NRI Secure SANS NewsBites 日本版

Vol.9 No.12 2014年3月25日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.12 2014年3月25日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
サイバーセキュリティは、クラウドコンピューティングや、モバイル、スノー デンによる暴露事件などによって大きく変わりつつある。4月末にボストンで CISOのミーティングが開催され、John Pescatorを始めとする専門家たちがセ キュリティのトレンドについての課題を整理する予定となっており、国内で最 も有益な役員レベルのサイバーセキュリティに関する会合になるだろう。


────────────────────────────

■■SANS NewsBites Vol.16 No.022-023
  (原版: 2014年3月18日、21日)

────────────────────────────

◆多数の設備で利用されている産業制御システムに重大な不具合(2014.3.13-14)

横河電機の制御システム製品Centum CS 3000 R3に重大な脆弱性が発見された。 Stuxnetのようなマルウェアに感染する恐れがある。影響を受けるシステムは Windowsベースで、世界7,600か所以上の発電所や化学工場で利用されている。 この問題により情報が漏えいされる恐れがあり、また、攻撃者はヒューマン インターフェースステーション(HIS)を侵害することができる。攻撃者が HISを侵害すれば、対象システムにより管理されているパワータービンや工場 機器などが操作可能になる。横河電機はこの問題に対応するパッチを提供して いる。

http://www.v3.co.uk/v3-uk/news/2334217/critical-stuxnet-level-vulnerabilities-discovered-in-uk-power-plants
http://www.infosecurity-magazine.com/view/37441/ics-flaws-discovered-that-could-affect-thousands-of-plantmonitoring-systems/

────────────────

◆NATOのWebサイトに対してDDoS攻撃が発生(2014.3.16-17)

北大西洋条約機構(NATO)のWebサイトが週末にかけてDDoS攻撃を受けた。専 門家によると、攻撃方法は、DNSアンプまたはNTPリフレクションを利用した 攻撃だという。このようなDDoS攻撃の方法は、最近頻繁に利用されるように なっているが、NATOのWebサイトは攻撃による影響を受けなかった。

http://www.scmagazine.com/ddos-attacks-against-nato-likely-dns-amplification-or-ntp-reflection-expert-suggests/article/338524/
http://www.cnn.com/2014/03/15/world/europe/nato-computers-cyberattack/
http://www.zdnet.com/nato-websites-targeted-in-online-attack-7000027362/

【編集者メモ】(Murray)
DDoS攻撃とDNSアンプ攻撃は組み合わせて使われることが多い。この2つの攻撃 は異なるもので、それぞれ異なる対策が必要になる。

────────────────

◆国防総省がセキュリティポリシーを変更(2014.3.14)

米国防総省(DoD)は、セキュリティポリシーを修正し、情報保証における認証 と認可のプロセス(DIACAP)を標準技術研究所(NIST)が開発したリスクベー スモデルに変更した。この変更によりDoDの標準は民間機関が利用しているも のと同等となる。

http://www.informationweek.com/government/cybersecurity/defense-department-adopts-nist-security-standards/d/d-id/1127706

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「Windows XPのサポート終了」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2014年4月8日にはWindows XPのEOL(サポート終了)が予定されています。
 今月号では、Windows XPのサポート終了後に考えられるリスクとその対応策
 について、一般ユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆Target社流出事件、連邦罰則適用か(2014.3.19)

Target社と米取引委員会(FTC)が話し合いを進める中、Target社が昨年末に 1億件以上のクレジットカード情報を流出した件で連邦法に違反したと判断さ れるかは、現在のところ明らかになっていない。

http://www.nextgov.com/cybersecurity/2014/03/target-could-face-federal-charges-failing-protect-customer-data-hackers/80824/?oref=ng-channelriver

【編集者メモ】(Pescatore)
私は見かけ倒しの対応で消費者が被害を受けた事件に対するFTCの措置を歓迎 している。FTCがここで強調するほどの価値はないが、Target社がPCI以外に外 部による評価を今後10年間受けることを約束するのは、得策だと考える。

【編集者メモ】(Murray)
国民の期待と、メディアが求めているのは、何か起きた時に政府が犠牲を払う ことだ。政府が犯罪者を特定し罰することができなければ、被害者がその後も 犠牲を強いられることになる。この問題に関しては、規制官庁は、司法当局よ りも動きがよいため、犯罪的過失であるかを証明することは非常に難しい。

────────────────

◆多くの企業は未だサイバー攻撃を受けた事実を公開せず(2014.3.18)

Arbor Networksとエコノミスト誌のインテリジェンス部門によると、多くの企 業はセキュリティ侵害事件を公開していない。アンケート調査に回答した企業 のうち77%は昨年セキュリティ侵害が発生したと回答したのに対し、57%は公開 義務がない限り自発的に公表しないと回答した。侵害情報を同業他社と共有す ると回答したのは3割強という結果となった。

http://www.darkreading.com/attacks-breaches/many-organizations-dont-go-public-with-d/240166693

【編集者メモ】(Pescatore)
義務はないが情報を開示した43%は、理由を株主に説明する必要があるからだ。 ビジネス環境では毎日のように不正なことが起きているが、それらをいちいち 開示する必要はないと考える。だから開示しないのだ。小売企業が万引きや社 員による盗難事件をすべて公開していないのと同じだ。

【編集者メモ】(Assante)
この結果は驚くことではない。企業は、情報をたとえ信頼できるグループ内で も共有するメリットが見当たらないのだ。協議の不足によって、攻撃者の動き に関する情報のほか、標的とされる企業の弱さやそれに伴う苦悩そして前進す るために必要な全体像の理解といった取り組みを難しくしている。NERCでは、 電力システムの障害と同じように、サイバー事故も調査できると期待していた し、そのようなビジョンもあった。NERCは規制対象の企業がコンプライアンス に苦心しながらも透過性を達成できたが、サイバー事故に関しては、タイム リーに「責任」を果たし、透過性を提供できるプログラムや組織はほとんどな いといってよい。

【編集者メモ】(Paller)
情報共有を前進させるのは、英国の情報交換モデルだ。そのモデルにおいては、 企業間で信頼されているグループが、開示情報をコントロールしながら情報共 有を進めている。米連邦政府による関与は逆効果を招いただけで、開示を強制 する形にしただけだ。しかしDHSのNCICCが新しいモデルを作成しているという 情報がでてきた。政府は有益なデータを長期にわたり(約12か月)、企業も共 有すると考えるようになるまで提供するというものだ。

【編集者メモ】(Honan)
この報告書からは、インシデントレスポンスプランがない企業は3社に1社とい う割合に達する。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃「企業における情報セキュリティ実態調査2013」を公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2002年より12回目となる情報セキュリティに関する調査レポートの最新版。
定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の
計52の質問を、「予算」「人材」「グローバル統制」「モバイル・クラウド」
「インシデントレスポンス」の5つの観点で分析。      【閲覧無料】
http://www.nri-secure.co.jp/news/2014/0221_report.html?xmid=300&xlinkid=10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆メリーランド大学が、情報漏えいを公開(2014.3.20)

メリーランド大学カレッジパーク校(UMCP)が、情報漏えいの事実を公開した。 同校の漏えいは2度目となる。UMCPのサイバーセキュリティ担当タスクフォー スのリーダーAnn G. Wylieは、今回の流出では、大学幹部1名の個人情報が侵 害されたと述べた。前回の流出では、現在もしくは過去に在籍した学生、教員、 職員の情報が流出している。

http://www.baltimoresun.com/news/maryland/education/blog/bs-md-umd-another-cyberattack-20140320,0,798878.story

【編集者メモ】(Paller)
このケースから、学ぶべきことは、大学の必須科目にハンズオンのサイバーセ キュリティを加えることだ。選択科目にしてはならない。UMCPのWebサイトは 見直し中らしいが、セキュアプログラミングやColdFusionなどのWebアプリケー ションの脆弱性などを知らない人によって構築されている。ColdFusionは今で は国や地方サイトが不正アクセスされる主要原因になっている。問題が起こる アプリケーションを使わないことがサイバーセキュリティ対策の第一歩である。 UMCPのMote学長や他校の学長は、まず教員たちに安全で悪用されないプログラ ミングを学ばせ、学生に教えるようにするべきだ。プログラミングが改善され ないかぎり、サイバーセキュリティの確保などはありえない。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4月18日(金)、5月23日(金)、6月11日(水)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=08

○4月23日(水)、5月20日(火)、6月24日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。