NRI Secure SANS NewsBites 日本版

Vol.8 No.6 2013年2月12日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.6 2013年2月12日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
先週のNYタイムズが侵入されたニュースで、最もよく売られているアンチウイ ルスソフトウェアは全く役に立たなかったことが明らかになった。標的型攻撃 の被害にあった組織全てが同じことを学び、そして、遅すぎるが、社内でフォ レンジックと脅威分析ができる体制を構築するのだ(侵入された後に、民間の インシデント対応サービスを頼むと、1時間あたり1000ドルほど課金される)。 SANS 508は、それが学べる一番よいハンズオンコースだ。


╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◆◆ OUCH! 2月号(日本語翻訳版も)
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃ 2月号はフィッシングメール攻撃について、一般のコンピュータユーザ向け
┃ に、分かりやすく解説しています。
┃ 社員の意識向上ツールとしてお使いください。
┃  http://www.securingthehuman.org/ouch
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■SANS NewsBites Vol.15 No.010-011
(原版: 2013年2月5日、2月8日)

◆米エネルギー省核部門が侵害

FBIとエネルギー省は、首都ワシントン本部にある同省の国家核安全保障局の サーバが攻撃されていたとして捜査に乗り出した。捜査当局によると、侵入手 口は非常に高度で複雑であり、狙いは個人情報だけでないという。攻撃の目的 は、他にあったとされる痕跡があり、将来的に国家機密情報を含む機密情報へ のアクセスを企てていた可能性がある。少なくとも本部のサーバ14台とワーク ステーション20台が不正侵入されていた。

http://www.informationweek.com/security/attacks/department-of-energy-confirms-data-breac/240147877
http://freebeacon.com/cyber-breach/

────────────────

◆ホワイトハウスが今月末にもサイバーセキュリティ大統領令を発令(2013.1.31-2.1)

ホワイトハウスは、サイバーセキュリティに関する大統領令を、今月後半にも 公開する予定だ。大統領が2月12日に一般教書演説を終えた後に発令されると 考えられている。国土安全保障・政府問題委員会を率いるCarper上院議員 (Delaware州選出)は、今回の大統領令に関して商業・諜報委員会と共同聴講会 を開催する予定があると述べた。この大統領令では、任意のサイバーセキュリ ティ基準の確立が予定されている。今回の大統領令は、サイバーセキュリティ 法案成立には至らなかったものの、現政権が国家の重大インフラを支えるコン ピュータシステムを守るために、対策を取らざるを得ない状況と判断した結果 である。

http://www.computerworld.com/s/article/9236438/Obama_to_issue_cybersecurity_executive_order_this_month
http://thehill.com/blogs/hillicon-valley/technology/280465-carper-anticipates-white-house-will-release-cyber-order-after-state-of-the-union

【編集者メモ】(Assante)
重大インフラの保護は、任意基準を高いレベルに持っていくうえで強い論拠と なっている。ここでは、一般のITフレームワークを適用したい衝動を抑えなけ ればならない。電力セクタが基幹電力系統システムにサイバーセキュリティ基 準を適用したケースから学んだ点は、異なるアプリケーションやシステムにコ ントロール一式をまとめて導入する際には、注意深く進まなければならないと いうことだ。産業用制御システムなどの運用技術の保護における重大要因を考 慮すると、一般企業のITシステムのフレームワークでは無理だ。この分野は、 2月13日のワークショップで明らかになる構想と共に取り組む分野の一つであ る。

────────────────

◆米大統領 サイバー先制攻撃の発動権限あり(2013.2.3-4)

国家によるサイバー兵器使用について米大統領には他国に対するサイバー先制 攻撃発動権限があることが、当局者の話により確認された。発動権限が適用さ れるのは、外国からの意図的なデジタル攻撃による脅威が確実に存在する場合。 今後数週間で、オバマ政権はサイバー攻撃に対する防衛措置または報復措置に 関する規定を承認する予定だ。

http://www.zdnet.com/obama-can-order-pre-emptive-cyber-attack-if-u-s-faces-threat-7000010769/
http://www.nytimes.com/2013/02/04/us/broad-powers-seen-for-obama-in-cyberstrikeshtml
(注:NYタイムズは毎月記事を10件以上読むと有料になる)

────────────────

◆米国 中国のサイバー攻撃に反応か(2013.2.1)

米国は、多くの米国企業が被害を受けている、中国からと思われるサイバー攻 撃に対して対応を検討している。米国は、国家情報評価書をまとめており、こ の評価書の内容は、何をすべきかを明確にわかるような形式で、サイバー攻撃 に関する情報をまとめるのに役立つように編成されている。この評価書は、中 国にサイバー攻撃を止めさせるために、貿易通商禁止や外交施策を使うことを 正当化させる基礎を敷くものとなる。

http://news.cnet.com/8301-1009_3-57567089-83/u.s-weighs-retaliation-to-alleged-chinese-cyberattacks/
http://www.nbcnews.com/technology/technolog/us-looking-action-against-china-cyberattacks-1B8202819

【編集者メモ】(Pescatore)
多くの新聞社のインターネット接続システムは、いろいろなレベルの攻撃者に とって格好の的である。移動が多いユーザ、絶え間ないリストラとコスト削減 という状況下で、インターネットへの接続性が拡張されたため、本当に多くの 脆弱性が追加されたのだ。

【編集者メモ】(Honan)
毎回のことであるが、オンラインの攻撃者を追跡することは非常に難しい。攻 撃に注目し、他人の足元をみてセキュリティ対策が乏しいことを批難すること に時間を割く代わりに、セキュリティの弱点を特定し、システムを防御する方 法としてコントロールポイントを増やすことに注力した方が良い。

────────────────

◆重大システムの遠隔操作を可能にする産業制御システムの欠陥(2013.2.6-7)

設備内の電子ドアロック、空調、エレベータや産業工程の遠隔操作を可能にす る重大な欠陥が、広く利用されている産業用制御システム(ICS)に発見され た。この問題は、Tridium Niagara AX Framework内に存在する。ハッカーは、 システムの全設定データを含むファイルへのアクセスが可能だ。このファイル には、オペレータのワークステーションにアクセスするユーザ名やパスワード も含まれている。Tridiumの広報によると、同社は2月13日にパッチをリリース する予定だ。

http://www.wired.com/threatlevel/2013/02/tridium-niagara-zero-day/
http://arstechnica.com/security/2013/02/were-going-to-blow-up-your-boiler-critical-bug-threatens-hospital-systems/

【編集者メモ】(McBride)
2名の研究員が明らかにしたHoneywell/TridiumのNiagaraセキュリティの問題 は、ITとOTネットワークを組み合わせた分野において重要な事例となる。 Microsoftは修正プログラムの適用率は、リリース後9か月で66%だと報告して いる。ここで何を期待するというのだ。

【編集者メモ】(Paller)
パッチをリリースしても問題は修正されない。国の重大インフラに利用されて いるソフトウェアで危険度が高いセキュリティの欠陥を対処するにあたり、ベ ンダはパッチのリリースのみならず、以下の項目を確認すべきだ。(1)納品 先がリスクを認識しているか(電子メールでもいいが、適格な担当者がメーリ ングリストに登録されていること)。(2)納品先の担当者がパッチのインス トール方法について十分な知識を有し、ベンダからの必要なサポートがあるか である。業界人として、セキュリティの問題はパッチをリリースすれば修復さ れると思い込むのを止めよう。多くの場合、パッチはインストールされない。 理由は、担当者がパッチの存在を知らない、十分な知識がない、またはパッチ がインストールされたか自動的に確認する方法がないからだ。

────────────────

◆アンドロイド電話はパッチ適用しないまま (2013.2.5-6)

アンドロイドOSの更新プログラムを配信する責任は誰にあるのだろうか?OS開 発者であるGoogle?電話機製造メーカー?それともユーザの携帯電話の通信事 業者か?アンドロイドの脆弱性が発見されるとGoogleは即座に対応しているが、 通信業者とハードウェアメーカーはタイムリーに更新プログラムを提供しない ことが多い。通信業者やメーカーは、更新プログラム配信する前に微調整作業 がある。結果として、更新プログラムがリリースされても通信業者やメーカー はすぐに配信できず、何百万台というアンドロイド携帯は数か月間更新されな い状態となる。12月にArs Technicaがアンドロイド携帯の更新頻度を発表した。 アンドロイド携帯を数年間使用しているユーザでも、受信した更新回数は2回 だった。

【編集者メモ】(Pescatore)
アンドロイド端末は、IOS端末と比べると、セキュリティ的に問題なところが 2ヶ所ある。(1)Google Play App Storeのホワイトリストメカニズムはオプ ション機能であること。iOSでは、ユーザが意図的に改造する必要がある。 (2)OSとハードウェアが異なるベンダであること。OSを必須にすることが、 ハードウェアのリスク軽減につながる。

【編集者メモ】(Shpantzer)
アンドロイドのエコシステムは馬鹿らしいくらいバラバラだ。pegの4.xバー ジョンはユーザベースの10%だ。iOSは数日でこの2倍の数値になる。エコシス テムの性質上、そしてハードとソフトが一体であることで可能になるのだ。 人によっては、バラバラだからこそ、大量に拡散するエクスプロイトを開発す るのは難しいとする意見もあるだろう。

【編集者メモ】(Murray)
アンドロイドとiOSを比較するとインプリによる問題ではなさそうだ。しかし ながら、iOSのパッチをテストするのは、せいぜい12機種程度で、更新元は1か 所である。セキュリティで選ぶなら、iOSの戦略が優勢となる。

────────────────

◆米連邦準備銀行がハッキングされる(2013.2.6-7)

2月3日(日)、ハッカーが米連邦準備銀行の緊急通信システム(ECS)のコン ピュータに侵入した。侵入者は、銀行役員の連絡情報が含まれたデータベース にアクセスし、4千名以上の米国内銀行役員のデータを盗み出し、インター ネットに公開した。漏洩したデータには、氏名、メールアドレス、ログイン情 報が含まれていた。同行の広報発表によると、攻撃は「Webサイトのベンダ製 品内の一時的な脆弱性」経由であったとしており、脆弱性はすでに修正された と伝えている。米連邦準備銀行は、盗み出されたデータは本物であることを認 めた。ECSは、有事の際に状況を同行に逐次報告するシステムである。盗み出 されたデータは、スピア型フィッシングに使用される可能性がある。今回の攻 撃は、法曹制度に改革を求めるアノニマス集団による一連の攻撃の一部と考え られている。

http://www.theregister.co.uk/2013/02/06/fed_confirms_downplays_anon_superbowl_hack/
http://www.computerworld.com/s/article/9236566/Federal_Reserve_confirms_its_system_was_breached?taxonomyId=17
http://www.zdnet.com/anger-rises-as-fed-confirms-anonymous-hack-downplays-us-bank-emergency-system-breach-7000010902/
http://arstechnica.com/security/2013/02/data-siphoned-in-fed-reserve-hack-a-bonanza-for-spear-phishers/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー(一部日程追加しました)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月20日(水)・2月22日(金)
 クラウドを活用した、失敗しない文書管理プロジェクトの進め方
 ~紙や電子といった媒体にとらわれず、継続できる文書管理の秘訣をご紹介
http://www.nri-secure.co.jp/seminar/2013/sri02.html?xmid=300&xlinkid=01

○2月21日(木)                        【NEW!】
 スマートデバイスのセキュリティ対策
 ~スマートデバイスの利用におけるBYODの進め方~
http://www.nri-secure.co.jp/seminar/2013/0221.html?xmid=300&xlinkid=02

○2月26日(火)・3月19日(火)・4月24日(水)・5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=03

○3月7日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2013/mail02.html?xmid=300&xlinkid=04

○3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=05

○4月23日(火)・5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=06

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=07


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。