NRI Secure SANS NewsBites 日本版

Vol.8 No.8 2013年2月26日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.8 2013年2月26日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
この24時間で、主要メディアの多くが、中国の軍部または軍関係者が米国企業 をハッキングしているというニュースを取り上げている。今週のBusinessWeek の表紙には、「中国軍があなたをスパイしている」と大きな見出しがでている。 Mandiant社は強力な証拠を提供している。これはかなり大きなニュースだ。

しかし、本当の話なのだろうか?中国人民解放軍にスパイされていると知って いたら、防衛方法を変えることができるか?どうやって?中国語版の侵入防止 ツールを検討するだろうか。多くの国が様々な手段を用いて米国の通信、銀行、 電力システムに侵入し、国家資産を盗んでいる可能性がある中、他国は密かに 攻撃しているため十分な証拠がないために、中国が表面的にバッシングされて いるだけである。

テロリスト、無政府主義者、犯罪者などの悪者の数は、複数の国に跨り、数が 多すぎる。重要なのは、自分のシステムを守ることで、犯人を特定するのは、 その次である。何故なら、攻撃されるのは同じような弱みだからだ。最も重要 な答えは、ホワイトハウス/DHS/NISTの会議で先週公開されている。
https://csis.org/publication/raising-bar-cybersecurity
Jim Lewisによるこの報告書内で特定されている防衛策は、中国または他国か らの脅威の大半を阻止している。我々が専門家としてできることは、これらの 防衛策導入を踏み留ませている障壁を見つけることだ。 Tony SagerとJohn Pescatoreが、その問題に取り組んでいる。読者の方も報告書を読んで、普及 を妨げているも主な理由が分かったら彼ら宛て( CCA@sans.org )に連絡して ほしい。

約束したホワイトハウス大統領令のその後を報告しよう。
(1)経過日数:10日
(2)進行状況:なし
ホワイトハウスのMichael DanielとNISTディレクターのGallagherは、何をす べきかわかっている。
https://csis.org/publication/raising-bar-cybersecurity
残念ではあるが、数十億ドルかけて問題を解決するためではなく問題を取り上 げているだけの報告書を役人に作らせる競争に勝利したのは、NIST SP-800-53 と800-37を導入した担当者たちのようだ。

このメールマガジンを購読しているプレスのみなさん、RSAカンファレンスに 参加予定であればメール( apaller@sans.org )を送ってほしい。今後変革を もたらすセッションの一覧を送付しよう。

■■SANS NewsBites Vol.15 No.014-015
(原版:2013年2月19日、2月22日)

◆米軍指揮官がDODサイバー軍は適任不足 問題はDOD 8570要件(2013.2.16)

米軍の主要3部門の将校を含む24名の専門家は、米国防総省(DOD)のコンピュー タネットワークを保護する担当者が、任務遂行に充分な技術トレーニングを受 けていないとする証拠を提出した。認定を受けてセキュリティについて語るこ とはできても、基本的なセキュリティ業務ができない。DODのTeri Takai CIO は、十分な能力と資格がある人物を新規採用できるように、部内で資格条件と 認定ポリシーを再検討中であると述べた。

http://www.federaltimes.com/article/20130216/DEPARTMENTS01/302160001/Experts-say-DoD-cyber-workers-undertrained?odyssey=tab%7Ctopnews%7Ctext%7CFRONTPAGE

────────────────

◆100社以上の米企業に対するサイバー攻撃の背後に、中国が関与コカ・コーラ取引失敗も中国のハッキングが原因(2013.2.19)

報告によると、中国がセキュリティ会社や発電所の業者など、多くの米国企業 に対して大規模エスピオナージ攻撃を実行した。コカ・コーラの巨額取引失敗 も中国軍ハッカーが原因としている。2008年、コカコーラは、China Huiyuan Juice Group(北京本社)に対し24億ドルを提示した。これは中国国内で過去 最大の外資系買収になるはずであった。入札書の作成中に、中国のハッカーが コカ・コーラのシステムに侵入し取引詳細情報を取得していた。

http://www.nytimes.com/2013/02/19/technology/chinas-army-is-seen-as-tied-to-hacking-against-us.html?_r=0Companies
http://dealbook.nytimes.com/2013/02/19/accusations-of-hacking-in-cokes-failed-big-deal/
http://www.usatoday.com/story/tech/2013/02/19/chinese-military-hacking-group-us-attacks-cybersyping/1930307/
────────────────

◆米軍契約企業 産業監視システムの継続監視が必須に(2013.2.15)

米国防総省は、今年後半に国家の重大インフラや米軍が依存しているサービス を提供する組織に対して、サイバーセキュリティ認定要件を発行する。要件は 作成中であるが、既に発動された大統領令では政府に対してセキュリティ基準 を連邦契約に盛り込むように推奨している。重大インフラを提供する企業は、 今までサイバーセキュリティのガイドラインを希望してきたが、必須となるも のには否定的であった。今後1年で、産業制御システムの継続的監視を必須と する要件が米軍契約に追加される。対象システムのセキュリティ検査は現在3 年に一度である。

http://www.nextgov.com/cybersecurity/2013/02/pentagon-will-require-security-standards-critical-infrastructure-networks/61328/?oref=ng-channelriver

【編集者メモ】(Pescatore)
継続監視は、継続的に監視する意味のあるものを監視する場合にのみ有効だ。 また、監視や認定要件が複数あることで、コンプライアンス重視かセキュリティ 重視かという問題を引き起こし、最終的にITシステムが今日のはしごと同じよ うになるかもしれない。古いはしごに、危険とか安全標準などというステッカー を張り付けただけだ。取り掛かりとして、重大セキュリティコントロールを使っ て、継続監視の有効なコントロールの基準的ベースラインを定義するのがよい。

【編集者メモ】(Henry)
政府のガイドラインについて話し始めると、人々は「規制」で舞い上がってし まうようだ。でも本当だろうか?車は毎年点検することで、他の運転者に迷惑 をかけることはない。そして飲食する食べ物や水の安全性、清浄度を確認する ことも賛成だ。それにエレベータに点検済みの白いカードを見つけ、墜落事故 死することがないと幸せに感じる。政府が重大インフラの産業制御システムの 監視を必須にするのはいつからだろう。私は賛成である。

【編集者メモ】(McBride)
これは大ニュース(しかも頼もしい)ニュースだ。ICSネットワークのセキュ リティにおいて、相当な顧客要望である。残念ながら、これを実際に導入する には1年以上かかるだろう。今日現在では、ITとOTの間に橋は存在しない。監 視は取り掛かりとしてはよい。しかしサイバーセキュリティとオペレーション の両方が分かる人材と、ICS/SCADAネットワークで適切な対策を施行させるポ リシーが存在しない場合、監視は無意味なものとなる。

────────────────

◆コロラド州 新CISOが高いサイバーセキュリティ基準を設定(2013.2.21)

Jonathan Trullは、コロラドのCISO(情報セキュリティ最高責任者)に就任した 際、州所有のコンピュータシステムには数多くのセキュリティ問題があり、残 予算は2013年6月30日まででわずか6000ドルという問題に直面した。CISOに就 任する前、Trullはコロラド州の検査官だった。 検査官時代に、彼は同州の システムに対してペネトレーションテストを実施し、「恐ろしい」結果がでて いた。検査官として実感していたのはコンプライアンスを重視しすぎており、 実際のシステム保護が軽視されていることだった。Trullは、SANS 20重大セ キュリティコントロールから始めることが最善策と考え、最初の5つのコント ロールを1年の間に導入し、残りは3年間で導入する計画を立てた。初年度が6 月末に終了するまで予算がない中、Trullは部下に向かって「アプリケーショ ンのホワイトリストなどの既存の技術や、オープンソースやすでにあるソフト ウェアに付随しているツールや機能を使おう」と指示をした。Trullは、また セキュリティ製品購入を止め、所有資産の棚卸しを行ったところ、多くの製品 を購入したが使用していないことがわかった。彼はセキュリティプロセスに関 係するベンダと連絡し、製品の有効性を証明させた。Trullは、またサイバー セキュリティのインターンシップを設けて、人材を確保した。彼は次年度への 予算増を模索している。

http://www.csoonline.com/article/729218/how-colorado-s-ciso-is-revamping-the-state-s-information-security-on-a-6-000-budget?source=CSONLE_nlt_update_2013-02-21

【編集者メモ】(Pescatore)
この話は、裕福な男と、貧乏な男が落雷して入れ替わった映画に出てくる話の ようだ。コンプライアンスは、セキュリティのためである。業務を保護し遂行 するために適切なコントロールやプロセスを文書化し導入する。この逆であっ てはならない。また、この話は、予算が限られている組織において、最も効果 のある対策を最初に導入するというよい事例でもある。

────────────────

◆サイバー窃盗犯が自動振り込み詐欺の目くらましにDDoS攻撃を利用(2013.2.19)

2012年12月下旬、サイバー窃盗犯は、カリフォルニア州内の銀行に対してDDoS 攻撃を行い、その背後でサクラメントの建築会社の口座から自動振り込み詐欺 で900,000ドルを盗み出した。窃盗犯は米国内で62の架空口座(Money Mule) を使い、この詐欺行為で入手した資金をマネーロンダリングした。この建築会 社の社長は、同社の経理部長が12月24日に銀行のページへアクセスを試みたと ころ、アクセスできなかった。実際には利用しているコンピュータはハッカー に操作されていた。他社の銀行口座も被害にあっている可能性は高い。

http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/

【編集者メモ】(Henry)
金融機関に対するDDoS攻撃は、口座への「本当」の攻撃を煙に巻くために使わ れることが多い。顧客は盗難による変更を気付かず、銀行のリソースを拘束す ることで、実際の犯罪の検出を困難にさせるのだ。

【編集者メモ】(Pescatore)
DDoS攻撃は、データセンタの電源の出力揺動のようなものだ。発生しているし、 今後も発生する。しかし、システムに実際に影響を与えてはいけない。DDoS攻 撃のリスク軽減策は、事業継続計画の基本的な部分で、全インターネット接続 維持の項目に含まれているべきである。

────────────────

◆Appleが「水飲み場型」攻撃に利用される(2013.2.20)

Apple、Facebook、Twitterの社内でマルウェアに感染したコンピュータは、 iOSの開発者用Webサイトからドライブバイダウンロード攻撃にあったようだ。 この攻撃は、水飲み場型攻撃と呼ばれており、攻撃対象の個人が訪問しそうな Webサイトにマルウェアを埋め込む方法である。攻撃発覚後公開されたJavaの 脆弱性を悪用した攻撃だった。この脆弱性のパッチはすでに公開されている。 ハッカーはiPhoneDevSDKのWebサイトの管理者アカウントを侵害し、Javaのエ クスプロイトを埋め込んだ。

http://www.computerworld.com/s/article/9236996/Many_companies_likely_affected_by_iOS_developer_forum_compromise?taxonomyId=17
http://www.h-online.com/security/news/item/iPhone-developer-site-confirmed-as-corporate-attack-source-1806603.html

────────────────

◆ホワイトハウス企業秘密の盗難リスクを軽減する戦略を公開(2013.2.20-21)

ホワイトハウスは、米国企業秘密の盗難リスクを軽減する管理戦略
(Administration Strategy on Mitigating the Theft of US Trade Secrets) を公開した。この報告書には、外交策も組み込んだ米国の知的財産を保護する 5つの方法がまとめられている。民間企業に対する自主的ベストプラクティス の促進、米国司法当局の活動の拡大、国内法案の改善、国民への認知度向上と 関係者の普及活動である。報告書は、中国とロシアのサイバースパイ活動事件 の詳細と、知的財産盗難における内部犯行の脅威についてもまとめている。

http://www.washingtonpost.com/world/national-security/us-launches-effort-to-stem-trade-secret-theft/2013/02/20/26b6fbce-7ba8-11e2-a044-676856536b40_story.html
http://www.nextgov.com/cybersecurity/2013/02/administration-bolsters-plans-counter-cyber-spys/61423/?oref=ng-HPriver
http://www.theregister.co.uk/2013/02/21/us_revamped_cyber_strategy/
http://s3.documentcloud.org/documents/605299/tade-secrets-022013.pdf
【編集者メモ】(Murray)
これは、取り掛かりとしてもアプローチの仕方もよい。大統領が指名した人物 の実際の声である。大統領の権限内で、適格な方向に向けており、悪影響を促 進しているわけでもない。これにはマイルストーンと予定表が含まれている。 それは透明性と説明責任を促進する。本問題の中でやるべき範囲を決めている。
今回の問題点は、文化的な側面を取り上げていることで、文化を変えるには時 間がかかる。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 2月号(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2月号はフィッシングメール攻撃について、一般のコンピュータユーザ向け
 に、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月7日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2013/mail02.html?xmid=300&xlinkid=04

○3月12日(火)・4月19日(金)・5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=05

○3月19日(火)・4月24日(水)・5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=03

○4月23日(火)・5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=06

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11
Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。