NRI Secure SANS NewsBites 日本版

Vol.9 No.25 2014年6月24日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.25 2014年6月24日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────────────


■はじめに(Alan Paller:SANS Director of Research)
48号には、面白い記事が2件ある。1件目はCIOの組織的な位置づけ(Target社の ニュース)と、インテリジェンスに帰属する情報の公開と脆弱性削減(中国の スパイ活動に関するニュース)だ。

明日開催されるオンラインキャリアフェアでは、7州で開催されたCyberAces大会 で発掘された人材や、すでにプロとして活躍している経験者など4千名が参加する。 出典するのは、18の優秀な企業や組織(JPMorgan, Citi, NBC, Comcast, CBS, KPMG, Accenture, E&Y, Solutionary, INSCOM, NSAなど)となっている。


────────────────────────────

■■SANS NewsBites Vol.16 No.048-049
(原版: 2014年6月17日、6日20日)

────────────────────────────

◆ 中国スパイ、基幹インフラの脆弱性情報を収集(2014.6.13)

UglyGorillaと名乗る中国人男性が、米国の北西地域のユーティリティ会社に不正 アクセスしたようだ。ユーティリティ会社に対して侵入者は、ユーティリティの 配線図やセキュリティシステムのメモをコピーし、ガスの流量管理システム全体を 探索したという。この男性は、先月米国司法省が起訴した5名のうちの1名で、 来るべきサイバー戦争に備えた偵察活動をしていたようだ。同人物が所属する グループは、SCADAシステムを専門にしていると考えられている。同グループは、 ユーティリティシステムの可用性に影響を与える不具合の調査と、実際に存在する 物理インフラとの関連付けを行っていた。このような戦略は、冷戦時代の核兵器の 備蓄数調査と比較されている。

http://www.bloomberg.com/news/2014-06-13/uglygorilla-hack-of-u-s-utility-exposes-cyberwar-threat.html

【編集者メモ】(Assante)
このニュース記事で十分に伝えられていないのは、米国の現防衛システムは、この ような侵入者の足場作りを停止させるような活動を一切していないことである。 対象システムやネットワーク上では発見ができず、作られた足場を抹消する自信も ない。皮肉なことに、ICSネットワークは企業ネットワークと比べると、特定の 目的と機能に絞られているため、非常に防衛力の高い設計になっている。しかし、 このような設計の利点が十分に活かされず、内部でセキュリティの可視化ができて いないか、あるいは一般通信のベースラインセキュリティが存在しないのだ。 ICSのエンドユーザは、認証情報の管理について再検討し、企業向けネットワーク で採用されている信頼性は低いがアクセスしやすいサービスの導入も考えるべきだ。 ICSの安全性を維持するということは、ICSが想定される範囲で運用されて安定 稼働しているということであり、そのような状態はセキュリティアーキテクチャと 運用手順に依存するものである。彼らがまずすべきことは、リアルタイムの監視 ツールを採用し、エンジニアやセキュリティ担当者に対して運用テクノロジーの 完全性を維持するための知識や方法を再教育することだろう。
【編集者メモ】(Murray)
個人的な憶測だが、このような標的型の活動は、今まで以上に当事者に察知され ないよう密かに目立たない形で行われている。もっと用心深くなることが必要だ。

────────────────

◆ PF Chang’s社が侵害事件を公表、同社の対策はカーボンコピー伝票の使用(2014.6.13)

レストランチェーンを展開するPF Chang’s社(本社アリゾナ州)は、同社の コンピュータシステムが不正アクセスされ顧客の支払いカード情報が流出していた ことを公表した。米シークレットサービスが同社に対してデータ流出が発生して いることを通告したのは6月10日だった。現時点において、不正アクセスされた 経緯は明らかになっていない。同社の電子支払システムが安全であることを確認 するまでの間、同社は暫定的に各レストランでカーボン紙を使った複写式の伝票を 使う対策をとった。同社レストランは、カナダ、メキシコ、南アメリカ、中東諸国 などにも展開されているが、データ漏えいが起きているのはアラスカやハワイを 除く米国に限られているようだ。

https://isc.sans.edu/forums/diary/A+welcomed+response+PF+Chang+s/18259
http://pfchangs.com/security/
http://www.scmagazine.com/pf-changs-investigates-breach-shifts-to-manual-payment-card-imprinting/article/355753/

【編集者メモ】(Murray)
なるほど、PF Chang’s社のクレジットカード番号の追加流出を防止する暫定対策 がこれとは驚きだ。複写式伝票を使えば、流出は防げるかもしれないが、盗難 カードの区別はできない。支払いがネットワーク化される以前のように、ビザや マスターカードが電話帳のようなキャンセルカード一覧を配布する仕組みに戻ると でも思っているのだろうか。セキュリティ対策は、彼らが思っているよりも複雑 で、直観的に対応できるものではない。
【編集者メモ】(Honan)
PF Chang’s社が取った複写式の伝票を使うという暫定対策は非常に興味深い。 不正侵入の調査が進行中であり、システムの安全性を確認する間に取った暫定 対策だ。侵害が発生し、調査時間が必要である場合、インシデントレスポンスを 行う中で、事業継続計画の一環として、一つの事例となるだろう。

────────────────



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「携帯端末の処分方法」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スマートフォンやタブレットなどの携帯端末を処分する際に、どのような
ことに気をつけていますか? あなたが想像するよりも多くの個人情報が
残ったままになっているかもしれません。
今月号では、スマートフォンやタブレットなどの携帯端末を処分しようと
する際に実施すべき項目や注意事項を一般ユーザ向けに、分かりやすく
解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/resources/newsletters/ouch/2014#june2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 不正送金詐欺事件の控訴審は銀行側に有利(2014.6.16)

ミシシッピ州の銀行が不正送金による損害の責任をめぐる裁判で、米第8巡回区 控訴審は、下級裁判所の判決を覆し、銀行に損害賠償の責任はないとする判決を 下した。判決理由として、銀行側がセキュリティ対策として、社員2名による送金 承認を行う仕組みを提供していたにも関わらず、原告であるChoice Escrow and Land Title LLC社は、2重化されたセキュリティ対策を意図的に不採用としていた ことだという。Choice Escrow社は、2010年に1回の不正送金で45万ドル相当の 損失があり、その損害賠償を求めていた。

http://krebsonsecurity.com/2014/06/ruling-raises-stakes-for-cyberheist-victims/
http://krebsonsecurity.com/wp-content/uploads/2014/06/choice-appeal-decision.pdf

────────────────

◆ Windows 7で動作するIE 11のパッチ適用には4月の更新プログラムのインストールが必須(2014.6.15-16)

先週MicrosoftはIE 11のパッチをリリースしたが、2014年4月の更新プログラムを 適用していないWindows 7は対象外となっていた。そのため、更新プログラムの 対象外とされていたユーザは、Microsoftセキュリティ情報MS14-018で提供されて いる修正プログラムを早急に適用する必要がある。

────────────────

◆ PF Chang’s社、9か月以上にわたり侵害されていた(2014.6.18)

PF Chang’s社への不正アクセスは、2013年9月から始まり、2014年6月11日まで 続いていた。不正アクセスされたのは、アラスカとハワイを除く米国内の支払い カードデータであると報告されている。同社の広報は攻撃された日時について、 具体的な情報についての言及をしなかったが、同社の別ブランドであるPei Wei Asian Dinerレストランは影響を受けていないと述べた。

http://krebsonsecurity.com/2014/06/p-f-changs-breach-likely-began-in-sept-2013/

────────────────

◆ 米国の75の空港に対するAPT攻撃(2014.6.19)

インターネットセキュリティセンター(CIS)の2013年度報告書によると、米国内 にある空港の航空システムに対してAPT攻撃によって足場を作成されていたことが 明らかとなった。政府は、4つの空港で確認されたAPT脅威の証拠をCISに提供し、 CISは4つの空港に対してAPT攻撃を受けている可能性があることを通知し、ネット ワークログの提出を求めた。また、8つの空港に対して、APT攻撃があったことを 通知した。明らかになっている攻撃手法としては、公開されているメールアドレス に対してフィッシングメールが送信されたとしている。これを受けてCISは、 全空港に対して照会したところ、75の空港へフィッシングメールが送信されて いたが、大半の空港では当該メールが開かれていなかった。今回の件で実際に 侵入されたのは2つのシステムだが、CISによる支援を受け全て対処されたという。

http://www.nextgov.com/cybersecurity/2014/06/nation-state-sponsored-attackers-hacked-two-airports-report-says/86812/?oref=ng-HPtopstory
CISの報告書 (空港へのAPT攻撃についての記載は25ページ):
http://www.cisecurity.org/about/documents/2013AnnualReportspreads.pdf

────────────────

◆ 英国政府、ソーシャルメディアの投稿は、令状なしで傍受可能(2014.6.17)

英国政府は、Google、Twitter、Facebookなどのソーシャルメディアサイトに投稿 された内容を令状なしで収集することができるという。その理由は、内容が 「外部の通信」と解釈されるため。この事実は、裁判所で採用された英国の安全 保障テロリスト対策室長官の証言と、対テロリスト対策が7月中旬に予定されて いた公聴会前に公開されたことから確認できる。通信種別の違いは、英国捜査 権力規制法(RIPA)の8(1)と8(4)に記載されている。

http://arstechnica.com/tech-policy/2014/06/uk-official-reveals-secret-justification-for-govt-social-media-spying/
http://www.bbc.com/news/technology-27887639
http://www.computerworld.com/s/article/9249158/U.K._allows_British_spies_to_intercept_Google_and_Facebook_traffic?taxonomyId=17
証言原文:
https://www.privacyinternational.org/sites/privacyinternational.org/files/downloads/press-releases/witness_st_of_charles_blandford_farr.pdf



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月4日(金)
 PC・ネットワークの管理・活用を考える会 大会 2014
 ~どう対処する!回避不能な「サポート切れ」リスク~
http://www.nri-secure.co.jp/seminar/2014/pcnw.html?xmid=300&xlinkid=07

○7月10日(木)
 標的型攻撃対策セミナー
 ~多層防御によるセキュリティ対策について~
http://www.nri-secure.co.jp/seminar/2014/0710.html?xmid=300&xlinkid=08

○7月17日(木)
 サイバーセキュリティ2014夏:独自分析レポートが示すセキュリティ攻防最前線
 ~問われる対応力と準備力、サイバー攻撃から組織を守れ!~
http://www.nri-secure.co.jp/seminar/2014/0717.html?xmid=300&xlinkid=09

○7月17日(木)【大阪会場】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=10

○7月23日(水)、8月27日(水)、9月18日(木) <※新セッション追加!>
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=12

○7月23日(水)
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju01.html?xmid=300&xlinkid=11

○7月28日(月)
 情報セキュリティ人材育成セミナー
 ~CISSP、SANS、新研修コースのご紹介~
http://www.nri-secure.co.jp/seminar/2014/isc02.html?xmid=300&xlinkid=13

○8月22日(金)、9月25日(木)【東京会場】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18

────────────────


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます