NRI Secure SANS NewsBites 日本版

Vol.9 No.26 2014年7月1日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.26 2014年7月1日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────────────


■はじめに(Alan Paller:SANS Director of Research)
今週の最初の記事は、ブライアン・クレブのブログから引用して、今後を変える ほど重要な出来事を取り上げている。それは、銀行の法人顧客を守るために保険 会社が不正送金の賠償に同意したというものだ。これまで銀行が損害を賠償して きた中に、法人顧客は含まれていなかった。しかしながら、銀行のCEOが発した 辛口の意見も無視はできない。


────────────────────────────

■■SANS NewsBites Vol.16 No.050-051
(原版: 2014年6月24日、27日)

────────────────────────────

◆ 不正送金損害賠償事件、カリフォルニア州の会社に有利な和解条件で合意 (2014.6.20)

カリフォルニア州の石油会社の口座からウクライナの口座に不正送金された件で、 保険会社は損害金額約350万ドルを支払うことで合意した。これは、TRC Operating Co. Incは、同社の取引銀行であるUnited Security Bank(ユナイティッドセキュ リティバンク)に対して、不正送金を防ぐために十分なセキュリティ対策を実施 していなかったとして申し立てをしていたというもの。十数回も行われた不正送金 の試みに対して、銀行側は大半を防ぐことができたが、29.9万ドルの不正送金を 唯一防ぐことができなかった。銀行の保険会社は、裁判になる前に、この不正送金 の損賠賠償として35万ドルをTRCに支払うことで合意していたが、TRCも銀行側も お互いに一切の非を認めておらず、銀行の創始者である経営最高責任者は、攻撃は TRCシステムで発生しており、銀行のシステムは関係ないとしていた。さらに、 本件が裁判にならなかったことを残念だと感じているようだ。

http://krebsonsecurity.com/2014/06/oil-co-wins-350000-cyberheist-settlement/

【編集者メモ】(Murray)
コモン・ロー(慣習法)によると、送金処理において適切な承認を確認する責任 は銀行にある。この責任は、コモン・ローの4A条で明記されている。銀行は強固な 認証の仕組みを使うこと、2要素認証は義務づけられてはいないが、承認処理の 再現を防止する必要がある。さらに、例外的な取引の場合には、メールやショート メールを使った確認が必要である。特に法人利用では、確認メールが2か所以上に 送信されるべきだ。「バックオフィス」の仕組みを使って、管理者が取引を承認 するようにすれば、銀行は不正送金による損害を負担する必要はなくなるだろう。

────────────────
◆ ハードブリードのパッチが適用されていないサーバは30万以上(2014.6.23)

Webサーバスキャンの最新情報によると、ハートブリード問題のパッチを適用して いないサーバは、依然として30万台以上存在することが判明している。ハート ブリードの問題は、4月に発見・公開されたもので、公開直後に行われたスキャン では、脆弱性が存在する公開SSLサーバとして61万5千以上のシステムが確認されて いた。1か月後に行われた2回目のスキャンでは、31万8千台へとさらに減少して いたが、6月に3回目のスキャンを行ったところ、2回目と3回目のスキャンを実施 した間にパッチが適用されたサーバは、1万台以下であることが判明した。

http://www.cnet.com/news/heartbleed-still-a-threat-over-300000-servers-remain-exposed/
http://www.computerworld.com/s/article/9249310/Despite_patching_efforts_300K_servers_are_still_vulnerable_to_Heartbleed?taxonomyId=17
http://www.v3.co.uk/v3-uk/news/2351563/heartbleed-flaw-still-a-threat-to-more-than-300-000-servers

────────────────
◆ シンガポール、サイバーセキュリティ人材不足を懸念(2014.6.22)

シンガポールでは、サイバーセキュリティスキルを持つ人材が不足している。最近 シンガポールでは、政府のWebサイトが攻撃を受けたほか、民間企業では顧客情報 漏えい事件が発生している。シンガポールの行政機関である情報通信開発庁は、 サイバーセキュリティトレーニングセンターを設立し、SANSともパートナーシップ を組んでアジア最大のセキュリティトレーニング、SOSを10月に開催する。

SOSの詳細はこちら: http://www.sans.org/event/sos-sans-october-singapore-2014
人材不足の記事はこちら: http://www.bloomberg.com/news/2014-06-22/cybersecurity-skills-shortage-looms-in-singapore-southeast-asia.html

【編集者メモ】(Paller)
SOS(SANSシンガポール2014 10月7日~18日)主なコースは以下のとおり。
FOR526: Memory Forensics In-Depth (新コース)
SEC503: Intrusion Detection In-Depth (GCIA)
ICS410: ICS/SCADA Security Essentials (GICSP)
SEC401: Security Essentials Bootcamp Style (GSEC)
Network Penetration Testing and Ethical Hacking (GPEN)
Advanced Computer Forensic Analysis and Incident Response (GCFA)
Mobile Device Security and Ethical Hacking (GMOB)
8月27日までに登録すれば350米ドルの割引の特典を受けられる。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「電子メール利用時の注意事項」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
電子メールを利用する際に、オートコンプリートはとても便利な機能ですが、
注意深く使わないと、思わぬところから情報漏えいが発生します。また、CC
やBCCでメールを送ったり、メーリングリストに投稿する際にも、誰に対して
返信をするのかを確認しなければ、予期しないトラブルに巻き込まれるかも
しれません。今月号では、電子メールを利用する際に注意すべき項目や注意
事項を一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツール
としてお使いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#july2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ HavexマルウェアがSCADAシステムを攻撃(2014.6.23-26)

F-Secureの報告書によると、攻撃者は産業制御システム(ICS)へ侵入するために、 ICSソフトウェアを販売している会社のWebサイトに不正アクセスし、Havexと 呼ばれるリモートアクセス系トロイの木馬をインストールファイルに仕込んでいた という。それによって、同ICSソフトウェアを利用していた組織や企業は、汚染 されたソフトウェアをダウンロードしたことで、攻撃の足場を構築されていた。 Webサイトへの攻撃が確認されたのは北欧企業3社で、うち2社は遠隔管理ソフト ウェアを提供している。

http://arstechnica.com/security/2014/06/attackers-poison-legitimate-apps-to-infect-sensitive-industrial-control-systems/
http://www.darkreading.com/as-stuxnet-anniversary-approaches-new-scada-attack-is-discovered/d/d-id/1278881?
http://www.computerworld.com/s/article/9249327/New_Havex_malware_variants_target_industrial_control_system_SCADA_users?taxonomyId=17
http://www.theregister.co.uk/2014/06/26/industrial_control_trojan/
http://www.f-secure.com/weblog/archives/00002718.html

【編集者メモ】(Assante)
OPCエクスプロイトモジュールをHavexトロイの木馬に組み込み、ICSサプライ チェーンに関連する企業のWebサイト経由で配信するという攻撃方法は、水飲み場 攻撃であるが、ICSのサイバー脅威においては新しい手法だ。OPCエクスプロイト による影響は2つある。
(1)様々な制御システムにおいてデータ通信に利用されているOPCを攻撃すること によって、攻撃者はさまざまなシステムを攻撃できる。
(2)攻撃者は、接続されているICSデバイスの必要な情報の収集が可能になり、 適切なペイロードを選ぶことができ、その後の攻撃を成功させることができる。

今回のような攻撃が確認されたことで、ICSセキュリティ担当者は、セキュリティ 対策の重要性を再認識するべきだろう。すなわち、セキュリティ対策の改善、 知識の取得、効率的なレスポンス対応体制の確立だ。

【編集者メモ】(Murray)
これは「サプライチェーンマネージメント」の問題であり、SCADAの問題ではない。
【編集者メモ】(McBride)
興味深いのは、マルウェアがOPCクライアントに読み込まれるということだ。OPCは 制御系のプロトコルを標準 のマイクロソフトテクノロジー(標準という表現には 疑問もあるかもしれないが)に「変換」する機能を提供するもので広く利用されて いる。これは「SCADAを利用している」攻撃先を確認するには賢い方法だ。今後 SCADA/ICSに特化した機能を備えるマルウェアが増えるだろう。

────────────────
◆ ドイツ政府、ベライゾン社と契約更新せず(2014.6.26)

ドイツ政府は、ベライゾン社が米国情報機関に対して通信傍受を容認している 可能性があるとして同社との契約を終了する予定だ。総務省広報官によると、 ドイツ政府のネットワークに関して完全に把握できる状態を求めているという。 ベライゾンとの契約は2015年に終了予定になっている。

http://www.theregister.co.uk/2014/06/26/germany_boots_verizon/
http://www.zdnet.com/germany-ends-verizon-contract-7000030988/

【編集者メモ】(Pescatore)
これはドイツだけに限ったことではない。一方で、ドイツテレコムがベライゾンと 比較して隠し事が少ないという保証もない。貿易問題や保護政策なども、時代の 流れには逆らえない状況であるが、短期的にはデメリットが発生することもまた 事実である。
【編集者メモ】(Honan)
エドワード・スノーデンによる米国政府の監視行為に関する情報のリークによる 影響が表面化するのはまだこれからだ。ベライゾンは「米国政府が米国外のデータ センターに保存されている顧客データの取得を強要できないし、要請があっても 裁判所に申し立てを行う」とコメントした。一方、マイクロソフト社はダブリンの データセンターに保存されているデータ受け渡しの要請に対して、現在裁判所へ 申し立てを行っている
http://www.zdnet.com/apple-cisco-back-microsoft-in-fight-against-global-email-warrant-7000030562/
この申し立ての結果は、米国のIT産業(特にクラウドサービスプロバイダ)に 大きな影響を与えるだろう。
【編集者メモ】(Murray)
AT&Tもベライゾンも、多国籍企業が認識すべきリスクを、事件から学んだ。戦争 状態は例外として、事業活動を行っている国に対する義務は、本国への義務よりも 優先されるということだ。国により独占権が与えられた時代に、米国政府の要請に 対して容易に応じるのが慣例になっているようだが、今となってはその考えは 適切ではない。

────────────────
◆米最高裁判所、携帯電話捜査に令状取得を義務付け(2014.6.25)

米最高裁判所は、司法当局が容疑者の携帯電話を捜査する際に令状取得を義務 付ける決定を下した。ただし、今回の決定では緊急事態における例外が認められて いる。例えば、爆弾脅迫や子供の拉致・誘拐事件などだ。今回の判決により、 マサチューセッツ州とカリフォルニア州で発生した2件の事件に下された有罪の 判決が覆されることになる。

http://www.wired.com/2014/06/supreme-court-rules-cops-cant-search-cell-phones-without-a-warrant/
http://arstechnica.com/tech-policy/2014/06/cops-must-have-a-warrant-to-search-cell-phones-rules-supreme-court/
http://www.bbc.com/news/world-us-canada-28022785

【編集者メモ】(Pescatore)
今回の判決は、過去の判例とも米国民の一般常識とも一致している。合法的な 捜査や押収活動において問題にはならない。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月4日(金)
 PC・ネットワークの管理・活用を考える会 大会 2014
 ~どう対処する!回避不能な「サポート切れ」リスク~
http://www.nri-secure.co.jp/seminar/2014/pcnw.html?xmid=300&xlinkid=07

○7月10日(木)
 標的型攻撃対策セミナー
 ~多層防御によるセキュリティ対策について~
http://www.nri-secure.co.jp/seminar/2014/0710.html?xmid=300&xlinkid=08

○7月17日(木)【大阪会場】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=10

○7月23日(水)、8月27日(水)、9月18日(木) <※新セッション追加!>
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=12

○7月23日(水)
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju01.html?xmid=300&xlinkid=11

○7月28日(月)
 情報セキュリティ人材育成セミナー
 ~CISSP、SANS、新研修コースのご紹介~
http://www.nri-secure.co.jp/seminar/2014/isc02.html?xmid=300&xlinkid=13

○8月22日(金)、9月25日(木)【東京会場】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18
────────────────



NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます