NRI Secure SANS NewsBites 日本版

Vol.9 No.35 2014年9月4日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.35 2014年9月4日発行
**********************************************************************


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=19
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────


────────────────────────────

■■SANS NewsBites Vol.16 No.068-069
(原版: 2014年8月26日、29日)

────────────────────────────

◆ 中国、PCのOSを10月にもリリースか(2014.8.24)

新華社通信によると、中国が独自オペレーティングシステム(OS)をリリース予定 だという。独自システムを採用することで、国外で開発されたOSを利用する必要が なくなるからだ。今年初めには、中国は政府機関におけるWindows 8の利用を禁止 した。OSの名前は今のところ明らかにされていないが、デスクトップパソコン用の リリース予定は10月、モバイル用のリリース予定は3年から5年以内だとみられて いる。

http://www.bbc.com/news/technology-28928369
http://www.computerworld.com/s/article/9250627/China_to_launch_homegrown_OS_in_October_as_Windows_replacement

【編集者メモ】(Pescatore)
中国製のパソコンやモバイルのOSが良品だったら何がおきるだろう。現代のネット ワーク化されたグローバル経済において、中国は粗悪製品の利用を強制することも できないが、素晴らしい製品であれば中国国内にとどまる必要はないのだ。 Microsoft、Apple、Googleといった業界の先進的な企業の幹部は、今回の中国の 動きを脅威として捉え、イノベーションを続けることで常に最先端の製品提供を 続けてほしいものだ。もちろん、知的著作権が盗まれないように十分に注意して ほしいのだが。
【編集者メモ】(Murray)
デスクトップ用のOSを開発するだけではなく、利用されているアプリケーションと 全てのデバイスの正常動作を確認する作業は、思っているほど簡単ではないこと 中国は実感することだろう。

────────────────

◆ USIS社の流出事件により、非公開捜査が明らかに(2014.8.22-23)

米軍の契約企業であるUSIS(US Investigations Services)社において、個人情報 侵害事件が発生し、2万5千件にものぼる個人情報が流出した。流出した情報には、 現在囮捜査を行っている人物の名前も含まれていたという。USIS社は、米国土安全 保障省(DHS)を始めとする政府機関への業務を遂行するため、社員の身元調査を 行っているが、流出した情報には、外国工作員に利用されるおそれがある機微な 情報も含まれていたために、問題は深刻だとして、現在FBIが捜査にあたっている。

http://www.reuters.com/article/2014/08/22/us-usa-security-contractor-cyberattack-idUSKBN0GM1TZ20140822
http://www.zdnet.com/breach-at-us-security-contractor-exposed-at-least-25000-workers-7000032890/
http://www.nbcnews.com/tech/security/hack-homeland-security-contractor-exposed-data-25-000-workers-Error! Hyperlink reference not valid.n187266

【編集者メモ】(Northcutt)
流出した可能性のある情報を特定する能力があまりにも低いことに正直驚いて いる。極秘情報を取り扱う際の基本ルールは2つあると考える。まずは、区分けする (テキストの塊で保存するのではなく、分類分割して保存し、それぞれに異なる アクセス権限を付与する)。次にトークン化(社会保障番号などをメインファイル に保存せずにトークンを替わりに保存し、実際の社会保障番号にアクセスする 場合には別のアクセス権限を付与すること)だ。

────────────────

◆ ホワイトハウスのサイバーセキュリティ担当官の発言に対する非難(2014.8.22-25)

ホワイトハウスのサイバーセキュリティ調整官であるマイケル・ダニエル氏は、 自身が業務を遂行する上で、専門知識がないことが価値ある点であると発言した。 これに対して、ホワイトハウスは、同氏の発言を擁護はしているが、問題視する 意見も多数出てきている。

http://www.washingtonpost.com/blogs/the-switch/wp/2014/08/22/does-the-white-houses-cybersecurity-czar-need-to-be-a-coder-he-says-no/
http://www.forbes.com/sites/frontline/2014/08/25/it-does-matter-that-the-white-house-cybersecurity-czar-lacks-technical-chops/

【編集者メモ】(Pescatore)
考え方のポイントは3つある。まず、「調整官」という役割は、実際の成果物に 責任があるわけではないので、主題に関する専門知識はそれほど必要ない。2つ目 は、調整官が調整に留まらず作業も行う場合、ハワード・シュミットのような経歴 を持つ人物が必要になる。3つ目には、仮定的ではあるが、調整官という役割自体 が存在しなかったら、現在の米国サイバーセキュリティに変化はあったのだろうか ということだ。
【編集者メモ】(Murray)
ホワイトハウスの職員は、役員でもなければ技術職でも管理職でもなく、政治職 ということを忘れてはならない。ワシントンの人たちが、我々の仕事をするのは 無理としても、政治屋としての仕事はちゃんとやっていただきたい。役職が高く なるほどに、自分の担当業務ができる人を上司に持つことは難しくなるのだから。

────────────────

◆ サイバーセキュリティの専門家不足、雇用障壁により悪化(2014.8.25)

Black Hat 2014カンファレンスにおいて、優秀でスキルのあるセキュリティ専門家 の需要は、市場の供給能力を大幅に上回っていることが浮き彫りとなった。 James Arlen氏は、同氏が創始者でもあるLeviathan Security Group社への リクルーティング活動を行っていたところ、同氏自身が他社からリクルートされた。 同氏は、外国からの雇用にも大きな障壁があることから、米国において深刻な問題 になると指摘する。さらに、優秀な人材を雇用する上での障壁の一つとして、教育 と経験を同じ価値をもつものだという誤った捉え方にあると指摘した。

http://www.zdnet.com/cybersecuritys-hiring-crisis-a-troubling-trajectory-7000032923/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「クラウドを安全に利用するには」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
DropboxやGoogle Driveといったクラウドサービスは、データの保存と管理に
便利な反面、実際のデータの所在が不明であったり、データ消失時の補償など
考慮しなければならない問題が複数あります。今月号では、クラウドの安全な
利用方法だけではなく、サービス・プロバイダーの選択ポイントなどについて
一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツールとしてお
使いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#september2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ FBIとシークレットサービス、JPモルガン・チェースを始めとする金融機関への攻撃を調査(2014.8.27-28)

米FBIと米シークレットサービスは、JPモルガン・チェースを含む複数の金融機関 への攻撃の捜査している。ニューヨークタイムズ紙の報道によると、今回の事件で 犯人はJPモルガン・チェース社と金融機関4社から合わせて数ギガバイト相当の データが盗み出されたという。JPモルガン・チェース社の広報担当によると 「当社は毎日のようにサイバー攻撃を受けている」と答えたものの、今回の報道に 関する攻撃については言及していない。ブルームバーグは、今回の攻撃の背後に ロシアが存在すると報道している。他紙は、今回の攻撃とロシアが直接関係する ような表現はしていないが、攻撃の目的がこれまでと異なり、妨害行為ではなく 情報窃取にあると伝えている。今回の攻撃によりJPMorgan Chaseのデータが削除 または改ざんされたと伝えている報道機関が多い。

http://www.cnet.com/news/jpmorgan-hackers-altered-deleted-bank-records-says-report/
http://www.darkreading.com/attacks-breaches/feds-investigating-breaches-at-jp-morgan-other-banks/d/d-id/1306826?
http://www.computerworld.com/article/2599266/security/fbi-secret-service-studying-scope-of-bank-cyberattacks.html
http://www.bbc.com/news/technology-28965878
http://www.zdnet.com/fbi-investigates-hack-of-jpmorgan-other-us-banks-7000033080/
http://www.nytimes.com/2014/08/28/technology/hackers-target-banks-including-jpmorgan.html
http://www.bloomberg.com/news/2014-08-27/fbi-said-to-be-probing-whether-russia-tied-to-jpmorgan-hacking.html

【編集者メモ】(Murray)
今回の攻撃でも巧妙に細工された電子メールが巧妙な仕掛けとして利用された。 今回利用されたメッセージは、銀行役員からの重要な連絡事項に見せかけており、 暗号化までされていたようだ(この事件は木曜日正午からケーブルTVなどで放送 されているため、GoogleやYouTubeでも確認可能だろう。)。今回の仕掛けでは、 メッセージの復号ができないという「セキュリティのエラーメッセージ」が表示 され、お決まりの通り、ユーザIDとパスワードを入力して「OK」とクリックする ようになっていた。金融機関のセキュリティ・アーキテクチャは、十分な設備が ある攻撃主体により頻繁に攻撃されている。そして、攻撃者たちは高度なアクセス コントロールへの挑戦を楽しんでいるとも言える。そのような状況であっても、 攻撃が成功し「数ギガバイト相当の重要情報」が盗み出される事態は許容される べきではない。今回の一件では、階層化が認証において重要であるにも関わらず、 その階層化と監視が不十分であったと言える。

────────────────

◆ 米商務省の監査室が、衛星の地上局システムの脆弱性について海洋大気庁へ警告(2014.8.27)

米商務省監査室がまとめた報告によると、JPSS(Joint Polar Satellite System) の地上局システムには、基本的機能の妨害が可能になる脆弱性が存在するという。 JPSS地上局システムは、海洋大気庁(NOAA)の配下で運用されており、気象衛星が 収集したデータを、世界中の利用者とデータを共有している。

http://www.scmagazine.com/ground-system-for-weather-satellites-contains-thousands-of-high-risk-bugs/article/368479/

【編集者メモ】(Paller)
衛星通信における地上およびアップリンクシステムは、サイバー攻撃に耐えるように 設計されていない。状況は改善されていると報告にはあるが、攻撃手法が 進化するスピードに追い付いていないと思われる。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(水)
 NRIセキュアが考えるエンタープライズIAM
 ~「ID」を中心としたセキュリティ対策の新しい形~
http://www.nri-secure.co.jp/seminar/2014/0910.html?xmid=300&xlinkid=10

○9月12日(金)
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju02.html?xmid=300&xlinkid=11

○9月18日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=06

○9月26日(金)
 不正アクセス・情報漏洩対策セミナー
 ~事例から学ぶ特権ID管理・アクセス/ログ管理~
http://www.nri-secure.co.jp/seminar/2014/0926.html?xmid=300&xlinkid=12

○10月23日(木)、11月19日(水)、12月16日(火)【東京】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=13

○10月29日(水)【大阪】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18
────────────────


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます