NRI Secure SANS NewsBites 日本版

Vol.9 No.2 2014年1月15日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.2 2014年1月15日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
  ━┛━┛━┛━┛━┛
                 = SANS TOKYO 2014 =
  http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01
 【SEC401】2014年2月24日、25日、3月5日、6日、18日、19日 [6日間]<NEW!>
  :SANS Security Essentials Bootcamp Style
  (SANSトレーニングの中で最もポピュラーなコース)

 【FOR508】2014年2月17日~22日 [6日間]
  :Advanced Computer Forensic Analysis and Incident Response
  (APTを含む標的型攻撃に対抗するデジタルフォレンジックを学ぶ6日間)

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■はじめに(Alan Paller:SANS Director of Research)
スノーデンの暴露によりテクノロジー企業へ財務的な影響がでてきた。002号 の最初のニュースから、購入活動に怒りの感情が反映されていることがわかる。 各企業の今回の事件への取り組みは、Pescatoreのコメントを参照いただきた い。
電力、石油、ガス、製造系の制御系システムのエンジニアやITセキュリティ担 当のみなさん、ICS/SCADA Security Orlando Summitへ1月22日までに登録する と早期特別割引が受けられる。サミットでは、組み込み系システムに対する攻 撃ポイントへの理解を深め、具体的な対策を理解できる。また今回初めて、組 み込み系システム用の検査ツールが配布される。
新しいコースICS/SCADA Security Essentialsも提供されており、GICSP認定試 験に備えることもできる。GICSP認定は、大手企業への就職やコンサルティン グにおいて、制御系システムセキュリティの要件となりつつある認定だ。
http://www.sans.org/event/north-american-ics-scada-summit-2014


────────────────────────────

■■SANS NewsBites Vol.16 No.002-003
  (原版: 2014年1月7日、1月10日)

────────────────────────────

◆UAE、米国製の部品にバックドアがあるとして、衛星の購買契約破棄を検討(2014.1.5)

UAE(アラブ首長国連邦)は、昨年夏にフランス製のインテリジェンス衛星を 9億2千米ドル相当で購買する契約に捺印していた。しかし、UAEの情報源によ ると、UAEは購入予定の衛星から米国製の部品2個が除外されないかぎり、契約 を破棄することも検討しているという。問題視されている部品には、地上局に 転送されるデータへのアクセスを可能にするバックドアが仕掛けられていると 報告されており、UAE当局は対象部品を撤去するようにフランスに要請してい る。

http://www.defensenews.com/article/20140105/DEFREG04/301050006
【編集者メモ】(Honan)
入札要件には、米国のデータセンターや米国のクラウドプロバイダーにデータ を保存しないと明記されていたようだ。NSAのバックドアやスパイ活動疑惑に より、米国のテクノロジー企業は、欧州組織の不信感を容易に払拭できない、 それほど大きなダメージを受けた。

【編集者メモ】(Pescatore)
Huaweiは米国に検証センターを新設し、英国の基幹ネットワークのアップグレー ドでBTが購入を検討しているHuawei製品の通信機器に対して英国政府による監 査を可能にした。最近のこととしては、Microsoftの法務最高責任者Brad Smith により「顧客が当社製品にバックドアがないことを確認するために、ソフト ウェアのコードの透明性を高める」と発表している。スノーデンのNSA活動暴 露事件により、米国のIT輸出産業は、外国顧客に対して製品のセキュリティを 証明するためにHuaweiと同様の投資を余儀なくされている。

────────────────

◆「モノのインターネット」への脅威が増加(2014.1.6)

ブルース・シュナイアー氏は、組み込み系システムにおいて「パッチを適用す るよい方法がない」ことにより、セキュリティの脅威が増加していると指摘し た。同氏はさらに、パソコンは脅威が増加する状況にあったが、脆弱性の存在 と対応を公開すると同時に、パッチ適用の自動化で対処してきた。しかし組み 込み系のシステムでは各メーカーの製品が混在していることから、これまでは セキュリティを強化する理由が特になかったと述べた。また、組み込み系シス テムベンダは、より安全な製品を作成するように求める外部からの圧力が必要 となってきており、ドライバソフトウェアをオープンソースにしたり、自動更 新メカニズムを使って製品を安全に維持するような変更が必要であること。ま た、このような変更はISPが中心的な役割を担っていくだろうと語った。

http://www.wired.com/opinion/2014/01/theres-no-good-way-to-patch-the-internet-of-things-and-thats-a-huge-problem/
【編集者メモ】(Assante)
ブルースは組み込み系システムの開発と保守に関わるプロセスをうまく説明し ている。「モノのインターネット」と言うと、従来から使われてきた産業制御 系やフィールド端末が該当するとは誰も想像しないからだ。このような機能は 制限されているが重要な制御系やフィールド系のデバイスに依存している企業 にとって、組み込み系のセキュリティは、今後大きな課題となるだろう。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「自宅ネットワークを安全にする」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 最近の自宅ネットワークは複雑になってきました。接続する端末が多様化
 しただけでなく、その用途の幅も広がってきました。
 今月号では、自宅ネットワークを安全にする基本的な方法について、一般
 のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
  http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆NSA通話情報収集プログラムの訴訟2件はいずれも上告(2014.1.2-3)

NSAによる通話情報収集プログラムに関する訴訟2件において判決は下され、両 件ともこれを不服として上告されることが明らかになった。1月2日、ACLU(米 自由人権協会)は、同プログラムへの訴訟棄却に不服を申し立て、上告申請を 行った。前の週には、William Pauley III判事が、ACLUの訴訟申し立てを棄却 したばかり。一方Klayman氏がオバマ政権に対して訴訟を起こしていた裁判で、 Richard Leon判事は、NSAのデータ収集プログラムは違憲である可能性がある と判決を下した。米司法省はこれを不服として、1月3日(金)に上告申請をし たばかり。

http://www.computerworld.com/s/article/9245154/DOJ_will_appeal_judge_39_s_ruling_against_NSA_phone_program?taxonomyId=17
http://www.zdnet.com/u-s-appeals-unconstitutional-ruling-on-nsa-metadata-programs-7000024772/

────────────────

◆NSA通話情報収集プログラムの法的議論、最高裁による審理には及ばず(2014.1.3)

NSA情報収集プログラム訴訟において、連邦判事2名は相反する判決を下したこ とでそれぞれが上告されることになった。これにより、結論は最高裁判所の決 定まで持ち越される可能性がでてきている。しかしながら、米憲法第4条修正 を専門とするジョージワシントン大学のOrin Kerr氏は、それ以外の可能性も あると指摘する。Kerr氏が、Volokh Conspiracyのブログに投稿しているよう に、愛国法(Patriot Act)215条において、傍受が許可されている期間は2015 年6月1日までであると指摘している。また、それまでに、議会による問題の議 論が行われるなど時間が経過することで「最高裁が本件の議論を審理する必要 が低くなる。理由としては、法規定の観点から本件には議論の余地があり、こ のような状況においては法的規制を合憲と判断するのが好ましいと考えられる」 という背景があると考えている。

http://www.wired.com/threatlevel/2014/01/scotus-phone-snooping/

Orin Kerr氏の投稿:
http://www.volokh.com/2014/01/02/supreme-court-take-bulk-telephony-case-circuit-courts-dont-invalidate-program/

一方、外国活動情報監視裁判所(FISC)は、NSAの通話データ収集プログラムの許可を更新した。FISCは90日ごとに更新する必要がある。FISCは、通話内容の収集をNSAに許可していないことを明示している。
http://www.scmagazine.com/fisa-court-renews-nsa-phone-data-collection/article/328120/

────────────────

◆Windows XPのサポート終了にともない、XPのSecurity Essentialsの配布も終了(2014.1.8-9)

Microsoftは、Windows XPからより新しいOSへのアップグレードを推進するた めに、4月にXPのサポート終了にともない、XP向けに提供されているSecurity Essentialsの配布も終了すると発表した。

【編集者メモ】(Assante)
XPはSCADA/ICS系のOSとして広く利用されているが、大量の機器は急に移行で きるものでもない。つまり、今後発生すると予測されているゼロデイのエクス プロイトの標的となるのは明らかで、多くの制御系システムが相互接続され、 インターネットに直接接続されているコンポーネントが増加する中で大きな問 題となるだろう。

【編集者メモ】(Murray)
多くの企業にとって従来から利用しているアプリケーションや組み込み系が問 題となる。攻撃されるポイントを減らし、移行を検討して、「ラッパー」やファ イアウォールの検討をお願いしたい。

【編集者メモ】(Pescatore)
今回の状況からも理解できるだろうが、インフラ自体を安全にするために依存 しているものがあってはならないし、インフラを保護する製品に依存するリス クを検討する必要がある。インフラベンダにとってはセキュリティ製品のサポー トを延長する理由があまりない。実際のところ、サポートの延長により新しい バージョンや製品への移行が遅くなるだけだ。独立系セキュリティベンダは、 売り上げにつながるなら古いバージョンや利用者が少ないOSやアプリケーショ ンでもサポートするだろう。

【編集者メモ】(Ullrich)
Windows XPを必要とするシステムがある場合は、対象システムの保護対策を検 討しなければならない。アップグレードできない原因となっている機能に限定 し、不要なソフトウェアを削除する。XPのサポート終了に伴い、アンチウィル スといったサードパーティのセキュリティソフトウェアもXPへのサポートを終 了する。

────────────────

◆ニューハンプシャー州内の市職員、CryptoLockerによりファイル消失(2014.1.7)

英ニューハンプシャー州でランサムウェアCryptoLockerに感染したことで、市 職員は8年間利用していたコンピュータに保存されていたファイルが消失した。 12月26日、ニューハンプシャー州グリーンランド市の職員は、AT&Tを装った メールの添付ファイルを開いた。管理者に連絡されたのは4日後で、ランサム ウェアの支払期限が過ぎてからだった。

http://www.computerworld.com.my/resource/security/cryptolocker-scrambles-eight-years-of-data-belonging-to-us-town-hall/

【編集者メモ】(Ullrich)
バックアップは?CryptoLocker対策なら、バック アップソリューションを確認するしかない。

【編集者メモ】(Northcutt)
この話はどこかおかしい。CryptoLockerは「あ なたの個人ファイルは暗号化されました」というメッセージを画面に表示する。
このブログの情報は、だれかが知っていたはずだ。
http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/

────────────────

◆カリフォルニア州でNSA支援を禁止する法案提出(2014.1.7-9)

カリフォルニア州上院議員2名は、同州の職員、政府機関、企業に対して、令 状が無い場合にNSA監視プログラムへの支援行為やサービス提供を禁止する法 案を提出した。カリフォルニア州裁判所では、令状なしで収集された情報は、 証拠として認められないとされている。州および地方自治体の電気水道局は、 NSA施設に対して水 と電気の供給を禁止されることになる。

http://www.computerworld.com/s/article/9245232/California_lawmakers_move_to_bar_state_help_to_NSA
http://www.scmagazine.com//calif-senators-intro-bill-to-stop-state-from-aiding-nsa-spying/article/328737/

【編集者メモ】(Murray)
どうやら納得のいく政策がカリフォルニア州議会に はあるようだ。とはいえ、国家安全保障において欠けているのは、禁止するこ とではなく透明性と説明責任だ。

【編集者メモ】(Pescatore)
同じような動きはアリゾナ州や他の州にもある ようだが、このニュースは象徴的だ。オバマ大統領は、NSAに関する条項や監 督責任を変更する予定だ。私自身も、1978年ニクソン大統領が諜報機関を個人 的な理由で利用していたとする件で議会が調査していた際にNSAに勤務してい た。この結果、外国活動情報監視法が確立され、サイバーセキュリティの取り 纏めがNISTに移行し、下院情報問題常設特別調査委員会による監督が強化され た。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1月28日(火)、2月27日(木)、3月20日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○1月29日(水)
 セキュア開発ライフサイクルセミナー~脆弱性を作り込まない開発プロセス~
http://www.nri-secure.co.jp/seminar/2014/0129.html?xmid=300&xlinkid=07

○2月20日(木)、3月19日(水)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~マルチデバイスのグローバル一元管理と、BYOD活用について~
http://www.nri-secure.co.jp/seminar/2014/endpoint02.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=08

◎3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=09
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。