NRI Secure SANS NewsBites 日本版

Vol.9 No.47 2014年12月4日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.47 2014年12月4日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────

■■SANS NewsBites Vol.16 No.094
  (原版: 2014年11月 25日)

────────────────────────────

◆ Reginマルウエア:ステルス性を持つ「サイバー真珠湾攻撃」 (2014.11.23,24)
Reginマルウエアは、情報通信、エネルギーや保険業界などを標的に使用されて いる。複雑さおよび高度さから想像されることは、ある国が「長期間の執拗な監視 活動」のために開発されたと推察できるという。Reginは、標的に応じてカスタ マイズが可能であり、もっとも早くに発見されたものは2008年から使用されている とのこと。Reginによる感染の多くは、ロシアおよびサウジアラビアで見つかって いる。また、欧州委員会が管理するネットワーク、Belgacomおよびベルギー人の 暗号学者も被害を受けている。

http://www.wired.com/2014/11/mysteries-of-the-malware-regin/
http://www.theregister.co.uk/2014/11/24/regin/
http://www.bbc.com/news/technology-30145265
http://arstechnica.com/security/2014/11/highly-advanced-backdoor-trojan-cased-high-profile-targets-for-years/
http://www.computerworld.com/article/2851513/traces-of-regin-malware-may-date-back-to-2006.htmlSymantec:
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance

【編集者メモ】(Northcutt)
単純に新たなマルウエアが出現したと考えてはいけない。上記のリンクにある シマンテックのブログが本件に関して一番良い情報を提供している。

────────────────

◆ Target社の侵入による漏えいの責任について (2014.11.21,23)
Target社は、昨年のホリデーシーズン中に発生した情報漏えい事件に関連する 銀行の損害について、責任は負わないと発表した。情報が漏えいしたカードを発行 した5つの銀行は、 -最低4千万アカウントものカード顧客が被害に遭っている - Target社に対して連邦裁判所への告訴状を提出した。Target社の弁護団は、 支払い行為は第三者の企業が処理するため、銀行の損害について当社に責任は無い としている。

http://arstechnica.com/tech-policy/2014/11/target-to-judge-banks-losses-in-our-card-breach-arent-our-problem/
http://www.insurancejournal.com/news/national/2014/11/23/347859.htm

【編集者メモ】(Murray)
銀行は、不正行為や信用リスクを負う代わりに、たっぷりと補償金をもらうことが できた。その上、当時の取引に関してリベンジを目論んでいるのだろう使われて いたテクノロジーが根本的に脆弱であり、すべての小売業者とその顧客を攻撃の 標的にしてしまったにも関わらずだ。今年は、小売業者や支払処理業者などによる Point-of-Saleにおいて、EMV機能の追加に躍起になっていたが、銀行によるEMV カードの発行が後手になっており、数が足りていないのが現状だ。さらに、小売 業者や支払処理事業者に課せられている2015年10月という任意の期限はあまりにも 長く設定されていることから不要なのではないかと思う。そのうえ、これらの業者 側から発行者に対しては、期限も設定されていないし、「カードを使わない」取引 に関して、業者と発行者は何も対策をしていないどころか、Targetの漏えい事件が 起きてからは、文句ばっかりを並べ立てて互いに責任をなすりつけあっているだけ である。 とても残念だ!

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「ウイルス対策について」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
アンチウイルスソフトは、あなたのパソコンやモバイル機器をマルウェアから
守るためにインストールされているアプリケーションです。これらのソフトウ
エアは、すべてのマルウェアを検知して防御することは、不可能になってきて
います。今月は、アンチウイルスソフトの仕組みやトレンドのほか、ユーザー
ができるウイルス対策について一般ユーザー向けに、分かりやすく解説します。
社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201412_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ FBIは、サイバー犯罪の案件アサイン方法を変更する方針 (2014.11.20)
FBIは、サイバー犯罪に関わる案件については、その分野を得意とする調査官に アサインしたい意向を持っていることが明らかになった。従来は調査官の所在地 を元にアサインが行われているが、サイバー犯罪は、国境を越えて発生するもの であり、法的な管轄を考慮する意味でも従来の犯罪と違うものだというのがその 理由だという。FBIは、機器の所在地が断定できない場合においても、機器に侵入 し監視する権限を得ようとしている。

http://thehill.com/policy/cybersecurity/224823-fbi-will-fight-cyberattacks-based-on-severity-not-location

【編集者メモ】(Pescatore)
このような思考および実務的な変更が、国家レベルの法執行機関で実施される ようになったのは良いことだが、明らかに遅すぎる。多くの情報漏えい事件の裏に 潜んでいるのは、サイバー犯罪であり、これらの脅威に対して対抗できるのは、 法執行機関であり、防衛の省庁や情報局などの組織では無いのだから。

────────────────



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月12日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=11

 2015年1月20日(火)、2月18日(水)、3月19日(木)
http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=12

○12月16日(火)
 特権ID管理を現実的に進めるには?
 ~内部不正対策/監査対応として国内2強ベンダーが語る~
http://www.nri-secure.co.jp/seminar/2014/1216.html?xmid=300&xlinkid=13

○12月17日(水)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価と、エンドポイントセキュリティの一元管理~
http://www.nri-secure.co.jp/seminar/2014/endpoint03.html?xmid=300&xlinkid=14

○2014年12月18日(木)
 情報セキュリティ教育担当者向けセミナー
 ~IT技術者に情報セキュリティスキルを付加するために~
http://www.nri-secure.co.jp/seminar/2014/edu01.html?xmid=300&xlinkid=15

○2015年1月21日(水)、2月19日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【東京】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=18

○12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=19


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます