NRI Secure SANS NewsBites 日本版

Vol.9 No.43 2014年11月4日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.43 2014年11月4日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────


────────────────────────────

■■SANS NewsBites Vol.17 No.086-087
(原版: 2014年10月28日、10月31日)

────────────────────────────

◆ 法律事務所が、顧客情報などをサイバーセキュリティ上の脅威から守る取り組みを進める (2014.10.28)
銀行は自身が契約している法律事務所に対し、高い水準のサイバーセキュリティを 強制的に求めている。「数々のサイバー攻撃により、金融機関のセキュリティに 対し意識を改革させることになり、一年前に比べてすべての銀行の意識が変わった が、彼らは続いて外部の法律事務所にも同様の意識改革を求めだした。」関連する ブログでは、小さな法律事務所、特に国際人権に関連したプロジェクトに関わって いる事務所が攻撃にあっていることを挙げ、従業員や顧客を守るために低コストの クラウドソリューションを探すことも念頭に置いているという。

http://online.wsj.com/articles/banks-demand-that-law-firms-harden-cyberattack-defenses-1414354709
http://blogs.wsj.com/law/2014/10/27/cybersecurity-not-just-for-biglaw-and-its-clients/

────────────────

◆ 継続する POSマルウェア (2014.10.26)
Backoff と呼ばれる Point-Of-Saleマルウェアが依然として米国内のシステムで 見つかっている。Damballa社によると、Backoff感染率が 8月に57%増え、さらに 9月には27%増えたとのこと。ホリデーショッピングの季節が近づいていることも あり、感染が減ることは無いのではないかと予想されている。

http://www.theregister.co.uk/2014/10/26/pesky_pos_poison_wont_backoff/
http://www.nbcnews.com/tech/security/pos-malware-infections-soar-ahead-holiday-season-n233156

【編集者】(Murray)
すべての商業および小売業者がハイリスクに晒されている。攻撃を受けていると 想定した上で対応すべきである。

────────────────

◆ MyE-Verify がバックエンドでクラウドサービスを利用開始 (2014.10.27)
米国国土安全保障省(DHS)の身元確認ツール、MyE-Verifyは国民の社会保障番号を ベースに関連付けした情報を参照できるものです。政府による MyE-Verifyの説明 は:「MyE-Verifyは無料のウェブサービスで、E-Verifyをセルフサービスという形 で提供するものです。E-Verifyは、事業者が従業員の従業員就労資格確認書 Form I-9に記載されている情報をもとに米国で就労する資格があるかを確認するための ウェブサービスです。」となっており、実際、数多くの事業者が E-Verifyを 使って、採用予定者の就労資格を確認しています。このMyE-Verify は、2015年 中旬に全国でサービスを展開する予定だが、すでにいくつかの州で10月6日から サービスを開始している。DHSは、ウェブサイトの管理を行なうだけで、システム のバックエンドをホスティングするクライド事業者を探しているという。

http://www.nextgov.com/cybersecurity/2014/10/dhs-expects-outsource-employment-verification-checks-cloud/97400/?oref=ng-channeltopstory

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「ソーシャルエンジニアリングについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サーバー攻撃者が、高度なハッキングツールを駆使してアカウントを奪取した
り、パソコンやモバイルデバイスに侵入するというのは誤解です。彼らは、必
ずしも高度なハッキングツールを使うのではなく、あなたと話をして騙すこと
が一番簡単なことを知っています。今月は、ソーシャルエンジニアリングと呼
ばれる人間への攻撃がどのようなものか、どのようにして自身を守るのかにつ
いて一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツールとし
てお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201411_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ ICS-CERTが、被害が相次いでいるBlackEnergyマルウェアに関して注意喚起(2014.10.29)
2011年から、産業制御システム(ICS)を標的にしたマルウェアBlackEnergyを使って 攻撃を行っている団体がいることを、米国国土安全保障省(DHS)の ICS-CERTが発表 した。このマルウェアは、複数のベンダが提供するヒューマン・マシン・インター フェース(HMI)に影響を及ぼすとしている。(GEが公開したレポートがとても参考に なる)
http://support.ge-ip.com/support/resources/sites/GE_FANUC_SUPPORT/content/live/KB/16000/KB16399/en_US/GEIP14-05_Cimplicity_Targeted_by_an_Advanced_Threat_Actor.pdf
http://www.computerworld.com/article/2840164/attack-campaign-infects-industrial-control-systems-with-blackenergy-malware.html
http://threatpost.com/blackenergy-malware-used-in-attacks-against-industrial-control-systems/109067
https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-281-01A

【編集者メモ】(Assante)
ICSを標的にし、ICSコンポーネントに足がかりを作る特殊なマルウェアが存在する という新たなトレンドだろう。最初の報道では、特定ベンダのHMIを標的にして いたが、他の標的にも攻撃できるおそれが出てきている。マルウェアの配布方法に ついては、ICSコンポーネントが直接インターネットに繋がるという根本的な設計 の問題が増えており、それを標的にして悪用されたのだろう。
www.infracritical.comのボブ・ラドヴァノヴスキー氏が書いたプロジェクト SHINE (SHodan Intelligence Extraction)レポートを一読いただきたい。

【編集者メモ】(McBride)
ICS-CERTは、インターネットに接続されている ICS(特に GE Cimplicity)への攻撃 が自動化されていることを強調しているが、「どのように自動化」されているかに ついては、それほど触れていない。現段階では、Havex/Yeti/Dragonflyで見た攻撃 に比べ、内部ネットワークに閉じたものとなっているため高度ではない。GEのアド バイザリに1)業務ネットワークに接続されているCimplicityソフトウェアに対する 攻撃と2)細工されたCimplicityソフトウェアファイルを読み込ませるためのフィッ シング攻撃について触れられているのが興味深かった。残念ながらICS-CERTの注意 喚起には、これらの手法については記載されていない。

────────────────

◆ NISTが情報共有ガイドラインを発行、パブリックコメントを募集 (2014.10.30)
米国標準技術局(NIST)は、サイバー脅威に関する情報共有ガイドラインのドラフト を発行し、パブリックコメントの募集を開始した。「この文書の目的は、サイバー 防御のオペレーションやインシデントレスポンスなどをより効率よく・効果的に 行うために安全で効果的な情報共有に関するガイダンスを提供するものです。」 となっている。同パブリックコメントは、11月28日までコメントを募集している。

http://net-security.org/secworld.php?id=17554
http://csrc.nist.gov/publications/drafts/800-150/sp800_150_draft.pdf

【編集者メモ】(Murray)
すべてのインフラ事業者は、このガイダンスを読んだ上で対応すべきだと思う。 対応は、ガイダンスに書かれているものと、自社の取り組みを比べるところから 始めるのが良いだろう。ガイドラインの推奨事項には、PII、IP、ビジネス戦略や ビジネスプログラムの共有を行うことを暗示、提案することを求めているものでは ないこと、コンプライアンスはビジネス上、良いことであり、立法権限や免責など の承諾を必要としないことが書き添えられている。

【編集者メモ】(Northcutt)
このドキュメントは非常によくまとまっており一読する価値がある。セキュリティ インテリジェンスや情報共有のコンセプトは重要だ。(米国において)これらは、 法によって定められているものなのだから。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月18日(火)、12月12日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=11

○11月20日(木)
 ECサイトに今必要なセキュリティ対策とは?
 ~激化するサイバー攻撃から情報を守る事例紹介~
http://www.nri-secure.co.jp/seminar/2014/1120.html?xmid=300&xlinkid=14

○2015年1月21日(水)、2月19日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【東京】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=16

○11月20日(木)~21日(金)、2015年2月4日(水)~5日(木)
 【セキュアEggs】IT+セキュリティ基礎:2DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=17

○12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=18

○12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=19

○2015年2月25日(水)
【セキュアEggs】インシデント対応 :1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=20

○2015年2月26日(木)
【セキュアEggs】フォレンジック:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=21

○2015年2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=22


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=25
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます