NRI Secure SANS NewsBites 日本版

Vol.9 No.4 2014年1月29日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.4 2014年1月29日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
  ━┛━┛━┛━┛━┛
                 = SANS TOKYO 2014 =
  http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01
 【SEC401】2014年2月24日、25日、3月5日、6日、18日、19日 [6日間]<NEW!>
  :SANS Security Essentials Bootcamp Style
  (SANSトレーニングの中で最もポピュラーなコース)

 【FOR508】2014年2月17日~22日 [6日間]
  :Advanced Computer Forensic Analysis and Incident Response
  (APTを含む標的型攻撃に対抗するデジタルフォレンジックを学ぶ6日間)

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛



────────────────────────────

■■SANS NewsBites Vol.16 No.006-007
 (原版: 2014年1月21日、24日)

────────────────────────────

◆Target社を狙ったマルウェアと関係者が判明(2014.1.17-20)

Target社の情報漏洩事件で利用されたマルウェアについて、そして犯行を行っ た容疑者について、より詳しい情報が明らかになってきた。カリフォルニア州 のセキュリティ会社により、犯行に利用されたマルウェアの作成に関わったと されるロシア国内に住む2名が特定された。利用されたのはKaptoxaと呼ばれる マルウェアで、BlackPOSと呼ばれるハッキングツールを改良したもので、同じ タイプのマルウェアはNeiman Marcus社の決済システムへの侵入にも利用された。

http://www.computerworld.com/s/article/9245568/Two_coders_closely_tied_to_Target_related_malware?taxonomyId=17
http://investigations.nbcnews.com/_news/2014/01/17/22341717-thieves-tweaked-off-the-shelf-malware-for-target-data-heist-security-firm-says
http://www.wired.com/threatlevel/2014/01/target-malware-identified/
http://www.scmagazine.com//report-indicates-kaptoxa-operation-led-to-massive-retailer-breaches/article/329945/

【編集者メモ】(Murray)
実際の侵入経路は管理者用認証情報を取得した方法(Verizon DBIRによる)で あり、実際の攻撃対象はWindowsで稼動していた社内決済システムサーバ(店 頭のPOS端末ではない)であるだろう、と予測されているが確証はない。マル ウェアで最も興味深いのは、アプリケーション特有のコードではなく、システ ムコードを悪用してアプリケーションのトラフィックにアクセスしていたとい うことだ。

【編集者メモ】(Honan)
セキュリティ企業はセキュリティ事件の調査をマーケティングとして行ってい るような傾向がある。このような調査結果を公開する前に司法当局と調整し、 司法当局の進行中の捜査を妨害することがないようにするべきだ。ニュース性 よりも犯罪者逮捕が優先されるべきである。

────────────────

◆小売り業者6社におけるデータ盗難被害(2014.1.17)

Target社やNeiman Marcus社を狙ったデータ盗難事件において、被害は6社に及 んでいることが判明した。同じマルウェアが利用されているらしい。ただし被 害にあった会社名については現在公開されていない。

http://www.govinfosecurity.com/6-more-retailers-breached-a-6407
http://news.cnet.com/8301-1009_3-57617447-83/targets-data-breach-yes-it-gets-worse/
http://www.computerworld.com/s/article/9245531/Six_more_U.S._retailers_hit_by_Target_like_hacks?taxonomyId=17

────────────────

◆偽造クレジットカード所持で2名を逮捕(2014.1.20)

テキサス州では、偽造クレジットカード90枚を保持していたとして2名が逮捕 された。カードはTarget社事件で盗難された情報を使って偽装されたカードで あるとされている。


http://www.seattlepi.com/news/texas/article/2-nabbed-at-Texas-border-in-credit-card-fraud-case-5160888.php
http://www.latimes.com/business/la-fi-target-arrests-20140121,0,728960.story#axzz2r1DhIHVv

【編集者メモ】(Murray)
今回の漏洩事件でTarget社がさらし者になっているが、クレジットカード番号 のPIN番号が再生可能であるという根本的な脆弱性は、Target社の責任ではな い。これはクレジットカード発行業者とカードブランドの業界全体の問題であ り、小売り業者の問題ではないのだ。今回の盗難事件により、再生防止の技術 が導入されることが明確になっただろう。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「自宅ネットワークを安全にする」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 最近の自宅ネットワークは複雑になってきました。接続する端末が多様化
 しただけでなく、その用途の幅も広がってきました。
 今月号では、自宅ネットワークを安全にする基本的な方法について、一般
 のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
 http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆米国務省の監査官が指摘したセキュリティ問題への対応はされず(2014.1.16)

監察総監室(OIG)の報告書によると、「国務省の情報システムのセキュリティ プログラムには、多大な影響があるものや繰り返し指摘されている脆弱性が存 在している」という。また、監査官は、前回の監査で発見されたセキュリティ の問題に対応されていない状態を強く非難した。

http://www.govinfosecurity.com/ig-state-department-security-program-weak-a-6405
http://oig.state.gov/documents/organization/220066.pdf

【編集者メモ】(Murray)
監査人は、過去の監査で指摘した事項から指摘する。監査人は、「コンプライ アンス」重視がどのようにセキュリティに影響を与えているかまで評価できる ほどの能力はない。

【編集者メモ】(Paller)
s 10年近く、国務省の監査人や個別監査をするために契約されたセキュリティ企 業の監査人は、間違ったことに注力しすぎており、結局組織は脆弱な状態のま ま取り残されている。これはスキルの問題だ。実際の攻撃手法に関する技術的 知識が欠けているため、防御策が十分であるか認定できない。もし、組織に情 報漏洩が発生した場合に、その組織を監査した監査人の支援不足が指摘される ようになれば、もっと真剣になるかもしれない。

────────────────

◆Neiman Marcus社情報流出事件の追加情報(2014.1.23)

高級百貨店Neiman Marcus社は、最近店舗のPOSシステムより約110万件のカー ド情報が漏洩していたことを、同社のWebサイトで公表した。情報漏洩が起き たのは2013年7月16日から10月30日にかけてである。漏洩について公表されて いるWebページのFAQでは、「Target社との漏洩事件と関係はない」しているが、 両事件で利用されたマルウェアは同じ種類と考えられている。

http://www.zdnet.com/neiman-marcus-1-1-million-cards-compromised-7000025513/
http://www.nytimes.com/2014/01/24/business/neiman-marcus-breach-affected-1-1-million-cards.html
http://www.neimanmarcus.com/NM/Security-Info/cat49570732/c.cat?icid=topPromo_hmpg_ticker_SecurityInfo_0114

【編集者メモ】(Murray)
Target社もNeiman Marcus社も公表する際に「POS」という言葉を使っているが、 公開されている情報が非常に限られており、公開されている情報からはWindows ベースのマルウェアがPOSシステムに感染していたとは予測しづらくなっている。 おそらくサーバもPOSシステムの一部と考えていることから、このような説明 になっていると思われるが、非常にわかりにくく、誤解も招きやすい。侵害経 路は、おそらく決済システムサーバの特権ユーザの認証情報に関係しているだ ろう。このような攻撃の方法は、Verizon社が公開しているData Breach Investigations Reportにも説明されている。今後の適切な対応としては、特 権ユーザに対する認証を強化し、システムのソフトウェアに変更を加える場合 には、2段階または2名以上による手順を採用すべきだ。

【編集者メモ】(Paller)
犯人はおそらくWindowsベースのPOSシステムを攻撃したのは確かだが、最初の 侵入経路は違うだろう(可能性があるのはワイヤレス経由によるSQLインジェ クション攻撃だ)。Murrayが提案している対応策も暫定的には有効であるが、 恒久策としては、欧州のようにチップを使ったクレジットカードに移行するこ とだろう。残念ではあるが、クレジットカード会社は詐欺行為によっても利益 があがる。損をするのは小売り業者のみだ。小売業者が結束し強い態度をもっ て、クレジットカード会社に対してチップ採用を求めない限りは、何も変わら ないだろう。

────────────────

◆中国のインターネットトラフィックが一時的に米国のアドレスに大量転送(2014.1.22)

今週初め、多くの中国のWebサイトは、訪問者を米国企業が提供している空白 ページへとリダイレクトされていた。中国のインターネットユーザは、中国ま たは国外にホスティングされている.com、.net、.orgなどドメインのサイトに アクセスできない状態となったほどである。.cnドメインへの影響はなかった。 この状態は数時間継続しただけで、それほど長い時間にはならなかったが、利 用者はしばらくの間キャッシュされたページにアクセスする状態になったため、 実際には長く感じていたようだ。中国当局は、今回の事件は攻撃によるものと 述べているが、実際には国の検閲システムの管理方法に起因していると考えら れている。一時的に利用者がリダイレクトされたページは、中国によるインター ネット検閲プログラムに対して迂回サービスを提供している会社が運用してい るものであった。

http://www.zdnet.com/cn/china-websites-suffer-breach-in-suspected-attack-7000025431/
http://arstechnica.com/security/2014/01/hack-most-likely-not-the-reason-chinese-traffic-bombarded-us-addresses/
http://www.nextgov.com/cybersecurity/2014/01/chinese-censors-may-have-accidentally-hacked-themselves-and-caused-major-internet-outage/77297/?oref=ng-channeltopstory
http://www.computerworld.com/s/article/9245626/China_blames_Internet_outage_on_hacking_attack?taxonomyId=17
http://bits.blogs.nytimes.com/2014/01/22/big-web-crash-in-china-experts-suspect-great-firewall/

【編集者メモ】(Pescatore)
これは市場最大のDoS攻撃と位置づけられるだろう。CNNICはDNSサービスの安 定化と安全化に投資すべきである。さらに、中国国家にとっての有害サイトを フィルタリングするためにDNSを犠牲にするのはいい加減にやめたほうがいい。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1月29日(水)
 セキュア開発ライフサイクルセミナー~脆弱性を作り込まない開発プロセス~
http://www.nri-secure.co.jp/seminar/2014/0129.html?xmid=300&xlinkid=07

○2月5日(水)
 特権ID管理/アクセス管理/ログ管理ツールセミナー~
 ~失敗しないための選定、導入、運用のポイント~
http://www.nri-secure.co.jp/seminar/2014/0205.html?xmid=300&xlinkid=08

○2月14日(金)
 モバイル・ソリューションセミナー
 ~スマートデバイスの活用、BYOD導入の課題と解決~
http://www.nri-secure.co.jp/seminar/2014/0214.html?xmid=300&xlinkid=09

○2月20日(木)、3月19日(水)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~マルチデバイスのグローバル一元管理と、BYOD活用について~
http://www.nri-secure.co.jp/seminar/2014/endpoint02.html?xmid=300&xlinkid=10

○2月27日(木)、3月20日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

────────────────


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。