NRI Secure SANS NewsBites 日本版

Vol.9 No.36 2014年9月9日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.36 2014年9月9日発行
**********************************************************************


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=19
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────

■はじめに(Alan Paller:SANS Director of Research)
サイバーセキュリティに役立つ基本3コースを、大学生と高校生に無料で提供。

SANSからCyberAcesプログラムへの助成金130万ドルにより、CyberAcesはサイバー セキュリティの基本3コース(ネットワーク、OS、およびシステム管理)を大学生 や高校生に無料で提供することになった。コースはいずれもオンライン経由で受講 できるもの。この3コースで網羅されているスキルを修得すれば、将来の高給が 約束されている技術職に十分なスキルを身に着けることができる。このコースの コンテンツはSANSのEd Skoudisを始めとするトップインストラクターにより作成 されたものだ。コースでは、定期的に全国規模の小テストが実施され、学生たちは 同じ受講生の中で自分のレベルを確認することができ、すでに10,500人以上が受講 している。最高点を出した学生は州知事から表彰され、SANSとNSFによる奨学金 2万5千ドルが24名に授与された。このプログラムを広げるために追加費用は不要 であり、SANSは有能な人材がサイバーセキュリティ業界に興味を持ってくれること を祈る。詳細は、cyberaces.orgを参照にしていただきたい。


────────────────────────────

■■SANS NewsBites Vol.16 No.070-071
(原版: 2014年9月2日、5日)

────────────────────────────

◆ Apple社が「Find My iPhone」機能の脆弱性に対応(2014.9.1)

iPhoneの「iPhoneをさがす」機能の脆弱性が悪用され、iCloudから有名人の個人 写真が流出する事件が発生したのを受けて、Apple社はこの脆弱性を修正した。 この脆弱性を悪用してAppleIDのパスワードへ総当たり攻撃を行うコンセプト実証 コードが、インターネットに公開されたのは、流出事件が発生する直前だった。

http://www.zdnet.com/apple-patches-find-my-iphone-exploit-7000033171/
http://www.cso.com.au/article/553965/after_celeb_hack_apple_patches_password_guessing_weakness_icloud/

【編集者メモ】(Murray)
業界全体を見れば、Apple社製品は報告されている脆弱性の数も少ないし、迅速に 対応している。この脆弱性を完全に悪用するには、物理的に所有していること、 発生メカニズムを利用することの条件が特殊という制約があり、広範囲で悪用する のは困難であることも実証されている。
【編集者メモ】(Honan)
多くの報道が、今回の流出事件の原因がシステムの問題ではなく弱いパスワード によるものであると示唆しているが、それが事実なら、セキュリティ業界の人間は、 ユーザではなく業界関係者の責任であると思ってほしい。サービスやシステムを 開発し提供する際、誰にでもわかりやすく使いやすいセキュリティソリューション を作らない限りは、このような事件はなくならないだろう。

────────────────

◆ 産業系ソフトウェア会社のWebサイトに仕掛けられた水飲み場攻撃(2014.9.1)

産業系ソフトウェア会社のWebサイトで水飲み場攻撃が発見された。ソフトウェア 会社の社名は明らかにされていないが、今回の水飲み場攻撃では、Webサイトの 訪問者情報を収集する偵察用マルウェアが仕掛けられた。収集された情報は今後の 攻撃に利用されると推測されている。一般的な水飲み場攻撃では、マルウェアを 訪問者のコンピュータへ感染させるが、今回の攻撃では情報収集を目的として、 訪問者のコンピュータからブラウザ、IPアドレス、OS、セキュリティプログラム 情報などが窃取された。このマルウェアは、AlienVualt LabsがScanboxとして 発見、報告したものである。

http://www.computerworld.com/article/2600767/security/rigged-industrial-software-site-points-to-watering-hole-attack.html
http://www.alienvault.com/open-threat-exchange/blog/scanbox-a-reconnaissance-framework-used-on-watering-hole-attacks

────────────────

◆ ノルウェーの石油ガス産業へフィッシング攻撃(2014.8.27-31)

ノルウェーの石油ガス産業に対する組織的な攻撃が発生し、国内で300に及ぶ組織が ターゲットになった。実際に被害が確認されたのは50社であるが、ノルウェー国家 安全保障局(NSM)は、残り250社に対して十分に警戒をするように情報提供と注意 喚起を行った。フィッシングメールは、各社の「重要部署と重要人物」を対象に 送信されており、添付ファイルを開くとコンピュータはマルウェアに感染し、 システムの脆弱性を調査するといった挙動が報告されている。

http://www.thelocal.no/20140827/norwegian-oil-companies-hacked
http://motherboard.vice.com/read/hackers-target-300-norwegian-oil-and-energy
http://www.nextgov.com/cybersecurity/threatwatch/2014/08/breach/1448/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「クラウドを安全に利用するには」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
DropboxやGoogle Driveといったクラウドサービスは、データの保存と管理に
便利な反面、実際のデータの所在が不明であったり、データ消失時の補償など
考慮しなければならない問題が複数あります。今月号では、クラウドの安全な
利用方法だけではなく、サービス・プロバイダーの選択ポイントなどについて
一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツールとしてお
使いください。 https://www.securingthehuman.org/resources/newsletters/ouch/2014#september2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ HealthCare.govサーバがマルウェアに感染(2014.9.4)

米政府が運営するオンライン健康保険市場のHealthCare.govのサーバが、マルウェア に感染していたことが明らかになった。感染したサーバは、コードテスト用に作成 されたもので、感染していたのは他のWebサイトに対してDoS攻撃を行うマルウェア だったという。攻撃の目的はHealthCare.govのサーバそのものではなかったようだ。 通常、Webサイトがこの種のマルウェアに感染しても、ニュースになることはない。 今回は対象がオンライン健康保険市場サイトであったため、大きく取り上げられたが、 感染自体はは7月に発生したと考えられており、8月25日のセキュリティ検査中に 発見されたという。

http://www.nextgov.com/cybersecurity/2014/09/heres-why-healthcaregov-hack-isnt-big-deal/93206/?oref=ng-channeltopstory
http://www.zdnet.com/healthcare-gov-test-server-hacked-7000033336/
http://www.nbcnews.com/tech/security/healthcare-gov-site-suffers-hack-no-data-stolen-officials-n196181
http://www.theregister.co.uk/2014/09/05/healthcaregov_hacked/<

【編集者メモ】(Pescatore)br /> 公開情報によると、テストサーバが不必要にもかかわらずインターネットに接続 されていたという。今回のようなケースは、インターネット経由のセキュリティ 侵害事件としては珍しいものではなく、セキュアネットワークエンジニアリングの Critical Security Control 19を適切に実施しなかった例といえる。サーバの堅牢化 は容易にできたはずが実施されていなかったということである。そして、サーバが 侵害されたのだが、このような事態はいつでも起こり得るものだと思う。そのため セグメント化やゾーニング(ネットワーク境界を設け、境界毎にセキュリティの コントロールを設置)することが重要であり、侵害されても早期に発見することが できる体制を構築することだろう。br /> 【編集者メモ】(Murray)br /> HealthCare.govは、常に何か問題が起きているシステムであり、サーバの安全性が 問題視されてきただけではなく、世論にも不評なサイトであることから、攻撃に あったのは当然といえる。今回の事件から学べることは、自分が管理している サーバは全て保護されており監視できていることを再確認することだ。

────────────────

◆ ホーム・デポ社が支払カード情報流出を捜査(2014.9.2)

大手ホームセンターのホーム・デポ社は、データ流出の報告を受け、取引銀行や 司法当局の協力を得ながら捜査を行っていることを公表した。同社は、捜査が終了 するまで、一切のコメントを控える方針。

http://krebsonsecurity.com/2014/09/banks-credit-card-breach-at-home-depot/
http://www.darkreading.com/attacks-breaches/home-depot-the-latest-hack-victim/d/d-id/1306898?
http://www.scmagazine.com/home-depot-investigates-possible-payment-card-breach/article/369366/
http://www.theregister.co.uk/2014/09/02/home_depot_investigating_if_its_the_latest_victim_of_retail_hackers/
http://www.bbc.com/news/technology-29044855

【編集者メモ】(Pescatore)
POS端末を利用している場合、まずシステム全体のセキュリティチェックを行い、 脆弱性が見つかったら対応する。その重要性を説明する必要はもういらないだろう。 例えば、春になれば(米国ならアカデミー賞発表時期)、アリが家を侵食し始める のと同じだ。つまり予測可能であり、攻撃されて損害を被るまで待つ必要はない (被害を受けたのを確認する前に行動を起こしておくべきだ)。

────────────────

◆米グッドウィル団体が支払カード情報流出を認める(2014.9.4)

米グッドウィル・インダストリーズ(Goodwill Industries International)は、 決済業務請負業者のシステムが侵害され、利用客の支払いカード情報が流出 していたことを明らかにした。グットウィル店舗の1割が影響を受けたという。 同社が侵害されていた期間は、2013年2月から2014年8月までと発表している。

http://www.scmagazine.com/goodwill-announces-breach-more-than-800k-payment-cards-compromised/article/369837/

【編集者メモ】(Murray)
今週はホーム・デポ社の件を始めとする流出事件のニュースが多い。この傾向を 見る限り、単なる偶然や災害のように発生しているわけではなく、攻撃の成功率が 向上したと考えられる。北米で現在利用されているリテール支払いシステムを修復 するのは容易ではなく数年かかるかもしれない。そのような状況の中でも、各自が できることをまとめておく。
店舗でPOSシステムを利用している企業は、攻撃対象となっていることを認識し、 侵害されている可能性もあることを覚悟する。そして、状況に応じて適切な対策 (特権ユーザに対する強度のある認証やシステムのロックダウン、データ流出監視 など)をすること。PoS端末を利用する一般利用客は、利用明細書を注意深く確認 すること。カード発行元は、カード再発行の問い合わせ増加に備えること。
発行元は、EMV仕様のカードまたはEMV限定カード(磁気ストライプカードは別に 発行する)の導入を検討すること。今後モバイル端末が増加するユビキタス時代に 備えて、次世代の決済スキームの計画を始める必要がある。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○9月18日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=06

○9月26日(金)
 不正アクセス・情報漏洩対策セミナー
 ~事例から学ぶ特権ID管理・アクセス/ログ管理~
http://www.nri-secure.co.jp/seminar/2014/0926.html?xmid=300&xlinkid=12

○10月23日(木)、11月19日(水)、12月16日(火)【東京】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=13

○10月29日(水)【大阪】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=14


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18
────────────────

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます