NRI Secure SANS NewsBites 日本版

Vol.9 No.24 2014年6月18日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.24 2014年6月18日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────────────



────────────────────────────

■■SANS NewsBites Vol.16 No.046-047
(原版: 2014年6月10日、13日)

────────────────────────────

◆ Vodafoneのデータへ無制限アクセスが許可されている国の存在が明らかに(2014.6.6)

世界的な通信会社であるVodafoneが先週透明性レポートを公開した。そのレポート によると、数か国の政府機関は、同社ネットワークを経由する通信内容へ直接アク セスすることが許可されていると言う。多くの国では、司法当局が通信内容にアク セスする際に令状が必要となるが、これら6か国については、各国の司法当局が (令状なしに)データへの直接アクセス可能な状態となっている。Vodafoneが レポート対象の12か月間にデータ提供要請を受けたのは29か国となっているが、 国によっては検閲活動の開示行為自体が法的に禁止されており、国別の詳細は 明らかにされていない。

http://www.wired.com/2014/06/vodafone-transparency-report/
http://www.bbc.com/news/business-27732743
http://www.nbcnews.com/tech/security/vodafone-report-details-extent-government-snooping-n124996

────────────────

◆ FAA、ボーイング社へ737型機のサイバーセキュリティ対策の追加を命令(2014.6.6)

米連邦航空局(FAA)は、航空機メーカーのボーイング社に、最新モデル737型機に 対してサイバー攻撃対策を強化する技術を追加するように命令した。特に「航空機 に搭載されている乗客サービス用のコンピュータシステムとデータネットワーク システム」と呼ばれる新機能について懸念を示している。この新機能は、航空機の 安全性維持を確保する上で必要となるデータ、システム、ネットワークに対して、 想定される、または想定外の破壊、劣化、または搾取される可能性がある」と指摘 している。ボーイングの広報担当は、指摘された懸念事項について同社はすでに 対応済みであると回答している。

http://www.usatoday.com/story/news/nation/2014/06/06/faa-boeing-737/10066247/
http://www.bizjournals.com/wichita/blog/2014/06/faa-tells-boeing-to-guard-against-737-hacks.html
https://www.federalregister.gov/articles/2014/06/06/2014-13245/special-conditions-the-boeing-company-models-737-700--700c--800--900er--7--8-and--9-series-airplanes

────────────────

◆ カナダの10代少年がATM脆弱性を指摘、銀行より感謝される(2014.6.8-9)

カナダの中学3年生である2名の少年は、インターネット上でATM装置のオペレータ 用マニュアルを見つけ、学校の昼休みに、スーパーマーケットに設置されている ATMで、このマニュアルの情報に基づいて操作し、一般的なデフォルトパスワードが ATMで使われていることを発見した。少年たちは、すぐに地元のモントリオール銀行 の支店を訪問して伝えたが、最初に対応した銀行員は、少年から聞かされた内容を 信じなかった。すると、少年2名は銀行員に許可を得てATMに戻り、証拠を取得して から印刷し提出した。その文書を確認した銀行員は、通報内容が真実であることを 理解したという。銀行責任者は、「当銀行のセキュリティ問題の支援作業のため 学校に遅刻した」という遅延証明書を少年たちの学校へ送った。

http://arstechnica.com/security/2014/06/kids-with-operators-manual-alert-bank-officials-we-hacked-your-atm/
http://www.torontosun.com/2014/06/08/two-14-year-old-code-crackers-hack-winnipeg-atm
http://www.huffingtonpost.ca/2014/06/09/bmo-atm-hacked_n_5473217.html

────────────────

◆ FCCが民間企業に対しサイバーセキュリティ対策の強化を要請(2014.6.12)

米連邦通信委員会(FCC)会長は、民間企業に対しセキュリティフレームワーク導入 に向けて一層の努力をする必要があると発言した。ウィーラー氏は、「サイバー リスク対策を実施する責任と市場への説明責任を果たすには、ネットワークエコ システムがより進化しなければならない」と述べた。明確な改善点が無い場合、 政府による規制導入の可能性もあると示唆した。FCCの予定では、2011年に公開 された推奨フレームワークの導入状況や、フレームワークの有効性について調査を 行うと共に、民間企業がサイバー脅威の情報共有をしやすいように、別の方法も 検討するとしている。

http://www.computerworld.com/s/article/9249061/FCC_to_push_network_providers_on_cybersecurity?taxonomyId=17
http://fedscoop.com/fcc-chairman-issues-bold-vision-improving-cybersecurity/
http://www.washingtonpost.com/blogs/the-switch/wp/2014/06/12/fcc-chair-telecom-companies-must-do-more-to-defend-against-hackers/

【編集者メモ】(Pescatore)
2011年に推奨された「任意の行動規範」は、よく知られている脅威をISP事業者 レベルで削減するために取りまとめられたものだ。個人的には、FCCがISP事業者の 対応履歴を記録しておくべきだったと思う。この取組による改善点はほぼ「皆無」 であり、毎年3月に通信セキュリティ・信頼性・相互運用性協議会(CSRIC)の ワーキンググループによる報告書が増えただけだ。ストリーミング速度を改善する Netflixとの追加費用交渉では、キャリア側が驚くほどの短時間に対応したが、 月額契約のISP利用客に対する脅威を削減する取組は、牛歩のごとく遅々として 進まない。
【編集者メモ】(Murray)
会長の指摘事項は当然と言える。セキュリティレベルについては、安価な対策を 有効にするだけで対応できるはずの必要最低限のレベルにも達していない。民間 企業のセキュリティに対する考え方を変える時期に来ているだろう。すべきことは わかっているのに、一歩も踏み出せていない。挑発となるような何かがなければ 動かないのかもしれない。

────────────────

◆ PF Chang'sがデータ流出の調査(2014.6.10-12)

米レストランチェーンのPF Chang's社は、同社顧客の支払いカードデータ情報に 対して正アクセスが発生したため、司法当局に通報したこと明らかにした。数日前 に、最近流出が確認されたものとして、数千件のクレジットカード番号と関連情報 がブラックマーケットで流通しているのが確認されている。対象のクレジット カードは、複数の地域で利用されているため、Target社やSally Beauty社と 同様に、同社のPOSネットワークが狙われたものであると考えられている。

http://krebsonsecurity.com/2014/06/banks-credit-card-breach-at-p-f-changs/
http://www.govinfosecurity.com/pf-changs-breach-link-to-target-a-6943
https://isc.sans.edu/forums/diary/A+welcomed+response+PF+Chang+s/18259

【編集者メモ】(Pescatore)
レストランチェーンは、最近の攻撃トレンドの2つを象徴している。
(1)POSシステムを狙った攻撃
(2)チェーン店で共通に利用されているソフトウェアを狙った攻撃

────────────────

◆英国の銀行、サイバーセキュリティの新フレームワークを検証(2014.6.10)

イギリス銀行が開始した新しい脆弱性検査フレームワークCBESTでは、「金融機関 の重要システムに対して、管理されていて事前に準備された、インテリジェンス 主導のペネトレーションテスト」を行う。ペネトレーションテストのカスタマイズ は、政府やセキュリティ会社が収集した情報を基にして行われる。金融機関は、 セキュリティの弱い箇所を強化するために専門家の意見を取り入れることができる。

http://www.theregister.co.uk/2014/06/10/bank_of_england_plans_cyber_assaults_on_nations_financial_institutions/
http://www.telegraph.co.uk/finance/newsbysector/banksandfinance/10888750/Bank-of-England-launches-cyber-crime-unit.html
http://www.bankofengland.co.uk/financialstability/fsc/Documents/anintroductiontocbest.pdf
http://www.bankofengland.co.uk/financialstability/fsc/Pages/cbest.aspx
http://www.bankofengland.co.uk/financialstability/fsc/Documents/cbestimplementationguide.pdf

【編集者メモ】(Pescatore)
一般に「ペネトレーションテスト」と呼ばれるサービスに対して、難易度を高める のは良いことであるが、提案されている内容の中には、「監査」と同様に取り組む べき事項として、組織的体制や文書化が求められている。特に金融機関では、標準 フォーマットからコピーしてページ数を増したような監査結果が作成されても、 セキュリティを強化することにはならない。価値のあるペネトレーションテスト とは、より事前の準備を行うことであり、その場限りのテストをすることではない。
【編集者メモ】(Henry)
ペネトレーションテスト実施者が、敵の攻撃方法を想定し、ネットワーク境界を 検査するだけではないというのは新しい考えだ。高度な攻撃の防止策を検討して いるなら、「想定する敵」に対する防護対策とインシデントレスポンス対応の能力 を検査するといい(貴社の信頼できるベンダと調整した上で実施してほしい)。
【編集者メモ】(Murray)
ペネトレーションテストで確認するのは、不正な金融取引が行われるとか、役員や 特定の社員の管理不足を指摘するものではない。システムやネットワークの脆弱性 に対応するという点において、銀行は他業界よりも進んでいるが、顧客と社員の 脆弱性対応に関しては遅れているのだ。

────────────────

◆ CrowdStrike社が、新しい中国のスパイ活動グループを発見(2014.6.9)

セキュリティ会社CrowdStrike社の共同創始者であるジョージ・カーツ氏(George Kurtz)は、米国企業から情報を窃取した罪で中国人民解放軍の将校5名が起訴 されたのは「氷山の一角に過ぎない」と述べた上で、欧州、日本、米国の政府、 防衛産業、研究所、テクノロジー企業などから情報を窃取している中国のスパイ グループが発見されたことを公表した。発見されたグループは過去7年間にわたり ネットワークに侵入していたという。企業名は明らかにされていないが、被害に あった企業の社員には、業界カンファレンスへの招待状がPDFファイルで送信 されていた。このPDFは、コンピュータをマルウェアに感染させて社内ネット ワークのコンピュータにアクセスし、そこからネットワーク全体にワームを拡散 していたという。米インテリジェンス当局の現および元職員によると、当局が 現在追跡している中国のスパイグループは、現時点で20個に及んでいると言う。

http://resources.crowdstrike.com/putterpanda/
http://www.nytimes.com/2014/06/10/technology/private-report-further-detai - ls-chinese-cyberattacks.html?smid=tw-share&_r=1


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「携帯端末の処分方法」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スマートフォンやタブレットなどの携帯端末を処分する際に、どのような
ことに気をつけていますか? あなたが想像するよりも多くの個人情報が
残ったままになっているかもしれません。
今月号では、スマートフォンやタブレットなどの携帯端末を処分しようと
する際に実施すべき項目や注意事項を一般ユーザ向けに、分かりやすく
解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/resources/newsletters/ouch/2014#june2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月24日(火)、8月22日(金)、9月25日(木)【東京会場】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○7月4日(金)
 PC・ネットワークの管理・活用を考える会 大会 2014
 ~どう対処する!回避不能な「サポート切れ」リスク~

http://www.nri-secure.co.jp/seminar/2014/pcnw.html?xmid=300&xlinkid=07
○7月10日(木)
 標的型攻撃対策セミナー
 ~多層防御によるセキュリティ対策について~
http://www.nri-secure.co.jp/seminar/2014/0710.html?xmid=300&xlinkid=08

○7月17日(木)
 サイバーセキュリティ2014夏:独自分析レポートが示すセキュリティ攻防最前線
 ~問われる対応力と準備力、サイバー攻撃から組織を守れ!~
http://www.nri-secure.co.jp/seminar/2014/0717.html?xmid=300&xlinkid=09

○7月17日(木)【大阪会場】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=10

○7月23日(水)
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju01.html?xmid=300&xlinkid=11

○7月23日(水)、8月27日(水)、9月18日(木) <※新セッション追加!>
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=12


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月25日(水)、10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○6月26日(木)~27日(金)、10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○6月、9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます