NRI Secure SANS NewsBites 日本版

Vol.9 No.39 2014年10月7日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.39 2014年10月7日発行
**********************************************************************


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=19
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────



────────────────────────────

■■SANS NewsBites Vol.16 No.078-079
(原版: 2014年9月30日、10月3日)

────────────────────────────

◆中国政府、香港でのデモ発生によりソーシャルメディアを遮断(2014.9.29)

報道各局は、香港の民主派によるデモ活動が発生する中、Instagramが中国政府に より遮断されたと報じた。香港では、デモ活動の画像が数多く投稿されており、 警察がデモ参加者に対して催涙ガスや催涙スプレーを利用している様子なども写真 共有サイトに公開されている。

http://www.bbc.com/news/technology-29409533
http://money.cnn.com/2014/09/29/technology/instagram-blocked-china/index.html
http://www.zdnet.com/instagram-blocked-in-china-reports-7000034127/

【編集者メモ】(Ullrich)
中国では、携帯端末の普及が急速に高まっており、デモ活動の参加者たちは中央 政府が用意した既存のインフラに依存することなくコミュニケーションする方法を 見つけたようだ。Firechatなどのソフトウェアは、デバイス間でも直接通信できる ようになっている。

────────────────

◆ユーザの大半は「ShellShock」の影響を受けないとApple社が公言(2014.9.26)

Apple社によると、Macユーザの「ほとんど」は、最近話題になっているbashの 脆弱性「ShellShock」による影響を受けないと言う。Apple社はCNETに対して 「OS Xシステムはデフォルトで、安全な状態になっており、ユーザが一部のUnix サービスを有効にしていない限りリモートからの攻撃を受けることはない」 と答えたもの。

http://www.cnet.com/news/vast-majority-of-os-x-users-safe-from-bash-shellshock-bug-apple-says/
http://www.computerworld.com/article/2688535/two-scenarios-that-would-make-os-x-vulnerable-to-the-shellshock-bug.html bashの脆弱性に対応するOS X 10.9, 10.8, 10.7のアップデートリリース
http://arstechnica.com/apple/2014/09/apple-patches-shellshock-bash-bug-in-os-x-10-9-10-8-and-10-7/

【編集者メモ】(Ullrich)
Apple社のコメントは正しい。OS Xはデフォルトの状態で脆弱ではあるが悪用は 可能ではない。他の様々なLinuxディストリビューションと同様、DHCP経由では 攻撃は成功しないし、Webサーバはデフォルトでインストールされていない。 とは言え、Webサービスを追加して、OS Xを脆弱な状態にするのは難しいことでは ない。Apple社はShellShockの脆弱性2件に対応する更新プログラムをリリースして いるので、ユーザは、すぐに適用してほしい。ShellShockにおいては「脆弱な 状態」と「悪用可能な状態」を区別することが重要で、状態によって優先順位を 決める必要がある。

────────────────

◆Microsoft 社Trustworthy Computing Group解散、セキュリティの考え方に変化をもたらすか(2014.9.24-29)

Microsoft社は、Trustworthy Computing Group部門の人員削減を行った。解雇 されずに済んだ担当者は、セキュリティ、プライバシー担当として他の事業部門へ 異動となった。この再編により、同社製品におけるセキュリティへの意識が薄れる という懸念もあるが、各事業部門とセキュリティが融合するために変化をもたらす という意見もある。つまり開発の全ての段階でセキュリティを考慮することになる のではないかというものだ。

http://www.eweek.com/security/how-reorganization-might-change-microsofts-security-strategy.html
http://windowsitpro.com/security/microsoft-vp-scott-charney-outs-himself-architect-trustworthy-computing-changes

【編集者メモ】(Pescatore)
Microsoft社のTWC部門は、2002年1月にビル・ゲイツの社内メモによる指示を受け、 同社がセキュリティに注力し始めてから新たに設置された部門だ。当時Microsoft 社は市場からセキュリティ改善を要望される状況にあり、2001年はCode Redと Nimdaワームの拡散によって民間企業の多くが打撃を受け、Microsoft のブラウザ IEとWebサーバIISのシェアが低下していた。その状況において、同社のゲイツ氏は セキュリティに注目したが、2003年にSlammerやBlasterワームが拡散したことで、 プロダクトマネージャーや開発マネージャーへセキュリティの重要性を理解させる には数年の歳月が必要だということが明らかになった。TWC部門の存在よりも、 新CEOサトヤ・ナデラ自身は、新任のプロダクトマネージャーや開発マネージャー が同じようにセキュリティに注力しているかを確認する必要がある。
【編集者メモ】(Murray)
Windowsアーキテクチャは、オープン、汎用的、柔軟性に長け、多機能、下位互換 へのこだわりがある。このこだわりがあることで、安全なアーキテクチャの実現は 難しくなるが、低価格による大量販売には必要なこだわりだ。このこだわりは、 リストラ程度で変わるわけはない。ゲイツとバルマー時代に次ぐ次世代のリーダ シップに期待したいが、事業戦略そのものの変更も求められるだろう。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「セキュアに保つための5つのステップ」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ITが日々の生活で重要な役割を占めてゆく中で複雑さも増しています。
セキュアでいるための手法の詳細部分は変化していますが、自身を保護する
ためにできる基本的なことは、技術や利用場所に関わらず、変わっていない
のが現状です。今月は自身を守るための5つのステップについて一般ユーザ向け
に、分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201410_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆JP Morgan Chase: 漏えいは 7,600 万世帯に影響 (2014.10.2)
米国の証券取引委員会 (SEC) に対し、JPMorgan Chase は 7,600万件と数万の 企業に影響が及んだセキュリティ事故を報告した。漏えいしたデータの中には 電話番号、E-mail アドレスなどの情報が含まれていたが、口座の情報は含まれて いないとしている。また、新たに報道されているデータ漏えいについても否定 している。

http://www.nbcnews.com/tech/security/jpmorgan-chase-says-76-million-households-affected-data-breach-n217156
http://www.nbcnews.com/tech/security/jpmorgan-we-are-not-aware-new-cyber-attack-n216901
JPMorgan Chase SEC Filing:
http://archive.fast-edgar.com//20141002/AP22A22FZZ2RM2Z222TQ2CXQC7C8YZ22N262/

【編集者メモ】(Murray)
今回は、eBay で起きたセキュリティ事故の影響と比べて半分くらいであったが、 漏えいしたデータが簡単に変更できない個人情報であることが類似点であろう。 クレジットカード番号のように不正な取引で使用され、簡単にトラッキングや変更 できる情報とは違い、サポートデスクに対するソーシャルエンジニアリング、 不正なアプリケーション、および身元詐称などで使用されるおそれがあるにも 関わらず、変更が容易ではないばかりか、攻撃元をトラッキングしづらいものに なっている。
【編集者メモ】(Northcutt)
ウォール街の銀行がここ数年攻撃のターゲットになっているのは有名な話だ。 Kathy と私は、口座をここ一年の間に Morgan Stanley から移行しましたが、 先方は我々の 個人情報をPII をまだ保持しているようで、数か月の間に興味深い メールをいくつも受信することがありました。おかげでインターネットからの オファーに対して絶対に返信しないことを学習した結果、商材やサービスが必要な 場合は、自分から探しにいくようになりました。E-mail によるオファーは 100% 無視し、削除しています。

http://blog.creditcardslab.com/more-banks-and-wall-street-targeted-in-cyber-attacks.html
────────────────

◆ShellShock 問題を突く攻撃で NAS デバイスが影響を受ける (2014.10.2)
攻撃者は、ShellShockの脆弱性を使用し、ネットワーク接続型のストレージ (NAS) デバイスを攻撃しています。この攻撃によって、保存されているすべてのデータに アクセスされてしまう可能性があり、攻撃のターゲットとなっているのは、主に 日本と韓国にあるシステムだとされています。

http://www.darkreading.com/operations/shellshock-attacks-spotted-against-nas-devices-/d/d-id/1316285?
http://www.computerworld.com/article/2690796/security0/shellshock-attackers-targeting-nas-devices.html
http://www.v3.co.uk/v3-uk/news/2373493/hackers-using-shellshock-to-sneak-into-nas-systems

────────────────

◆FDA が医療機器に対するサイバーセキュリティガイダンスを発行 (2014.10.1)
米国の食品医薬品局 (FDA) が、医療機器に対するセキュリティガイダンスを発行 しました。ガイダンスでは、開発者に様々な推奨事項を掲げているほか「医療機器 の設計および開発におけるセキュリティのリスク」を考慮すべきとしています。 また、FDAは開発者に対してデバイスに存在するリスクとそれらを修正するための 対抗策、アップデートやパッチの提供時期などを報告することを推奨しており、 月末にワークショップを開催する予定です。

http://www.fda.gov/NewsEvents/Newsroom/PressAnnouncements/ucm416809.htm
http://www.scmagazine.com/food-and-drug-administration-finalize-guidelines-on-medical-device-security/article/374882/
http://www.usatoday.com/story/tech/2014/10/01/fda-medical-devices-cybersecurity/16543731/

【編集者メモ】(Assante)
FDA は、着手がなされていない産業プロセスや建造物の設計モデルについての検討 も始めたようだ。これらの環境にもサイバーを必須機能として取り込むことにより、 開発者は設計プロセスにおいてサイバーを意識し、その安全性についても考慮しな ければならないだろう。事前にセキュリティを考慮した開発を実施することは、 セキュアな製品であるという優位性だけではなく、利用者によるミスの影響を軽減 することも期待できるだろう。
【編集者メモ】(Henry)
このような動きが見られるのは大変喜ばしいことだが、ようやくという気がする。 医療の分野はリスクに対する認識が遅れており、製品のライフサイクルが通常5年 程度と言われているなかで、企画から設計、テスト、製造と販売という一連の活動 を中国企業は18カ月で行なっている。なぜなら、もっとも重要な企画と開発を米国 企業のカウンターパートから盗み出しているからであり、製造と販売に注力できる からだ。一般的な製品のライフサイクルから3年半を短縮することは、市場競争に おいて有利に立つことができ、米国企業のイノベーションを抑え機能不全に陥れる には充分すぎる時間である。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月22日(水)、11月18日(火)、12月12日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=06

○10月23日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【東京】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=13

○10月29日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【大阪】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月20日(木)~21日(金)、2015年2月4日(水)~5日(木)
【セキュアEggs】IT+セキュリティ基礎:2DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=19

○11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○2015年2月25日(水)
【セキュアEggs】インシデント対応 :1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=20

○2015年2月26日(木)
【セキュアEggs】フォレンジック:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=21

○2015年2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます