NRI Secure SANS NewsBites 日本版

Vol.9 No.20 2014年5月20日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.20 2014年5月20日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■はじめに(Alan Paller:SANS Director of Research)
6月21日から30日にかけてボルチモアで開催されるSANS FIREは、38コースが受講 可能だ。講師もセキュリティ業界屈指の実績をもっており、今後情報セキュリティ に大きな影響を及ぼす人物たちだ。最近話題のコースとして「Advanced Network Forensics and Analysis」や「Advanced Smartphone Forensics」のほか、 「the new benchmark course for people working in SCADA and ICS security」も 追加されているし、5つのコースはWebキャストによりどこからでも受講できる。
さらに、参加者には夕方に開催されるInternet Storm Centerの最新情報セッション に参加することで、最新の攻撃タイプ情報を入手できる。
SANS FIREの詳細はこちらを参照いただきたい。
http://www.sans.org/event/sansfire-2014/welcome/


────────────────────────────

■■SANS NewsBites Vol.16 No.038-039
(原版: 2014年5月13日、16日)

────────────────────────────

◆ 米司法省、容疑者のコンピュータ侵入捜査における司法権限拡大を要請(2014.5.9.)

米司法省(DOJ)は、米司法会議の常任委員会に、犯罪捜査時における容疑者の コンピュータに対するリモートアクセスの実行について、司法権限の拡大を要請 した。複数の管轄地域に跨る犯罪が増加する中、司法当局が管轄外のコンピュータ へもアクセスする必要性について主張しているが、現在の米国の裁判制度では、 判事が管轄外の資産について捜査令状を発行できるのは非常に限られており、 一部の市民団体の間で、この議案はインターネットセキュリティや合衆国憲法修正 第4条を侵害する可能性があるという懸念が高まっている。今回提案されている リモートアクセス方法は、DOJが独自に保持する非公開の脆弱性情報を持つことで 実現されるため、セキュリティの問題に発展する可能性もある。今回の議案は、 今月後半に法廷委員会において検討される予定となっている。

http://www.darkreading.com/government/fbi-seeks-license-to-hack-bot-infected-pcs/d/d-id/1252655?
http://www.bloomberg.com/news/2014-05-09/federal-agents-seek-to-loosen-rules-on-hacking-computers.html
http://www.computerworld.com/s/article/9248242/DOJ_seeks_new_authority_to_hack_and_search_remote_computers?taxonomyId=17
http://www.uscourts.gov/uscourts/RulesAndPolicies/rules/Agenda%20Books/Standing/ST2014-05.pdf#page499

【編集者メモ】(Pescatore)
盗聴器をオフにしたり、容疑者の車から追跡装置を取外したりすることは比較的 単純だが、リモートアクセスを可能にするトロイの木馬を消去するのはそれほど 簡単ではないだろう。そのため、リモートアクセスの部分で、無実の部外者が 被害を受ける可能性がおそれがあるのが難題だろう。そもそも司法当局に非公開 の脆弱性情報の保持を許可するなどとんでもないことだ。大げさにしたくはないが、 私個人としては、逆効果になるとしか思えない。アルコール・タバコ・火器及び 爆発物取締局(ATF)が映画の「ワイルドスピード」のように、囮捜査で銃を メキシコへ密輸するようなものだ。

────────────────

◆ 米司法省、サイバー脅威情報の共有を奨励(5.9. 2014)

米司法省(DOJ)は、企業間または企業と政府間でサイバー脅威情報を共有すること を奨励している。DOJが情報共有のガイドラインを発行した背景には、サイバー脅威 情報を企業が政府と共有するにあたり、プライバシー侵害を懸念している場合が 多いためだ。DOJが今回公開した法的ガイドラインに従えば、顧客情報を侵害する ことなく脅威データを共有できることになり、集計データやトラフィックパターン の異常など、攻撃の特徴を説明してもプライバシー法を侵害することにはならない。

http://money.cnn.com/2014/05/09/technology/security/cybersecurity-justice/index.html
DOJ White Paper:
http://www.justice.gov/criminal/cybercrime/docs/guidance-for-ecpa-issue-5-9-2014.pdf

【編集者メモ】(Henry)
企業が実用的な(「情報」ではなく)インテリジェンスを共有することは合法 である、とDOJが明確にしたのは有意義な第一歩だ。ただし、実際に共有を開始 する前に、米国政府は、共有するインテリジェンスの種類を明確にし、具体的な 受領者、利用方法、保管方法を明確にしたうえで、民間企業が享受できるメリット も特定する必要がある。
【編集者メモ】(Pescatore)
このガイドラインが対象としているのは、1986年に連邦政府制定の通信記録法 (Stored Communications act)に関連したISPやネットワーク事業者、そして 日常的に脅威情報を共有しているネットワーク関連企業だけだ。最大の懸念は、 政府と脅威情報を共有しても企業側のメリットはほとんどないばかりか、情報 漏えいや賠償責任問題に発展するおそれもある。この点に関しては、現在の ガイドラインでは取り上げられていない。

────────────────

◆ 米陸軍で倹約貯蓄プランの偽造サイトを使った演習、事前連絡せずに実施し混乱(5.9.2014)

今年の初め、米国防総省の倹約貯蓄プラン(TSP)サイトが、フィッシング攻撃を 受け、TSP偽装サイトが確認された。2011年にも侵害されたことがあるTSPは、今回 不審なメッセージに気づき、追跡調査を行ったところ攻撃元は陸軍にあるサーバ であることがわかった。その後、約2週間かけて追跡調査を行った結果、攻撃は 陸軍のサイバーセキュリティ演習であったことが判明した。この偽装サイトは、 隊員が自身のアカウント情報を軽率に入力するかをテストするためのものだったが、 TSPは、演習で偽装サイトが構築されているという連絡を受けていなかった。 TSPはペンタゴンまで追跡したが、事実を確認するのに13日を費やすという徒労に 終わったことになり、国防総省の関係者は過失を認めている。

http://www.nextgov.com/cybersecurity/2014/05/it-took-feds-13-days-unravel-tsp-cyber-hoax-perpetrated-feds/84061/

【編集者メモ】(Assante)
海軍将校の新米時代の担当業務は、共同演習や艦隊レベルの演習スクリプト作成の 手伝いだった。私は、演習を重ねる(演習につぐ演習)ことで概念的な全ての演習 材料を採点できるようになった。このように反復することで体に教え込む実績ある 方法は、サイバーでも適用すべきである。

────────────────



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月25日(水)、10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=08

○6月26日(木)~27日(金)、10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=09

○6月、9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=10

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=11
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ Google Apps、不審なログインの確認を強化(2014.5.14)

Googleは、Google Apps に対する不審なログインへの対策を強化する。正規ユーザー 以外の第三者によるログイン試行が疑われた場合、ユーザーに対してショート メッセージで送信された確認コードの入力を求め、本人確認を行う。これは セキュリティ機能を有効にしていないユーザーも対象となる。Googleは最終的に 全てのドメインに対してログイン要件の強化を予定している。

http://www.cnet.com/news/google-gets-tougher-on-suspicious-google-apps-logins/

【編集者メモ】(Pescatore)
ありがとうGoogle。これは良い方法だと思うし、同様の方法を使い始めている オンラインサービスも増えている。これも、セキュリティ対策においては、法人 向けサービスよりもコンシューマ向けサービスに優れたサービスを「早々に」 導入している例と言えるだろう。
【編集者メモ】(Murray)
私はワンタイムパスワードが提供されている場合には、利用するようにしているが、 みなさんはどうなのだろう。例えば、Googleのユーザー多数がこのセキュリティ オプションを選択して、その事実を公開すれば強固な認証利用を毛嫌いする人は 少なくなるだろう。

────────────────

◆ 米上院委員会がオンライン広告セキュリティ強化を要請(2014.5.15)

米上院国土安全保障・政府問題委員会は、報告書においてオンライン広告業界に 対してセキュリティを向上させるように要請した。報告書では、オンライン広告 業界内で自主的にルールを作成しない場合、「連邦取引委員会(FTC)が包括的な 規制を検討する」とした上で、「現在のオンライン広告の仕組みは非常に複雑 であり、マルウェア攻撃に対して適切な責任を果たしていない」と指摘した。 さらに、管理者がマルウェアを拡散している広告をすぐに無効にできるような 「遮断メカニズム」を作成するように要請した。

http://www.theregister.co.uk/2014/05/15/senate_slams_ad_servers_for_security_failings/
http://www.hsgac.senate.gov/media/permanent-subcommittee-on-investigations-releases-report-online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy-

【編集者メモ】(Pescatore)
重要なポイントをまとめよう「悪意のある広告は新種のスパイウェアだ。政府は 何かしら対策をとるべきだ。議会で新規制を数年かけて話し合うというのはどう だろう」。今起こっている状態に対応するには、FTCがオンライン広告業者を調査 して、マルウェアを含んでいる広告を配信している業者を特定すべきだ。FTCは、 過去にも不公平で紛らわしい活動をしているオンライン会社を取り締まったことが あり、それとやることは同じだ。
【編集者メモ】(Shpantzer)
オンライン広告ネットワークの、低俗で異様な世界について知りたい場合には、 Ben Edelmanのブログを参考にするといい。ニッチな世界ではあるが長年に渡る 実例が蓄積されている。
http://www.benedelman.org/

────────────────

◆米司法省がサイバー専門家を雇用(2014.5.15)

米司法省は、予算緩和策が功を奏し、サイバーの専門家をこれまでよりも早い ペースで採用している。司法省は、直接雇用が可能になり、採用候補者は迷路 さながらに時間のかかる採用プロセスで待たされる必要がなくなった。直接雇用は、 緊急に必要とされる担当者をタイムリーに雇用するために直接雇用という仕組みも 用意されているが、軍関係を除く他の部局では、期待していたほど人員増加の恩恵 を受けていない。技術力のある人材の確保が重要課題となっている。

http://www.nextgov.com/cybersecurity/2014/05/justice-fast-tracking-cyber-hires/84511/?oref=ng-channeltopstory

【編集者メモ】(Paller)
国土安全保障省(DHS)が4年前に「サイバーセキュリティエンジニア1,000名雇用」 をした際、同じように直接雇用が許可された。DHSのITマネージャーは、この制度 を利用して一般的な採用プロセスを通さずに、サイバースキルのない通常のIT 担当者を採用したが、この問題は、上院の管轄員会の担当者がその事実を発見した ばかりだ。司法省も、直接雇用を行う際に最低限のサイバースキル基準を満たして いることを確認してほしい。国土安全保障諮問委員会のサイバースキル分科会では、 サイバーセキュリティ担当の採用においてガイドラインを提供している。
http://www.dhs.gov/sites/default/files/publications/HSAC%20CyberSkills%20Report%20-%20Final.pdf

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「ハッキングされてしまったら」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
PC、携帯端末、オンラインアカウント、メールアドレス、クレジットカードの
いずれかを持っていれば、誰もがサイバー犯罪者に狙われます。
今月号では、コンピュータがハッキングされているか判断する確認項目や、
ハッキングされた場合の対応方法を一般ユーザ向けに、分かりやすく解説しま
す。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月23日(金)、6月11日(水)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=07

○6月24日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます