NRI Secure SANS NewsBites 日本版

Vol.8 No.7 2013年2月19日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.7 2013年2月19日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
「Raising the Bar for Cybersecurity」という題名の重要な報告書 (https://csis.org/publication/raising-bar-cybersecurity)が、公開され た。この報告書は、ホワイトハウス、DHS(国土安全保障省)、NIST(国立標 準技術研究所)、CSIS(戦略国際問題研究所)が開催した大統領令の実施説明 会で公開された。この報告書は、「実施要領」だけでも、米国内のサイバーセ キュリティ関連の話題を変えるものだ。本書では、中国など諸外国によるスパ イ活動やサイバー犯罪者の攻撃の85%以上を阻止する手段が記載されている。 それは、中規模以上の企業がすでに所持しているツールによって可能な手段だ。 James LewisによるCSISのレポートは、報告内で説明されている防衛策が実際 に有効であるとする十分な証拠も含んでいる。2週間もすればわかるだろう。 今回の大統領令は、(A)1年かけた広いフレームワーク構築を待つことなく、 今現在の損害を食い止めることができるもの、または(B)単なるお上からの 通達文書で、米国内の脆弱性状況に影響を与えないもの、のどちらなのか判明 する。既知のソリューションが利用されず放置されている間に、NISTが一年か けて何をすべきかを特定したのであれば、答えは(B)である。 進捗は、NewsBitesのニュースで報告しよう。

追伸:
John Pescatore(ガートナーで14年間サイバーディフェンスアナリストをして いる専門家)が、うまいことを言っている。「まず止血してから、生活習慣を 改善し、そして書類に記入しよう」

■■SANS NewsBites Vol.15 No.012-013
(原版: 2013年2月12日、2月16日)

◆ハッカーがBit9に侵入し、マルウェアに同社の証明書でサイン(2013.2.8)

セキュリティサービス会社Bit9のシステムが侵入された。侵入者は、同社のコー ドサイニング証明書を使用してマルウェアにサインした。これでマルウェアは、 正規のソフトウェアのようにみえる。Bit9はアプリケーションホワイトリスト のサービスを提供している。つまりマルウェアが信頼されたコードとして処理 される。皮肉にも、Bit9システムが侵害された原因は、自社ソフトウェアが保 護しなかったからだ。今回の攻撃による影響は、2011年のRSA侵害事件と類似 している。盗まれた情報が、別組織への攻撃に使用される。Bit9は、多くの政 府機関やFortune 100企業にサービスを提供している。

http://krebsonsecurity.com/2013/02/security-firm-bit9-hacked-used-to-spread-malware/
http://www.scmagazine.com/hackers-hijack-bit9-to-target-its-customers-with-malware/article/279777/
http://arstechnica.com/security/2013/02/cooks-steal-security-firms-crypto-key-use-it-to-sign-malware/
【編集者メモ】(Pescatore)
今回の災難は、さまざまな認証局が侵害されている事件に類似している。ホワ イトリストやコード署名の価値は、著名サービスを提供するシステムのセキュ リティレベルに依存している。Bit9は、つい7か月前に3400万ドルの融資を受 けた。どうやら会社の宝を守るには、十分でなかったようだ。セキュリティ会 社の取締役会のみなさん、口ばかりで無く実際に実行しているか確認してほし い。お願いしますよ!

────────────────
◆機密報告書 中国のサイバースパイ活動は米国経済への脅威に(2013.2.10)

国家情報評価書によると、米国に対するサイバースパイ活動において、中国が 他国と比較して圧倒的に注力して活動をしており、今後米国の経済への脅威に なるとしている。この機密報告書では、エネルギー、金融、航空宇宙、情報技 術といったセクターが、サイバーエスピオナージ攻撃の標的になっていると伝 えている。ロシア、イスラエル、フランスも同様の活動を行っていると報告さ れているが、中国の活動が最も顕著である。

【編集者メモ】(Henry)
このニュースの言いたいことは何だ?この記事を確認するために2度読み直し てみた。アメリカに対して中国や他国がサイバースパイ活動をしてることが ニュースって本当か?サイバースパイ活動は、過去15年間行われているし、こ の2-3年では、会社の役員、政府機関、管理当局役人なども、公に語っている。 ここで改めて公に認知されたのだから、この脅威に対して、迅速且つ効果的な 対策実施につながってほしい。

【編集者メモ】(Ranum)
サイバースパイ活動から国を守る責任があるアメリカ官庁は、にひどい仕打ち をしてきた。恐怖をそそる代わりに、標的となっている官民の組織が具体的な アクションに結びつけるように、何が起きているか詳細を公開すべきだ。金額 が書かれていない小切手に署名を要求された納税者が、恐怖を覚えて署名する ことを躊躇するようなものだ。

【編集者メモ】(Paller)
国外で発見され、USの諜報機関が確認した強力な防衛策が浮上している。戦略・ 国際問題研究センターから予定されている報告書を見てほしい。国家が関与し ているエスピオナージ攻撃で利用される攻撃手法に対して、この防衛策の有効 性を実証と合わせて報告している。問題ばかりを取り上げるのはやめて、問題 の解決を始めよう。

────────────────
◆米大統領 サイバーセキュリティに関する大統領令を発動(2013.2.12-13)

オバマ米大統領は2月12日(火)に、銀行、電力、水道設備など国家の重要イ ンフラを支えるコンピュータネットワークの保護を目的とした大統領令に署名 した。脅威に関する情報共有の場を提供すること、サイバーセキュリティの自 主基準の採用を奨励することが盛り込まれている。同令は、国民のプライバシー を保護するための防衛手段を確立している。

http://www.nextgov.com/cybersecurity/2013/02/obamas-cyber-executive-order-lays-foundation-mandatory-regulations/61267/?oref=ng-channelriver
http://www.washingtonpost.com/blogs/post-tech/post/politicians-privacy-advocates-weigh-in-on-cybersecurity-exec-order/2013/02/13/86766528-75ee-11e2-aa12-e6cf1d31106b_blog.html
http://www.nbcnews.com/technology/technolog/new-rules-cybersecurity-obamas-executive-order-explained-1C8349895
http://www.wired.com/threatlevel/2013/02/executive-order-cybersecurity/
大統領令原文:
http://www.wired.com/images_blogs/threatlevel/2013/02/Presidents-Cybersecurity-Executive-Order.pdf

【編集者メモ】(Ullrich)
この大統領令が発動されたという事実は、本当の問題は何で、対応策は何なの か、広く同意が取れていないという本当の問題を浮き彫りにしている。情報共 有に焦点をあてている点は非常にいいと思う。しかし重要インフラの世界では、 すでに多くの協同活動が実施されており、それを見逃してはいけない。

────────────────
◆米大統領 重大インフラへ改善を求める大統領による指令21も発動(2013.2.15)

多くの報道機関の注目を集めた大統領令に加えて、オバマ米大統領は、大統領 による指令21(PDS21)も発動した。ICSセキュリテを取り纏めている防衛プロ グラムマネージャのDaryl Haegleyによると、PDS21では、軍の依存する産業制 御システム(ICS:電力、水道、通信システムなどを稼動させるネットワーク) への継続的監視が、米軍の調達業者に対して1年以内に必須となる。現在のシ ステム検査が3年に一度ということを考えると、かなり大きな変更である。

http://www.nextgov.com/cybersecurity/2013/02/pentagon-will-require-security-standards-critical-infrastructure-networks/61328/
【編集者メモ】(Paller)
DoD(国防省)は、国家の電力と通信の安定供給を確保するために必至だ。も し、彼らの基準(特に攻撃の大多数を阻止する必須策)が、20の重大コント ロールなら、サイバーセキュリティを国家レベルで復活させるには素晴らしい モデルケースとなるだろう。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 2月号(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2月号はフィッシングメール攻撃について、一般のコンピュータユーザ向け
 に、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
 
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月26日(火)・3月19日(火)・4月24日(水)・5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=03

○3月7日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2013/mail02.html?xmid=300&xlinkid=04

○3月12日(火)・4月19日(金)・5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=05

○4月23日(火)・5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=06

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。