NRI Secure SANS NewsBites 日本版

Vol.8 No.5 2013年2月5日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.5 2013年2月5日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
セキュリティ投資の最大効果を得る方法。John Pescatoreは、Gartner社で14 年に渡りサイバーディフェンスのアナリスト兼副社長職に従事し、最も信頼で きるセキュリティアナリストとなった。Johnが学んだことについてデータ共有 することに合意し、週に2-3回のブログを始めた。このブログで、サイバーセ キュリティの新分野で質問をしたり、CIOおよびCISOのラウンドテーブルを開 催することもできる。詳細はこちら。
http://www.sans.org/security-trends/2013/01/31/surfacing-at-sans

■■SANS NewsBites Vol.15 No.008-009
(原版: 2013年1月27日、2月1日)

◆米サイバー司令部サイバーセキュリティ要員を5倍に(2013.1.27)

米国防総省のサイバー司令部当局は、サイバーセキュリティ部門を今後数年間 で5倍にする計画だ。この変更の目的は、重大ネットワークの防衛力と敵対勢 力に対するサイバー攻撃能力の向上だ。計画では、現在約900名のサイバー司 令部を、4900名に増員する。設置が予定されているのは、国内の重要インフラ をサポートするシステムを保護する部隊、攻撃的サイバーオペレーションを実 行する戦闘部隊、国防総省のコンピュータネットワークセキュリティを強化す る部隊の3部門だ。元国防副長官William J. Lynn III 氏は、「アメリカに対 する重大なサイバー攻撃」が発生するとした上で、「問題は、今回のようにや るべき策を実行するか…事後報告書でやるべき策を読むか」の違いだと述べた。

http://www.huffingtonpost.com/2013/01/28/pentagon-cyber-force_n_2567564.html
http://www.washingtonpost.com/world/national-security/pentagon-to-boost-cybersecurity-force/2013/01/19/d87d9dc2-5fec-11e2-b05a-605528f6b712_story.html
html-http://www.nextgov.com/cybersecurity/cybersecurity-report/2013/01/cyber-commands-growth-plan-raises-lot-questions/60909/?oref=ng-channelriver

【編集者メモ1】(Paller)
新部門は80%が軍人、20%が民間人となる予定だ。民間人はいずれも個人である。 この体制変更をするためには、実践的スキルを向上させるという大きな壁を乗 り越えることが必要だ。実践で使えるようになるまでに1,000時間、またはそ れ以上の時間が必要だ。他に配置されていた(セキュリティの重要度が比較的 低い)要員をサイバーセキュリティに投入し、実践的スキルを学ばせ、サイバー スペースで防衛し敵対勢力を予測できるように、すばやく変貌させるのだ。 これを計画した担当者が想定している急進展の鍵は、既に名前が挙がっている 軍人や民間人の中から候補者を選択することで、成功する率が比較的高い人材 にのみ投資することだ。この目的を達成するためのライバルが2ついる。1つは、 基本的才能を発掘育成するための「セキュリティ財団」(ニュージャージー州 知事のサイバーチャレンジでクリスティ州知事が使用している財源と同じ)と 上級レベルの才能を発掘育成するための「NetWars」である。この変革におい て、空軍は他に比べると若干進んでいる、陸軍は強気でくるだろう。

【編集者メモ2】(Shpantzer)
2つの円のベン図を想像してほしい。円の1つは小さい円で、十分に訓練された、 または最小限の訓練で「サイバー戦士」になる予備軍だ。もう1つの円は小さ い円で米国民で最も高い保全許可証を持つ、またはTS/SCI/Polyを通過してい る、または少なくともこれらの保全許可証を取得する意思がある者だ。2つの 円が交わるANDの部分は本当に少数になる。このような専門家を募集、訓練、 そして存続させるのは容易ではない。今はそれしか言えない。

【編集者メモ3】(Henry)
米国が、予定通りサイバーセキュリティ要員を順調に増加させるには、国内の 教育と育成のシステムを大きく変える必要がある(イスラエルの記事で説明さ れているものに近い育成システムと思われる)。若年からハイテクのカリキュ ラムに参加させる、STEMの予算増加、高校生や大学生に、政府関係の新入りレ ベルの仕事を体験させるなど、目標までの道のりは長い。

────────────────

◆イスラエルがサイバーに対する姿勢を強化(2013.1.28)

イスラエルは軍のサイバー部隊に注力しており、強いサイバー戦闘部隊を育成 している。戦闘要員は、サイバー上の攻守および諜報活動にわたり訓練されて いる。同国のNational Cyber Bureauは、すでに一般高校生に向けたプログラ ムを確立しており、サイバー分野で有能な学生を選抜し育成している。このプ ログラムの講師はサイバーの専門知識を有する元諜報部隊の退役軍人である。

────────────────

◆#javaproblems: Oracleの1月パッチ適用後もJavaにセキュリティ問題あり(2013.1.28)

OracleのJava最新バージョンで導入されたセキュリティ設定は、drive-by browser attackを防止することが目的であった。しかし、これが簡単に迂回可 能であることが、研究者によって明らかになった。Javaのゼロデイの脆弱性が 複数公表され、Javaのセキュリティ担当トップは、Javaを安全にすることを確 約した。Java 7 Version 10で採用された対策は、12月にリリースされ、ユー ザがブラウザで起動できるアプレットを選択可能にした。しかしAdam Gowdiak は、セキュリティ設定がどのレベルでも迂回可能であると公言している。同氏 は、Java7 Version 11で動作するコンセプト実証エクスプロイトも作成してい る。これに対し、Oracleは1月中旬に緊急リリースを行った。

http://www.computerworld.com/s/article/9236255/New_bug_makes_moot_Java_s_latest_anti_exploit_defenses_claims_researcher?taxonomyId=17
http://www.zdnet.com/java-update-doesnt-prevent-silent-exploits-at-all-7000010422/
http://www.computerworld.com/s/article/9236230/Oracle_s_Java_security_head_We_will_fix_Java_communicate_better

【編集者メモ】(Dhamankar)
Web会議やSSL VPNのアプリケーションは、通常Javaが使えるブラウザを必要と する。私はいつも使っているブラウザでJavaを無効にしたが、顧客とのWeb会 議の際には有効にしなければならない。これはは、大企業の社員には問題だ。 もしJavaを使った後にオフにするのを忘れたら、彼らは脆弱になるのだ。

────────────────

◆中国のハッカー、NYタイムズ紙に侵入、ウォール・ストリート・ジャーナルも被害に(2013.1.31)

米新聞大手のニューヨーク・タイムズ(NYタイムズ)は、中国のハッカーが 2012年9月から同紙のコンピュータシステムを攻撃していたと報じた。攻撃者 は、同紙の全社員のアカウントアクセス情報が管理されているドメインコント ローラに侵入した。今回は、同紙の現および元北京支局長のアカウントが狙わ れた。中国国内で温家宝首相の一族が蓄えた巨額資産に関する記事を報じた ジャーナリストに対して、中国国内で情報を提供した人物を探していたようだ。 攻撃ルートは、事前に侵害した米国大学を経由し、IPアドレスをシフトすると いった遠回りの経路が取られた。このようなごまかし戦略は、中国に関係する サイバー攻撃で使用される。中国当局は、この攻撃への関与を否定した。 NYタイムズ紙は、Mandiantに支援を依頼し、攻撃の監視と阻止、証拠収集、 ハッカーの形跡消去を実施した。攻撃はシステムより削除され、セキュリティ 強化を行った。但し、このような攻撃が今後はないという夢を抱いているわけ ではない。ブルームバーグも昨年に、習近平(当時)副主席一族の総資産に関 する記事を公開した後に同様の攻撃を受けている。

http://www.nytimes.com/2013/01/31/technology/chinese-hackers-infiltrate-new-york-times-computers.html?hp&_r=0

【編集者メモ】
(この記事に付随している動画はよくまとまっていて、見る価値がある) ウォール・ストリート・ジャーナルも、中国のハッカーがコンピュータシステ ムを攻撃していたことを明らかにした。同紙の中国に関する報道内容を監視す るのが目的と考えられている。攻撃は、「顧客情報の悪用でも、商用目的でも ない」とされている。
http://online.wsj.com/article/SB10001424127887323926104578276202952260718.html
http://news.cnet.com/8301-1009_3-57566995-83/wall-street-journal-china-hackers-hit-us-too/]

【編集者メモ】(Paller)
今回の記事からわかることが3つある。 (1)攻撃は発見される前から長期に わたり発生している。 (2)アンチウィルスなどの防止策が有効でない。 (3)今回のような攻撃に対応できるセキュリティ専門スキルをもった人材が いない。この3つの現実は、米国内の1400以上の企業に当てはまる。分かって いるかとおもうが、該当する企業には、電力会社、大手の法律事務所、大手新 聞およびメディア会社、通信、ハイテク、天然資源、製造業、防衛産業などが あげられる。指摘するのは簡単である。このような攻撃を止めるために何をす べきかが、数週間で明らかになるだろう。

【編集者メモ】(Honan)
この記事からわかるのは、NYタイムズのネットワークに感染していた44種の独 自マルウェアを、同社で使用していたアンチウィルスソフトが検知しなかった ことである。だから攻撃は成功したのだ。もし、アンチウィルスソフトのみで システムを保護している、または独自マルウェアも対策できると思っているな ら、きっと侵入されるだろう。20の重大なセキュリティコントロールは、防衛 策として全セキュリティマネージャの必須項目である。
http://www.sans.org/critical-security-controls
特に4つが今回のNYタイムズ紙とWSJが受けた攻撃を食い止めることができる。

────────────────

◆Fortune 500企業はサイバーセキュリティ基準の任意適用に賛成 (2013.1.30)

米上院がFortune 500の企業に対して行った調査で、任意適用のサイバーセキュ リティ基準を支持する企業が多数となる結果となった。Jay Rockefeller上院 議員(ウェストバージニア州選出)が2012年に各社に対して書簡を送付した。 300の回答を得た結果を上院通商化学交通委員会のスタッフが報告書にまとめ た。回答には、サイバーセキュリティ法案および公民の協調に対して概ね同意 する結果が得られたが、多くはサイバーセキュリティ基準が必須になることを 懸念している。

http://www.nbcnews.com/technology/technolog/top-firms-open-voluntary-cybersecurity-rules-senate-1B8185954

【編集者メモ】(Pescatore)
当たり前だ。任意適用の基準は不足などしていないし、企業が準拠しなければ ならない必須基準はすでに多数ある。本当の課題は、脆弱性を減らすことだ。 政府が持つ強制力を使って市場に対してソフトウェアやオンラインサービスの 脆弱性を減らすように働きかけるべきである。企業は、より多くの基準のコン プライアンスに焦点をおくのではなく、重要なセキュリティコントロールに取 り掛かるべきである。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 1月号(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 JAVAの脅威・脆弱性、対策について、一般のコンピュータユーザ向けに、
 分かりやすく解説。社員の意識向上ツールとしてお使いください。

http://www.securingthehuman.org/ouch
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月19日(火)・5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=02

○2月20日(水)・2月22日(金)
 クラウドを活用した、失敗しない文書管理プロジェクトの進め方
 ~紙や電子といった媒体にとらわれず、継続できる文書管理の秘訣をご紹介
http://www.nri-secure.co.jp/seminar/2013/sri02.html?xmid=300&xlinkid=03

○2月21日(木)                        【NEW!】
 スマートデバイスのセキュリティ対策
 ~スマートデバイスの利用におけるBYODの進め方~
http://www.nri-secure.co.jp/seminar/2013/0221.html?xmid=300&xlinkid=04

○2月26日(火)・3月19日(火)・4月24日(水)・5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=05

○3月7日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2013/mail02.html?xmid=300&xlinkid=07

○3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。