NRI Secure SANS NewsBites 日本版

Vol.9 No.41 2014年10月22日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.41 2014年10月22日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────



────────────────────────────

■■SANS NewsBites Vol.16 No.082-083
(原版: 2014年10月14日、10月17日)

────────────────────────────

◆ アカウント情報は他のサービスから窃取されたとDropboxが公言 (2014.10.13)
先日のPastebin の投稿には、大量の Dropbox アカウント情報が含まれており、 数百万ものアカウントに関する情報を取得したと記載されていた。そのうち、 いくつかの情報は確かに有効なアカウントだと見られており、Dropbox はPastebin に掲載されていたアカウントをリセットしている。Dropbox によると、直接攻撃を 受けたわけではなく、アカウント情報は他のサービスから奪取されたものだという。

http://arstechnica.com/security/2014/10/7-million-dropbox-usernamepassword-pairs-apparently-leaked/

【編集者メモ】(MurrayとHonan)
Dropbox の主張が正しいのであれば、影響を受けるのは複数のオンラインサービス で同じパスワードを使いまわしているユーザのみである。(自分かどうか…分かり ますよね!) 。Dropbox のユーザは、2段階認証を利用することを推奨したい。 今回の件に限らず、すべてのインターネットユーザは、複数の認証機能を組み合わ せて提供するオンラインサービスを使うようにするべきだろう。

────────────────

◆ 米国の製造会社が数か月にわたり攻撃を受けていた (2014.10.10)
米国国土安全保障省(DHS) の ICS-CERT(Industrial Control Systems Cyber Emergency Response Team) が四半期ごとに発行するニュースレターによると、 米国のとある製造会社が数か月にわたりサイバー攻撃を受けていたことを明らかに した。組織名は明かされていないが、「ここ数年で買収された、いくつかの企業が 集まった複合企業」であり、これによってネットワーク接続数が増えた事が攻撃を 受けた原因とされている。

http://www.nextgov.com/cybersecurity/2014/10/dhs-attackers-hacked-critical-manufacturing-firm-months/96317/?oref=ng-channeltopstory
https://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_May-Aug2014.pdf

【編集者メモ】(Assante)
複雑なネットワークは、攻撃者にとって目的を果たすための活動に自由を与える チャンスとなる例だ。このことは、SANSのメッセージを米国政府伝える良い機会 でもある。それはインターネット接続のポイントを限定するべきだという提案で ある。セキュリティのプロは、「自身を知り」、その結果として、より簡素で 効率的な、正しく分割されたネットワークを作ることの重要性を知っているの だから。
【編集者メモ】(Honan)
最近、とある大企業の CISO と興味深いディスカッションをした。資産を守るため にすべての資産を洗い出すのは良いアドバイスだが、様々な買収・売却などを経た 大きな複合企業には、このタスクは非常の難しいと彼は語った。役員は、自組織の サイバーリスクを正しく認識することで、買収などの際に気にしなければならない サイバーリスクを早い段階で把握することができる。これまでは、すべてのプロ ジェクトでセキュリティを入れ込むことに注力してきたが、今後は、すべてのビジ ネス戦略に基礎を置いて根付かせる必要があるだろう。
【編集者メモ】(Henry)
私が FBI にいた頃、調査官は大企業を訪問して侵入の事実を知らせていたが、 ほとんどの企業は侵入されていたことを知らなかった。詳細な調査を行うと、 ほとんどの企業が数か月、数年にわたって侵入されていたことが発覚することは 珍しくなく、合併や買収がそのトリガーであったケースも多々見られたものだ。 新たなネットワークを管理下に置くことということは、大きな負債を抱える可能性 がある。通常、家を買う前にシロアリがいるか否か事前にチェックするのに、 ネットワークを取得するにあたり、似たようなチェックをしないのはなぜなの だろうか。

────────────────

◆ White House がサイバーセキュリティに関する法律のオプションを検討中 (2014.10.9)
White House のサイバーセキュリティコーディネーター、マイケル・ダニエル氏 によると、一つの総合的な法案を議会に通すのではなく、問題点があるところを サポートする複数の小さな法案に注力していきたいとしている。政権は、国土安全 保障省 (DHS) が民間企業と連携を行い、攻撃からシステムを守るための法案を 求めており、この法案に政府機関と DHS の連携についても明確にすることを盛り 込みたいと考えている。

http://www.usatoday.com/story/news/politics/2014/10/09/cybersecurity-white-house-michael-daniel-password/16967511/
http://www.federaltimes.com/article/20141013/CYBER/310130008/White-House-working-around-cyber-bill-impasse?odyssey=mod|newswell|text|IT|p

【編集者メモ】(Murray)
私も、一つの総合的な法案より、特定の分野にフォーカスした複数の法案に注力 する戦略を支持する。このような法案の方が議員は理解しやすいし、立案しやすい と考えるからだ。また、法律にすることで期待される結果を得やすくなり、意図 していない結果が出るリスクも軽減することができるだろう。

────────────────

◆ ホワイトハウスがChip and PINの使用を求める大統領命令を発行 (2014.10.17)
金融取引に関する情報や機密な情報を守るための取り組みに関する大統領令が発行 された。この大統領令には複数の取り組みが含まれているが、連邦政府が今後発行 するクレジット・デビットカードにChip and PINを実装することで、大統領令に よって支払いに関する情報を守るための取り組みの模範となり、民間にも広がる ことも期待されています。

http://www.whitehouse.gov/the-press-office/2014/10/17/fact-sheet-safeguarding-consumers-financial-security

【編集者メモ】(Pescatore)
政府関連の POS をChip and PINに移行することは良いのだが、あくまでもPOSのみ で、オンライン決済の対策は出されていないことを指摘しておきたい。強度ある 認証 (Building Public-Private Awareness About More Secure Authentication) の項目も同様に重要だ - 再利用可能なパスワードの利用を停止することで Chip and PINを採用するよりも、なりすましによる犯罪を効果的に防げると思われ る。今までの米国政府は一貫性の無い対応を取っており、あまりセキュアではない がユーザにとっては利便性の高い SMS を使った 2段階認証 - Google や Paypal、 Microsoft が採用している - を拒否し、時代遅れのスマートカードをベースに ソリューション (PIV) を提供している。過去に米国麻薬取締局は、規制薬物の電子 処方の際に利用する 2段階認証を実現する際、これを否した経緯がある - 今後PIVではない別のアプローチを再検討するいい機会になることを期待したい。

────────────────

◆ Bash/Shellshock に対応したパッチを適用しただけではシステムを守り切れない(2014.10.15)
Bash/Shellshock の脆弱性対応は、パッチを適用するだけで不十分とされている。 この脆弱性を攻撃するための手法は、脆弱性公開から一日も経過しないうちに公開 されていたことから、これらの攻撃によって、既にシステムを不正に変更されて いる場合、パッチの適用だけでは対応不十分の可能性があるという。これは、対策 が不十分だったパッチが一時的に公開されていたことが主な原因だと考えられて いる。攻撃者は、Bash/Shellshock の脆弱性を悪用して、Citibank のスペイン語 を話す顧客を標的にしたフィッシング攻撃を行い、ボットネットを構築していた ことが明らかになっており、このうち攻撃を受けた端末の多くでは Linux が稼働 していたという。このボットネットの C&C サーバは、現在活動を停止している。

http://arstechnica.com/security/2014/10/ghost-in-the-bourne-again-shell-fallout-of-shellshock-far-from-over/
http://www.scmagazine.com/bash-bug-used-to-assemble-botnet/article/377504/

【編集者メモ】(Murray)
3週間前までは、Bashのコードが他のコードよりも安全かどうかという情報は、 特に必要も無かったものであっただろう。Bashのように、これまで意識することが なかった環境やプラットフォームにおいて問題が発見されているのは、誰かが 脆弱性を探しているからなのだろうか。少なくとも、今回のBashの問題に関しては、 攻撃側も防御側もここが主戦場だと考えているからなのだろう。

────────────────

◆ 戦地で利用されるシステムの調達プロセスにサイバーセキュリティ要件が追加される (2014.10.14)
戦地で利用されるシステムやコンポーネントの調達プロセスには、今後サイバー セキュリティの要件が追加されることになる。兵器プラットフォームやシステムは セキュアでなければならず、システムにセキュリティを実装しないことは、「敵に アドバンテージををこちらから与えている」に等しいと考えるからだという。

http://www.nextgov.com/cybersecurity/2014/10/pentagon-needs-build-cybersecurity-acquisition-process/96461/?oref=ng-channelriver

【編集者メモ】(Pescatore)
既にSTIG や NSA といった様々なガイドラインや DoD のシステム構築・設定に 関するガイダンスがあるのに、セキュリティレベルが依然として低いのはなぜ だろうか。現実味のある攻撃を防ぐことを最優先事項とするアプローチが欠落して おり、「セキュリティ的に何でも守る」というアプローチが、結果として$5,000 もする美味しくないコーヒーを作るコーヒーポットの開発に繋がっているのだろう。
【編集者メモ】(Murray)
セキュリティ要件は、他の要件を犠牲にした上でシステムに組み込まれるので、 単体で考えてはいけない。他の要件と同列に扱い、セキュリティに優先順位を付け て対応しなければならないのはそのためだ。その時にはじめて、コストや制限など を理解できるようになるだろう。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月22日(水)、11月18日(火)、12月12日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=11

○10月29日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【大阪】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=12

○10月29日(水)
 PCI DSS 3.0 準拠対応 総合セミナー
http://www.nri-secure.co.jp/seminar/2014/1029.html?xmid=300&xlinkid=13

○11月20日(木)
 ECサイトに今必要なセキュリティ対策とは?
 ~激化するサイバー攻撃から情報を守る事例紹介~
http://www.nri-secure.co.jp/seminar/2014/1120.html?xmid=300&xlinkid=14

○2015年1月21日(水)、2月19日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【東京】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=16

○11月20日(木)~21日(金)、2015年2月4日(水)~5日(木)
 【セキュアEggs】IT+セキュリティ基礎:2DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=17

○12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=18

○12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=19

○2015年2月25日(水)
【セキュアEggs】インシデント対応 :1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=20

○2015年2月26日(木)
【セキュアEggs】フォレンジック:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=21

○2015年2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=22

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=25
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます