NRI Secure SANS NewsBites 日本版

Vol.9 No.29 2014年7月22日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.29 2014年7月22日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────────────


────────────────────────────

■■SANS NewsBites Vol.16 No.056-057
(原版: 2014年7月15日、18日)

────────────────────────────

◆ 重要インフラ企業の幹部、侵害事件を認めるもセキュリティは優先課題ではないと回答(2014.7.11)

IT部門またはITセキュリティ部門の役員に対するアンケート調査が、ユニシス社の 協力を得てPonemon Institutes社により実施された。 約600社から得た回答の結果によると、過去12か月に侵害されたことがあると回答 した企業は約三分の二を占めたが、セキュリティが優先課題であると回答したのは 約四分の一にとどまった。また、産業制御システム(ICS)やSCADAネットワークへの 脅威が高まっていると回答したのは約6割と多くを占めたが、実際にICSやSCADAの セキュリティ担当者がいると回答した のは5%にとどまった。その5%のうち、ICSや SCADAのセキュリティ担当が専任であると回答したのが55%、いないと回答したのが 25%という結果となっている。

http://www.scmagazine.com/study-security-not-prioritized-in-critical-infrastructure-though-most-admit-compromise/article/360538/
http://www.unisys.com/unisys/inc/pdf/misc/14-0316.pdf

【編集者メモ】(Murray)
特にエネルギー関係のインフラ提供企業では、インフラ運用で一番重要なのは、 オペレーションミスを防止することであると信じている場合が多い。

────────────────

◆ 米司法省、ボーイング社のデータを盗難したとして中国人実業家を起訴(2014.7.11-14)

米司法省は、ボーイングのコンピュータシステムからデータを盗み出したとして、 中国の航空会社を営む実業家を起訴した。訴状によると、中国人実業家である ビン・スー容疑者は他の2名と共謀し、米国と欧州の防衛契約企業やボーイング社 などのネットワークに侵入して情報を盗み出したという。カナダの憲兵(RCMP)は、 カナダ在住のビン容疑者を6月下旬に逮捕している。

http://www.theregister.co.uk/2014/07/14/us_military_aircraft_intel_captured_in_alleged_chinese_hacker_raid/
http://arstechnica.com/tech-policy/2014/07/chinese-businessman-charged-with-hacking-boeing-and-lockheed/
http://www.cnet.com/news/us-charges-chinese-executive-with-hacking-military-data/
http://www.bloomberg.com/news/2014-07-11/chinese-citizen-charged-with-hacking-boeing-computer-in-u-s-.html
https://www.documentcloud.org/documents/1216505-su-bin-u-s-district-court-complaint-june-27-2014.html


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「電子メール利用時の注意事項」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
電子メールを利用する際に、オートコンプリートはとても便利な機能ですが、
注意深く使わないと、思わぬところから情報漏えいが発生します。また、CC
やBCCでメールを送ったり、メーリングリストに投稿する際にも、誰に対して
返信をするのかを確認しなければ、予期しないトラブルに巻き込まれるかも
しれません。今月号では、電子メールを利用する際に注意すべき項目や注意
事項を一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツール
としてお使いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#july2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ プライバシー保護を通じてのインターネットセキュリティの向上を目指すGoogleプロジェクトゼロが発足(2014.7.17)

ソフトウェアの脆弱性を発見してインターネットユーザのプライバシーを保護 するため、Google社はプロジェクトゼロを発足した。Googleの研究者である ヘルダー・クリス・エバン氏は、プロジェクトの背景として、犯罪者や国家の 関与する攻撃主体がソフトウェアのバグを悪用してコンピュータを侵害したり、 秘密情報を盗んだり、あるいは通信内容が監視される心配することなく インターネット環境は利用できるべきだという信念に基づくものだと述べた。

http://www.zdnet.com/google-recruits-top-ps3-hacker-for-project-zero-7000031718/
http://money.cnn.com/2014/07/17/technology/security/google-cyberattacks/index.html
http://googleonlinesecurity.blogspot.com/2014/07/announcing-project-zero.html

【編集者メモ】(Northcutt)
インターネットの安全に向けてイニシアチブを取れる企業があるとすれば、 それはGoogleだ。私もプロジェクトに参加している。

────────────────

◆ 2010年のNASDAQ侵害事件詳細が公開される(2014.7.17)

2010年に発生したNASDAQ侵害事件の調査がブルームバーグ社により行われていたが、 同社のサーバは脆弱性2件に公開されたパッチが未適用のため、その脆弱性が悪用 されてマルウェアに感染していたことが明らかとなった。攻撃が最初に公表 されたのは2011年2月だが、それより前の2010年10月にはFBIがNASDAQシステムの 異常トラフィックを発見しており、FBIがNASDAQにマルウェア感染の疑いがあると 警告したところ、NASDAQは感染していることを認めた。攻撃元はロシアまたは その他の国が関与しており、マルウェアはシステム障害を発生させるために作成 されていたという。

http://www.businessweek.com/articles/2014-07-17/how-russian-hackers-stole-the-nasdaq
http://arstechnica.com/security/2014/07/how-elite-hackers-almost-stole-the-nasdaq/
http://www.theregister.co.uk/2014/07/17/nasdaq_hack_report/

【編集者メモ】(Honan)
以下のリンクは、本ニュースに関連する記事だ。ログファイルも調査に携わる職員も 不十分な場合、侵害事件の原因や動機を特定するのがいかに難しいかがわかるだろう。 http://www.bankinfosecurity.co.uk/nasdaq-hack-attribution-questioned-a-7080

────────────────

◆ 財務長官が情報共有を要請(2014.7.17)

ニューヨークで行われたデリバリング・アルファ会議の講演で、ジャック・ルー 財務長官はサイバー攻撃が国民の生活に及ぼす影響について触れた。長官は、 重要インフラネットワークを保護することを目的として民間企業が脅威情報を共有 できる法案が提案された場合、それを支持すると公言した。さらに、プライバシーと 人権を守るために新しい法案の提案が必要であるとも述べた。同氏は、多くの企業で 侵害事件が発生しているにも関わらず、情報が公開されていない原因として、社会の 全体で認識が遅れているのだろうと述べている。

http://www.executivegov.com/2014/07/jack-lew-cyber-intrusions-not-insurmountable-for-public-private-sectors/
http://thehill.com/policy/technology/212407-lew-gives-support-for-new-cyber-law

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月27日(水)、9月18日(木)    <※新セッション追加!>
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=07

○7月28日(月)
 情報セキュリティ人材育成セミナー
 ~CISSP、SANS、新研修コースのご紹介~
http://www.nri-secure.co.jp/seminar/2014/isc02.html?xmid=300&xlinkid=09

○7月29日(火)
 モバイル・ソリューションセミナー
 ~BYOD導入によるスマートデバイスの活用~
http://www.nri-secure.co.jp/seminar/2014/0729.html?xmid=300&xlinkid=10

○8月6日(水)                 <ご好評につき追加開催!>
 サイバーセキュリティ2014夏:独自分析レポートが示すセキュリティ攻防最前線
 ~問われる対応力と準備力、サイバー攻撃から組織を守れ!~
http://www.nri-secure.co.jp/seminar/2014/0806.html?xmid=300&xlinkid=11

○8月22日(金)、9月25日(木)【東京会場】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます