NRI Secure SANS NewsBites 日本版

Vol.9 No.42 2014年10月29日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.42 2014年10月29日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────


────────────────────────────

■■SANS NewsBites Vol.17 No.084-085
(原版: 2014年10月21日、10月25日)

────────────────────────────

◆ FedRAMP 規格に不適合でもペナルティー無し? (2014.10.15)
政府機関が、クラウド関連システムのセキュリティ規格に適合しなければならない 期限が7月5日であったにも関わらず、不適合の機関に制裁は加えないとされている。 Federal Risk and Authorization Management Program (FedRAMP) は、2011年の 終わりに規格として定められ、行政予算管理局 (OMB) によって、FedRAMP と Joint Authorization Board が 2011年に作られたが、どちらもFedRAMP 適合を 強制する権限を持っていないのが現状である。

http://www.nextgov.com/cloud-computing/2014/10/fedramp-toothless-unauthorized-cloud-systems-abound-agencies-igs-say/96569/

【編集者メモ】(Pescatore)
ここでは3つの発見があった。それは (1)2011年に連邦政府のCIOは「クラウド主義 法令」を発令している。当時はFedRAMPの発効前で、認可を受けたサービスが国内に 無かったこと、(2)OMBは、クラウドサービスに関する政府調達のための契約条項を 提示しなかったこと。さらに、(3)通常のシステムに関する監査を合格しない政府 機関は、クラウドサービスに関する監査も合格できないことである。最初の2つは、 「クラウド主義」が「セキュアなクラウド主義」より優先されたことが原因だと 言えるだろう。3つ目は、セキュリティを確保しましょう、という単なる宣伝に 過ぎない。
【編集者メモ】(Murray)
政府の規格は、作成者に説明責任が及ばないようにするため、消極的なトーンで 書かれている事が多い。結果として、規格が適用されるべき組織にも説明責任が 及ばないようになってしまっている。

────────────────

◆ 米小売のStaplesで情報漏えい (2014.10.20)
小売業界の中で、新たに Staples で情報漏えいが起きたことが分かった。 マサチューセッツ州を拠点にする事務用品販売のチェーンは、「問題の可能性」を 踏まえて関連機関と調整しており、警察にも連絡を行っているようである。米国 北東部にある銀行によると、漏えいは、ペンシルバニア州、ニューヨーク州、 およびニュージャージー州の店舗で起きたとしている。

http://krebsonsecurity.com/2014/10/banks-credit-card-breach-at-staples-stores/

【編集者メモ】(Honan)
多くの小売業社がサイバー犯罪の被害にあっているのは非常に残念だ。ヨーロッパ では、小売業者に報告の義務が無い (通信業者における個人情報漏えいは除く) ため、ヨーロッパの小売業者が安全であると考えてはいけない。漏えいが起きて いても報告されていないだけの可能性がある。
【編集者メモ】(Murray)
すべての小売業者が脅威に晒されている。確認はできていなくても漏えいが既に 起きている組織が存在することは確かだろう。業社は、漏えいが起きているか否か を確認しなければならない。他方、顧客はホワイトハウスが要求したように EMV (チップ) カードを要求すべきである。顧客は、この要求に応じない業社の利用を 止め、EMV が利用できる業社を利用し、適宜アカウント情報を確認すべきだ。

────────────────

◆ 8つの業界がサイバー脅威に関する機密性の高い情報を受信 (2014.10.20)
2014年7月から米国国土安全保障省 Enhanced Cybersecurity Services の取り組み に参加している業界の数が倍増している。この取り組みは、参加組織に対して サイバー脅威に関する機密性の高い情報をシステムで守るために実施されている もの。7月の時点では、エネルギー、通信、防衛業界のみが参加していたが、 現在では、金融、水道、化学、運送、IT 業界が新たに参加している。この取り 組みは、本来防衛関連の請負業者のみが対象であったが、2013年には、米国の 重要インフラを管理する組織も対象範囲に追加されたことを受けてのもの。

http://www.nextgov.com/cybersecurity/2014/10/number-industries-getting-classified-cyberthreat-tips-dhs-has-doubled-july/96923/?oref=ng-HPtopstory

【編集者メモ】(Murray)
機密性の高い情報を適切に利用できる組織とセキュアに情報共有することは、 これらの情報を収集することと同じくらい困難である。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「セキュアに保つための5つのステップ」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ITが日々の生活で重要な役割を占めてゆく中で複雑さも増しています。
セキュアでいるための手法の詳細部分は変化していますが、自身を保護する
ためにできる基本的なことは、技術や利用場所に関わらず、変わっていない
のが現状です。今月は自身を守るための5つのステップについて一般ユーザ向け
に、分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201410_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ GoogleがUSBキーを使ったセキュリティ機能を提供 (2014.10.21,22)
Google社が、多くのユーザ向けサービスに強化されたセキュリティ機能を提供して いる。このセキュリティキー機能は、Google Chromeブラウザを利用している ユーザに対し、USBキーを任意のUSBポートに挿入し、要求された時に認証作業を 促すもの。既に実装している2段階認証として、SMSやメールなどで認証コードを 送る方法があるが、これはさらに簡略化したものだ。この機能を利用するには、 USBキーを購入する必要がある。

http://arstechnica.com/security/2014/10/google-offers-usb-security-key-to-make-bad-passwords-moot/
http://krebsonsecurity.com/2014/10/google-accounts-now-support-security-keys/
http://www.cnet.com/news/google-endorses-a-simpler-way-to-secure-your-data/

【編集者メモ】(Pescatore)
Googleは、FIDO Allianceが推奨している2段階認証の標準を採用している。 USBデバイスの利用は限定されており、さらにGoogleのサービスのみを利用する ユーザも少ないため、これは良いことだと思う。しかし、相互運用が可能な トークンを実用的に利用するのは困難だろう。パスワードの再利用をさせること なく、実用性のある2段階目の認証として利用可能なものは、モバイル機器へSMS などを送信するもので、これは利用率が高まっている。
【編集者メモ】(Northcutt)
Googleが提供している2段階認証の方式は、実績があって十分に利用できるもので あり、私は、メインとする銀行口座で利用しているが(2段階認証の利用のために、 2つの Symantec VIP と2つの Verisignドングルを持ち歩いている)共通化された ドングルを持ち歩くだけで済むことを想像すると楽しみでならない。私は、 1)テストするため、2)この分野でリーダーシップを見せるため。という2つの理由 でこれを利用してみようと思う。2段階認証の話は世間でされているが、我々が 利用しない限り、誰も利用しないだろう。
http://www.amazon.com/Plug-up-International-U2F-SK-01-FIDO-Security/dp/B00OGPO3ZS/ref=sr_1_2?s=electronics&ie=UTF8&qid=1414011524&sr=1-2&keywords=FIDO+U2F+Security+Key

【編集者メモ】(Murray)
セキュリティの責任者で強い認証方式の利用を拒んでいる人は、Googleを見習う べきだと思う。結果として、様々な選択肢と機能を組み合わせることにより、反対 意見を覆すことができるかもしれない。このようなセキュリティキーとなるハード ウエアは、有している機能にもよるが、Amazonで安いものは $6から購入できる。

────────────────

◆ 米国司法省がサイバー犯罪に重点を置く部署を承認する (2014.10.21)
米国司法省が国家安全保障部の発足承認をしたと、国家安全保障担当次官補の ジョン・カーリン氏が発表した。発表では、「国が後押しする、経済スパイ活動や 企業秘密の盗難」といったサイバー犯罪対策にリソースをつぎ込むことを明らかに し、新しい取り組みに挑むために、「経験豊富なプロフェッショナルをチーム として結成させた」と述べた。

http://www.networkworld.com/article/2836310/security0/us-justice-dept-focuses-new-squad-on-cybercrime-combat.html
http://www.mainjustice.com/2014/10/21/dojs-national-security-division-reorganizes-for-cyber-and-corporate-espionage-threats/

────────────────

◆ Android向けのランサムウェアKolerがSMS経由で拡散 (2014.10.22)
Koler と呼ばれるAndroidのランサムウェアがSMSを経由して拡散している。過去の バージョンでは、ポルノサイトを閲覧したユーザが主な感染対象であったが、今回 見つかった亜種では、アドレス帳に登録されている連絡先に、その人の画像を 使ってプロフィールを作成したという内容のSMSを送りつけることで拡散する。 感染すると、その端末上で違法コンテンツを閲覧したというメッセージとともに、 $300を支払わない限り端末のロックを解除できないという画面が表示される。

http://www.scmagazine.com/worm-variant-of-android-ransomware-koler-spreads-via-sms/article/378785/
http://www.computerworld.com/article/2836760/android-ransomware-koler-turns-into-a-worm-spreads-via-sms.html


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月18日(火)、12月12日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=11

○10月29日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【大阪】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=12

○10月29日(水)
 PCI DSS 3.0 準拠対応 総合セミナー
http://www.nri-secure.co.jp/seminar/2014/1029.html?xmid=300&xlinkid=13

○11月20日(木)
 ECサイトに今必要なセキュリティ対策とは?
 ~激化するサイバー攻撃から情報を守る事例紹介~
http://www.nri-secure.co.jp/seminar/2014/1120.html?xmid=300&xlinkid=14

○2015年1月21日(水)、2月19日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【東京】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=16

○11月20日(木)~21日(金)、2015年2月4日(水)~5日(木)
 【セキュアEggs】IT+セキュリティ基礎:2DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=17

○12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=18

○12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=19

○2015年2月25日(水)
【セキュアEggs】インシデント対応 :1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=20

○2015年2月26日(木)
【セキュアEggs】フォレンジック:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=21

○2015年2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=22

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=25
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます