NRI Secure SANS NewsBites 日本版

Vol.9 No.30 2014年7月29日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.30 2014年7月29日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────

■■SANS NewsBites Vol.16 No.058-059
(原版: 2014年7月22日、25日)

────────────────────────────

◆ ICS-CERTが警告、シーメンス製品の一部でハードブリードの脆弱性に未対応(2014.7.18)

米ICS-CERT(産業制御システムのCERT)が発した警告によると、シーメンス社の 産業制御システム製品に採用されているOpenSSLライブラリにおいて、本年4月末に 発見されたハードブリードの脆弱性に対応するパッチが、一部の製品は未だ提供 されていないという。ハートブリードの脆弱性が公開されたのは、3か月以上も 前であることから、シーメンス社製品はサイバー攻撃によるハイジャックや システムクラッシュが発生した可能性もあったと考えられる。未だ更新プログラム が提供されていない製品に対しては、回避策が公開されている。

http://arstechnica.com/security/2014/07/critical-industrial-control-systems-remain-vulnerable-to-heartbleed-exploits/
http://ics-cert.us-cert.gov/advisories/ICSA-14-198-03

【編集者メモ】(Assante)
ICS-CERTが警告しているのは、対象製品の一部で未だパッチをリリースしていない ということだ。パッチが対象のICSに適用されていないというニュースではない。 ICS系アプリケーションにおけるパッチの適用作業は容易ではないし、標準的な 作業でもない。

【編集者メモ】(McBride)
シーメンス社製品は、他社の産業系制御システムと同様、サードパーティのOEM またはオープンソースのコンポーネントに依存している。シーメンス社はこの 問題を認識しており、製品の最新バージョンをリリースした。最新バージョンでは ハードブリードだけでなく、多くのOpenSSLに存在するバグにも対応している。 ここで重要なのは2点あって、1)シーメンス社製品の顧客はパッチを適用する 必要があると認識しているのか、2)他社も同じように責任義務を果たしている のかということだ。

────────────────

◆ Microsoft XMLコアサービスの脆弱性(2014.7.18)

Secuniaのレポートによると、米国内のPCユーザにとって最も危険な脆弱性は、 マーケットシェアやパッチ未適用のユーザ数などを考慮すると、Microsoft XML コアサービス4.0の脆弱性だという。同社が実施したスキャン調査結果を基にした レポートによると、米国ユーザの43%は、脆弱なバージョンであるMS XML 4.0が システムで動作しているという。

http://www.scmagazine.com/report-old-bugs-in-microsoft-xml-still-haunt-users-program-most-exposed/article/361675/
http://secunia.com/?action=fetch&filename=PSI-Country-Report-(US)-(2014Q2).pdf

【編集者メモ】(Pescatore)
MSXML 4.0は非常に古く、SP3のサポートも4月に終了している。しかしながら、 上位バージョンのMSXML 6.0では4.0でサポートしていた機能をサポートしなく なったため、サードパーティソフトウェアでは未だMSXML 4.0を使い続けてものも 多い。たとえば、Quickenなどのコンシューマ向け製品だ。ただし、企業環境に おいてはMSXML 4.0利用はさほど多くないのでソフトウェアのホワイトリストから 削除してもいいだろう。


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────────────


◆ 政府開発の高度なマルウェアが犯罪にも利用される(2014.7.17-18)

Sentinel Labs社の研究者は、国家によるスパイ活動などで利用された「政府開発 マルウェア」が、今や犯罪者の手の内にあると報告した。犯罪者たちは、高度な マルウェア技術をルートキットやランサムウェアに組み込んでいるという。その 一例がGygesと呼ばれるマルウェアで、システムに侵入するために検知システム を迂回する非常に高度な手法が組み込まれている。

http://www.zdnet.com/government-grade-malware-in-hacker-hands-7000031765/
http://www.darkreading.com/government-grade-stealth-malware-in-hands-of-criminals/d/d-id/1297362?

────────────────

◆ 欧州中央銀行、不正アクセスされる(2014.7.24)

欧州中央銀行(ECB)のネットワークがサイバー攻撃を受け、カンファレンスの 登録者や参加予定者の個人情報が奪取された結果、情報が盗み出された人物に 対して身代金が要求されていおり、現在ドイツ警察による捜査が行われている。

http://www.bbc.com/news/business-28458323
http://www.zdnet.com/european-central-bank-suffers-security-breach-personal-data-stolen-7000031958/

【編集者メモ】(Honan)
今回の攻撃経路はSQLインジェクション攻撃によるものだが、この脆弱性は対応 可能なものだ。サイトの開発者は、SANSが公開している危険なソフトウェアエラー 25を参照してほしい。
http://www.scmagazineuk.com/european-central-bank-loses-personal-records-after-data-breach/article/362538/
危険なソフトウェアエラー25の原文
http://www.sans.org/top25-software-errors/

────────────────

◆ StubHub詐欺事件で6名を起訴(2014.7.23-24)

米司法当局は、eBay社のStubHubチケット再販サービスに対する詐欺行為により 6名を起訴した。6名には、計1千万ドル以上のチケット詐欺を働いた罪が問われて いる。犯人には、ロシア国籍とアメリカ国籍などもいると確認されており、英国、 カナダ、スペインで逮捕された。今回、StubHubのネットワークが侵害を受けたわけ ではなく、他の侵害事件で流出したログイン情報を利用して、StubHubのアカウント が不正にアクセスされたという。

http://www.computerweekly.com/news/2240225359/Six-cyber-criminals-charged-in-1m-Stubhub-fraud
http://krebsonsecurity.com/2014/07/feds-hackers-ran-concert-ticket-racket/
http://www.washingtonpost.com/blogs/the-switch/wp/2014/07/24/stubhub-wasnt-hacked-but-its-users-were/

【編集者メモ】(Pescatore)
StubHubは、比較的早い時期に発見し、適切な対応を取った。スイス銀行のような 複雑な攻撃は別として、ショートメッセージを利用したチャレンジ/レスポンスを 使った認証が利用されていれば、このような事件は起きなかっただろう。

【編集者メモ】(Murray)
eBayはインターネット会社であるのだから、他社よりも高いレベルのセキュリティ 基準を採用するべきだ。適切なセキュリティ対策を積極的に導入して他社の手本に なるどころか、Google、Dropbox、Twitter、または関連会社のPayPalなどが導入 しているセキュリティですら導入していないのはいかがだろうか。eBayは、 「強度のある認証」が何なのか理解していないのだろう。最近、eBayでは2度の 侵害事件が発生している。1度目は社員の個人情報、2度目の今回は顧客情報が流出 し、eBayのログイン情報が利用されて詐欺行為が行われた。eBayがいったい何を 考えているのかわからない。私はアカウントを削除して株も売ることにしよう。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「電子メール利用時の注意事項」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
電子メールを利用する際に、オートコンプリートはとても便利な機能ですが、
注意深く使わないと、思わぬところから情報漏えいが発生します。また、CC
やBCCでメールを送ったり、メーリングリストに投稿する際にも、誰に対して
返信をするのかを確認しなければ、予期しないトラブルに巻き込まれるかも
しれません。今月号では、電子メールを利用する際に注意すべき項目や注意
事項を一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツール
としてお使いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#july2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月6日(水)【東京】            <ご好評につき追加開催!>
 サイバーセキュリティ2014夏:独自分析レポートが示すセキュリティ攻防最前線
 ~問われる対応力と準備力、サイバー攻撃から組織を守れ!~
http://www.nri-secure.co.jp/seminar/2014/0806.html?xmid=300&xlinkid=08

○8月22日(金)、9月25日(木)【東京】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=09

○8月27日(水)、9月18日(木)【東京】
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=10

○9月3日(水)【大阪】
 サイバーセキュリティ2014夏:独自分析レポートが示すセキュリティ攻防最前線
 ~問われる対応力と準備力、サイバー攻撃から組織を守れ!~
http://www.nri-secure.co.jp/seminar/2014/0903.html?xmid=300&xlinkid=11

○9月12日(金)【東京】
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju02.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます