NRI Secure SANS NewsBites 日本版

Vol.9 No.27 2014年7月8日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.27 2014年7月8日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────────────


■はじめに(Alan Paller:SANS Director of Research)

ウォールストリートジャーナル紙が先日報じたところによると、企業の取締役たち は、サイバーセキュリティについて真剣に考えるようになったという。 「やっと!」と言ったところだが、セキュリティ担当にとっては、良い話でもあり 怖い話でもある。つまり役員の質問に答え、解決策や進行状況を逐一報告する必要 がでてくる。この問題に興味を持ってくれている今こそ、フォレンジックのほか、 インシデント対応、ペネトレーションテスト、モバイル、ワイヤレス、産業用 システム系セキュリティといったより高度なレベルの知識やスキルを再確認すべき 時だろう。SANSの認定プログラムは、さまざまな州において高い評価を得るように なり、学位を取得できるプログラムから大学院レベル(インシデントレスポンスと ペネトレーションテストで3~4コース)の認定、個別のコースなどが、受講料の 払い戻しを受けることができるプログラムの対象となっている。このプログラムに ついての詳細は、www.sans.edu/admissionsを参照していただきたい。
(注:ドメインは.orgではなく.eduであることに注意)


────────────────────────────

■■SANS NewsBites Vol.16 No.051
(原版: 2014年7月1日)

────────────────────────────

◆ 企業経営層がサイバーセキュリティ問題に注目(2014.6.30)

米主要企業の経営層が、サイバーセキュリティ問題に真剣に取り組み始めた。 2012年、ケロッグ社は、企業秘密などの盗難を防止するために、最高セキュリティ 責任者(CISO)を初めて雇用し、セキュリティ専任グループを設置した。他にも、 サイバーセキュリティ報告会を始めた企業や、不審なメールに対する社員の警戒 レベルをテストする企業も出てきている。デルタ航空では「情報セキュリティ技術 分野に関する十分な知識」を持った専門家を取締役会に迎えることを決定した (WSJの記事を読むには、購読契約が必要です。)。

http://online.wsj.com/articles/boards-race-to-bolster-cybersecurity-1404086146

【編集者メモ】(Henry)
NACD(National Association of Corporate Directors:企業取締役協会)が行って きた活動の効果がでてきたようだ。NACDは、多くのカンファレンスや意識啓発の プログラムを提供し、実際に取締役会に参加して全役員と直接対話を行なってきた。 私も、NACDの活動に多数参加してきたが、活動の焦点は、不正アクセスが発生した 場合に考慮すべきリスクや、会社、クライアント、株主に対する取締役の責任に ついての説明だった。個人的な意見ではあるが、重要なのは、取締役の具体的な 役割ではなく、リスクを理解することであり、技術的な専門知識が必ずしも求め られているのではない。サイバーセキュリティのリスクも、事業活動を行う上で 考慮されるべき他のリスクと同じである。取締役たちがリスクの重要性さえ理解 すれば、適切な方向に動くと信じている。
【編集者メモ】(Ullrich)
最近では、多くの企業が、「データ重視」型の経営をしている。つまり、データ 処理と分析により事業活動の成功度合いを測り、重要な決定を行っている。Cレベル (CEO、COO、CFO、CIOなど)のビジネス決定プロセスにおいて、弁護士や会計士の 意見が参考にされるのと同様に、データ保護部門からの意見も参考とされるように しなければならない。 【編集者メモ】(Honan)
役員や監査委員会が、情報セキュリティに対して関心を持つようになってきた。 これは大きな変化で、上級役員が情報セキュリティは技術的問題ではなくビジネス の問題であるということを理解するようになってきたということだろう。上級役員 は、事業活動における課題の一部としてセキュリティ問題を考えるべきである。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「電子メール利用時の注意事項」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
電子メールを利用する際に、オートコンプリートはとても便利な機能ですが、
注意深く使わないと、思わぬところから情報漏えいが発生します。また、CC
やBCCでメールを送ったり、メーリングリストに投稿する際にも、誰に対して
返信をするのかを確認しなければ、予期しないトラブルに巻き込まれるかも
しれません。今月号では、電子メールを利用する際に注意すべき項目や注意
事項を一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツール
としてお使いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#july2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ Microsoft社がNo-IP.comドメインを制御し、正規サーバが影響を受ける(2014.6.30)

Microsoft社がNo-IP.comの22個のドメインについて情報を入手した目的は、犯罪 活動を停止させるためだった。制御対象となったドメインは、Windowsユーザへの 攻撃に利用されていたという。Microsoft社は、対象ドメインの管理者権限取得を 許可するする裁判所命令を受けていた。しかしながら、停止させたドメインの中 には、動的DNSサービスを利用している一般サーバも存在していた。

http://arstechnica.com/security/2014/06/millions-of-dymanic-dns-users-suffer-after-microsoft-seizes-no-ip-domains/
【編集者メモ】(Ullrich)
Microsoft社の今回の行為は少し行き過ぎだったようだ。No-IPは違法活動サイト だけでなく、合法なビジネスサイトも多数ホスティングしている。Microsoft社は、 悪意のあるドメインを制御する前に、合法サイトへの連絡を怠ったのだ。さらに、 Microsoft社は裁判所命令を取得する際に、No-IPの合法サイトのサービス維持に 課題があると考えていたようだ。これは、多くの合法サイトが違法活動に悪用 されているからだ。悪用されていても、明確な「SLA」は存在してない。例えば、 Amazon社のクラウドサービスは現在最大のマルウェアホスティングサイトとなって いるし、Microsoft社のAzureクラウドも過去に悪意のある活動をホスティングして いたことで知られている(Dropboxを悪意ある活動のプラットフォームにしている というニュース記事も参照していただきたい)。
【編集者メモ】(Honan)
本件に関して、No-IPの公式ブログで以下のように答えている。
https://www.noip.com/blog/2014/06/30/ips-formal-statement-microsoft-takedown/
Microsoft社は、ネットワークにおける違法活動について、No-IPの悪用対策チーム へ対応するよう報告する努力をしたわけではない。なぜなら、巨大な法務部門を 抱える大企業が、悪用可能な環境に不満があることを申し立て、米裁判所がその 申し立てを支持して、他社の摘発が行われていけば、インターネットで利用できる サービスはなくなるだろう。これ以外にも、ネットワークの悪用に対処する仕組み は、既に確立されている。例えば、CERTや他の信頼できるネットワークなどを利用 することなどである。今回のように、無害のビジネスやユーザが一方的に迷惑を 被ることなく、Microsoft社の要望を満たすような対処方法を、セキュリティ コミュニティは検討し、確立すべきだろう。

────────────────

◆ オンラインバンキングの送金取引を攻撃するマルウェア(2014.6.27-30)

Emotetという名前で知られているマルウェアがオンラインバンキングの利用者を 攻撃している。Emotetは請求書や銀行の送金通知を装い、メールの本文中に記載 されたリンクを巧妙に誘導してクリックさせることによる拡散範囲を拡大させて いる。利用者がスパムメッセージ内のリンクをクリックするとコンピュータは マルウェアに感染するというものだ。一度感染するとこのマルウェアは、攻撃対象 にある金融機関特有のファイルをダウンロードし、ネットワークトラフィックを 傍受して記録するという。

http://www.scmagazine.com/emotet-banking-malware-captures-data-sent-over-secured
https-connections/article/358586/
http://www.computerworld.com/s/article/9249458/New_malware_program_targets_banking_data?taxonomyId=17
Trend Microのブログ: http://blog.trendmicro.com/trendlabs-security-intelligence/new-banking-malware-uses-network-sniffing-for-data-theft/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月17日(木)【大阪会場】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=06

○7月23日(水)、8月27日(水)、9月18日(木)    <※新セッション追加!>
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=07

○7月23日(水)
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju01.html?xmid=300&xlinkid=08

○7月28日(月)
 情報セキュリティ人材育成セミナー
 ~CISSP、SANS、新研修コースのご紹介~
http://www.nri-secure.co.jp/seminar/2014/isc02.html?xmid=300&xlinkid=09

○7月29日(火)
 モバイル・ソリューションセミナー
 ~BYOD導入によるスマートデバイスの活用~
http://www.nri-secure.co.jp/seminar/2014/0729.html?xmid=300&xlinkid=10

○8月6日(水)                 <ご好評につき追加開催!>
 サイバーセキュリティ2014夏:独自分析レポートが示すセキュリティ攻防最前線
 ~問われる対応力と準備力、サイバー攻撃から組織を守れ!~
http://www.nri-secure.co.jp/seminar/2014/0806.html?xmid=300&xlinkid=11

○8月22日(金)、9月25日(木)【東京会場】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18
────────────────


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます