NRI Secure SANS NewsBites 日本版

Vol.9 No.10 2014年3月12日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.10 2014年3月12日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
産業制御システム(ICS)関係者には、一般的なセキュリティ教育はあまり役 にたたない。主要電力企業とICSのエンドユーザが広く共同で利用しているセ キュリティ認知度向上プログラム(Securing the Human:利用者340万人)を、 ICS環境の課題に合わせて効果があるようにカスタマイズした結果、すばらし い成果物となった。新しいICSセキュリティ認知度プログラムは、継続的な教 育と報告の標準化をすることで、コンプライアンス要件を満たすと同時に実 際の従業員の行動を変えリスクを削減することができるだろう。
http://www.securingthehuman.org/info/153247

Targetとニーマンマーカスに、シアーズとスマッカーズも仲間入りしたようだ。

絶好のチャンス:
(今週のTarget社のように)情報流出事件後にCIOの解雇や辞職が報道される と、他社のCIOもセキュリティへの関心を持ち、変革への許容力が広がる。し かしそれが有効なのは3か月から6か月程度だ。権限管理の強化、リモートや契 約会社に対する認証の強化、脆弱性の迅速な検出と対策実施を導入するなら、 現在メディアが取り上げている記事などを十分に利用することをお勧めする。


────────────────────────────

■■SANS NewsBites Vol.16 No.018-019
  (原版: 2014年3月5日、9日)

────────────────────────────

◆イリノイ州の銀行、シカゴ市内のタクシーでクレジットカードを利用しないように警告(2014.3.3-4)

イリノイ州のFirst American Bankは、シカゴ市内のタクシー利用客に対して クレジットカードやデビットカードを利用しないように呼びかけている。理由 は、カード情報流出が連続しており、流出経路としてシカゴ市内のタクシーが 関連していると考えられているため。同行によると、複数の顧客がカードの不 正利用を報告してきたため2月上旬に状況を確認したところ、不正利用された カードの共通点としてシカゴ市内のタクシーを利用していたことが明らかになっ た。銀行では、タクシー料金をカード決済した利用者のカードの失効と新しい カードの発行を開始している。銀行はこの問題をMasterCardには報告したとい う。

http://krebsonsecurity.com/2014/03/illinois-bank-use-cash-for-chicago-taxis/
http://www.scmagazine.com/bank-reports-payment-cards-used-in-chicago-cabs-being-compromised/article/336550/
http://arstechnica.com/security/2014/03/beware-of-credit-card-hack-affecting-chicago-taxis-bank-tells-customers/
http://www.theregister.co.uk/2014/03/04/bank_tells_chicago_cab_fares_to_pay_cash_only/

【編集者メモ】(Murray)
小売店での支払いにおいて、磁気ストライプとクレジットカード番号を利用す るシステムは基本的に破綻している。特定の場所で利用しないように呼びかけ るのは、利用するのが安全でないと言っているのと同じだ。発行事業者は、 カードの不正利用による損害を小売店に押し付けているが、この費用は循環し て最終的には我々のような一般消費者が負担しているのだ。この問題を解決で きるのは、カード発行事業者のみだ。

【編集者メモ】(Northcutt)
米国では、16桁の会員番号(PAN)が侵害されても利用者は保護されている。 小売店から私のカードのPANが漏洩した場合、金銭的な負担はないが、時間は 取られる。自動車保険、水道代の支払い口座、Amazonの支払い情報など、確認 すべきポイントを数えたらきりがない。過去2年間で3回ほど経験した。最適な 解決策は、多要素認証を使うことだ。ここ数週間のNewsBitesを読んでいる読 者なら、私が多要素認証の資料を調査していると予測できるだろう。私が考え ているのは、USBキーにチップを埋め込むことで、キーストロークロガー、ブ ラウザを利用した中間者攻撃、不運なベンダからもPANを守ることができると いうものだ。または、決済ゲートウェイに直接アクセスすることで、ベンダが 直接「支払い許可」を受信するという仕組みもいいだろう。iron keyのサービ スは知っているが、もし他にもあれば、(stephen@sans.edu)宛まで連絡して ほしい。また、チップとPINの仕組みも知っている。これは米国で採用され、 他国もその動きに追随してほしいと思う。しかし、これでも完全なソリュー ションとはならない。

http://creditcardforum.com/blog/chip-and-pin-credit-cards-usa/
http://www.sans.org/course/security-leadership-essentials-managers-knowledge-compression

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃「企業における情報セキュリティ実態調査2013」を公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2002年より12回目となる情報セキュリティに関する調査レポートの最新版。
定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の
計52の質問を、「予算」「人材」「グローバル統制」「モバイル・クラウド」
「インシデントレスポンス」の5つの観点で分析。      【閲覧無料】
http://www.nri-secure.co.jp/news/2014/0221_report.html?xmid=300&xlinkid=10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆シークレットサービスとシアーズが社内ネットワーク侵害事件を調査(2014.2.28-3.1)

米シークレットサービスがシアーズ社(Sears)のネットワーク不正侵入を調 査していると報道されている中、同社は侵入された形跡はないと公言した。同 社は、「積極的にシステムを検査し、侵害の形跡があるかを確認した」と述べ、 今回の侵害疑惑は、銀行の不正利用防止システムの誤検知により広がったもの であると述べた。重複した購入パターンの数え方を間違え、誤検知アラームを 多数発生させたことにより、他の侵害が発生したとしてCPP(Common Point of Purchase:偽造されたカードの真正な所有者が共通に利用している店舗)分析 が行われた。

http://www.theregister.co.uk/2014/03/01/sears_tied_to_secret_service_attack_investigation/
http://arstechnica.com/security/2014/02/report-secret-service-investigates-possible-network-breach-of-sears/
http://krebsonsecurity.com/2014/02/breach-rumor-mill-puts-retailers-on-defensive/
【編集者メモ】(Pescatore)
シークレットサービスによる侵害捜査については、しばらく議論されていない。 米国政府は原点に立ち返ってサイバー攻撃が犯罪なのか国家安全保障の問題な のかを区別することに専念するのもいいことだろう。

────────────────

◆サンズカジノから顧客と社員データ流出(2014.2.28)

ラスベガスのサンズカジノ(Sans Casino)は、同社のWebサイトで発生した不 正アクセスで、顧客と従業員データを取得した可能性があることを公表した。 外部流出があったとされる情報には、社会保障番号や運転免許証番号も含まれ る。当初カジノは、顧客データには影響がないと公表していたが、今回の不正 アクセスにより同社が経営するペンシルベニア州ベツレヘム店の顧客に影響が でたことから発覚したもの。サンズは、他の支店でも影響がでていないか確認 をしている。不正アクセスにより影響を受けたのは、2009年の開店以降にペン シルベニア州のカジノを利用している顧客の1%以下とされているが、具体的な 件数は公開されていない。また、侵入者には、住所データベースにもアクセス した形跡があるという。

http://www.scmagazine.com//las-vegas-sands-confirms-attackers-accessed-sensitive-employee-customer-info/article/336569/
http://www.nbcnews.com/tech/security/sands-casino-website-hacking-some-customers-data-was-stolen-n41601

────────────────

◆Target社CIOが流出事件により辞任(2014.3.5-6)

Target社の最高情報責任者(CIO)Beth Jacob氏が辞任した。同社は新CIOを採 用すると共に、情報セキュリティ責任者(CISO)職とチーフコンプライアンス オフィサー(CCO)職を新たに設け、セキュリティやコンプライアンスに対す るアプローチを精査するという。

http://www.darkreading.com/attacks-breaches/target-begins-security-and-compliance-ma/240166451?cid=NL_DR_Weekly_240166451&elq=ba4b21883039429595bc1c6decd0aeed
http://www.computerworld.com/s/article/9246773/Target_CIO_resigns_following_breach?taxonomyId=17

────────────────

◆ウクライナ・ロシア情勢におけるサイバー活動(2014.3.4-6)

ウクライナ・ロシア紛争においてサイバー領域における妨害行為が増加してお り、双方ともお互いに政府やニュースサイトを攻撃している。ウクライナの電 話会社によると、何者かによりクリミアの通信センターが乗っ取られ同社のネッ トワークは破壊されたという。さらにクリミアとウクライナの他の地域を結ぶ インターネットサービスも切断された。2008年のロシアとグルジアの紛争にお いて、ロシアはDoS攻撃を利用したと伝えられたが、クレムリンは攻撃への関 与を否定している。

http://www.bbc.com/news/technology-26447200
http://www.theregister.co.uk/2014/03/04/ukraine_cyber_conflict/
http://www.bloomberg.com/news/2014-03-05/russia-ukraine-standoff-going-online-as-hackers-attack.html

【編集者メモ】(Assante)
今回のような世界的事件において、メディアによる報道は常に最新の情報とは なっていないようだ。特定のメッセージや活発な抗議活動が発生していると同 時に、ロシア軍派遣を支持する活動や正当化するキャンペーンも発生している。 サイバー軍事力は、ウクライナ新政府の自信を喪失させるための企みに利用さ れているにすぎない。情報コントロールにより、混乱の種がまかれ、国民の声 が抑制され、真実がねじ曲げてられるのは予想通りの戦術と言える。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「Windows XPのサポート終了」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2014年4月8日にはWindows XPのEOL(サポート終了)が予定されています。
 今月号では、Windows XPのサポート終了後に考えられるリスクとその対応策
 について、一般ユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
 http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆スマッカーズがデータ流出を公表(2014.3.4)

スマッカーズ(Smucker's)は、セキュリティ侵害により顧客のクレジットカー ド情報が流出したとしてオンラインストアを一時的に閉鎖した。今回の侵害は、 複数社を対象にした大規模攻撃の一部と考えられている。スマッカーズは、 FAQを公開し、攻撃者が利用した攻撃方法などを説明している。

http://krebsonsecurity.com/2014/03/thieves-jam-up-smuckers-card-processor/
スマッカーズのFAQ: https://onlinestore.smucker.com/datafaq.cfm
────────────────

◆アンドロイド新機種の一部で、偽Netflixアプリのプリインストールが発覚(2014.3.5)

一部報道によると、悪意のあるアプリがアンドロイドの新機種もプリインストー ルされているという。報道によると、Netflixアプリは偽者であり、重要な情 報を収集してロシアに送信する。対象アプリは、サプライチェーンの中で何者 かにより組み込まれてインストールされたらしい。

http://www.net-security.org/malware_news.php?id=2724
http://www.computerworld.com/s/article/9246764/Pre_installed_malware_found_on_new_Android_phones?taxonomyId=17&pageNumber=2

【編集者メモ】(Henry)
今回のようなハードウェアやソフトウェアが侵害されていた事件は、初めてで はない。通常は、サプライチェーンのプロセス処理が悪用されるものだ。偽装 アプリケーションを攻撃経路として利用するのは、攻撃者の要望に叶っている。 キャリアやメーカー側は十分にアプリの審査体制を確保しなければならない。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月19日(水)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~マルチデバイスのグローバル一元管理と、BYOD活用について~
http://www.nri-secure.co.jp/seminar/2014/endpoint02.html?xmid=300&xlinkid=05

○3月20日(木)、4月23日(水)、5月20日(火)、6月24日(火)    【日程追加】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○3月25日(火)                          【NEW】
 電子署名・認証、タイムスタンプ普及増進セミナー
http://www.nri-secure.co.jp/seminar/2014/0325.html?xmid=300&xlinkid=07

○4月18日(金)、5月23日(金)、6月11日(水)           【日程追加】
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=08

────────────────


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。