NRI Secure SANS NewsBites 日本版

Vol.9 No.33 2014年8月19日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.33 2014年8月19日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────


────────────────────────────

■■SANS NewsBites Vol.16 No.064-065
(原版: 2014年8月12 日、15 日)

────────────────────────────

◆ 航空の「専門家」が、飛行機のハイジャックは不可能と断言(2014.8.9-10)

ラスベガスで開催されたDefConにおいて、航空分野の専門家2名が、コンピュータ を使った飛行機のハイジャックは不可能であると講演した。アビオニクスシステム (航空機に搭載されている飛行用電子機器)は、旅客機で採用されているエンター テイメント用ワイヤレスネットワーク経由ではアクセスができない。ブルムバーグ 大学デジタルフォレンジック学部Phil Polstra助教授は、「サイバーだけではパイ ロットのオーバーライドは実現できないことを忘れてはならない」と述べた。自動 操縦機能は、改ざんされる可能性が存在するが、その場合アラートが生成される ため、パイロットは自動操縦機能をオフにすることができる。また、天候情報を 改ざんしたメッセージや飛行計画の変更遅延をメッセージとして送信できるが、 不審なメッセージはシステム操作の過程で無視されるという。

http://www.scmagazine.com/defcon-you-cannot-cyberhijack-an-airplane-but-you-can-create-mischief/article/365465/
http://www.theregister.co.uk/2014/08/10/why_hackers_wont_be_able_to_hijack_your_next_flight_the_facts/

【編集者メモ】(Pescatore)
飛行機のハッキングに関して、過剰に取り上げられていたのは事実だ。あまたある 業界の中でも航空機産業のソフトウェア開発ライフサイクルの考え方は最も安全で あると言っても過言ではない。しかしながら、機体構造がより複雑になり、 コンピュータ化が進む中、想定しなかったことが起きる可能性はあるだろう。飛行 機事故の主な原因は、パイロットの操縦ミスであると言われる中、「パイロットが 気付くから大丈夫だ。」というコメントはあまり感心できない。

────────────────

◆ 米連邦通信委員会、携帯電話プロバイダによる帯域調整を調査(2014.8.8)

連邦通信委員会(FCC)は、携帯電話プロバイダ各社に対してデータ帯域調整を 実施する際の決定プロセスを確認している。今回の調査は、ベライゾン社が10月 よりデータ無制限プランの利用者に対して、利用量の多い5%はインターネット スピードが遅くなる可能性があると発表したために行われている。ベライゾン社は、 今回の決定が「適正なネットワーク管理」により実施されるものであり利用規約に 違反するものではないとしている。

http://www.csmonitor.com/Innovation/2014/0808/FCC-to-wireless-providers-When-do-you-slow-download-speeds
http://www.washingtonpost.com/blogs/the-switch/wp/2014/08/08/fcc-to-verizon-all-the-kids-do-it-is-no-excuse-for-throttling-unlimited-data/

【編集者メモ】(Pescatore)
著名なセキュリティ研究者であるDolly Partonは、「20リットルのバケツに40 リットル分の泥を入れるのは苦労する」というようなコメントを述べたことが ある。20年前のことであるが、ISP各社がフィルタリングを行い、帯域調整を行え ば、インターネットはもっと安全に利用することができたのだ。携帯電話の帯域は、 有線ネットワークよりもはるかに限定されているため、より高度な管理が必要と される。この状況は、電力の需要と供給に似ている。人々は電力使用量にあわせて 電気代を支払うが、みんなが同時に使い過ぎれば、帯域調整が必要となる。帯域 調整により適正な競争を妨げることなく、既知の悪意のあるトラフィックなどは フィルタできるように、一定のガイドラインが必要だろう。

────────────────

◆ 米NISTがICSセキュリティ向上を目的とした大規模テスト環境を完備(2014.8.12)

米国立標準技術研究所(NIST)は、SCADAシステムのセキュリティ向上を支援する ために、大規模なテスト環境(テストベッド)を構築する計画を明らかにした。 産業制御システム用のシナリオなどを再構成可能なサイバーセキュリティテスト ベッド(Reconfigurable Industrial Control Systems Cybersecurity Testbed)は、 現在も開発の初期段階にあり、「国内外の基準やガイドラインのに準拠した サイバーセキュリティ保護が実装された際の産業制御システムのパフォーマンスを 測定する」という。

http://www.theregister.co.uk/2014/08/12/nist_wants_better_scada_security/
RFI:
https://www.fbo.gov/index?s=opportunity&mode=form&id=34058f1c96ba5cab935633acc50011c9&tab=core&_cview=0

【編集者メモ】(Pescatore)
私は、ICSのテストベッドの設計などに関与している。セキュリティだけをを学ぶ ことにも異議はあるが、税制やそれなりの優遇措置や、学ぶ意味などを明確にする 必要があるだろう。このテストベットセンターが開設されることで、セキュリティ 研究者たちも、貴重なシステムへのアクセスが可能になり、ICS関係者と協力関係 ができることを望む。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「暗号化機能について」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
暗号化と言われると非常に難解そうに思われるかもしれませんが、個人情報
などを適切に守るためには、非常に有用なツールですが、暗号によって全て
が守られるわけではありません。暗号でも守れないものも存在します。今月
号では、暗号とは何かという説明とその必要性、正しい使い方について一般
ユーザ向けに、分かりやすく解説します。社員の意識向上ツールとしてお使
いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#august2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 連邦裁判所、司法当局の捜査活動において全メールアカウントへのアクセスを許可(2014.8.11)

ワシントンDCの連邦判事は、司法当局に対して捜査活動中にメールアカウントへ アクセスして証拠を収集することを認める判決を下した。この判決の前に、下級 裁判所は憲法修正第4条の不合理な捜索および押収になるとして、メールアカウント へのアクセス要請を却下しており、判決を覆す結果となった。今回の訴訟の主席 判事のRichard W. Robertsは、問題となっているメールアカウントへのアクセス 要請は憲法修正第4条に違反しないという判決を指示した。

http://www.computerworld.com/s/article/9250281/U.S._court_rules_in_favor_of_providing_officials_access_to_entire_email_account?taxonomyId=17
http://blogs.wsj.com/law/2014/08/08/judge-blesses-justice-department-email-searches/

【編集者メモ】(Murray)
今回の判決はそれほど重要ではない。重要なのは、許可が裁判所判断に委ねられて おり、捜査官やサービスプロバイダが判断するものではないということだ。今回の ように、裁判所が「令状」を発行してから捜索するという行為こそが、憲法により 定められているところと言える

────────────────

◆ オンラインアカウントのハイジャックで運用資金を盗難されたテネシー州の企業が銀行を起訴(2014.8.13)

テネシー州の企業が、オンラインバンキングのアカウントから20万米ドルを盗難 された事件で、同社は損害賠償を求めて銀行を起訴した。TEC Industrial社 (当時の社名Tennessee Electric Company)は、管理不行き届きであるという理由 でTriSummit銀行に対して契約不履行に対する責任を求めている。2012年5月、TEC Industrialの銀行口座から327,800米ドルが、数十件以上のマネーミュール経由で 盗み出されたが、銀行により保全されたのは135,000米ドルのみだった。

http://krebsonsecurity.com/2014/08/tenn-utility-sues-bank-over-327k-cyberheist/

【編集者メモ】(Murray)
本件の全容と詳細を理解するには、Krebsのレポートとコメントを読むのが一番 わかりやすいだろう。

────────────────

◆ 企業の多くは、社内のセキュリティインシデント対応に不満(2014.8.14)

SANSが行ったアンケート調査によると、セキュリティインシデント発生時の対応に ついて、「非常に効率的に実施できている」という回答は9%に過ぎなかった。 得られた回答のうちで25%以上はインシデント対応に不満があると回答していた。 効果的な対応の妨げとなっている理由としては、インシデント発生時の対応手順が 十分にレビューされておらず、実践できていないこと、次いで予算不足であること が多く挙げられている。

http://www.zdnet.com/in-wake-of-hacks-incident-response-efforts-weak-in-enterprise-7000032638/

【編集者メモ】(Murray)
現代社会では、サイバー攻撃は発生するものであり、継続的に発生しており、 効率化されているものもある。社内のセキュリティ対策を運営する上で、検出、 対策、効果的なインシデント対応は、基本と言えるだろう。

────────────────

◆ 米連邦通信委員会がIMSIキャッチャーの不正利用を調査(2014.8.11-12)

米連邦通信委員会(FCC)は、携帯電話の追跡と傍受を行うテクノロジーである IMSIキャッチャー(通称Stingray)の不正利用について、特別チームを編成して 調査を開始した。今回の結成された特別チームのミッションは、「携帯電話ネット ワークを不法な侵入や傍受から保護するソリューションを開発する」ことだ。 さらに、米国民に対して、犯罪者や外国工作員などがIMSIキャッチャー技術を どのように利用しているかという点についても調査するという。

http://www.washingtonpost.com/blogs/the-switch/wp/2014/08/11/feds-to-study-illegal-use-of-spy-gear/
http://arstechnica.com/tech-policy/2014/08/fcc-to-examine-unauthorized-cell-snooping-devices/
http://www.scmagazine.com/fcc-creates-task-force-to-scrutinize-illegal-stingray-use/article/366154/

【編集者メモ】(Pescatore)
盗聴法(Communications Assistance for Law Enforcement Act)が制定されて からちょうど20年目を迎えた。当時、司法当局において、デジタル化された電話 通信の合法的盗聴や監視が困難であった。同じことが携帯電話でも起きている。 SkypeのようなVoIPストリーム、Twitter、SnapChatなどがその原因だ。司法当局が 犯罪者を監視できる仕組みと通信のプライバシーにおけるバランスは定期的に 見直すことが必要だ。両者の妥協点にたどり着くには、透明性のあるアプローチが 最善策であり、特別チームには、さまざまな分野から参加者を迎えるのが得策 だろう。

【編集者メモ】(Murray)
難しいタスクではあるが、必要であり、今すぐに行うべきものだと考える。司法 当局によるテクノロジーの利用に不信感があったとしても、利用にあたり脆弱性が あったとしても、それは法制度とネットワークアーキテクチャの欠陥を露呈する だけにすぎない。利用が進めば、リスクも生まれてくる。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月27日(水)、9月18日(木)【東京】
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=06

○9月1日(月)【東京】
 情報セキュリティ人材育成セミナー
 ~SANS Tokyo 2014 プレビューセミナー~
http://www.nri-secure.co.jp/seminar/2014/sans01.html?xmid=300&xlinkid=07

○9月3日(水)【大阪】
 サイバーセキュリティ2014夏:独自分析レポートが示すセキュリティ攻防最前線
 ~問われる対応力と準備力、サイバー攻撃から組織を守れ!~
http://www.nri-secure.co.jp/seminar/2014/0903.html?xmid=300&xlinkid=08

○9月12日(金)【東京】
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju02.html?xmid=300&xlinkid=10

○10月23日(木)、11月19日(水)、12月16日(火)【東京】   【日程追加!】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=11

○10月29日(水)【大阪】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます