NRI Secure SANS NewsBites 日本版

Vol.9 No.23 2014年6月11日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.23 2014年6月11日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────────────


────────────────────────────

■■SANS NewsBites Vol.16 No.044-045
(原版: 2014年6月3日、6日)

────────────────────────────

◆ 調査報告、ユーティリティ産業のセキュリティ事故は他業種よりも少ないという結果(2014.5.29)

主要基幹インフラの中では、ユーティリティ事業者(電気、ガス、水道などの公共 事業)は比較的安全であるという調査結果が公表された。これは、ビットサイト テクノロジー社が、金融、ユーティリティ、小売業、医療の各分野で調査して まとめたもので、このセキュリティインデックスによると、トップは金融業界で、 次点はユーティリティ産業という結果となった。また、2013年4月1日から2014年 3月31日の間にセキュリティ事故が発生したと回答した企業は、調査対象企業の 82%となった。

http://www.darkreading.com/vulnerabilities---threats/large-electric-utilities-earn-high-security-scores/d/d-id/1269299?

【編集者メモ】(Assante)
このような良いニュースは今後も増えてほしいし、大手ユーティリティ事業者は サイバーセキュリティに適切な投資を行っていると信じたい。これらの投資には、 一般のエンタープライズ企業のネットワークに提供されているソリューションも 含まれている。ただし、ボットネット活動を駆除し修正する時間が短縮された という指標だけに基づいて、ユーティリティ産業が「安全だ」と断言するのは 危険だ。ユーティリティ産業が懸念しているセキュリティ脅威は、インターネット 上で頻繁に発生しており、仕掛けては逃げるような攻撃とは異なるのだ。ニュース の見出しは「ユーティリティ産業、非標的型攻撃への対応で他業界に追いつく」 とでもすべきだろう。
【編集者メモ】(Weatherford)
このニュースについては、データを理解する必要があるので、早合点はいけない、 ましてや勝利宣言をする段階でもない。だた、多くの電力企業がセキュリティ技術 や人材育成に多額の投資を行っているというのは、非常に重要な情報だ。これは、 NERC(North American Electric Reliability Corporation)のCIP(基幹インフラ 安全対策)基準が新たに策定されたためだ。この基準は完璧ではないが、業界内で セキュリティの必要性を訴求するには十分な役割を果たしている。今必要とされて いるのは、SCADA/ICS製造業界自体がセキュリティにもっと前向きに取り組むこと だ。まだまだ道のりは長い。変革を進める速度を緩めるわけにはいかないが、いい ニュースだと思う。
【編集者メモ】(Ullrich)
82%という結果は、ほぼ100%に近いと考えて良いが、残り18%の企業がZeusや ZeroAccess、Cutwailなどの大量感染型ですら検出できていないと言える。記事で 言及されているマルウェアはいずれも標的型ではないのだから。つまりこれら18% に該当する各社は、既知の脅威を防ぐ対策も実施されておらず、標的型攻撃に 対しては、まな板の鯉のような状態に違いない。

────────────────

◆ GameoverとCryptoLockerのC&Cシステムを摘発(2014.6.2)

米英の司法当局は、Gameoverとして知られているZeusの変種とCryptolockerと 呼ばれているランサムウェアへのシステム保護対策を行う猶予期間は約2週間だと 警告した。現在は司法当局の努力により、両マルウェアのC&Cシステムが摘発され 停止しているが、司法当局によると、約2週間でシステムが復旧する可能性が高い という。今回のC&Cサーバの摘発は、米国司法省、英国国歌犯罪対策庁、欧州刑事 警察機構(ユーロポール)が中心となり、セキュリティ会社と大学研究者も協力 して行われた。

http://www.nextgov.com/cybersecurity/2014/06/feds-free-thousands-computers-hackers/85639/?oref=ng-channeltopstory
http://www.zdnet.com/gameover-zeus-botnet-seized-two-week-window-to-protect-yourself-say-authorities-7000030110/
http://arstechnica.com/tech-policy/2014/06/governments-disrupt-botnet-gameover-zeus-and-ransomware-cryptolocker/
http://www.nbcnews.com/tech/security/global-police-crack-down-gameover-zeus-cybercrime-botnet-n120581
http://www.theregister.co.uk/2014/06/02/nca_gameoverzeus_cryptolocker_warning/
http://www.computerworld.com/s/article/9248755/U.S._foreign_agents_disrupt_Gamover_Zeus_botnet?taxonomyId=17
http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/

【編集者メモ】(Honan)
今回の摘発に関わった方々に称賛を送る。摘発によるシステム停止は一時的かも しれないが、犯罪者たちのやりたい放題であった状態に釘をさした。今回の事例が 国家という枠を超えるだけではなく、司法当局と民間企業の協業体制のモデル ケースとなることを祈る。これらのマルウェア感染を確認された場合は、US-CERT が駆除ツールを提供している。
https://www.us-cert.gov/ncas/alerts/TA14-150A
また、ドイツインターネット協会のアンチボットネットアドバイザリセンターも フリーサービスを提供しているので参考にしていただきたい。
https://www.botfrei.de/en/index.html

────────────────

◆ 改善が求められる政府機関のインシデントレスポンス(2014.5.30-6.2)

米会計検査院(GAO)によると、「連邦政府の主要24機関においては、サイバー インシデントに対して有効なレスポンスが行われていない状態が継続している」 という。さらに、報告書「Information Security: Agencies Need to Improve Cyber Incident Response Practices」(抄訳:情報セキュリティ: 政府機関に おいて求められるインシデントレスポンスの改善について)では、インシデント 発生時に対応した記録を十分な証跡として残していないと回答した政府機関が、 調査対象の3分の2に上ったと紹介している。報告書の中では、政府機関における サイバーインシデント管理においては、国土安全保障省(DHS)による支援が 求められているほか、連邦政府の各部局は、インシデントの報告に求められる 現実的なタイムフレームを定義することと、インシデント分類の属性が各分野で 一意でないため、これらを見直すようDHSへ求めている。

http://www.govinfosecurity.com/agencies-seek-better-dhs-incident-response-aid-a-6896
http://www.nextgov.com/cybersecurity/2014/05/gao-agencies-cant-always-prove-they-respond-breaches/85537/?oref=ng-channeltopstory
http://www.gao.gov/assets/670/662901.pdf

【編集者メモ】(Northcutt)
GAOの報告書を実際に読んだ方がいい(上記参照)。非常に良い調査であり、 バランスがとれている。報告書で記載されている推奨事項の多くはNISTのSP800-61 の焼き直しとなっており悪くはないのだが、実装における推奨項目は提供されて いないため、下院で示された具体的事項を含む報告書とするには難しいだろう。 有効なインシデントレスポンスかどうかを評価する方法は、20ページから記載 されているが、インシデントレスポンスの評価方法についてての政府機関が同意 するのを待っていたら何十年もかかるだろう。ここに記載されているのは十分に 理にかなっており、進歩状況を測定することはできる。
【編集者メモ】(Honan)
良い報告書だ。また、CERTやCSIRTの参考文献としては、欧州ネットワーク・情報 セキュリティ庁(ENISA)がまとめているも非常に役立つだろう。
http://www.enisa.europa.eu/activities/cert/support

────────────────

◆ OpenSSLで新たな重大問題が発覚(2014.6.5)

OpenSSLプロジェクトから脆弱性6件に対応した更新プログラムがリリースされた。 最も深刻な問題は、中間者攻撃により任意のコードを実行される可能性がある というもの。OpenSSLでは、つい数週間前に暗号ライブラリ内に存在するハート ブリードの脆弱性が報告されたばかりであり、広く普及しているオープンソース ソフトウェアにおけるサポートの対応力不足が話題となったばかりだった。

https://isc.sans.edu/forums/diary/Critical+OpenSSL+Patch+Available+Patch+Now+/18211
https://isc.sans.edu/forums/diary/Updated+OpenSSL+Patch+Presentation/18219
https://isc.sans.edu/forums/diary/More+Details+Regarding+CVE-2014-195+DTLS+arbitrary+code+execution+/18217
http://www.theregister.co.uk/2014/06/05/openssl_bug_batch/
http://www.scmagazine.com/seven-vulnerabilities-addressed-in-openssl-update-one-enables-mitm-attack/article/351323/
http://www.darkreading.com/vulnerabilities---threats/new-openssl-flaw-exposes-ssl-to-man-in-the-middle-attack/d/d-id/1269452?
http://arstechnica.com/security/2014/06/still-reeling-from-heartbleed-openssl-suffers-from-crypto-bypass-flaw/
http://www.zdnet.com/openssl-fixes-another-severe-vulnerability-7000030253/
http://www.wired.com/2014/06/heartbleed-redux-another-gaping-wound-in-ssl-uncovered/

【編集者メモ】(Northcutt)
OpenSSLを使っている皆さま、まずは慌てずに状況を確認しましょう。OpenSSL コミュニティは対応に最善を尽くしていて、それほど深刻な問題にはならない だろうと予想しています。OpenSSL以外を使っている皆さま、他人事とは思わず、 オープンソースソフトウエアの実装について安全性を確認してみてください。 http://bits.blogs.nytimes.com/2014/06/05/new-bug-found-in-widely-used-openssl-encryption/?_php=true&_type=blogs&_r=0
【編集者メモ】(Honan)
ハートブリード問題と今回の脆弱性、そしてTruecryptプロジェクト終了の事実 は、全てのコードが完全ではないということを知らしめた。オープンソースは ソースが公開されるものだが、何万人もの目にさらされているからといって、 全てのバグ(特にセキュリティのバグ)が発見されるということにはならない ことはお分かりになったと思う。OpenSSLのリリースで修正された脆弱性は、 10年以上前から存在していたものだった。自社環境で稼働しているシステムや ソフトウェアのリスク評価は、自社で行わなければならない。さらに、新たに 浮上する問題に適切に対応するためにも脆弱性管理における戦略を確立しておく 必要があるだろう。

────────────────

◆ 英国議会、特定のコンピュータ犯罪について罰則強化を検討(2014.6.4-5)

エリザベス女王は、英国議会の開会式における演説において、コンピュータ誤用に 関する法律(Computer Misuse Act)の改訂を検討すると述べた。具体的には、 コンピュータシステムへの被害に準じた罰則が制定されるというもの。女王による 演説では、通常会期中における施政方針を羅列するのが慣例である。

http://www.govinfosecurity.com/uk-seeks-hacking-life-sentences-a-6913
http://www.theregister.co.uk/2014/06/04/queens_speech_computer_misuse/

────────────────

◆ NIST、政府各局に対して継続監視のガイドラインを公開(2014.6.4)

米国立標準技術研究所(NIST)は、「Supplemental Guidance on Ongoing Auth- orization: Transitioning to Near Real-Time Risk Management」(抄訳:政府 各局の現行許可制度に対する補足文書:準リアルタイム性を考慮したリスク管理 体制への移行について)を公開した。この補足説明書は、情報システムの継続 監視を促進するために公開されたもの。政府機関のCIO(情報最高責任者)や CISO(情報セキュリティ最高責任者)は、新制度への対応に追われている。 2000年に米行政管理予算局(OMB)は、政府各局に対して3年毎にITシステム認定 を受けることを義務化したが、2012年に継続監視が実施されているシステム に対しては、この3年毎の認定を免除する意向を明らかにしていた。

http://www.govinfosecurity.com/authorizing-federal-systems-continuously-a-6912
http://csrc.nist.gov/publications/nistpubs/800-37-rev1/nist_oa_guidance.pdf

【編集者メモ】(Pescatore)
実際に3年毎の認定の免除を受けるには、かなり骨の折れる運用をしなければ ならない。単に監視を実施してデータを保存するだけといった単純なことではない。 対象データに関して、継続的に認定官(Authorizing Official)の審査を受ける こと。そして、対象データは、認定官の審査前に「NIST SP800-53のセキュリティ コントロールCA-7 (1) の継続監視と独立系機関(独立系として認められている エンティティ)により生成され、分析される必要がある」という基準を順守する 必要がある。この手続を考えると、国土安全保障省(DHS)の継続監視サービス といった外部プロバイダを利用しなければ、政府各局へのコスト負担は、3年毎の 認定を受ける方が軽いものとなる。特に、システムが大規模に変更されたり情報 漏えいが発生した場合には、認定を受けていない状態からのステータスになる ため、一からの手続きが必要となる。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「携帯端末の処分方法」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スマートフォンやタブレットなどの携帯端末を処分する際に、どのような
ことに気をつけていますか? あなたが想像するよりも多くの個人情報が
残ったままになっているかもしれません。
今月号では、スマートフォンやタブレットなどの携帯端末を処分しようと
する際に実施すべき項目や注意事項を一般ユーザ向けに、分かりやすく
解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/resources/newsletters/ouch/2014#june2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 【東京会場】6月24日(火)、8月22日(金)、9月25日(木)
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06
 【大阪会場】7月17日(木)
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=07

○7月10日(木)
 標的型攻撃対策セミナー
 ~多層防御によるセキュリティ対策について~
http://www.nri-secure.co.jp/seminar/2014/0710.html?xmid=300&xlinkid=08

○7月23日(水)
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju01.html?xmid=300&xlinkid=09

○7月23日(水)、8月27日(水)、9月18日(木) <※新セッション追加!>
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月25日(水)、10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=11

○6月26日(木)~27日(金)、10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=12

○6月、9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=13

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=14
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます