NRI Secure SANS NewsBites 日本版

Vol.9 No.16 2014年4月23日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.16 2014年4月23日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────

■■SANS NewsBites Vol.16 No.030-031
(原版: 2014年4月15日、18日)

────────────────────────────

◆ カナダ歳入庁、Heartbleedの脆弱性により不正アクセスされる(2014.4.14)

カナダ歳入庁はHeartbleedの脆弱性を悪用され、納税者番号を盗難された。少なくとも 900名の個人や企業が影響を受けたという。

http://arstechnica.com/security/2014/04/heartbleed-bug-exploited-to-steal-taxpayer-data/
http://www.nbcnews.com/tech/security/hundreds-canadian-tax-id-numbers-stolen-heartbleed-breach-n80241

────────────────

◆ Heartbleedのバグ問題、原因は「些細な」コーディングミス(2014.4.11)

Heartbleedの問題の原因となったコードを作成したドイツの開発者は、今回の問題は 些細なコーディングミスによるものだと述べた。ロビン・セゲルマン(Robin Seggelmann)氏は、2012年にOpenSSLへコードを提供しているが、深刻な影響をもた らした原因は些細なミスであった。

http://arstechnica.com/information-technology/2014/04/heartbleed-developer-explains-openssl-mistake-that-put-web-at-risk/
http://www.smh.com.au/it-pro/security-it/man-who-introduced-serious-heartbleed-security-flaw-denies-he-inserted-it-deliberately-20140410-zqta1.html
http://www.nbcnews.com/tech/security/heartbleed-bug-coder-it-was-simple-programming-error-n78561

【編集者メモ】(Pescatore)
深刻な脆弱性の多くは、些細なコーディングミスや管理ミスから発生するものだ。 Heartbleedのニュースを知り得たCEOのみなさん!貴社のCIOに対して「IT開発や運用 から些細なミスはどうしてなくならないのか」と質問を投げかけてほしい。今や、シ ステムを稼働させる前に、ソフトウェアの不具合検証や、サーバの設定ミスの発見な どを行うプロセス改善ツールや管理ツールは市場にも出回っているので、このような 問題を発生させないようにすることは不可能ではないはずなのだが。
【編集者メモ】(Murray)
入力値を検証するのに特別な知識・スキル・能力が必要とされるのは事実であり、こ の知識・スキル・能力の有無が素人とプロの違いでもある。コストが節約できて完成 度が高くできているように見えても、素人が作成したものでインフラを構築してはい けない。また、プロは自分が製品に組み込んだモノへの品質にも責任を持つ。「オー プンソース」は「徹底検証されていない」ことを前提にするだけでなく、確証されて いるものは何もないという前提で扱われるべきであり、欠陥を作った素人の責任だけ で済まされる問題ではなくなるのだから。

────────────────

◆ KKR、企業評価にサイバーリスクのスコアを追加(2014.4.11)

プライベートエクイティ会社のKKRは、ポートフォリオによって企業評価を行なう項 目としてサイバーリスクのスコアを追加した。KKRは、インターネットトラフィック の収集と分析を専門とする、BitSight Technologies社と協力しサイバーリスクのス コアを開発した。KKRは、定期的に算出されたスコアを使って、各社のセキュリ ティ状態の監視が可能になるとしている。

http://www.businessweek.com/articles/2014-04-11/kkr-adds-cyber-risk-score-to-its-assessment-of-companies?google_editors_picks=true

【編集者メモ】(Pescatore)
どのようなレベルであれ、投資家が企業のセキュリティレベルを確認できるというの は良いことだ。CEOの関心事は投資家の関心事と等しいからだ。

────────────────

◆ 米政府、2012年の米金融サイトへのDDoS攻撃停止に向けて国際協力を要請(2014.4.11)

ホワイトハウスは2012年春、米国金融機関のWebサイトに対して分散型サービス運用 妨害(DDoS)攻撃が発生した際、攻撃元の一つとされるイランの攻撃元に報復攻撃を 行う案を検討したが却下していた。却下された理由として、報復攻撃により想定外の 結果や辞退の悪化を招くおそれが強いと判断したためだという。そのため、米政府は 報復攻撃を行わず、攻撃トラフィックを国内でブロックする、または感染したサーバ からマルウェアを削除するよう世界120カ国に対して協力を求めた。また、この時の 経験を活かして、サイバー攻撃に対処する国際的協調フレームワークが構築されたと いう。

http://www.washingtonpost.com/world/national-security/us-rallied-multi-nation-response-to-2012-cyberattack-on-american-banks/2014/04/11/7c1fbb12-b45c-11e3-8cb6-284052554d74_story.html

【編集者メモ】(Pescatore)
常識的なアプローチに対して「偏った見方」があったことを実証した事例だ。民間セ クタにおいては、このようなDDoS攻撃対策は20年ほど行われている。

────────────────

◆ クラフトショップのマイケルズストアからカード情報300万件が流出(2014.4.17)

クラフトショップを展開するマイケルズストア(Michaels Stores)社は、子会社の アーロンブラザーズ(Aarons Brothers)社のPOS端末が侵害された際に、決済カード の情報約300万件が流出していたと公表した。この事件では、2013年5月8日から 2014年1月27日にかけてマイケルズからカード情報260万件が流出し、さらに2013年 6月26日から2014年1月27日にかけてアーロンブラザーズからカード情報40万件が流出 している。

http://www.scmagazine.com/pos-malware-risks-millions-of-payment-cards-for-michaels-aaron-brothers-shoppers/article/343180/
http://krebsonsecurity.com/2014/04/3-million-customer-credit-debit-cards-stolen-in-michaels-aaron-brothers-breaches/
http://www.zdnet.com/michaels-stores-confirms-data-breach-3-million-cards-affected-7000028563/

【編集者メモ】(Murray)
クレジットカード各社と決済カード発行事業者は、米国内におけるEMVの採用を見送 る決定をしているが、損害額は日に日に大きくなっているようだ。私は個人的に VisaとMaster Cardのカードをすべて停止しており、今は、一日以内にアラートを送 信してくるアメックスのみ利用している。このサービスは、クレジットカード番号の 不正利用の脆弱性を効率的に補完しており、偽装カードによる不正利用や、カードを 直接提示しない場合の不正利用のいずれにも対応できるため、利用者は安心でき る。

────────────────

◆ 英国の美容整形外科が、顧客情報漏えいを通知(2014.4.16)

英国の美容整形外科事業を営むハーレー医療グループ(Harley Medical Group) は、組織内のコンピュータを攻撃されて情報を盗難され、攻撃者に恐喝されているこ とを顧客に対して通知した。流出したのは、約48万件の患者情報で、氏名、住所、 メールアドレス、施術の問い合わせ内容などが含まれる。支払い情報や医療情報には 影響がなかった。ハーレー医療グループは、イギリス国内でクリニックを21か所に展 開している。

http://www.v3.co.uk/v3-uk/news/2340171/hackers-hit-harley-medical-group-in-customer-data-extortion-attempt
http://www.telegraph.co.uk/technology/internet-security/10770922/Hackers-steal-500k-patient-records-from-Harley-Medical-Group.html

【編集者メモ】(Honan)
犯罪者による恐喝事件が増加している。インシデントレスポンスにも、このような場 面を想定するようにしてほしい。

────────────────

◆ ハードドライブメーカーLaCieが、1年弱にわたり情報流出(2014.4.15-16)

フランスのハードドライブメーカーLaCie社は、同社のオンラインストアが侵害さ れ、顧客の決済カード情報や連絡先などが外部に漏えいしていたことを明らかにし た。この問題は、LaCieのオンラインストアが不正侵入された結果として、顧客 データを盗まれた可能性があるとFBIから連絡があったというもの。流出していたと される期間は2013年3月下旬から今年の3月10日までの1年近くにわたり、この期間に LaCieストアで購入した利用者全てが対象になるという。LaCieの関係者は、この問題 について内部で発見できなかったことに驚いている。また、今回の情報漏えいの原因 となった攻撃の経路については、Adobe社のColdFusionに含まれる脆弱性を悪用され た(Lacie社は2012年にSeagate社の子会社とされたが、ブランド名はそのままで製品 の販売活動を行っていた)と考えられている。

http://www.bbc.com/news/technology-27046971
http://www.theregister.co.uk/2014/04/16/lacie_breach/
http://www.cnet.com/news/lacie-admits-to-year-long-credit-card-breach/
http://www.zdnet.com/lacie-admits-year-long-malware-security-breach-customer-data-at-risk-7000028479/
http://krebsonsecurity.com/2014/04/hardware-giant-lacie-acknowledges-year-long-credit-card-breach/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中のセミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月、9月、11月、2015年1月、2月、3月 [各5日間]
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html

○10月6日(月)~8日(水)、2月16日(月)~18日(水) [各3日間]
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━



NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます