NRI Secure SANS NewsBites 日本版

Vol.9 No.22 2014年6月3日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.22 2014年6月3日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────────────


■はじめに(Alan Paller:SANS Director of Research)
3,000を超えるサイバースキルを持った採用希望者がオンラインのナショナル サイバーキャリアフェアーに集まる。主な参加企業は大手14社(例:JPモルガン チェース, KPMG, Palantir, PwC, NSA, INSCOM, アクセンチュア, NBC/Comcast, CBS)となっている。開催は3週間後だが、出展を希望する企業の担当者は、 http://nationalcybersecuritycareerfair.com/ から連絡いただくか、Max Shuftan (mshuftan@cyberaces.org) に直接メールで問い合わせいただきたい。


────────────────────────────

■■SANS NewsBites Vol.16 No.042-043
(原版: 2014年5月27日、30日)

────────────────────────────

◆ eBay社の流出事件、州による調査を受ける(2014.5.23)

米国3州の司法長官により、eBay社のデータ流出事件に対する共同調査が開始 された。英国の情報コミッショナーは、アカウント1億4,500万件の個人情報が 侵害されたとして、徹底調査の正式要請も検討している。

http://www.cnet.com/news/ebay-to-face-formal-investigations-over-data-breach/
http://www.scmagazine.com/states-probe-ebay-after-breach-affects-all-its-users/article/348422/
http://www.bbc.com/news/technology-27539799
http://www.theregister.co.uk/2014/05/23/ebay_security_breach_investigations/

【編集者メモ】(Pesactore)
原油大量流出、大企業の倒産、自動車会社といった安全性に関する問題が発生 すると、全米に放映されるテレビ会見で最高経営責任者(CEO)が「恥の殿堂」 として晒し者になる姿は、今や当然ともいえる光景となった。eBay社が優れた 企業ではあるかどうかは別として、大規模データ流出事件が理由で、CEOの釈明 会見が全米放送されるようになったのは良いことだ。セキュリティ担当者は、 経営層に対して「明日は我が身にならないためのセキュリティ対策」または 「この問題を放置すれば明日は我が身」という考え方で提案すべきであろう。
【編集者メモ】(Murray)
インターネット史上最大のデータ流出事件となった。eBay社は、世間の注目を 暗号化されていたデータであるパスワードに向けさせることに成功している。 eBay社も被害者としてひとくくりにするのは抵抗を感じており、このケースは そのように語るべきではない。eBay社は単にオンラインショップも併せて提供 する物売り企業ではない。eBay社は、オンラインショップ事業者の最大手であり、 インターネットを基盤としたビジネスモデルによって事業が成り立っている。 徹底調査が行われればeBay社のセキュリティの実態が明るみとなるだろう。 結果はおそらく、特権ユーザに対する強固な認証方法を徹底していなかったり、 顧客の機微な情報に対して有効な暗号化が行われていなかったり、公開ネット ワークからデータを隔離していなかったという基本的なことになるだろう。 eBay社はより高いセキュリティレベルでの運用を行う必要がある。

────────────────

◆ NISTの暗号技術標準規格の開発、NSAを諮問機関から除外する法案を可決(2014.5.26)

米国立標準技術研究所(NIST)による暗号技術標準規格の開発にあたり、 米国家安全保障局(NSA)を諮問機関とする要件を除外する法案が、米連邦議会 で可決された。エドワード・スノーデンが公開した情報によると、NSAが意図的に 標準規格を弱体化させるように要請していると示唆されていたためだが、本件と NSAを諮問機関から除外する関連についてNISTは否定している。

http://www.theregister.co.uk/2014/05/26/congress_divorces_nist_from_nsa/

【編集者メモ】(Pescatore):NISTが暗号技術の標準規格を作成するにあたり、 NSAから意見を諮る義務がなくなったとしても、国内最大の暗号の専門家を有する NSAや、国外の相当機関に意見を求めるのは常識から考えて至極普通のことだ。 「外部委員会」が、NISTの暗号技術標準規格の開発プロセスを審査する上で透明性 の高いアプローチを推奨することを願う。

────────────────

◆ 電子機器を使った車上荒らしが増加、ロンドン市警が報告(2014.5.20)

ロンドン警視庁によると、昨年届出のあった車上荒らし89,000件のうち約半数が、 電子機器による犯行であるという。窃盗犯は、車に搭載されているコンピュータ へ侵入し、車両の総合診断装置にアクセスが可能になる機器を利用する手口。 この車内のコンピュータから収集された情報には、電子キーも複製可能となる 情報が含まれている。

http://www.forbes.com/sites/williampentland/2014/05/20/car-hacking-goes-viral-in-london/

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月25日(水)、10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=09

○6月26日(木)~27日(金)、10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=10

○6月、9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=11

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=12
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 米連邦取引委員会、データブローカーに対して透明性と説明責任を求める報告書を公表(2014.5.28)

米連邦取引委員会(FTC)の報告書によると、データブローカー事業者に透明性と 説明責任を持たせるために、規制の改正とベストプラクティスの変更を求めて いく方針をとると示されている。データブローカーは、多数の情報ソースから 情報収集を行うが、ほとんどの場合一般消費者が知らない間に収集されている。 このような状況を踏まえてFTCは、下院に対して一般消費者が自身の個人情報を 管理できる法整備を要請している。

http://www.v3.co.uk/v3-uk/news/2346985/us-ftc-wants-greater-controls-on-data-brokers
FTC Data broker Report: http://www.ftc.gov/system/files/documents/reports/data-brokers-call-transparency-accountability-report-federal-trade-commission-may-2014/140527databrokerreport.pdf
【編集者メモ】(Pescatore)
EUの司法裁判所は、利用者には「忘れられる権利」があり、Googleは要請が あれば検索インデックスやキャッシュから個人情報を削除する必要があると つい先日裁定したばかりだ。FTCの報告書が指摘しているのも同様の問題と 言える。検索サービスやデータブローカーの基本は、ユーザ情報を収集して 広告に利用することにある。これこそ21世紀の「マッドメン」だ。テレビ世代 の広告代理店が、コンピュータを使ってターゲット広告を行うとこうなる。 だからこそ透明性は必要なのだ。エンドユーザは自分のデータの使われ方に ついて声を大にして主張すべきであり、マーケティング活動への利用の可否は、 明示的に本人が「選択」することが可能であるべきだ。

────────────────

◆ Microsoft、Windows XPの更新プログラムを継続して受け取ることを可能にする裏ワザに警告(2014.5.27-28)

Microsoft社は、今後5年にわたりWindows XPのセキュリティ更新プログラムの 受け取り可能にする裏ワザについて警告を発している。Windows XPのレジストリ キーに簡単な変更を加えることで、サポート終了後のXPもセキュリティ更新を 受け取るできるようになる。この変更によりデスクトップ向けXPシステムを、 組み込み系のPOSシステムと見せかけることができ、Windows Updateによる更新 プログラムが適用されるというもので、組み込み系のPOSシステムに対しては 2019年までサポートが提供される予定である。システムは非常に似ているが 同一ではない。組み込み系の更新プログラムによりXPが保護されることが保障 されるものでもなく、機能障害が発生する可能性もあるとマイクロソフトは 説明している。

http://www.darkreading.com/microsoft-ignore-unofficial-xp-update-workaround/d/d-id/1269236?
http://www.v3.co.uk/v3-uk/news/2346809/microsoft-cautions-against-windows-xp-update-trick

────────────────

◆ iPhoneとiPadが乗っ取られる(2014.5.27-28)

マルウェアによりiPhoneやiPadが乗っ取られる被害が報告されている。 具体的には、iPhoneやiPadがマルウェアによってロックされ、ロック解除の 代金(多くは100米ドル相当)を支払うまで利用できない状態となる。これは 「Find My iPhone」機能を悪用したもので、主にオーストラリア国内での被害が 報告されている。攻撃者がどのようにしてターゲットの情報を入手したのかは 明らかになっていないが、何らかの侵害事件を経由して漏えいした情報のうち、 複数のアカウントで同じログイン情報を利用しているユーザに影響が出ていると 推測されている。AppleはiCloudサービスが侵害された事実はないと、否定して いる。オーストラリアのAppleでは、ユーザにApple IDのパスワードを変更する ように呼びかけている。

http://www.telegraph.co.uk/technology/apple/10857715/iPhones-frozen-by-hackers-demanding-ransom.html
http://www.theregister.co.uk/2014/05/28/apple_denies_icloud_breach_behind_oz_ransomware_outbreak/
http://www.cnn.com/2014/05/27/tech/mobile/hackers-iphones/index.html
http://arstechnica.com/security/2014/05/your-iphone-has-been-taken-hostage-pay-100-ransom-to-get-it-back/

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「携帯端末の処分方法」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スマートフォンやタブレットなどの携帯端末を処分する際に、どのような
ことに気をつけていますか? あなたが想像するよりも多くの個人情報が
残ったままになっているかもしれません。
今月号では、スマートフォンやタブレットなどの携帯端末を処分しようと
する際に実施すべき項目や注意事項を一般ユーザ向けに、分かりやすく
解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/resources/newsletters/ouch/2014#june2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月11日(水)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=05

○6月24日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○7月10日(木)
 標的型攻撃対策セミナー
 ~多層防御によるセキュリティ対策について~
http://www.nri-secure.co.jp/seminar/2014/0710.html?xmid=300&xlinkid=07

○7月23日(水)
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju01.html?xmid=300&xlinkid=08
────────────────

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます