NRI Secure SANS NewsBites 日本版

Vol.9 No.28 2014年7月15日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.28 2014年7月15日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────────────


■はじめに(Alan Paller:SANS Director of Research)
SANS CDMサミット(継続的診断と監視サミット:8月1日、ワシントンDC、官公庁に 所属する方の参加費は無料)は、昨年と比べて規模を拡張しており、連邦・州・ 地方自治体レベルのセキュリティ担当者は、CDM契約を利用してセキュリティを 改善しFISMA準拠対応のコストを削除する方法を学ぶことができる。米国土安全 保障省(DHS)のCDMプログラムの担当部門も参加し、オープンセッションを開催 する。オープンセッションでは、ジョン・ペスカトーレがモデレータとして自由に 質問できる場を提供する。また、CDM契約経由でサービスを利用しているユーザ から直接話を聞くこともできるし、アラン・パーラーとトニー・セガールも講演 する予定だ。

CDMサミットに興味を持った方は、詳細情報をhttp://www.sans.org/event/continuous-monitoring-workshop-2014 から確認できる。

また、8月19日から20日にかけて、エリック・コール博士の企画によるサイバー ディフェンスサミットが、ナッシュビルで開催される。ここでは、さまざまな 分野のセキュリティ専門家たちが実践における成功例や、具体的な技術について 講演するため、官民のサイバーセキュリティの主要人物が集まるはずだ。セキュリ ティにおける成功の方程式をこの機会に学び、自社に適用していただきたい。

サイバーディフェンスサミットの登録はこちらhttp://www.sans.org/event/cyber-defense-summit


────────────────────────────

■■SANS NewsBites Vol.16 No.054-055
(原版: 2014年7月8日、11日)

────────────────────────────

◆ OracleのJava更新プログラム、Windows XP用は対象外に(2014.7.3-7)

7月15日(火)にリリースされるOracleの四半期ごとのパッチリリースには、 Windows XP上で動作するJavaの修正プログラムは含まれていない。Oracleは Microsoft社がXPのサポート終了した4月8日に、Java for XPのサポートを終了 している。Javaの最新バージョンはJava 8だが、XPはインストール対象外となって いる。XPを継続利用しているユーザは、引き続きJava 7の利用が可能ではあるが、 Oracle社は「自身のリスクで利用する」ように警告している。Java 7のサポートは、 2015年4月に終了する。

http://searchsecurity.techtarget.com/news/2240224016/Oracle-Future-Java-updates-for-Windows-XP-users-may-not-arrive
http://www.zdnet.com/java-support-over-for-windows-xp-7000031226/
http://www.theregister.co.uk/2014/07/04/oracle_winxp_end_of_support/

【編集者メモ】(Honan)
Windows XP上で動作するアプリケーションのソフトウェアベンダとして、XP対応の 更新プログラムを提供しないのは、Oracle社が初めてとなる。自社の脆弱性管理 プログラムにおいて、XPシステムがなくなるまでどのように脆弱性対策が可能かを 再検討していただきたい。

────────────────

◆ Internet of Things (IoT):スマート電球のWi-Fiパスワードが漏えい(2014.7.7)

コンセプト実証で、インターネット接続されたLED電球を悪用して、Wi-Fi接続 された電球管理ネットワークへ不正アクセスが可能であると実証された。この問題 を利用して攻撃者は、対象デバイスを悪用してネットワークパスワードの取得が 可能になるというものであったが、悪用するには、攻撃対象デバイスの30メートル 圏内にいる必要がある。LIFXスマート電球は、iOSやAndroidデバイスを利用して 操作できる製品。LIFX社は本問題を認識しており、早々にファームウェアを更新 するプログラムをリリースしている。

http://www.cnet.com/news/hackers-discover-security-weaknesses-within-the-lifx-smart-led/
http://arstechnica.com/security/2014/07/crypto-weakness-in-smart-led-lightbulbs-exposes-wi-fi-passwords/
http://www.theregister.co.uk/2014/07/07/wifi_enabled_led_light_bulb_is_hackable_shocker/

【編集者メモ】(Pescatore)
SANS 2013で、「IoTを安全にするサミット」が開催され、Nitesh Dhanjaniにより スマート電球とWi-Fi機能を使ったベビーモニターをリモートからハッキングする 方法がデモされた。それ以来、IoTへの注目が高まっている。1920年の自動車産業 では、車両盗難を防ぐためにドアロックが有効であることが認識されたが、その際 政府機関などが、自動車メーカーに通達する必要性はなかった。ドアロックがよい 機能であり、販売を自然と促進したからだ。IoTコンソーシアムも同様の動きが生起 するようなアプローチをとるべきだろう。
【編集者メモ】(Assante)
最近になって、利用者からの要望によってファームウエアのダウンロード時に ファイルの完全性を確認する機能などが追加されてきたが、元来組み込み系の セキュリティは、産業デバイスを開発保守している企業に対してさまざまな課題を 投げかけている。今回のようなリスクがあったとしても、購買者行動に大きな 影響を与えはしないことが問題であって、電球が自宅やオフィスビルの脆弱性と なっているのは、総合的に考えてセキュリティが欠如しているということを指摘 しなければならない。
【編集者メモ】(Murray)
「暗号化は思ったより難しい」が、不可能というほど難しいわけではない。しかし 残念なことに、このような「モノ」の大半は、必要なスキルや知識が不十分な 個人、あるいはグループによってプログラムされている。

────────────────

◆ ロシアで国民のデータをロシア国内に保存する法律が提案される(2014.7.4)

ロシア議会は、インターネット企業に対してロシア国民のデータをロシア国内に 格納することを義務付ける法案を通過させた。法案の目的は国民のデータを保護 するためだが、FacebookやTwitterといったソーシャルメディアの利用を制限する ことを目的としているのは明らかだ。法案は、ロシア議会の上院を通過して大統領 により承認された後、法制化される見込み。2016年9月に施行されることになるが、 同法律によりロシア政府は、法に準拠しないWebサイトのブロックが可能になると いう。

http://www.bbc.com/news/world-europe-28173513


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「電子メール利用時の注意事項」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
電子メールを利用する際に、オートコンプリートはとても便利な機能ですが、
注意深く使わないと、思わぬところから情報漏えいが発生します。また、CC
やBCCでメールを送ったり、メーリングリストに投稿する際にも、誰に対して
返信をするのかを確認しなければ、予期しないトラブルに巻き込まれるかも
しれません。今月号では、電子メールを利用する際に注意すべき項目や注意
事項を一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツール
としてお使いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#july2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 米連邦政府の保全許可情報データベースへ不正アクセス(2014.7.9-10)

米高官は、人事管理局のデータベースが、中国からの侵入者と思われる何者かに 不正アクセスされていたと公表した。データベースには、現在までにトップレベル の保全許可証を申請したことがある職員の情報が含まれていた。不正アクセスの 確認後に、データベースへのアクセスはすぐに遮断されたが、米国土安全保障省 (DHS)の担当者は、緊急レスポンスチームにより、調査を行いリスクの特定と 対策を行う」ことを明らかにした。

http://www.nytimes.com/2014/07/10/world/asia/chinese-hackers-pursue-key-data-on-us-workers.html?module=Search&mabReward=relbias%3Aw%2C%7B%221%22%3A%22RI%3A10%22%7D

────────────────

◆ ノルウェイの銀行、航空会社、保険会社に対する同時サイバー攻撃(2014.7.9)
7月7日の週の初めに、民間企業の決済システムサイトへの攻撃が確認された。 対象となったのは、DNB、Danske、Nordea、航空会社や保険会社と多岐にわたる。 攻撃自体の規模はそれほど大きくないが、特徴としてはノルウェイ国内の数多くの 企業が同時に攻撃されたことにある。本件に関しては、アノニマスに関係している グループが犯行声明を出している。

http://www.digitaljournal.com/internet/anonymous-norway-claim-massive-cyber-attack-on-norwegian-banks/article/389030
http://www.presstv.ir/detail/2014/07/10/370682/cyber-attack-strikes-norway-institutions/

【編集者メモ】(Honan)
ノルウェイ警察は、今回の事件で17歳の少年を逮捕した。
http://news.softpedia.com/news/17-Year-Old-Behind-Norway-DDoS-Attacks-this-Week-450391.shtml
────────────────

◆ Code Spacesサービスへの攻撃、クラウドサービスにおける2要素認証の必要性が明らかに(2014.7.8)

Amazon WebサービスのCode Servicesのコントロールパネルが攻撃を受け、コード ホスティングプロバイダーを閉鎖せざるを得なくなった。これにより、クラウド サービスに依存する企業は、自社を守る方法を考え直す必要がある。またCode Spacesへの攻撃から、複数のセキュリティ上の課題が提示されている。まず、 企業のクラウド環境において、シングルユーザに全責任を任せてはならない。 次に、企業は単一のクラウドサービスに依存するべきではない。さらに、事業 継続計画は、事故が起こる前に検討されているべきである。最後に、クラウド サービスを利用する企業は複数の要素認証を使うべきである。

http://searchsecurity.techtarget.com/news/2240224102/Multifactor-authentication-key-to-cloud-security-success

【編集者メモ】(Pescatore)
リモートアクセス環境において、一般的に推奨される事項は「ユーザが再利用可能 なパスワードに依存しないこと」である。クラウドはリモートアクセスの一例に すぎない。一般消費者には既に理解されているようだが、。一般的な2要素認証は すでに採用されている。たとえば、特定サイトへのアクセスの際に必要なコードを 送る手段としてモバイル機器へのショートメッセージなどがある。このように、 2要素認証は、企業よりも個人で普及している現状を踏まえると、認証において ユーザがパスワード以外の利用を拒むだろうという企業の勝手な思い込みは捨てる 時が来たのだ。2要素認証の採用で、全てを解決できるわけではないが、良策を ただ待っているよりは良い対処であると考える。良策をただ待つだけでは、容易に 防げるはずの問題が多発する結果となるだろう。
【編集者メモ】(Murray)
マルチ要素認証は無理でも、強固で再生不能な認証を使うべきだ。eBayのような 事件が別の組織で起きるのは時間の問題だと思う。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月23日(水)、8月27日(水)、9月18日(木)    <※新セッション追加!>
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=07

○7月23日(水)
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju01.html?xmid=300&xlinkid=08

○7月28日(月)
 情報セキュリティ人材育成セミナー
 ~CISSP、SANS、新研修コースのご紹介~
http://www.nri-secure.co.jp/seminar/2014/isc02.html?xmid=300&xlinkid=09

○7月29日(火)
 モバイル・ソリューションセミナー
 ~BYOD導入によるスマートデバイスの活用~
http://www.nri-secure.co.jp/seminar/2014/0729.html?xmid=300&xlinkid=10

○8月6日(水)                 <ご好評につき追加開催!>
 サイバーセキュリティ2014夏:独自分析レポートが示すセキュリティ攻防最前線
 ~問われる対応力と準備力、サイバー攻撃から組織を守れ!~
http://www.nri-secure.co.jp/seminar/2014/0806.html?xmid=300&xlinkid=11

○8月22日(金)、9月25日(木)【東京会場】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18
────────────────

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます