NRI Secure SANS NewsBites 日本版

Vol.9 No.21 2014年5月27日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.21 2014年5月27日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■はじめに(Alan Paller:SANS Director of Research)
Online National Cybersecurity Career Fair (NCCF:オンラインナショナル サイバーセキュリティキャリアフェアー)への登録者は2,532名となった。登録者 の大半は、スキルと能力を示すアセスメントも終了している。登録者の中には、 7州で行われた州知事主催のサイバーカップやサイバーチャレンジの勝者もいれば、 米空軍でITやIA業務に携わったことがある経験者で、民間に職を求める人もいる。 ICS2などのグループやSC Magazineなどの購読者もいれば、ソーシャルメディア 経由で参加する人物もいる。今回出展するのは、サイバーセキュリティ分野では 有数の企業や組織であり、応募者の26%を占める軍経験者を優遇する組織も多数 ある。例えば、JPMorgan Chase銀行、KPMG、アクセンチュア、CBS、NSA、INSCOM、 Soutionary、PWCなどだ。他にもセキュリティサービスプロバイダも参加する。 このプログラムへは誰でも参加できる。興味がある人は、Max Shuftan (mshuftan@cyberaces.org) にメールで問い合わせるか、以下のサイトを参考に してほしい。http://nationalcybersecuritycareerfair.com/


────────────────────────────

■■SANS NewsBites Vol.16 No.040-041
(原版: 2014年5月20 日、23 日)

────────────────────────────

◆ 米司法省(DOJ)、産業スパイ容疑で中国人民解放軍所属の5名を起訴(2014.5.19)

米国司法省(DOJ)は、コンピュータ詐欺と不正利用の罪で、中国人民解放軍に 所属する5名を起訴した。容疑者5名には、大手米国企業のネットワークへ不正侵入 し、原価や価格情報、技術企画書などのデータを窃盗した疑いがもたれている。 米国が外国当局員をサイバー犯罪者として法的措置を取ったのは、今回が初めて。 この措置により、(今後)他国が米国に対して同様の法的制裁を取る動きに拍車を かける可能性がある。

http://www.washingtonpost.com/world/national-security/us-to-announce-first-criminal-charges-against-foreign-country-for-cyberspying/2014/05/19/586c9992-df45-11e3-810f-764fe508b82d_story.html
http://www.washingtonpost.com/blogs/the-switch/wp/2014/05/19/everything-you-need-to-know-about-the-alleged-chinese-military-hacker-squad-the-u-s-just-indicted/
http://www.bbc.com/news/world-us-canada-27475324
http://www.nextgov.com/cybersecurity/2014/05/us-files-criminal-charges-against-chinese-military-officials-hacking-american-companies/84691/?oref=ng-relatedstories
http://www.theregister.co.uk/2014/05/19/us_authorities_name_five_chinese_military_hackers_wanted_for_espionage/
http://www.wired.com/2014/05/us-indictments-of-chinese-military-hackers-could-be-awkward-for-nsa/

【編集者メモ】(Henry)
個人的に、これは大きな一歩だと思う。米国政府は、中国によるスパイ活動は、 何年も前から認識しており、外交協議も試みたが、スパイ行為は継続されている。 中国は当事者の引き渡しに応じる予定もなく、本件は容認不可能なものであると 公表しているだけだ。昼食代を毎日盗まれていたとして、いつか誰かが対処して くれるのだろうか。つまり、防衛の多層化は極めて重大なことだ。とにかく、 ネットワーク防衛は多面的に行い、脅威をコントロールするためには、スパイ活動 を行う国の行動を変えなければならない。特効薬はないものの、今回の政府の対応 により、新たな局面を迎えることになるだろう。
【編集者メモ】(Pescatore)
古いことわざに、「人を呪わば穴二つ」というのがある。
【編集者メモ】(Assante)
現代において、諜報活動の一環としてのスパイ活動と、経済競争の一環としての 産業スパイ活動の区別がされていない。今回法的措置を取った目的は、グローバル 市場における好ましくない行為を指摘することであることを、中国の指導者たち には理解できないだろう。今回の法的措置の「究極的な目標」は、産業スパイ活動 のコストを上げることにある。つまり、産業スパイ活動により得られるものに対 して、時間、リソース、リスクという観点から高い代償を支払うことになるという ことだ。

────────────────

◆ 中国、米国とのサイバーセキュリティ作業部会を中止(2014.5.19)

中国軍当局者5名が産業スパイ容疑で起訴されたことを受けて、中国は米国との サイバーセキュリティ作業部会の中止を発表した。中国当局は、起訴内容を 「意図的に捏造された言いがかり」と主張し、対米報復制裁の可能性も示唆して いる。中国と米国は、つい先月、サイバー作業部会の取り組みに合意していた ばかり。さらに、中国当局は、「米国は、中国政府の省庁、関連機関、企業、 大学、個人に対して不正侵入、盗聴、監視などのサイバー活動を行っている」 とも述べている。

http://www.businessweek.com/news/2014-05-19/china-suspends-cybersecurity-cooperation-with-u-dot-s-dot-after-charges
http://www.nbcnews.com/news/world/china-suspends-cybersecurity-cooperation-after-us-charges-n109476

【編集者メモ】(Pescatore)
このような状態となっては、「サイバー冷戦」の時代になったと言えるだろう。

────────────────

◆ Cisco社CEO、NSAによるバックドアは、経済に悪影響を及ぼすとオバマ大統領に直訴(2014.5.19)

Cisco社CEO(最高経営責任者)ジョンoチェンバース氏は、NSA(国家安全保障局)が ネットワーク機器に監視機能を追加していたというニュースは、米国製品に対する 信頼を損ねるものであり、結果として経済に悪影響を及ぼすとした書簡をオバマ 大統領に送った。チェンバース氏は、NSAにより米国企業の健全性が問題視されない ように、NSAの監視に対して一定の制限を求めるようオバマ大統領に直訴したこと になる。

http://arstechnica.com/information-technology/2014/05/cisco-ceo-to-obama-dont-let-nsa-intercept-and-hack-our-gear/
http://www.bbc.com/news/technology-27468794
http://www.computerworld.com/s/article/9248420/Cisco_CEO_tells_Obama_that_NSA_spying_hits_tech_sales?taxonomyId=17
http://www.cnet.com/news/cisco-ceo-asks-obama-to-control-nsa-surveillance/
http://www.theregister.co.uk/2014/05/19/ciscos_chambers_to_obama_stop_fiddling_our_routers/

【編集者メモ】(Pescatore)
現在のサイバー冷戦は、非常に複雑である。米国は経済的被害を受けたサイバー 攻撃の容疑で中国当局者を起訴しているが、米国企業のある最高経営責任者(CEO) は米国(政府)に対して同様の容疑で直訴をしている。一方、華為技術社は英国に サイバーセキュリティ評価センターを設置し、同社製品にバックドアがないことを 英国に確認させている。また、DDoS攻撃対策プロバイダの中国NSFocus社は、米国の アプリケーションセキュリティテストを提供するVeracode社に依頼して、NSFocus社 製品に同様のテストを行っている。この戦いにおいて誰が善人であるかは言い難いが、 米国が身の潔白を証明して正々堂々と戦いに挑んでいないことは確かだ。
【編集者メモ】(Shpantzer)
米国諜報機関の活動によって米国法人に影響が及ばないようダメージコントロール をするべきだ。フランス、イスラエル、中国など各国の諜報機関が、自国内で、 ハードウェアを開封して部品を追加することを防止することなどできない。改ざん 防止のセキュリティシールを貼ることもできるだろうが、税関通過時など、開封 する理由はいくらでもある。

────────────────

◆ マルウェアBlackShades、世界で逮捕者続出(2014.5.19)

リモートアクセス系トロイの木馬(RAT)BlackShadesの購入、販売、利用に関わる 人や組織に対する一斉摘発があり、世界中で約100名が逮捕された。BlackShadesの 機能には感染マシンのキーストローク記録や、文書、写真ファイルへのアクセス、 Webカメラの操作などがある。これまでに50万台~70万台のマシンがBlackShadesに 感染しているという。

http://arstechnica.com/security/2014/05/more-than-100-arrested-in-global-crackdown-on-peeping-tom-malware/
http://www.nbcnews.com/tech/security/creepware-hacker-sting-nets-97-worldwide-n109061
http://www.computerworld.com/s/article/9248431/BlackShades_users_targeted_in_16_nation_sweep_97_arrested?taxonomyId=17
http://krebsonsecurity.com/2014/05/blackshades-trojan-users-had-it-coming/

【編集者メモ】(Ullrich)
今回の国際共同捜査は見事であったが、一連の逮捕劇で興味深いのは、エクス プロイトキット作成者を逮捕した後、司法当局は作成者から収集したデータを 使ってマルウェア購入者を摘発したことだ。
【編集者メモ】(Murray)
Krebsによるレポートが面白い。今回の重要な点としては、売買活動が「取り 締まり」対象となったことだ。違法でありながら公に取引されている市場に大きな 影を落とした。このような製品は価格も魅力的であることから、低俗な顧客が 飛びつく。トロイの木馬「ZeuS市場」も(逮捕者がでて)同様に注目されること を願う。
【編集者メモ】(Honan)
本捜査の関係者に称賛を送る。特に取りまとめ役となった欧州警察のサイバー 犯罪センター(EC3)は素晴らしい。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「ハッキングされてしまったら」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
PC、携帯端末、オンラインアカウント、メールアドレス、クレジットカードの
いずれかを持っていれば、誰もがサイバー犯罪者に狙われます。
今月号では、コンピュータがハッキングされているか判断する確認項目や、
ハッキングされた場合の対応方法を一般ユーザ向けに、分かりやすく解説しま
す。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ eBay社、データ流出の対応で非難を受ける(2014.5.21-22)

ユーザ情報流出に対するeBay社の対応が非難されている。5月21日、eBayはユーザ のパスワードや個人情報などを含むデータベースに不正アクセスされたことを公表 した。不正アクセスが今年の2月から3月にかけて発生したのを、同社が発見した のは5月初旬だった。同社によるユーザへの通知が遅れただけでなく、ユーザに 通知されたパスワードの変更手続きは非常にわかりにくいものでもあった。 さらに、多数のユーザが一斉にパスワード変更を試みたため、一時的にeBayの システム処理能力を超える状態にもなった。また、不正アクセスを3か月間検出 できなかった理由について説明が求められているが、eBayもFBIも未だ詳細を一切 明らかにしていない。

http://www.nbcnews.com/tech/security/silent-auction-ebay-fbi-mum-hack-details-n112186
http://www.v3.co.uk/v3-uk/news/2346280/ebay-slammed-for-password-plundering-after-giant-breach
http://arstechnica.com/security/2014/05/ebay-buryies-its-own-advisory-to-change-passwords-following-database-hack/
http://www.nextgov.com/cybersecurity/2014/05/ebays-system-cant-handle-all-people-trying-change-their-passwords-once/85009/?oref=ng-HPriver

【編集者メモ】(Pescatore)
世間が、不正アクセスの検出が遅れた点でeBayを激しく非難するのは理解できる。 しかし個人的にeBayのパスワードの変更手続きが「非常にわかりにくい」とは 思わなかった。あれより簡単にパスワードが変更できるのなら、第三者も簡単に パスワードを変更できてしまうだろう。
【編集者メモ】(Murray)
今回の侵害は史上最大規模となった。eBayは強度のある認証を採用せず、公開 されたネットワークと顧客情報データベースの間に「通り道」を残したままに したために、1億件以上ユーザがアプリケーション詐欺の危険に晒されることと なった(「アイデンティティ盗難」とまではいかないが)。ユーザがパスワード 変更を装った不正メールに騙されれば、本名や生年月日などの機微情報が漏えい することとなり、一旦漏洩すると対応方法は皆無となってしまう。私はeBayの パスワードを変更しなかった。その代わりアカウントを削除して株を売却した。

────────────────

◆ Microsoft社NSLに関する異議申し立て(2014.5.22)

シアトルの連邦裁判所は、FBIが昨年末発行したNSLに対してMicrosoft社の異議 申し立てを認めたことを明らかにした。FBIは国家安全保障にかかわる捜査目的の 場合、NSL(National Security Letter)を発行することで通信業者に対し関連 情報の開示を求めることができる。今回問題となったケースではMicrosoftの法人 顧客が関係していたが、NSLに付随する口外禁止令により、情報開示の要請がある ことを顧客企業に通知できない状態に陥っていた。ちなみに異議申し立てが申請 されると、FBIはNSLを取り消している。

http://www.zdnet.com/microsoft-challenged-an-fbi-national-security-letter-and-won-7000029785/

────────────────

◆ 米下院でNSAによるデータ収集を制限する法案が通過(2014.5.22)

米下院は、NSA(国家安全保障局)の通話情報収集プログラムを終了させることを 目的とした法案を可決した。ただし、可決間際に加えられた変更により、法案の 効力は弱体化している。米国自由法(USA Freedom Act)が起草された目的は、 エドワード・スノーデンが暴露したNSAによるメタデータ収集プログラムを終了 させることだが、データ収集の継続を可能にする抜け道も残されており、NSAは 特定の条件を満たせば情報収集を正当化できることとなる。同法により、インテリ ジェンスコミュニティが定義するところの「大量」通話情報収集プログラムは終了 となるが、具体的な対象が設定されている場合、「大量」には該当しないことに なる。また、法案に加筆された箇所として、「一意に個人、エンティティ、 アカウントを特定できる条件」という文言が「個人、エンティティ、アカウント、 住所、端末などを特定するための個別条件」に変更された。この「一意」が削除 され、「など」が追加されたことによって、要件が曖昧となり、解釈の幅が残る ことにつながっている。つまり、判断は外国情報活動監視裁判所(FISC)に委任 されることになる。さらに、法案の公共支持条項は削除され、法的助言の選択に 変更されている。これにより、NSA要請への申し立てへの効力が弱まったことに なる。

http://www.wired.com/2014/05/usa-freedom-act-2/
http://www.computerworld.com/s/article/9248519/House_approves_weakened_bill_to_limit_NSA_bulk_collection?taxonomyId=17

────────────────

◆ 米、公共インフラシステムへの侵害を公表(2014.5.20-21)

米国土安全保障省(DHS)のICS-CERT (産業コントロールシステム・コンピュータ 緊急対応チーム)は、制御系システムに関連するセキュリティインシデントが発生 していたことを公表した。1件目は、ある米公共インフラの制御システムネット ワークが侵入された事件。インターネット経由でシステムに侵入され、リモート アクセスが有効になっていたシステムが総当たり攻撃を受けたが、公共システムの 運用には影響はなかった。ICS-CERTの報告書によると、今回侵入されたインフラの システムは過去にも侵入された形跡があったという。2件目は、機械装置を操作 する制御システムサーバに不正アクセスされた事件。同報告書によると、「長期間」 不正アクセスされていたという。

http://www.cnn.com/2014/05/21/us/hackers-public-utility/
http://www.reuters.com/article/2014/05/21/us-usa-cybercrime-infrastructure-idUSBREA4J10D20140521
http://www.v3.co.uk/v3-uk/news/2345950/us-public-utility-compromised-by-brute-force-cyber-attack
http://www.scmagazine.com/dhs-control-system-of-us-utility-company-hacked/article/347990/
http://www.computerworld.com/s/article/9248473/Public_utility_compromised_afterbrute_force_attack_DHS_says?taxonomyId=17
http://www.nbcnews.com/tech/security/hackers-launched-cyberattack-u-s-public-utility-government-says-n110476
http://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_%20Jan-April2014.pdf

【編集者メモ】(Assante)
DHSは、実際に報告されたインシデントから事例2件を選択し、インターネットに 接続されている制御システム装置や機器を含めたICSアーキテクチャ全体の脆弱性 に対して関心を高めようとしている。今回報告されている2件のインシデントは 氷山の一角にすぎない。政府は、インターネットに接続されているネットワークと ICSのセグメントを分ける必要性を理解させる努力をしているが、テクノロジー コンバージェンス(融合)の波によってかき消されているようだ。これは、 さまざまな顔を持つインターネット時代の到来であろう。今時のインターネットは、 産業用のインターネット、モノのインターネット、軍用のインターネットと多様化 しているが、便利さやスピードに危険はつきものだ。
【編集者メモ】(Murray)
ログイン試行が2-3回あった場合、その後のレスポンスを遅くするだけでも、 ブルートフォース攻撃には効果がある。そうでなければ、「ログイン失敗」の アラートを生成することだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月11日(水)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=07

○6月24日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月25日(水)、10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=08

○6月26日(木)~27日(金)、10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=09

○6月、9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=10

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=11

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます