NRI Secure SANS NewsBites 日本版

Vol.9 No.37 2014年9月16日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.37 2014年9月16日発行
**********************************************************************


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=19
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────


────────────────────────────

■■SANS NewsBites Vol.16 No.072-073
(原版: 2014年9月9日、12日)

────────────────────────────

◆ ホーム・デポ社、決済情報の流出を認める(2014.9.8)

ホーム・デポ社は、決済システムが不正アクセスを受け、顧客の支払いカード情報 が流出したことを公表した。影響を受けたのは、米国とカナダの店舗で、情報流出 は2014年4月から発生していた。メキシコおよびオンラインストアで利用された カード情報には影響がないとしている。同社はICチップとPIN番号を利用する方式 を今年末までに導入すると発表した。

http://arstechnica.com/security/2014/09/home-depot-confirms-breach-but-stays-mum-as-to-size/
http://www.nbcnews.com/tech/security/home-depot-confirms-credit-card-data-breach-n198621

【編集者メモ】(Murray)
EMVシステム導入を予定しているリテール団体にホーム・デポ社が参加するのは 非常によいことし、大手のクレジットカード発行機関がEMV式カードを発行する ことも必要だ。これは磁気ストライプ式のクレジットカードの脆弱性対応としては 小さな一歩でしかないが、不正利用を減らすことにはなるだろう。(ちなみに、 9月9日午後(米国時間)にはAppleがNFC(非接触ICカード)を搭載したiPhone 6を 発表する。NFCの安全性については、実装方法により大きく異なるが、NFCを使って、 クレジットカード番号を受け渡すRFIDクレジットカードをエミュレートすることが できる。この方法は、磁気ストライプと比べて安全ともいえないが、既存システム との互換性が高い。NFCを使ってクレジットカード番号の換わりにワンタイムの トークンを受け渡す仕組みにも変更できる。このような実装は非常に安全であるが、 既存システムとの互換性がない。この両極となる仕組みの間に、さまざまな可能性 が残されている。Appleには、これまでも行ってきたように、その影響力と創造性 を駆使して世の中を変えるような技術を提供することを期待する。)

────────────────

◆ ホーム・デポ社情報流出事件、ターゲット社と同じマルウェアに感染(2014.9.7-8)

ホーム・デポ社の店舗にあるPoS端末に感染し、顧客の決済カード情報を窃取した マルウェアは、昨年末にターゲット社が感染したマルウェアと同じものであること が判明した。今回確認されたBlackPOSマルウェアの亜種は、KAPOXAと名付けられて いる。Brian Krebsは、ターゲット社から流出したカード情報が販売されていた のと同じブラックマーケットに、ホーム・デポ社から流出したカード情報も販売 されていたと伝えている。

http://krebsonsecurity.com/2014/09/home-depot-hit-by-same-malware-as-target/
http://www.scmagazine.com/blackpos-malware-that-struck-target-also-linked-to-home-depot-breach-report-says/article/370362/

【編集者メモ】(Murray)
私が思うに感染経緯もおそらく同じだろう。リモートアクセスを運用上の理由で 許可している場合、強度のある認証を利用することは「必須」だ。PoS端末を導入 している場合、システム上のプログラムに加えられる変更を監視して防止すること も「必須」だ。「制限付きアクセスコントロールポリシー」「ロックダウン」 「アプリケーションのホワイトリスト」「TripWire」などを利用することなどが ある。この点に疑問の余地はないだろう。

────────────────

◆ DyreマルウェアがSalesforce利用者を攻撃(2014.9.8)

DyreまたはDyrezaという名称で知られるマルウェアについて、Salesforceは、同社 顧客に対して注意喚起を行った。Dyreが最初に確認されたのは2014年6月で、Dyre の目的はオンラインバンキングのログイン情報窃取だった。現在問題になっている のは、Dyreを使ってSalesforceのログイン情報を窃取する攻撃で、そこからデータ ベース情報が狙われている。このように目的が変わってきていることから、さらに マルウェアの感染が急速に拡大する恐れがある。

http://www.theregister.co.uk/2014/09/08/salesforcecom_warns_users_they_are_the_target_for_new_rat_dyre/
http://www.scmagazine.com/salesforce-warns-of-dyre-malware-possibly-targeting-users/article/370366/
https://help.salesforce.com/apex/HTViewSolution?urlname=Security-Alert-Dyre-Malware&language=en_US

【編集者メモ】(Murray)
今回の事件で重要なのは、注意喚起の情報元でもなく、狙われた標的でもなく、 利用されたマルウェアでもない。これは、脅威に晒されている状況が次のレベルに 達していることを表している。Salesforceの利用者は、推奨されている「回避策」 の実施を考えていると思うが、実際にはセキュリティ戦略とアーキテクチャ自体を 体系的に変更する必要がある。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「クラウドを安全に利用するには」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
DropboxやGoogle Driveといったクラウドサービスは、データの保存と管理に
便利な反面、実際のデータの所在が不明であったり、データ消失時の補償など
考慮しなければならない問題が複数あります。今月号では、クラウドの安全な
利用方法だけではなく、サービス・プロバイダーの選択ポイントなどについて
一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツールとしてお
使いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#september2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 米会計検査院、業務委託の会社に対する管理が不十分であると指摘(2014.9.9-10)

米会計検査院(GAO)は、各政府機関が業務委託会社に対する管理を十分に行って いないと報告書で指摘した。報告書では国土安全保障省、交通省、エネルギー省、 国務省を始め、環境保護局、人事管理局などにおける、業務委託会社の管理体制が まとめられている。報告書では、管理および評価基準が統一されておらず、行政 管理予算局(OMB)はより具体的なガイドラインを提供する必要があると指摘した。

http://www.nextgov.com/cybersecurity/2014/09/agencies-contractor-employees-cyber-workforce/93620/?oref=ng-channelriver
http://www.govinfosecurity.com/how-many-contractors-run-fed-it-a-7297
http://www.gao.gov/assets/670/665246.pdf

【編集者メモ】(Paller)
今回の報告書で明らかになったのはリスクのほんの一部でしかない。各省庁は、 委託会社やクラウドプロバイダなどのテクノロジーサービスを利用しているが、 利用において必要とされる基本的なクリティカルコントロールすら実施されて いない。特にソフトウェアのセキュリティ検査は十分に行われていないという。 各省庁がシステム侵害を隠さずにすべて報告したとすると、議会に衝撃が走る くらい多数ある。

────────────────

◆ 米人事管理局がUSIS社との契約を終了(2014.9.9)

米人事管理局(OPM)は、USIS社に委託していた職員の身元調査に関する契約を 終了することを明らかにした。人事管理局は、多数の省庁の身元調査契約を取り まとめていたが、その業務の委託を受けていたUSIS社は、2014年8月にサイバー 攻撃の被害にあい、米連邦政府職員25,000名の機微情報が漏えいする結果を出した 企業。

http://www.stripes.com/news/us/federal-agency-to-end-contracts-of-background-check-contractor-usis-1.302244

【編集者メモ】(Henry)
民間企業でも注目する人たちがいるだろう。会社の収益に影響する事件は、幹部が 対応して問題の重要性を認識しなければならない。さまざまな話が動いており、 防衛産業関連については、国防総省は、データを安全に守れない下請け会社は排除 することになる。セキュリティが「すべて」と言っているわけではないが、業界 全体において、気づきを持たせるきっかけになっている。
【編集者メモ】(Honan)
民間企業の幹部セミナーで、セキュリティ侵害事件がビジネスに与える影響と顧客 ロイヤリティに、どのような影響を与えるのかを考えるケーススタディを議論して みるといいだろう。

────────────────

◆ Microsoft社へ「法廷侮辱罪」アイルランドに保存されているデータの緊急開示に関して(2014.9.9-10)

司法当局から、利用者のメールへのアクセス要請に対して、Microsoft社はデータ がアイルランドに保存されていることを理由として要請を拒絶した結果、法廷侮辱 罪が言い渡されていたことが明らかとなった。これは7月31日の裁判所命令により、 麻薬捜査に関連するデータ開示が言い渡されたが、同社はこの判決に対して控訴の 審議を求めており、この審議を早めるために法廷侮辱罪適用を要請したというもの。 法廷侮辱罪は、手続き以外のなにものでもなく、これにより控訴審議が迅速に 行われると見られている。Microsoft社は今回罰則を受けることはないが、政府は 将来的に罰則を科す可能性も示唆している。

http://www.zdnet.com/microsoft-refuses-to-hand-over-foreign-data-held-in-contempt-of-court-7000033508/
http://www.scmagazine.com/microsoft-held-in-contempt-moves-closer-to-appeal-over-customer-email-warrant/article/370848/
http://www.theregister.co.uk/2014/09/10/microsoft_contempt_of_court/
http://arstechnica.com/tech-policy/2014/09/microsoft-agrees-to-contempt-order-so-e-mail-privacy-case-can-be-appealed/
法廷侮辱罪の原文:
http://digitalconstitution.com/wp-content/uploads/2014/09/Contempt-Stipulation-and-Order.pdf


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月26日(金)
 不正アクセス・情報漏洩対策セミナー
 ~事例から学ぶ特権ID管理・アクセス/ログ管理~
http://www.nri-secure.co.jp/seminar/2014/0926.html?xmid=300&xlinkid=12

○10月23日(木)、11月19日(水)、12月16日(火)【東京】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=13

○10月29日(水)【大阪】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18
────────────────


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます