NRI Secure SANS NewsBites 日本版

Vol.8 No.9 2013年3月5日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.9 2013年3月5日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
(3月1日まで)RSAカンファレンスがサンフランシスコで開催されている。あな たが参加者6000名の一人なら、今後の戦局を変えるセッション2つ(今日の午 後と、明日の午前)を紹介しよう。最初のセッションは、現在サイバーセキュ リティ分野で求人が伸びている専門分野だ。

今週のRSAカンファレンスで貴重な講演の概要とURLを紹介する。 1.Ed Skoudisのサイバー戦争に関する説明(最も危険な5つの新攻撃)では、 電力システムに実際に侵入するデモを行う、また驚くのは、多くの病院で利用 されている電子医療記録システムに多数のセキュリティ問題があったという事 実だ。あまりにも簡単に侵入できてしまうため、実際にCyberCityのシミュレー ションで使う前にハードニングする必要があったことを公表する。CyberCity は、実際に軍で使用されたサイバー演習場であり、実際のSCADAシステム、水 源供給、電車、ミサイルなどが含まれています。ワシントンポスト紙の一面に も取り扱われた。まだ読んでいない場合は、ここから
http://www.washingtonpost.com/investigations/cybercity-allows-government-hackers-to-train-for-attacks/2012/11/26/588f4dae-1244-11e2-be82-c3411b7680a9_story_1.html

2.Jonathan Trull(元IT監査員、現コロラド州のCISO)は、今後3-4か月のコ ロラド州政府トップ4導入計画について講演する。また、ITセキュリティ監査 員時代に、「600頁」に渡るNIST800-53を使って監査したのが間違いだったと 認識したことにも触れる。その根拠は、相当なものだ。政府機関に対する監査 の中で、実際に起きている攻撃に有効な防御を導入させずに、コンプライアン ス対応に費やしすぎたと振り返る。パネリストの一人が、今回の大統領令は、 800-53を作成した同じ部門が行い、NISTが1年かけて問題の再調査をしただけ だから、大きな欠陥があると指摘すると聴衆から大きな歓声があがった。彼が 「ホワイトハウスは、ただちに4大コントロールを導入して、攻撃の大半を阻 止するべきだ」と述べるとまた大きな歓声が起きた。4大コントロールに関す るCSISのレポートは、
http://csis.org/publication/raising-bar-cybersecurity

追伸:危機的リスク分析官(Critical Threat Intelligence)は、現在サイバー セキュリティ内で急成長している専門職の一つである。大手銀行は脅威情報部 門を設置し、セキュリティ関係で最重要部門であると報告している。来週水曜 日までに登録しよう。
http://www.sans.org/event/what-works-cyber-threat-2013

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃3月11日19時 SANSウェブキャスト 開催
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「Malware Analysis Essentials using REMnux」
  スピーカー:Lenny Zeltser
https://www.sans.org/webcasts/malware-analysis-essentials-remnux-96397
(※要SANSアカウント登録)
   
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 3月号(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 3月号はSNS(ソーシャルネットワーキングサイト)セキュリティについて、
 一般のコンピュータユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■SANS NewsBites Vol.15 No.014-015
(原版:2013年2月26日、3月1日)

◆中国サイバー攻撃報道の影に潜む本当の問題(2013.02.25)

最近、米国政府や民間企業に対する中国のサイバースパイ活動が注目されてい るが、根本的な問題には触れられていない--米国のコンピュータシステムが脆 弱な状態のままという問題だ。中国からの攻撃に注目した結果「他国はもっと 密やかに異なる方法で(機微な)システムに侵入している可能性がある」こと を見逃している。誰が攻撃しているかは問題ではない。それよりもシステムが サイバー攻撃から保護されていないことが問題だ。攻撃の大半は、基本的なエ クスプロイトを利用している。豪州参謀本部国防信号局と米国NSA(国家安全 保障局)が既知の攻撃の85%を阻止する35のサイバー防衛手法をまとめた。実 際に、そのうちの4つ‐ホワイトリスティング、PCとサーバには承認されたア プリケーションのみ実行させる、アプリケーションやOSにはすぐに修正プログ ラムを適用する、管理者アカウントを最低限にするというだけで、標的型攻撃 の多くを阻止することができる。

http://www.informationweek.com/security/vulnerabilities/dont-blame-china-for-security-hacks-blam/240149309
【編集者メモ】(McBride)
ここで言われている考え方は、本件に関わるシステム所有者が自身の専門外だ とか、オペレータが防衛は責任範囲外といった体裁のよい言い訳に使われるだ ろう。考え方によっては、中国の産業スパイがいるから、米国消費者は製品を より安く購入できるというメリットもある。資産所有者は、「必ず」守るもの は何で、守る理由、そして「どのように」守るかを理解することから始めるべ きだ。

────────────────

◆DHS サイバー攻撃情報を重大インフラ運用部門と共有(2013.2.25)

オバマ米大統領のサイバーセキュリティに関する大統領令は、政府機関に対し て重大インフラの運用部門とサイバー脅威に関する情報を共有し、民間企業に 対しても情報を共有することを求めている。DHS(国土安全保障省)はApple、 Microsoft、Twitterなどが被害にあったサイバー攻撃の情報共有を始めた。 2月22日(金)に送信されたDHS公報で、国家の重大インフラを支えるシステム を管理する組織に対して、「米国政府および民間セクタへの悪質な継続的サイ バー活動」について警告を発し、機密の指導要綱やマルウェア指標の入手方法 を対象機関や組織に説明した。

http://www.nextgov.com/cybersecurity/2013/02/dhs-notifies-companies-offers-intel-about-ongoing-hacks/61482/?oref=ng-channelriver
【編集者メモ】(McBride)
DHSの情報共有については、「この情報元はどこだ」と聞きたい。これらはサー ドパーティから提供されているのか、または政府が実際に調べたのか。政府が フィルタ/変更している可能性があるなら、最終的に情報を受け取った企業に とって最適なものでないため、この点は重要だ。

────────────────

◆Microsoft iOS開発者に向けた水飲み場型攻撃の被害に(2013.02.22)

Microsoftは、AppleやFacebookを狙ったサイバー攻撃の被害を受けたと公表し た。同社は、「Mac事業部を含む社内のコンピュータ数台が、(他社の感染と 同様の)攻撃方法で悪質なソフトウェアに感染した」と述べた。この攻撃は、 iOS開発用Webサイトを侵害して仕掛けられた「水飲み場型攻撃」で、Oracle Javaの欠陥を悪用した。

http://www.computerworld.com/s/article/9237074/Microsoft_joins_list_of_recently_hacked_companies?taxonomyId=17
http://news.cnet.com/8301-1009_3-57570861-83/add-microsoft-to-list-of-hacked-companies/
http://www.v3.co.uk/v3-uk/news/2250219/microsoft-also-targeted-in-apple-facebook-hack
────────────────

◆NBC局 マルウェア提供を認める(2013.02.21-22)

NBC局のWebサイトNBC.comと番組サイトが、2月21日(木)の数時間に渡りマル ウェアを提供していたことを同局は認めた。このマルウェアは、オンラインバ ンキング情報を盗む。NBCによると、ユーザのデータへの影響はなかった。Web サイトを閲覧したコンピュータに感染したマルウェアは、Citadelと呼ばれて いる。

Internet Storm Centerの情報: https://isc.sans.edu/diary/NBC+site+redirecting+to+Exploit+kit/15223
その他の参考情報: https://isc.sans.edu/diary/When+web+sites+go+bad%3A+bible+.+org+compromise/15250
http://www.h-online.com/security/news/item/NBC-com-hacked-and-served-up-malware-1808273.html
http://www.computerworld.com/s/article/9237044/NBC.com_hacked_to_serve_up_banking_malware?taxonomyId=17
http://www.theregister.co.uk/2013/02/22/nbc_hack/
http://money.cnn.com/2013/02/22/technology/security/nbc-com-hacked-malware/index.html
────────────────

◆サイバースパイが米国天然ガスパイプライン制御システムを攻撃(2013.02.27)

米国DHS(国土安全保障省)の機密報告書によると、2011年12月から2012年6月 にかけて、米国天然ガスパイプラインを運用する23社が、中国に関係するサイ バースパイ活動の標的となっていた。対象企業は、スピア型フィッシングで攻 撃された。中国と名指しはしていないが、DHSに報告されたIOC(侵害指標)か らMandiant社が関連づけたグループと一致する。このグループは様々な呼称で 呼ばれているが、中国人民解放軍と繋がりがあるグループだ。盗み出された情 報は、ユーザ名、システムのマニュアル、パイプライン制御システムにアクセ スする資格情報などだ。この情報を利用すると、攻撃者はコンプレッサーステー ションに損害を与えることも可能になる。サイバースパイは、水圧破砕法に関 する情報も狙っていたようだ。

http://www.csmonitor.com/Environment/2013/0227/Exclusive-Cyberattack-leaves-natural-gas-pipelines-vulnerable-to-sabotage?nav=87-frontpage-mostViewed
【編集者メモ】(Assante)
「誰」というのは重要ではない。重要なのはパイプライン制御システムと運用 関連情報のみを狙っていたことだ。これらの標的型攻撃の動機は多岐に渡るた め理解するのが難しくなってきている。ICSセキュリティモデルは、「可用性」 が全てだという人が多いが、私は安全で安心できる運用の基盤として最も重要 なのは「完全性」だと思う。

────────────────

◆セキュリティ侵害公開でセキュリティ全体の向上へ(2013.02-27-28)

ニューヨークタイムズ紙やウォールストリートジャーナル紙などの大企業が、 社内コンピュータシステムへのサイバー攻撃を公開することで、攻撃者の手法 がわかる。被害にあった団体や組織はサイバー侵入者が使った方法などの情報 を収集するツールを使い始めた。企業はサイバー侵入者の手法や目的を解析し 情報共有するツールを開発している。

http://www.usatoday.com/story/tech/2013/02/27/proactive-intelligence-corporate-network-breaches/1949879/
────────────────

◆米国下院司法委員会 ECPAの改訂を検討(2013.02.27)

米国下院司法委員長Bob Goodlatte議員(バージニア州選出)によると、同委 員会は「数十年前のECPA(電子通信プライバシー保護法)の近代化」法案を検 討する。提案される法案には、電子メールやFacebookのメッセージなど他人の 電子通信内容を司法当局が閲覧する前に、捜査状を必要とする内容が盛り込ま れる。現ECPAでは、既読メールまたは180日以上経過した電子メールの内容は、 司法許可なく召喚状のみで閲覧が可能となっている

【編集者メモ】(Pescatore)
ECPAは、元々1968年の法案を1986年に第三章を改訂したもので、1968年のECPA は、電話が使われるようになり90年間で初めて電話傍受が合法行為となり、盗 聴を違法行為とした法律である。第三章には、多くの重要な条項がある。例え ば「最低限」「必要に応じて」などによってプライバシーと司法当局の需要の バランスをとっており、傍受の悪用を抑止していた。個人およびビジネスにお けるコミュニケーションの境目が不明になりつつある中で、同様の検討が必要 だ。

【編集者メモ】(Northcutt)
ACLUの反応(賛成派)
http://www.aclu.org/technology-and-liberty/modernizing-electronic-communications-privacy-act-ecpa
電子フロンティア財団(Electronic Freedom Foundation)の反応 (賛成派)
https://www.eff.org/deeplinks/2012/12/deep-dive-updating-electronic-communications-privacy-act
それから、下院をすでに通過しているのはこちら。
http://www.slate.com/blogs/future_tense/2012/11/29/ecpa_leahy_senate_committee_finally_update_email_privacy_law_require_warrant.html
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月7日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2013/mail02.html?xmid=300&xlinkid=04

○3月19日(火)・4月24日(水)・5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=03

○4月19日(金)・5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=05

○4月23日(火)・5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=06

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11



Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。