NRI Secure SANS NewsBites 日本版

Vol.9 No.49 2014年12月16日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.49 2014年12月16日発行
**********************************************************************


────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────

────────────────────────────

■■SANS NewsBites Vol.16 No.097, 098
(原版: 2014年12月 9日、12日)

────────────────────────────
◆ ソニー・ピクチャーズ社の従業員に対して脅迫が行なわれる脅かされる
  ;役員が攻撃前にゆすりのメールを受信 (2014.12.8)
ソニー・ピクチャーズ社に対する攻撃に関して、新事実が明らかとなった。 それは、攻撃者がバンコクにある高級ホテルのネットワークを使用し、盗んだ データを漏えいさせたということ (攻撃そのものは、北朝鮮などから行われたと 報道されている)。さらに、報ソニー・ピクチャーズ社の役員は、攻撃を受ける 3日前にゆすりのメールを受信していたとのことで、その他の従業員は、脅迫を 含んだ内容のメールを受信したとしている。

http://www.eweek.com/security/hacker-group-reportedly-threatens-sony-employees.html
http://www.computerworld.com/article/2857272/legal/hackers-contacted-top-sony-executives-before-attack.html

【編集者メモ】(Pescatore)
役員は、フィッシングなどの攻撃のターゲットとして選ばれる確率が高いのだが、 役員あてのメールは、役員の秘書が先に読むことが多い。今回の事例では、秘書に 対してランサムウェアなどを含んだメールを受信した際の対応や、フィッシングを 見分ける特別なトレーニングを受けるべきであるという警鐘になるだろう。

【編集者メモ】(Honan)
私が思うに、この攻撃から学べる一番重要なことは、攻撃を受けたということを 組織や従業員がきちんと伝え、逐一状況報告を行うことだ。ソニーからの情報が 少ないためにメディアなどで攻撃者達の集団が誰か、目的は何かなどの様々な 憶測が飛び交ってしまっている。

────────────────

◆ Turla、Linux向けの亜種が検知される (2014.12.8,9)
Linux系のシステムを標的に、アンチウイルスソフトなどでも検知しにくいタイプの トロイの木馬が4年あまり前から存在していたことが発覚した。このマルウエアは、 Turlaと名付けられており、政府や製薬会社などから情報を盗む目的で使用されて おり、主にWindowsシステムを攻撃するTurlaの感染が45か国で広がっている。 Linuxを標的にする亜種は何年も存在していた可能性があるとされているが、検知 されるようになったのは、つい最近のことだという。

http://www.theregister.co.uk/2014/12/09/deadly_snake_lurks_in_watering_hole_bites_linux/
http://arstechnica.com/security/2014/12/powerful-highly-stealthy-linux-trojan-may-have-infected-victims-for-years/

【編集者メモ】(Murray)
これは非常に深刻なことで、今年は他組織へも影響を与えたであろう侵入の形跡が 発覚したが、数か月または数年検知されずにいたことになる。これらは、「検知 されやすい活動ではなく、静かに潜伏する、ゆっくりとした」攻撃であり、知的 財産の奪取を標的にしているという。これらの攻撃に対する被害は大きく、詐欺 などの不正行為に比べ、検知しにくいものとされている。検知した後の除去は簡単 なのだが、既に情報などが漏えいしてしまっているケースが大半だという。 さらに、マルウェアを一つ検知したできたということは、ある脆弱性が他の攻撃に よって使用されてしまった可能性をも示しており、大いなる脅威と考えてよい。 私はデータに近いところでのアクセス制御を好むが、データの送出に対する制御を 設けることで、侵入されたことを発見できる可能性が高まるのかもしれない。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「ウイルス対策について」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
アンチウイルスソフトは、あなたのパソコンやモバイル機器をマルウェアから
守るためにインストールされているアプリケーションです。これらのソフトウ
エアは、すべてのマルウェアを検知して防御することは、不可能になってきて
います。今月は、アンチウイルスソフトの仕組みやトレンドのほか、ユーザー
ができるウイルス対策について一般ユーザー向けに、分かりやすく解説します。
社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201412_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆金融口座が乗っ取られる原因について、大半が Tor にあると米財務省発表 (2014.12.5)
米国財務省が、非公開報告書の中で、多くの銀行口座乗っ取りについて言及して おり、Torネットワーク経由の取引を金融機関側でブロックしていれば防げたと している。この報告書は、財務省の Financial Crimes Enforcement Network に よって2001年8月から2014年7月間に金融機関から報告された怪しい取引を対象に 調査を行ったもの。

http://krebsonsecurity.com/2014/12/treasury-dept-tor-a-big-source-of-bank-fraud/

【編集者メモ】(Pescatore, Murray)
既知の Tor IPアドレスをブロックするのは、モグラ叩きと一緒だと思う(Torは、 インターネット上で匿名性を保つためのインターフェースが存在することを証明 しているに過ぎない。もっと大きな問題である、銀行口座乗っ取りの多くは、 銀行が再利用可能なパスワードの利用を制限し、顧客の認証プロセスを強める ことに加えて、さらに実績がある詐欺行為を検知する仕組みを導入すれば防げる はずだ。

【編集者メモ】(Northcutt)
冗談かと思うような話だ。Torは、パイプラインに過ぎないのだから、銀行口座は サーバ側で守らなければならない。Torのせいにするのではなく、現にeTradeや Charles Schwab, Bank of Americaは、2段階認証を提供しているのだから、様々な 金融機関は同じような取り組みをするべきだろう。「子供の頃に飼っていたペット の名前は?」と聞くだけでは不十分だ。これらのデータはFacebookなどに既に 投稿されているでしょうから。

────────────────

◆ トルコの油送管に対する攻撃がStuxnet以前に行われていた (2014.12.10)
2008年にトルコの油送管が攻撃を受け、爆発事故が起きたが、この事件の真実は、 これまで秘密にされていた。油送管は1,099マイルあり、各種センサーやカメラ などがすべてを監視していた。攻撃者は、これらの監視カメラに搭載されていた 通信用ソフトウェアの脆弱性を突いてシステムに侵入し、ネットワークの警報を 管理するコンピュータを発見したとされる。さらに、マルウエアに感染させて、 警報機能を無力化し、油送管の圧力を変更することで、爆発を引き起こさせたと いう。この事件は、Stuxnetの2年前に起こったことからとても深刻である。

http://www.bloomberg.com/news/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.html
http://www.bloomberg.com/news/2014-12-10/the-map-that-shows-why-a-pipeline-explosion-in-turkey-matters-to-the-u-s-.html

【編集者メモ】(Assante)
これらの情報がすべて正しいとすると、産業制御システムを標的にした攻撃を 整理するには数年かかるという予言が当たったことになる。米国の北東で2003年 8月に起きた停電事故では、インシデントによって停電に遭った際に、サイバーに 依存した部分の調査が難しくなることを証明した。Bloomberg社による報道で紹介 されていた攻撃ベクトルは、油送管の管理者によって予測できなければならない ものだ。攻撃者は、多くのSCADAシステムが抱える問題 -つまり、内部ネット ワークの監視がされていないこと、によってその力を遺憾なく発揮できた。産業 制御システム(ICS)には、意図した通信用のプロファイルがあるが故に通信も予測 が容易になっている。防御する側は、このICSとITネットワークが持つそれぞれの 違いをきちんと理解することが求められている。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2015年1月20日(火)、2月18日(水)、3月19日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=12

○2015年1月21日(水)、2月19日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=18

○12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=19

○2015年1月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=20

○2015年2月4日(水)~5日(木)
 【セキュアEggs】IT+セキュリティ基礎:2DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=21

○2015年2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=22

○2015年2月26日(木)
【セキュアEggs】フォレンジック:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=23

○2015年2月25日(水)
【セキュアEggs】インシデント対応:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=24

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=25
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます