NRI Secure SANS NewsBites 日本版

Vol.9 No.38 2014年9月30日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.38 2014年9月30日発行
**********************************************************************


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=19
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────


■はじめに(Alan Paller:SANS Director of Research)
サイバー攻撃だけで米国電力網に打撃を与えることはできるのだろうか?

今朝、Internet Storm CenterのJohannes Ullrich が、「ShellShock」の影響と その対策について1,500名以上が参加するブリーフィングを行なった。ブリー フィングの内容は、ISCのサイト、またはYouTubeから確認できる。 https://isc.sans.edu/forums/diary/Webcast+Briefing+Bash+Code+Injection+Vulnerability/18709
https://www.youtube.com/watch?v=W7GaVyzkCs0

the ISC constantly updated blog:
https://isc.sans.edu/forums/diary/Update+on+CVE-2014-6271+Vulnerability+in+bash+shellshock+/18707

サイバーセキュリティを変える貢献者は誰か:
2011年以降、SANSは、情報セキュリティまたはそれを越えて革新的でスキルのある 人々を表彰している。2014年の受賞者は12月13日にSANS Cyber Defense Initiative Conferenceで発表される。SANSでは、表彰に値する2014年の優れた製品やサービス を募集している。ノミネート方法の詳細はこちら
http://www.sans.org/cyber-innovation-awards
またはtrends@sans.org へ直接メールを送信してほしい。


────────────────────────────

■■SANS NewsBites Vol.16 No.074-075
(原版: 2014年9月16 日、19 日)

────────────────────────────

◆ 米電力網がサイバー攻撃のみで揺るぐことはない(2014.9.10)

電力インフラなどに詳しい専門家によると、米国の電力網はサイバー攻撃だけで 停止することはないと述べた。攻撃により多数の電力会社ネットワークへアクセス される可能性は否定できないが、サイバー攻撃のみで電力網を長期間停止させる ことはないという。

http://www.politico.com/story/2014/09/power-grid-safety-110815.html

【編集者メモ】(Murray)
電力網は、ひとつの障害が発生しても影響がないように設計されている。毎日の ように何百という部品が故障しているが、電力網は復旧力(レジリエンス)に 長けており、障害が発生しても数秒単位で自動的に対処されるようになっている。 それでも稀に20年に1度くらいの頻度で多数の部品が同時に故障することがあり、 その場合は電力網の大半を停止するように設計されているのだ。驚くことに、 このような状態が起きても、数十時間で再始動可能なように設計されている。 サイバー攻撃対策の議論によって、き短時間で交換することができない重要な 部品や機器を特定することができたのであり、部品庫に保管しておくべき部品 などが明らかになったことは非常によいことだ。今後は、このような部品や機器 への依存を削減し、交換にかかる時間を削減するようになるだろう。

────────────────

◆ 対応済みIEの脆弱性が悪用され、米軍Webサイトが攻撃される(2014.9.11)

Microsoft社が9月のセキュリティアップデートで対応したIEの脆弱性は、米軍の Webサイトを攻撃するのに悪用されていた。この攻撃の結果、軍の機密情報が 盗まれたとされている。この脆弱性のコンセプト実証コードは2013年4月に公開 されていたものだが、このコンセプト実証コードが利用された結果、2014年2月に、 米軍の海外派兵退役軍人会のWebサイトを使った水飲み場攻撃が行われた。 専門家によると、攻撃の目的は同サイトへの訪問者へマルウェアを感染させる ことが考えられるという。

http://www.csoonline.com/article/2607297/data-protection/microsoft-patch-fixed-ie-flaw-used-against-u-s-military.html

【編集者メモ】(Paller)
最も効果的な攻撃経路は、公開済みの脆弱性を介した攻撃だと言える。つまり、 ベンダはパッチを提供しているが、ユーザ側で実装されていない状態の脆弱性を 悪用することだ。

────────────────

◆ 米上院による調査、中国から国防総省主要ネットワークへの不正侵入が明らかに(2014.9.17-18)

最近米上院が公表した調査報告書によると、中国政府が米国の航空会社や軍事契約 企業のコンピュータシステムへ不正侵入をしていたことが明らかになった。侵入 された回数は、年間を通じて20回以上にも上るほか、航空会社のコンピュータに マルウェアがアップロードされたこともあったと言う。

http://www.bbc.com/news/technology-29250959
http://www.theregister.co.uk/2014/09/18/china_hacked_us_army_twenty_times_in_one_year/
http://www.businessweek.com/news/2014-09-17/chinese-hackers-infiltrate-u-dot-s-dot-military-contractors
http://www.csmonitor.com/World/Security-Watch/Cyber-Conflict-Monitor/2014/0917/Chinese-hackers-penetrating-key-computer-networks-for-Pentagon-video
http://www.nextgov.com/defense/2014/09/attention-defense-contractors-youve-been-hacked-china/94313/?oref=ng-channelriver
http://www.stripes.com/news/pacific/china-frequently-hacks-transcom-contractors-computers-probe-finds-1.303518

【編集者メモ】(Pescatore)
報告書原文を全読した。(技術的な部分は)かなり編集されていたので、攻撃が 成功した理由、つまり悪用された脆弱性についての説明は皆無だった。報告書で 強調されていたのは、「中国から攻撃されており、だれも政府に報告しなかった」 ということだ。想像するところでは、侵害された8割以上は(ベライゾンのデータ 侵害報告書にある毎年の指摘事項と同様に)、単に既知の脆弱性が悪用されたもの だろう。問題なのは、どこから攻撃されたかではない。攻撃されるセキュリティ ホールを塞ぐしかないのだ。そうすれば、攻撃されても侵入されることはないし、 侵入を試みた形跡がわかるようになるのだから。

────────────────

◆ iOS 8では、Apple社からのデバイスデータへのアクセスを禁止(2014.9.18)

Apple社は、最新のモバイルOSであるiOS 8が動作しているデバイスから、司法当局 の要請によるデータ収集を可能にする機能を排除したと発表した。iOSの暗号を 改良し、所有者以外はデバイスに保存したデータへアクセスできないようにした。 iCloudなどに保存されているデータについては、司法当局の要請があればApple社 は当局へ提出できる。Apple社はデバイスに保存されたデータへアクセスできない が、警察当局は表向きにはデバイスがロックされていても、データを取得できる 可能性は残されている。

http://www.washingtonpost.com/business/technology/apple-will-no-longer-unlock-most-iphones-ipads-for-police-even-with-search-warrants/2014/09/17/2612af58-3ed2-11e4-b03f-de718edeb92f_story.html
http://www.wired.com/2014/09/apple-iphone-security/

【編集者メモ】(Pescatore)
Googleが広告収入に依存しており、製品やサービス利用者の情報を販売して収益を 上げているので、Appleはプライバシー保護で差別化するようだ。プライバシーは セキュリティとは異なるが、方向性としては同じと考えてよく、司法当局の立場 からすれば大変不便なことだ。国家のインテリジェンス機関や司法当局が、金庫の 暗証番号を取得するために金庫製造会社に問い合わせすることを想像してほしい。 金庫製造会社は番号を解読できず、裁判所に申請して、所有者から暗証番号を 取得しなければならない。電話、PC、タブレットなども金庫と同様であるべきだ。 ユーザの立場からみると、この機能を利用するにはパスコード機能を有効にする 必要があるが、パスコードそのものを忘れてしまうと、データを失うことになる。 その対策として、データをクラウドにバックアップすれば、政府はクラウドの サービスプロバイダからデータを取得できるようになる。iCloudについては、 最近多少改善されたが、安全性に関する評価は低い。最終的にAppleの今回の方針 は正しい方向ではあるが、司法当局対策のみならず、セキュリティ機能についても 差別化要因にするべきである。
【編集者メモ】(Ullrich)
最近のiOSとApple Payのアナウンスにより、Appleはプライバシー機能を競合他社 との差別化ポイントとした。成功すれば、他社にはよい例になるだろう。ただし 消費者行動研究においては、消費者はプライバシー強化機能に対価を支払うことを 嫌がるとしており、調査結果を覆すことになるかどうか興味深い。

────────────────

◆ eBayのオークションページに対するクロスサイトスクリプティング攻撃(2014.9.17-18)

eBayが攻撃され、他のeBayユーザが複製された攻撃用ページをクリックして ログイン情報を盗まれるという事件が発生した。攻撃対象となったのは、iPhoneの オークションページを閲覧しているユーザだということが判明している。

http://www.scmagazine.com/ebay-addresses-xss-issue-affecting-auction-page-visitors/article/372422/
http://www.bbc.com/news/technology-29241563
http://www.ibtimes.co.uk/iphone-6-buyers-risk-ebay-vulnerability-1466039

【編集者メモ】(Ullrich)
クロスサイトスクリプティングは、防ぐのも難しいが、その影響度が軽視される 傾向にある。XSSの脆弱性により、攻撃者にページをコントロールされると、その ページを閲覧する利用者が被害に遭うことになるのだが。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「クラウドを安全に利用するには」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
DropboxやGoogle Driveといったクラウドサービスは、データの保存と管理に
便利な反面、実際のデータの所在が不明であったり、データ消失時の補償など
考慮しなければならない問題が複数あります。今月号では、クラウドの安全な
利用方法だけではなく、サービス・プロバイダーの選択ポイントなどについて
一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツールとしてお
使いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#september2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

────────────────────────────

■■SANS NewsBites Vol.16 No.076-077
(原版: 2014年9月23日、26日)

────────────────────────────

◆ サイバーセキュリティの焦点を「レジレンス」に(2014.9.22)

サイバーセキュリティの専門家は、防止策よりもレジレンス(回復力)を重視する 方が、説得力があると述べた。米国家安全保障局(NSA)局長であり、サイバー軍 司令官のロジャー中将は、これからの課題について「侵入されるのが当然という ある種の機能低下の状況において、自信を持ってシステム運用するには、外部から 侵入されることを防ぐよりも、侵入された後に何をすべきかが重要だ」と述べた。

http://www.federaltimes.com/article/20140922/CYBER/309220008/IT-security-shifts-from-prevention-resiliency

【編集者メモ】(Weatherford)
レジレンスは、サイバーセキュリティの今後の大きな課題となる。負傷しても戦い を継続できる能力を持つことが今後の組織力の差となるだろう。セキュリティ事件 が発生した場合に、適切に対応できる組織と、発生後に何が起きたかも特定できず に断片情報を拾い集める組織が出てくることが予想される。
【編集者メモ】(Murray)
この考えを最初に聞いたのは3年前だが、私もこの考え方に賛同する。ただし、 レジレンスを強化するには、「防止策」も当然のように必要なことを忘れてはなら ない。
【編集者メモ】(Honan)
レジレンスを重視することで、サイバーセキュリティの考え方が変わるだろう。 セキュリティ事故を単純に技術的な問題として取り扱うのではなく、ビジネス的に 乗り越えることが焦点となる。このようなアプローチをとることで、セキュリティ 事故が起きた場合に、企業幹部はビジネス的な観点から各種課題に対する決定が 可能になる。

────────────────

◆ ホーム・デポ社、セキュリティ問題を無視(2014.9.19-22)

ホーム・デポ社の元社員によると、経営側は社内のセキュリティ部門がシステムの 脆弱性による攻撃を受ける可能性を警告していたにも関わらず、その警告を無視 していたと語っている。セキュリティ部門の担当者は、深刻な問題が存在する中、 会社の対応があまりに遅いために退職したものもいるという。同社では、利用して いるアンチウイルスソフトウェアが非常に古くなり、重要システムに対する定期 検査も実施されていなかった。セキュリティ部門に採用されたエンジニアは、 前職においてネットワークへ危害を与えたとして服役中でもある。

http://www.nytimes.com/2014/09/20/business/ex-employees-say-home-depot-left-data-vulnerable.html
http://www.theregister.co.uk/2014/09/22/home_depot_ignored_staff_warnings_of_security_fail_laundry_list/
http://arstechnica.com/security/2014/09/home-depot-ignored-security-warnings-for-years-employees-say/

【編集者メモ】(Murray)
ここで注意してほしいのは、このような問題はホーム・デポ社の問題だけではない ということだ。ホーム・デポ社は、各店舗においてPOS端末を利用している企業の 一つにすぎない。読者の中でリテール業界の人がいるなら、是非ともベライゾンの データ侵害レポートを参考にしてほしい。例えば、リモートアクセス環境における 強度のある認証、POSシステムのプログラムコンテンツへの書き換え制限や、POSの システムから外部送信されているPCIデータの監視などだ。これらのセキュリティ 対策は、クレジットカード番号の不正利用を防ぐためにデジタルトークンなどの 基本的なコントロールを導入していても必要になるものだ。
【John Pescatoreの特別コメント】ホーム・デポ社流出事件から学ぶこと
ホーム・デポ社における「史上最大の流出事件」において、次々と情報が明らかに なっている。許可済みソフトウェアと未許可のソフトウェアに対するインベントリ 管理といったシンプルな対策(Critical Security Control 2推奨項目)が実行 されているだけでも、この問題は防げたはずだ。
Cyberpoint社は、Cyber Value at Risk toolを使って、ホワイトリストの使い方を 説明し、ホーム・デポ社の想定被害総額24億ドルを防止できたと思われる策も説明 している。私は、ホーム・デポ社がホワイトリスティングを導入した際のコストを 2500万ドルであると見積もっている。Cyberpoint社とCyberVaR社のレポートは、 以下のサイトから確認できる。

http://www.cyberpointllc.com/products/docs/CyberVaR_ScenariosAndSolutions_05.pdf
John Pescatoreの分析
http://blogs.sans.org/security-trends/?p=3097

────────────────

◆ 元ホーム・デポ社セキュリティ設計担当者、前勤務先のネットワークを侵害した罪で服役中(2014.9.22)

ホーム・デポ社の前セキュリティ設計担当者であるRicky Joe Mitchellは、以前の 勤務先ネットワークを侵害した罪で現在4年の実刑に服している。Mitchellは、 2012年に同社へ転職し、2013年3月にはシニア・セキュリティアーキテクトに 就任した。Mitchellは前職のEnerVest Operating社でリストラ対象となったことに 腹を立て、2012年6月にEnerVest Operating社のネットワークに対して意図的に 危害を加えた罪で2014年1月に有罪判決を受けていた。具体的には、リモートで 同社のサーバにアクセスして、サーバを工場出荷時の状態にリセットした上に、 就業時間後にオフィスに入室して、機器冷却システムを停止させたというもの。 Mitchell受刑者は2013年7月に起訴されたが2014年1月に実刑判決が下りるまでは、 ホーム・デポ社の社員であったという。

http://arstechnica.com/security/2014/09/home-depots-former-security-architect-had-history-of-techno-sabotage/
Mitchell 被告の起訴状:
http://www.bradreese.com/blog/8-20-2013.pdf
Mitchell被告の嘆願書:
http://www.justice.gov/usao/wvs/press_releases/Jan2014/attachments/012814_Mitchell_Plea.html
Mitchell被告への判決:
http://www.justice.gov/usao/wvs/press_releases/May2014/attachments/0520143_Mitchell_Sentence.html
────────────────

◆ サイバー攻撃だけで米国電力網に打撃を与えることはできるのか

米国電力のCSO、NERCのCSO、そして最も信頼されているとされるホワイトハウス 顧問のMichael Assante氏がこの質問に答えている。Assante氏は、サイバー攻撃 だけでは電力網を停止させないために、電力エンジニアとITセキュリティ専門家に 必要なスキルを定義し測定する国際コンソーシアムを取りまとめてもいる。

http://www.politico.com/story/2014/09/power-grid-safety-110815.html

────────────────

◆ bashの脆弱性、「ShellShock」(2014.9.25)

カーネルとの対話を実施できるシェルの最も有名なソフトウエアbashに存在する 脆弱性は、今年前半に公開されたハートブリードの脆弱性よりも深刻であると 言われている。この脆弱性は、「ShellShock」と呼ばれており、リモートから 脆弱なシステムを掌握できるとされており、影響を受けるUnixおよびLinux系 システムは5億台とも言われている。bash(別名: GNU Bourne Again Shell)は、 多くのUnixシステムで採用されているシェルであり、US-CERTはシステム管理者に 対して早急にパッチを適用するように推奨している。しかし、公開されたパッチが 不完全であるとする指摘もあるので、注意が必要である。

http://www.bbc.com/news/technology-29361794
http://www.csmonitor.com/Innovation/Latest-News-Wires/2014/0925/Cybersecurity-What-is-the-Bash-Shellshock-bug
http://krebsonsecurity.com/2014/09/shellshock-bug-spells-trouble-for-web-security/
http://arstechnica.com/security/2014/09/concern-over-bash-vulnerability-grows-as-exploit-reported-in-the-wild/
https://www.us-cert.gov/ncas/current-activity/2014/09/24/Bourne-Again-Shell-Bash-Remote-Code-Execution-Vulnerability

【編集者メモ】(Northcutt)
SANSが受け取った推奨項目は、不審な添付ファイルに注意するというものだった。 これはShellShockに限らず、普段から心がけたいものだ。

────────────────

◆ 「ShellShock」の脆弱性を悪用する実攻撃(2014.9.25)

メディアによると、ShellShockの脆弱性を悪用する攻撃は、すでに世界中のサーバ に対して実施されていると報告している。

http://www.eweek.com/security/linux-malware-uses-shellshock-flaw-to-infiltrate-web-servers.html
http://www.zdnet.com/first-attacks-using-shellshock-bash-bug-discovered-7000034044/
http://www.wired.com/2014/09/hackers-already-using-shellshock-bug-create-botnets-ddos-attacks/

────────────────

◆ 「ShellShock」の脆弱性によるオープンソースソフトウェアへの影響(2014.9.25)

ニューヨークタイムズ紙に掲載されたNicole Perlroth氏の記事で、bashによる 脆弱性の影響が説明されている。この記事の中で最も注目すべきは最後の段落で、 「オープンソースの世界におけるマントラは、オープンソース先駆者の一人である Eric S. Raymond氏が1997年に寄稿した『多くの目にさらされることで、全ての バグは些細なものになる』という一言に凝縮されている。ただし、今回のような 致命的な脆弱性が発見されたことで、コロンビア大学のコンピュータ工学教授 Steven M Bellovin氏は、「多くのエンジニアの目は品質よりも新機能開発に 向けられている」と指摘した。さらに「品質向上は、骨の折れる仕事で、設計、 レビュー、検証といった作業が必要になるが、コーディングと比べると地道で 楽しい作業ではない。オープンソースコミュニティにおいて品質確保をするスキル が改善されなければ、品質面において後塵を拝することになるだろう」と述べた。

http://www.nytimes.com/2014/09/26/technology/security-experts-expect-shellshock-software-bug-to-be-significant.html?ref=technology&_r=0

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月22日(水)、11月18日(火)、12月12日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=06

○10月23日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【東京】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=13

○10月29日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【大阪】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18

○11月20日(木)~21日(金)、2015年2月4日(水)~5日(木)
【セキュアEggs】IT+セキュリティ基礎:2DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=19

○11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○2015年2月25日(水)
【セキュアEggs】インシデント対応 :1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=20

○2015年2月26日(木)
【セキュアEggs】フォレンジック:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=21
────────────────

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます