NRI Secure SANS NewsBites 日本版

Vol.9 No.1 2014年1月8日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.1 2014年1月8日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
  ━┛━┛━┛━┛━┛
                 = SANS TOKYO 2014 =
  http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01
 【SEC401】2014年2月24日、25日、3月5日、6日、18日、19日 [6日間]<NEW!>
  :SANS Security Essentials Bootcamp Style
  (SANSトレーニングの中で最もポピュラーなコース)

 【FOR508】2014年2月17日~22日 [6日間]
  :Advanced Computer Forensic Analysis and Incident Response
  (APTを含む標的型攻撃に対抗するデジタルフォレンジックを学ぶ6日間)

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■はじめに(Alan Paller:SANS Director of Research)
2013年最後のニュースで興味深いのは、10年前のニュースとまったく変わりが ないということだ。連邦政府各局のCISOは、未だに外部コンサルタントに報告 書を書かせていて、その時給は250ドル。これでは問題の解決ではなく、単に 問題を見つけて喜んでいるだけなのだ。政府各局のCISOや、8割以上のコンサ ルタントには十分な技術スキルがないから、フォレンジックや問題の修正まで は到底できない。適切な人材が担当しないので、米国納税者の血税は年間10億 ドル以上がただ無駄に浪費され、さらに漏洩事件が発生すると、その事後処理 の負担までもしなければならない。「2014年の抱負」として、連邦政府のサイ バーセキュリティ予算をもっと有効的に使うとしたらどうだろう。秘密情報す べてが暗号化されているか確認し、全ての組織が20 Critical Security Controlsの上位にある4 つのコントロールを導入するだけでいいのだから。

SANS 2014は、40以上のコースが提供される世界最大のサイバーセキュリティ トレーニングプログラムであり、展示コーナーでは最も重要なセキュリティテ クノロジーが集結している、さらに夜にはボーナスコースもある。SANS 2014 のクラスの中には、12月中に満員になってしまったものもあるので、早めの登 録をお勧めする。
追加情報: http://www.sans.org/event/sans-2014


────────────────────────────

■■SANS NewsBites Vol.15 No.101-103 Vol.16 No.001
  (原版: 2013年12月24日、27日、31日、2014年1月3日)

────────────────────────────

◆2013年セキュリティを変えた人物の表彰(2013.12.20)

「2013年セキュリティを変えた人物賞」は、公共部門のセキュリティ担当者 6名に授与された。
  Erica Borggren, イリノイ州退役軍人省ディレクター
  Todd Boudreau, 米軍信号連隊上級准尉(5)
  Peter Kaplan, 連邦取引委員会広報室ディレクター代理
  TJ O'Connor少佐, 合衆国陸軍士官学校
  Alex Ruiz, 入国・税関管理局
  Jonathan Trull, コロラド州知事室IT担当CISO

http://www.nextgov.com/cio-briefing/wired-workplace/2013/12/awards-recognize-best-government-cybersecurity/75830/?oref=ng-HPriver
受賞者一覧:
https://www.sans.org/press/people-who-made-difference-cybersecurity-2013.php

【編集者メモ】(Pescatore)
ディレクターのPallerと私は、受賞者選定にあたり、非常に有意義な時間を過 ごした。入手可能なテクノロジーや製品は同じでありながら、それを使う セキュリティ担当部門のスキル、創造力、団結力により差がでてくる。

────────────────

◆RSA、NSAとの1,000万ドルの秘密契約疑惑を否定(2013.12.20-23)

RSA社は、米国家安全保障局(NSA)から1,000万ドルを受け取りBSafe 暗号ラ イブラリのPRNG(疑似乱数生成)アルゴリズムに欠陥を組み込んだという報道 をブログで否定した。ロイターによると、RSAがデュアルEC DRBG(Elliptic Curve Deterministic Random Bit Generator)を採用することでNSAは政府シ ステム内の利用を特定することが可能になった。また、デュアルEC DRBGを米 国立標準技術研究所(NIST)の乱数生成器の推奨リストに含めるように強制し たとされている。RSAは「当社製品に意図して脆弱性を組み込んだり、バック ドアを仕込むような秘密契約を交わしたことは一切ない」とこの報道を否定し た。

http://www.theregister.co.uk/2013/12/23/rsa_nsa_response/
http://www.zdnet.com/rsa-denies-taking-10m-from-nsa-to-default-backdoored-algorithm-7000024591/
http://www.bbc.co.uk/news/technology-25492461
http://arstechnica.com/security/2013/12/rsa-issues-non-denying-denial-of-nsa-deal-to-favor-flawed-crypto-code/
http://arstechnica.com/security/2013/12/report-nsa-paid-rsa-to-make-flawed-crypto-algorithm-the-default/
RSAのブログ:http://blogs.rsa.com/news-media-2/rsa-response/
【編集者メモ】(Ullrich)
デュアル楕円曲線アルゴリズムには、既知の脆弱性が存在する。RSAがこの問 題を無視していたのを認めるのはRSAに有利な話ではないし、いずれにせよ信 頼は失われた。

【編集者メモ】(Pescatore)
私が言いたいのは、ロイターのスクープがデマだとしても、RSAの回答は、華 為(Huawei)が中国政府の圧力で同社のセキュリティ製品にバックドアを組み 込んだという話とほぼ同じということだ。華為は、UKテレコムが安全性を確認 するため、英国に検証センタを新設する結果となった。NSAの活動は、米国テ クノロジー企業の国外営業活動に同じような影響を及ぼしている。

────────────────

◆米国議員、Target社情報漏洩事件の究明を要請(2013.12.23)

米国議員は、Target社の店舗支払システムにおける情報漏洩事件の原因究明を 要請した。Richard Blumenthal上院議員(民主-コネチカット州)は連邦取引 委員会(FTC)に対して本件の調査を要請した。Blumenthal上院議員は、大規 模情報漏洩が発生した企業に対するFTCの罰則強化を支援すると公言しており、 Chuck Schumer上院議員(民主-ニューヨーク州)も、米消費者金融保護局に対 して本件の調査を要請している。

http://www.computerworld.com/s/article/9244962/Senators_call_on_FTC_to_investigate_Target_breach?taxonomyId=17

【編集者メモ】(Henry)
これは大きな問題になってきた。Target社の無責任な対応にも責任がある。議 会への証人喚問で、大きな問題が明らかになるだろう。議会はこの5年間、法 案作成だけで手いっぱいな状態で、サイバーセキュリティに関係する法案や決 議案は現在40件以上にもなるが、何も施行されていない。脅威が深刻になる一 方で、議会が大統領にサイバー法案を申請してから10年の歳月が過ぎてしまっ た。議会はサイバーリスクを理解しているし議論もするが、実際の行動力は欠 けている。そうこうしている間にも大企業による情報流出が発生している。そ して被害者の責任だと指摘するのだ。とりあえず悪いのは被害者ということに しておこう。例え話だが、もし近所で毎日のように空き巣事件が起きていたら、 市長や警察に対して何か対応を求め、具体的施策があるか追及するだろう。そ のとき市長がテレビで「空き巣事件が起きている地域の各家庭を調査し、何か 不備がないか調べます」と発言したら、どう思うだろう?やはり、ここまで野 放しにしてきた国を責めるべきだ。

【編集者メモ】(Pescatore)
4,000万件の情報流出に伴うTargetの直接被害額は約20億ドル、それに議会へ の証人喚問などの対応で多額の弁護士費用がかかる。だたし、証人喚問され 「赤恥」をかけば、TargetのCEOも取締役達もサイバーセキュリティへの優先 度を上げるだろう。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「自宅ネットワークを安全にする」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 最近の自宅ネットワークは複雑になってきました。接続する端末が多様化
 しただけでなく、その用途の幅も広がってきました。
 今月号では、自宅ネットワークを安全にする基本的な方法について、一般
 のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
 http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆2014年度国防授権法案にサイバーセキュリティ問題を包括(2013.12.20)

2014年のNDAA(国防授権)法案が可決し、米サイバー軍への予算は増額となっ たが、サイバー活動における規定は未だ不明確な部分も多く、また有能な人材 の採用も困難な状態が続いている。同法案によると、政府当局に対して「イン テリジェンス活動、法執行、および予算認可」の仕組みを確立することで、 「政府や民間企業が防衛などの正当な理由によりサイバーツールやインフラを 利用する環境を維持すると同時に、犯罪、テロリズム、軍事利用を目的とした ツールやインフラの売買を撲滅する」と述べており、特に闇市場におけるゼロ デイ脆弱性の売買を問題視している。NDAA法案では、オバマ政権に対して「民 間企業や友好国に対してサイバー兵器の拡散を防止するための基本方針」を確 立するように要求しているが、「サイバー兵器」は定義されていない。

http://www.nextgov.com/cybersecurity/cybersecurity-report/2013/12/agencies-focus-illegal-cyberweapons-trade-2014/75815/?oref=ng-HPtopstory
http://www.politico.com/story/2013/12/pentagon-cybersecurity-role-101485.html
http://www.politico.com/story/2013/12/senate-national-defense-authorization-act-barack-obama-101364.html?hp=t3_3
【編集者メモ】(Pescatore)
国防総省(DoD)は、輸出規制を試みているようだが、過去に成功したことはない。

【編集者メモ】(Ullrich)
「サイバーツールの売買を撲滅する」という文が気になる(全文は上記を参考 いただきたい)。民間企業が「自衛目的のため」という免責事項はあるが、こ の条文によって国自身が「ゼロデイ」エクスプロイトの購入と利用を正当化し ているように見える。

────────────────

◆Target社から不正取得したデータを販売する人物(2013.12.24)

Brian Krebsが、Target社から取得した情報を販売している人物について独自 調査の結果を公開している。

http://krebsonsecurity.com/2013/12/whos-selling-credit-cards-from-target/

【編集者メモ】(Murray)
流出事件の対応は難しい。即時性を優先させるか、正確性や網羅性を優先させ るか判断に迷うものだ。Target社は気が付いていないかもしれないが、流出の 事実は即時に公開されたものの、実際に行動をとれるような具体的な情報は不 足したままだ。

────────────────

◆Target情報漏洩における暗証番号流出の懸念(2013.12.26)

Target社の各店舗に設定されているカード支払システムから顧客データが流出 した事件で、多くの憶測が流れているが詳細は明らかになっていない。同社の 広報担当は「暗証番号は暗号されているか否かに関わらず漏洩した事実はない」 と述べた。ただし、この発言により、デビットカードの暗証番号がPoSシステ ムに直接保存されていたのではないかとの指摘により新な懸念事項が浮上して いる。

http://www.darkreading.com/attacks-breaches/targets-christmas-data-breach/240165020
────────────────

◆米エネルギー省、情報漏洩の原因はパッチの未適用と監察官が指摘(2013.12.27)

米エネルギー省(DoE)のシステムが2013年に侵害された原因は、最新のパッ チが適用されていないためであった。DoEの監察官による報告書では「情報シ ステム管理アプリケーションを支援する特定のソフトウェアは、最新のパッチ が適用されておらず、長年にわたりハードニングされていなかった。データ ベース管理者は動作が不安定になることを懸念してパッチを適用していなかっ た可能性がある」と指摘した。

http://www.darkreading.com/database/database-risks-increase-as-patch-frequen/240164981

【編集者メモ】 (Northcutt)
パッチを適用ない状態で利用し続けられ侵害される可能性は十分にある、とい う事実を知らない人間がまだいるとは・・・ http://www.history.navy.mil/library/online/computerattack.htm
http://www.sans.org/critical-security-controls/guidelines.php
http://ist.mit.edu/security/patches

────────────────

◆米判事、国境における電子機器検査への申し立てを却下(2013.12.31-2014.1.2)

米ニューヨーク州の連邦判事は、2010年にACLUが国を相手取って起こしていた 、国境警備における無差別電子デバイス検査の訴えを退ける判決を下した。 Edward Korman判事は、判決文の中で、国境における電子機器検査により、 ジャーナリストの情報ソースや弁護士のクライアント情報といった秘匿性の高 い情報が不正アクセスされる可能性は非常に低く侵害されることはないと述べ た。2008年、ブッシュ政権下において、逮捕状や不審と考えられる事実がなく とも一般検査の対象として電子機器が加えられたが、ACLUはこの判決を不服と し控訴するという。

http://www.computerworld.com/s/article/9245126/ACLU_appeals_judge_39_s_decision_to_throw_out_NSA_lawsuit?taxonomyId=17
http://arstechnica.com/tech-policy/2013/12/judge-wont-let-student-challenge-electronics-searches-at-us-border/
http://www.nextgov.com/defense/2013/12/judge-says-border-officials-can-search-your-laptop-and-cellphone/76130/?oref=ng-HPriver
http://www.wired.com/threatlevel/2013/12/gadget-border-searches-2/
http://www.computerworld.com/s/article/9245095/Judge_dismisses_challenge_to_border_laptop_searches?taxonomyId=17
判決: https://www.aclu.org/sites/default/files/assets/abidor_decision.pdf
控訴内容: https://www.aclu.org/sites/default/files/assets/notice_of_appeal_-_aclu_v_clapper.pdf
────────────────

◆米NSAがiPhoneのバックドアを開発(2013.12.31)

ドイツ誌Der Spiegelによると、米NSAはiPhoneを対象とした「DROPOUTJEEP」 と呼ばれるスパイウェアを作成した。感染したiPhoneの情報へのアクセスが可 能になる。同スパイウエアは、テキストメッセージや音声メッセージを収集し、 iPhoneのマイクやカメラをリモートから有効にすることができる。AppleはNSA のバックドア作成への協力を否定している。Appleはウォールストリートジャー ナル紙へのインタビューにおいて、「当社はiPhoneを始めとする当社製品への バックドア作成を目的としたNSAへの協力を行ったことは一度もなく、そのよ うなスパイウェアの存在も確認していない」と述べた。

http://www.nbcnews.com/technology/apple-denies-working-nsa-backdoor-iphone-2D11821229
http://www.scmagazine.com/apple-says-it-was-never-privy-to-nsas-program-targeting-iphones/article/327736/
http://www.zdnet.com/no-surprise-the-nsa-can-hack-iphones-7000024691/
http://news.cnet.com/8301-1009_3-57616409-83/nsa-spyware-gives-agency-full-access-to-the-iphone-report/
http://www.computerworld.com/s/article/9245093/The_NSA_developed_software_for_backdoor_access_to_iPhones?taxonomyId=17
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2014年1月24日(金)、2月20日(木)、3月19日(水)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~マルチデバイスのグローバル一元管理と、BYOD活用について~
http://www.nri-secure.co.jp/seminar/2014/endpoint02.html?xmid=300&xlinkid=05

○2014年1月28日(火)、2月27日(木)、3月20日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○2014年1月29日(水)
 セキュア開発ライフサイクルセミナー
 ~脆弱性を作り込まない開発プロセス~
http://www.nri-secure.co.jp/seminar/2014/0129.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=08

◎2014年3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=09


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。