NRI Secure SANS NewsBites 日本版

Vol.9 No.46 2014年11月25日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.46 2014年11月25日発行
**********************************************************************


────────────────────────────

■■SANS NewsBites Vol.16 No.092-093
(原版: 2014年11月18日、21日

────────────────────────────

◆ 米国国防省の非機密扱いのメールシステムが攻撃の被害に (2014.11.16,17)
米国防省が、非機密扱いの情報をやり取りするためのメールシステムに攻撃が あり、被害を受けたとしてオフライン状態にした。その他に3つの政府系ネット ワーク-ホワイトハウス、米郵政公社および米国立海洋大気庁も同様に攻撃の 被害を受けているという。

http://www.eweek.com/security/u.s.-state-department-is-latest-hacking-victim.html
http://www.nbcnews.com/news/us-news/state-department-joins-growing-list-hacked-federal-agencies-n249711
http://www.nextgov.com/cybersecurity/2014/11/state-department-hacked-same-time-white-house/99131/?oref=ng-HPtopstory
http://www.theregister.co.uk/2014/11/17/email_system_suspended_after_us_state_dept_hack_attacks/
http://www.computerworld.com/article/2847891/reports-state-department-admits-intrusion-into-unclassified-email.html

【編集者メモ】(Paller)
ジョン・ストルーファート氏が数年前にDHSへ異動した影響で、国防省のサイバー セキュリティの取り組みが、FISMAコンプライアンスレベルまで落ちてしまって いる。そのため、連邦政府のシステムが攻撃を受けやすくなってしまっているの だろうか。(ストルーファート氏が政府内で実施していた、Critical Security Controls のような積極的なプログラムと比較して)このレベルの低下が、今回の 攻撃の直接的な原因とは言い切れないが、決して良いことでは無いことは確かだ。

────────────────

◆ 政府は0-dayをため込んでいない。ホワイトハウスのサイバーセキュリティコーディネータが語る (2014.11.17)
ホワイトハウスのサイバーセキュリティコーディネータ、マイケル・ダニエル氏 が、米国政府は、敵対国に対して利用するために0-day脆弱性情報をため込んでは いないと語った。オバマ政権は、今年すでに自組織内で利用するために、NSAや 法執行機関が脆弱性情報をため込んでいることを認めたが、これはどちらかと 言えば例外であるとのこと。

http://www.wired.com/2014/11/michael-daniel-no-zero-day-stockpile/

────────────────

◆ AT&Tが電話のIDトラッキングテストを終了 (2014.11.14)
AT&Tによると、顧客の通信に隠されたトラッキング番号の使用を停止したことを 明らかにした。これは、ネットワーク内での顧客のウェブ通信内に固有の識別 番号を埋め込んでいたAT&Aの取り組みが最近ニュースになったことを受けての もの。この識別番号は、ウェブサイト側でユーザプロファイルを作成するために 利用することができるという。AT&Tによると、この取り組みは試験的なもので あったとしたが、今後も類似の取り組みを実施する可能性を残しており、実施する 場合は、ユーザ側にオプトアウトの選択肢を与えるという。

http://www.wired.com/2014/11/att-hits-pause-privacy-busting-perma-cookie-test/
http://arstechnica.com/security/2014/11/att-stops-using-undeletable-phone-tracking-ids/

【編集者メモ】(Ullrich)
AT&TやベライゾンによるIDトラッキングの問題が、自身が管理していないネット ワークはすべて信頼できないものであると想定した上で、ユーザもエンドポイント 同士で暗号化を行うきっかけになればと思う。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「ソーシャルエンジニアリングについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サーバー攻撃者が、高度なハッキングツールを駆使してアカウントを奪取した
り、パソコンやモバイルデバイスに侵入するというのは誤解です。彼らは、必
ずしも高度なハッキングツールを使うのではなく、あなたと話をして騙すこと
が一番簡単なことを知っています。今月は、ソーシャルエンジニアリングと呼
ばれる人間への攻撃がどのようなものか、どのようにして自身を守るのかにつ
いて一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツールとし
てお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201411_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 重要インフラのデータが盗まれたと、NSA局長が語る (2014.11.20)
NSAの局長、マイケル・S・ロジャース氏が、中国や他の国家による支援を受けた グループによって米国の重要インフラに関わるシステムが情報を盗む目的で侵入 され、盗まれた情報が攻撃に悪用される可能性があると語った。外国の政府などに 雇われたグループなどによって、偵察が行われていることも多数検知されており、 「制御システムに関する詳細な情報」を盗もうとしていることは明らかだという。

http://www.washingtonpost.com/world/national-security/nsa-chief-foreign-powers-steal-data-on-critical-us-infrastructure/2014/11/20/ddd4392e-70cb-11e4-893f-86bd390a3340_story.html
http://www.bloomberg.com/news/2014-11-20/foreign-governments-have-hacked-u-s-power-system-nsa-head-says.html

【編集者メモ】(McBride)
Stuxnetによって、サイバー攻撃に耐性を持つインフラの重要性を説かれた。 これは、そのあとに続く物理的な攻撃を未然に防ぐことにもなり、設計などを行う 会社もインフラを管理する会社と同様に攻撃を受ける可能性があるということだ。 このような状況はとても心配だし、前者は後者を守るために重要だと思う。

────────────────

◆ トロイの木馬 Citadelがパスワード管理プログラムを標的に (2014.11.19)
過去に、銀行口座の認証情報を盗むために使用されたトロイの木馬 Citadelが、 中東の石油化学製品会社で使用されているパスワード管理プログラムを標的にした 攻撃に利用されていることが明らかになった。Citadelの最新バージョンは、広く 利用されている3つのパスワード管理プログラムのマスターパスワードを標的に して攻撃活動を行っているという。

http://www.darkreading.com/operations/identity-and-access-management/new-citadel-attack-targets-password-managers/d/d-id/1317642?
http://arstechnica.com/security/2014/11/citadel-attackers-aim-to-steal-victims-master-passwords/

【編集者メモ】(Honan)
多くのパスワード管理プログラムが提供する2段階認証を、アカウントに対して 有効にすることをお勧めする。

────────────────

◆ 上院の投票によって、NSA法案の可決が阻止される (2014.11.18)
米上院の投票によって、NSAのデータ収集活動を抑制する法案が僅差で否決された 結果、審議の道が閉ざされることになった。米情報公開法は、膨大な量の電話メタ データを収集することを認め、NSAはデータを管理する通信事業者に対して、外国 情報監視裁判所の命令をもってアクセスを可能にすることになっていたが、可決 されるための60票に2票届かなかった。同法案では、NSAによる検索も厳密にする ことで、関連するデータのみがアクセスされるように制限を設けていたし、通信 事業者に対して透明性を確保するために、データ開示のリクエスト数などを開示 できるようにするような配慮もなされていた。

http://www.wired.com/2014/11/usa-freedom-act-fails-in-senate/
http://www.cnet.com/news/bill-overhauling-nsa-programs-blocked-in-senate/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月12日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=11

○12月17日(水)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価と、エンドポイントセキュリティの一元管理~
http://www.nri-secure.co.jp/seminar/2014/endpoint03.html?xmid=300&xlinkid=13

○2015年1月21日(水)、2月19日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【東京】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2015年2月4日(水)~5日(木)
 【セキュアEggs】IT+セキュリティ基礎:2DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=17

○12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=18

○12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=19

○2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=20

○2015年2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=21

○2015年2月26日(木)
【セキュアEggs】フォレンジック:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=22

○2015年2月25日(水)
【セキュアEggs】インシデント対応:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=25
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます