NRI Secure SANS NewsBites 日本版

Vol.9 No.44,45 2014年11月19日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.44,45 2014年11月19日発行
**********************************************************************


────────────────────────────

■■SANS NewsBites Vol.16 No.088-091
(原版: 2014年11月5日、7日、12日、14日)

────────────────────────────

◆ 警察が容疑者に対し指紋を使った電話のアンロック強制を可能にする判決(2014.10.31)
バージニア州の巡回裁判所は、警察官が容疑者に対し、指紋を使いスマートフォン のアンロックを強制することは可能とする判決を下した。しかしその一方で、 容疑者に対し機器のパスコードを教えることは強制できないとした。機器が指紋と パスコードの両方を必要とする場合、パスコードの認証が優先される。「この判決 は…人のアイデンティティと知識の法的な違いについての不安を除去したものだ」

http://www.zdnet.com/virginia-police-can-now-force-you-to-unlock-your-smartphone-with-your-fingerprint-7000035293/
http://arstechnica.com/tech-policy/2014/10/virginia-judge-police-can-demand-a-suspect-unlock-a-phone-with-a-fingerprint/

【編集者メモ】(Pescatore)
裁判所は、以前から個人に対し、ダイヤル錠の組み合わせ数字を供述しなければ ならないという判決を下してきているので、パスコードもいずれ同じように扱われ る可能性が高い。指紋は少し複雑で、数年間は判決の内容が一致しない状態が続く だろう。

────────────────

◆ FCCが、ブロードバンドISPを一般通信事業者に再分類する可能性 (2014.10.30)
報道によると、米国連邦通信委員会(FCC)がブロードバンドISPを部分的に一般通信 事業者として再分類する可能性があるとしており、FCCが「コンテンツ事業者と ブロードバンドプロバイダ間の契約を監督する」ことが可能になる。この再分類 は、ISPがコンテンツプロバイダに対して提供されるサービスが対象とされている。

http://arstechnica.com/business/2014/10/fcc-reportedly-close-to-reclassifying-isps-as-common-carriers/

【編集者メモ】(Pescatore)
セキュリティの観点から見ると、一般通信事業者という分類は複雑なものだ。以前 からISPは、明らかにスパムと分かっているものの通信やマルウェア、サービス 運用妨害攻撃を顧客に送信していると言われてきた。FCCによってバックエンド サービスが一般通信事業と分類されたことにより、小売り(送信)側は、危険な コンテンツを配信することによる責務を負うことになったが、通信品位法と デジタル・ミレニアム著作権法によってISP はこの責務から逃れる口実ができた ことになる。一般通信事業の分類変更は、FCCに規制する力を与え、ISPに対し フィルタリングを厳しくすることを強制することを可能にしたが、法規制は、 テクノロジーや脅威の発展のペースについていけていないのが現状だ。
【編集者メモ】(Murray)
いつか冷静になって考えて欲しいと思う。ネット中立性のもと、一般通信事業 としてインターネットを規制することは、ある村を守るために焼き払うことと 同等である。ネット中立性の議論は、今まで起きていると証明されていない差別的 な行動に対して行われているものであり、透明性、説明責任および企業間の競争に よって解決できるものではないと考えている。「一般通信の規制」は、元々、 「自然独占」と見られていたものを規制するためのものだったが、既に諦めたもの だと思う。鉄道ですら、そのように規制していないのが現実なのだから。80年前の やり方で、今の経済の中で最もダイナミックなものを取り締まることがあるだろう か。しかもこの規制は別の問題を解決するためのものなのに。

────────────────

◆ GoogleとMozillaが次期バージョンのブラウザでSSL3.0のサポートを無効に(2014.11.1)
Googleは、次期バージョンのChromeブラウザでSSL3.0のサポートを無効にする予定 だという。Googleの研究者によってSSL3.0 におけるPOODLEの脆弱性を先月公開 した際に、サーバに対するパッチをリリースしたが、ブラウザがプロトコルを サポートしていなければ、攻撃を受ける可能性は著しく低下する。Mozillaは、 SSL3.0のサポートをFirefox 34で無効にする予定だ。Microsoftは、SSL3.0の サポートを無効にする「Fixit」ツールを公開、他方Appleは、SSL3.0を無効に していないが、POODLE問題の根本的原因であるcipher block chainingモードを 無効にして対応している。

http://www.eweek.com/security/google-takes-new-steps-to-block-poodle-flaw.html

────────────────

◆ Mac OS Yosemiteは、デフォルトでドキュメントをiCloudに保存 (2014.11.3)
Mac OS Xの最新バージョンYosemiteは、作成されたファイルがデバイス上で保存 されなくても自動的にファイルをiCloudに保存するようになっている。この機能の 目的は、ユーザがどんなAppleデバイスを使ってもドキュメントへのアクセスを 可能にすることである。しかし、この動作を行うというプログラム側からの警告は されないので注意が必要である。ちなみに、自動保存の機能は無効にすることが 可能である。

http://arstechnica.com/security/2014/11/critics-chafe-as-macs-send-sensitive-docs-to-icloud-without-warning/

【編集者メモ】(Murray)
これは、開発段階では、素晴らしいアイデアだったのではないかと思う。神よ、 入力の検査はできないけれど、あまり意味が無い機能なら実装できる開発者から 我々をお守りください。
【編集者メモ】(Honan)
これは、新しい機能を追加または開発する際のプライバシーバイデザインと プライバシーへの影響を検査(PIA)することが重要であることを改めて証明した。 オンライン上での繋がりが複雑になればなるほど、より重要になってくるだろう。

────────────────

◆ FISMA改革が行き詰まり (2014.11.5)
2002年に発行された連邦情報セキュリティマネジメント法の変更は、議員が思って いるほど簡単に行えないことが明らかになりつつある。当初のプランで提案された コンプライアンスの要件は、きちんとセキュリティを確保したことを保証できない 割に、紙ベースのレポートを大量に必要とする(膨大なコンサルタント料も)ことが 批判された。改革によって継続的モニタリングが必要となることは間違いないが、 これらのFISMA改革を2015年に発行予定のNational Defense Authorization Actの 一部として盛り込むことは可能だが、いくつかの情報源によると、「FISMA規程に 対し懸念事項がいくつかある」として、実現は難しいと考えられている。

http://www.nextgov.com/cybersecurity/2014/11/long-awaited-fisma-reforms-hit-stumbling-block/98294/?oref=ng-HPtopstory

【編集者メモ】(Henry)
FISMA改革に関して連邦議会が決断を先延ばしにし続けていることに対し、国民は 怒って良いと思う。政府関係者や連邦議会議員は脅威に対して(正しく)声を高々と あげ続けている。2週間前にDHSは、産業制御システムを狙う高度なマルウェアに 関するアドバイザリを公開したが、このマルウェアは、ロシアと関係性があると されている。私は、毎日のように他国政府によって完全にコントロールされている ネットワークを持つ企業と仕事をしているし、米国政府機関のネットワークも侵入 されネットワークが完全にコントロールされていたという事象も見てきた。
チェックボックス式で項目を確認していく手法も、取り掛かりとしては良いが、 積極的なモニタリング、検知、要因分析や遮断はネットワークを守るために欠かせ ない活動だと思う。あと何年、今のままでいるつもりなのだろうか?連邦議会の 議員に何度も問いただしたのだが…我々はもっと要求するべきだ。

────────────────

◆ HomeDepotがメールアドレスも漏えいしたと発表 (2014.11.6,7)
HomeDepot は、今年起きたシステムへの侵入で漏えいしたのは、クレジットカード 情報だけでなく5,300万のメールアドレスも漏えいしたと発表した。また、今回判明 したシステムへの不正アクセスには、何らかの方法で盗まれた認証情報が使われて いたとのことも併せて報告された。

http://www.bbc.com/news/world-us-canada-29946792
https://bobsullivan.net/cybercrime/home-depot-hack-even-worse-53-million-email-addresses-stolen-too/
http://www.computerworld.com/article/2844491/home-depot-attackers-broke-in-using-a-vendors-stolen-credentials.html

────────────────

◆ 攻撃者によるフィッシングがより簡単に (2014.11.5)
フィッシングの新たな手口として、攻撃者は、ある日本の百貨店が運営している オンラインショッピングの利用者を標的にしている。従来のように偽物のウェブ サイトを作り、認証情報を漏えいさせる手口ではなく、標的となる利用者とウェブ サイトの間にプロキシを配置し。利用者がオンライン上で買い物をする際に、情報 を奪取するための攻撃を実施するようになっている。

http://www.darkreading.com/attacks-breaches/hackers-devise-new-simplified-phishing-method/d/d-id/1317242?
http://www.scmagazine.com/researchers-observe-a-new-phishing-technique/article/381628/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「ソーシャルエンジニアリングについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サーバー攻撃者が、高度なハッキングツールを駆使してアカウントを奪取した
り、パソコンやモバイルデバイスに侵入するというのは誤解です。彼らは、必
ずしも高度なハッキングツールを使うのではなく、あなたと話をして騙すこと
が一番簡単なことを知っています。今月は、ソーシャルエンジニアリングと呼
ばれる人間への攻撃がどのようなものか、どのようにして自身を守るのかにつ
いて一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツールとし
てお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201411_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 従業員の過ちが米国政府のセキュリティを弱体化させている (2014.11.10)
AP通信社が、米国情報公開法を通じて入手した情報を分析した結果、米国政府内で 起きた半分以上の ITセキュリティのインシデントは、従業員のミスに起因して いると報じた。従業員は、職場のポリシーを破ったり、機密情報が保存されている 機器を紛失または盗難されたり、機密情報を他人と共有したりしているという。

http://www.theguardian.com/technology/2014/nov/10/us-government-hacking-cybercrime-workers-crime

【編集者メモ】(Pescatore)
民間企業と比べても、そんなに数字は変わらないだろう。インシデント発生の原因 が従業員のミスであることの方が確率は高いのだ。攻撃者による侵入がニュース 記事になったりするが、悪意のない内部の人間 (ユーザおよびシステム管理者) が 高い確率でインシデントの原因となっているだけでなく、外部からの侵入の直接的 な原因にもなっているのだ。かの有名な「メールアドレス自動補完機能によって、 機密情報が競合他社や世界に漏えいする」というのは、前者の例で、「DMZ内で www.25acme.com を一時的に公開する」というのは後者の例だと思う。
【編集者メモ】(Murray)
これは、米国政府だけでなく、どの組織でも同じだと思う。ソフトウェアの品質に 関わる問題をすべて解決しても、根拠も無く権限を与えられた悪意のないユーザに よるエラーや過失などに対しては脆弱な状態が残ってしまうのだから。 ロバート・H・コートニー氏曰く「愚か者は持っている、いつの時も」というのは、 正しくこの状況を表現している。これらのエラーは、アプリケーションの設計や トレーニング、管理、様々なセキュリティコントロールや自動確認機能などに よって防がなければならない。マネジメント層は、タイムリーに発見して修正され たエラーについては、正しく評価をすべきだと思う。

────────────────

◆ MicrosoftがEMET 5.1をリリース (2014.11.10,11)
MicrosoftがEnhanced Mitigation Experience Toolkit (EMET)をバージョン5.1に 更新した。このツールは、「ユーザおよび管理者に対して、プログラムごとに セキュリティ設定を強化するためのもの」です。Internet Explorer 11を利用して いるユーザは、EMETとIEの更新において互換性の問題があるため、EMETのアップ デートを11月11日(火)に発行される月例アップデートを適用する前に行うことを 推奨しています。

http://www.zdnet.com/microsoft-updates-emet-anti-hack-tool-7000035626/
http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx
http://www.theregister.co.uk/2014/11/11/emet_version_5_1_released/

【編集者メモ】(Murray)
EMETは、Windowsのセキュリティを飛躍的に向上させることができる。しかし、 一般消費者向けのWindowsにおいてデフォルトで有効になっていない。その理由は、 ゲームができなくからだと思っている。企業内で有効になっていないのは、アプリ ケーションが使えなくなるかもしれなれないからだ。すべてのアプリケーションの セキュリティ向上は、数人の業務が中断されるかもしれない事象よりも優先される べきなのだが。
【編集者メモ】(Honan)
このMicrosoftが提供するツールは、無料でかつ素晴らしいものだ。以下のリンク は、企業内でEMETの利用を開始したい人向けの入門編資料として良いものだと 思う。
http://technet.microsoft.com/en-us/security/jj653751

────────────────

◆ DHSと産業界が弾力性のある情報システムを開発する方針 (2014.11.12)
情報システムの弾力性を高める取り組みとして、米国国土安全保障省(DHS)は、 産業界のパートナーと共同で政府向けに、自動的にサイバー防御を実施できるメカ ニズムの開発が行なわれています。このコンセプトは、Enterprise Automated Security Environment(EASE)と名づけられており、自己回復能力を持つネット ワークの実現を目指している。

http://www.zdnet.com/virginia-police-can-now-force-you-to-unlock-your-smartphone-with-your-fingerprint-7000035293/
http://arstechnica.com/tech-policy/2014/10/virginia-judge-police-can-demand-a-suspect-unlock-a-phone-with-a-fingerprint/

【編集者メモ】(Murray)
弾力性は無料では実現できない。代わりに冗長性や混乱、一部では複雑さが犠牲に なるのは仕方がないことだが、常にある脅威や脆弱性、資産の重要性を鑑みると、 効率は悪くないと思う。DHSがリーダーシップを取って推進するのは、当たり前 だと思う。このプロジェクトに感謝し、各社も追従すべきだろう。

────────────────

◆ 最初のStuxnet感染企業が特定される (2014.11.11,12)
研究者によって、Stuxnetによって感染した最初の5つの企業が特定された。これら は、全部イランの企業で、産業制御システム(ICS)と関わりがあった。Stuxnetは、 イランのNatanzにあるウランの濃縮を行う遠心分離機を破壊するために使われた ものとされている。この5つの企業は、2009年6月から2010年3月の間に攻撃され、 すべてNantanz工場と契約関係にあったという。ある一つの企業が世界中にStuxnet の感染源として特定されているが、この研究者は、感染源を突き止められたのは、 Stuxnetが感染した端末の情報を記録し、ある実行ファイルを更新するからだと している。

http://www.darkreading.com/stuxnet-patient-zero-attack-targets-revealed/d/d-id/1317394?
http://arstechnica.com/security/2014/11/stuxnet-worm-infected-high-profile-targets-before-hitting-iran-nukes/
http://www.scmagazine.com/first-stuxnet-victims-identified/article/382967/
http://www.theregister.co.uk/2014/11/12/stuxnet_patient_zero/

【編集者メモ】(Honan)
これは、サプライチェーンが攻撃者によって悪用され、攻撃者が真の目的である 標的を攻撃することが可能であることを証明した典型的な例だろう。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月12日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=11

○11月26日(水)
 サイバー攻撃対策セミナー
 ~深刻化するサイバー攻撃の傾向と対策、運用までを一挙公開~
http://www.nri-secure.co.jp/seminar/2014/1120.html?xmid=300&xlinkid=13

○11月27日(木)、12月17日(水)
 サイバー攻撃対策セミナー
 ~深刻化するサイバー攻撃の傾向と対策、運用までを一挙公開~
http://www.nri-secure.co.jp/seminar/2014/endpoint03.html?xmid=300&xlinkid=13

○2015年1月21日(水)、2月19日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【東京】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2015年2月4日(水)~5日(木)
 【セキュアEggs】IT+セキュリティ基礎:2DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=17

○12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=18

○12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=19

○2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=20

○2015年2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=21

○2015年2月26日(木)
【セキュアEggs】フォレンジック:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=22

○2015年2月25日(水)
【セキュアEggs】インシデント対応:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=23


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=25
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます