであると推測されてい る)。司法省は他のLavabitユーザのアカウントを探すためにSSL鍵を利用する というLevisonの懸念を退けた。

http://www.wired.com/threatlevel/2013/11/lavabit-doj/
http://www.computerworld.com/s/article/9244009/DOJ_says_Lavabit_cannot_prevent_search_warrants_by_39_locking_its_front_gate_39_?taxonomyId=17

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=03

○11月27日(水)
 情報セキュリティ概念から実践に向けて
 ~マイクロソフト社の実例と専門家の視点から学ぶ~
http://www.nri-secure.co.jp/seminar/2013/isc05.html?xmid=300&xlinkid=04

○12月11日(水)                     <名古屋開催>
 セキュリティソリューションセミナー2013
 ~2013年から見えた課題と次への一手~
http://www.nri-secure.co.jp/seminar/2013/1211nagoya.html?xmid=300&xlinkid=05

○12月12日(木)                        【NEW!】
 サイバーセキュリティ動向総括2013
 ~境界なき攻撃、その傾向と対策~
http://www.nri-secure.co.jp/seminar/2013/1212.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=07

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=08

◎2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=09

◎2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=10


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ※ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     < Discount Code:NRI >
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。