NRI Secure SANS NewsBites 日本版

Vol.9 No.6 2014年2月12日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.6 2014年2月12日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
ワシントンポスト紙が、米連邦当局によるサイバーセキュリティ対策が失敗し た原因について説明している。主な原因は2つあるとされ、技術的スキルがな い職員たちがシステムを守っていることによる浅はかさと無責任さによるもの だという。
http://www.washingtonpost.com/business/technology/senate-cybersecurity-report-finds-agencies-often-fail-to-take-basic-preventive-measures/2014/02/03/493390c2-8ab6-11e3-833c-33098f9e5267_story.html
おっと!ホワイトハウスが、地雷を踏もうとしている。ホワイトハウスのサイ バーセキュリティ調整官マイケル・ダニエルは、無能な「Cyber Framework」 と距離を置くどころかオバマ政権の同分野におけるリーダーシップを誇示する ために強化しようとしている。このフレームワークは全く使えないにも関わら ずだ。これが進むと、サイバーセキュリティ分野におけるオバマ政権のリー ダーシップが疑問視されることになるだろう。このことは、上院のCoburn議員 (共和党・オクラホマ州)が今週頭にも文書化している。Coburnの報告書原文 については以下を参照してほしい。
http://www.hsgac.senate.gov/download/?id=8BC15BCD-4B90-4691-BDBA-C1F0584CA66A
Coburn議員は、「議会はホワイトハウスと関連部局に対して説明責任を要求す るべきだ」とコメントを添えている。

────────────────────────────

■■SANS NewsBites Vol.16 No.010-011
  (原版: 2014年2月4日、7日)

────────────────────────────

◆米議会、データプライバシーと漏洩通知の法案(2014.2.3)

米上院の商業・科学・交通委員会のメンバーは、消費者のデータ保護と漏えい 時の関係者に対する通知に関して、連邦レベルの基準を定める法案を提出した。 同法案は、米連邦取引委員会(FTC)に対して、消費者の個人情報や金融情報 を保持する企業に求められるセキュリティ標準を発行するように求めたもの。 漏えいが発生した場合、今回の法案によると、対象顧客に30日以内に通知する 義務が課されるという。

http://www.govinfosecurity.com/yet-another-data-breach-bill-introduced-a-6466

【編集者メモ】(Pescatore)
今回の法案は、漏洩通知の義務化を定めたものであるにも関わらず、必要以上 に長い法案になっている。プライバシーに関わる情報が漏洩した場合に、FTC が国レベルで報告方法を標準化するのはいいことだが、セキュリティ「基準」 や報告要件を無駄に増やし、特定技術の利用を「推奨」するなど、セキュリティ に関する報告書というより、コンプライアンスの報告書になってしまっている。

【編集者メモ】(Henry)
下院で同じような法案が登場してから5年以上が経過している。私も含めたほ かの専門家も、下院議員やスタッフなどに対して、この問題について何年も話 してきたが、サイバーセキュリティに関する新法案は10年以上にわたり成立し ていない。最近発覚した大手小売事業者の個人情報流出事件によって注目度が 高まっている中で、グローバル企業では、報告内容が標準化されている現状は 非常に有意なのだ。しばらくは、各州の法律を確認しなければならないが、こ れは非常に複雑な問題であり、、今のタイミングで議論して具体的な施策を実 施することは、脅威に関するインテリジェンスの共有、防衛策や敵の発見、さ らに情報が流出したことを発見した場合の対策など将来的に役立つはずだ。今 回の事件の結果を踏まえて、よりよい方向に向かうことを祈ろうではないか。

────────────────

◆PC-SSC、基準への改定は必要なし(2014.2.3)

PCIセキュリティ基準委員会(PCI-SSC)のジェネラルマネージャーのBob Russo 氏は、最近発生した大手小売りチェーンによる個人情報流出事件という事例が あるにも関わらずPCIの基準は変更する必要がないという考えを明らかにした。 氏は、「このような事件が発生すると、日々の業務におけるセキュリティを確 立する認識が高まるからだ」と述べた。

http://www.computerworld.com/s/article/9245984/Despite_Target_data_breach_PCI_security_standard_remains_solid_chief_says?taxonomyId=17
http://www.govinfosecurity.com/interviews/pci-council-responds-to-critics-i-2175

【編集者メモ】(Pescatore)
私もPCI SSCのRusso氏の意見に賛同する。「業界内で公開されているフォレン ジック調査の結果を見る限り、流出事件の原因はセキュリティの基本が破たん したことであり、各種コントロールの実装やメンテナンスによる効果が非常に 弱かった」からだ。基本的な部分が破たんしているか否かは、PCIによる評価 で対応すべき問題だと確認できる。新しい要件が必要なわけでもない。その点 こそが、「Critical Security Controls」と共鳴していることだ。

【編集者メモ】(Murray)
私はPCI委員会の言っていることは正しいと思う。つまり、基準を厳しくして も壊れた仕組みは直らないということだ。クレジットカードの不正利用発生率 をある程度のレベル以上にまで削減することはできない。責任をもって実施し ている小売り業者は素晴らしいと思うが、結局のところPCI DSSは大きな傷に バンドエイドで応急処置をしたような役割でしかない。今必要なのは、カード ブランドや発行元からの根本的な対策である。そうでなければ、「カード」社 会は脆くも崩れ去るだろう。

────────────────

◆LabMDが、FTCのデータ漏洩事件捜査中に倒産(2014.1.31)

アトランタに拠点を置く医療系の研究機関LabMDの最高経営責任者(CEO)であ るMichael Daughertyは、米連邦取引委員会(FTC)から要請される捜査対応へ の負荷が高まったため同所を閉鎖すると明らかにした。FTCはデータ侵害事件 において、LabMDのセキュリティに問題があるとして捜査を行っていたもの。 氏は、FTCの捜査に越権行為があったと非難している。事件は2010年にピアツー ピア型のネットワーク監視サービス企業が、監視対象ネットワークでLabMDの 請求書1,700件を発見したことから発覚した。被害にあったのは、患者9,000名 で、社会保障番号と治療に関する情報も含まれていた。LabMDは、FTCの行為に ついて、データ侵害が発生した企業に対し、不公平かつ詐欺的な罰則を与える ことを禁止するFTC法に違反しているとして、裁判所に提訴していた。

http://www.computerworld.com/s/article/9245911/Medical_lab_says_FTC_breach_probe_forced_it_to_close?taxonomyId=17

【編集者メモ】(Pescatore)
これは、害虫の存在を発見されたレストランが、保健所から衛生管理の不行き 届きに関して罰金を課されて閉鎖するようなものだ。情報漏えいによって影響 があった被害者に通知し、漏えいの原因となった問題を修正する以外に、20年 間で10回の外部監査を受ける必要があったようだが、厄介であっても、金銭的 には影響がほとんどなかったはずだ。

【編集者メモ】(Murray)
セキュリティ分野において我々はFTCの行動を賞賛しているが、LabMDによる申 し立てには、ちょっと憤りを感じる。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「マルウェアとは」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今月号では、マルウェアとは何か、誰がどのような目的で作成するのか、
 マルウェアに感染しないためにできることについて、一般ユーザ向けに、
 分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆コードエラーにより、英国民保健サービスサイトが悪意のあるページへリダイレクトされる(2014.2.3)

国民保健サービス(NHS)に関連する大量のURLにおいて不適切なコードが発見 された。このエラーにより、NHSにユーザがアクセスすると広告またはマルウェ アを含んだサイトに転送されるというもの。NHSの発表文書によると、この不 適切なコードは攻撃によるものではなく、同問題については対応済みだという。 この問題は、NHSサイトのソースコードにタイプミスがそもそも存在したとい うもので、何者かがこのタイプミスを発見し、タイプミスをドメインに含んだ アドレスを使ったことで、発生したという。NHSはすでに問題を修復している。

http://www.bbc.co.uk/news/technology-26016802
http://www.v3.co.uk/v3-uk/news/2326540/coding-error-on-hundreds-of-nhs-sites-redirects-users-to-dodgy-pages

【編集者メモ】(Ullrich)
タイポスクワッティングの新しい悪用方法だ。このような問題を発見するには、 エラーログを監視することだ。外部からの指摘を待つのは危険だし避けるべき だと思う。

────────────────

◆Traget社とNeiman Marcus社役員が上院公聴会で証言(2014.2.4-5)

米上院司法委員会の公聴会に、Target社とNeiman Marcus社の役員が出席し、 カード決済にICカードとPIN番号を併用することに関して、それぞれ意見を述 べた。Target社の役員は、同技術を来年初めごろまでに導入する計画を説明し たのに対し、Neiman Marcus社の役員は短期間で新技術導入を進めることに懸 念を表明している。両社の役員は流出事件において更なる詳細情報を委員会に 提供しているが、両社の役員は、その前に下院で行われたエネルギー・商業委 員会の商業小委員会にも出席している。

http://www.govinfosecurity.com/target-neiman-marcus-differ-on-emv-a-6472
http://www.nbcnews.com/tech/security/senators-grill-target-cfo-after-massive-credit-card-data-hack-n22131
http://www.scmagazine.com//retailers-testify-before-senate-judiciary-committee-push-chip-cards/article/332868/
http://www.computerworld.com/s/article/9246070/Target_and_Neiman_Marcus_execs_defend_security_practices?taxonomyId=17

【編集者メモ】(Honan)
欧州の人からすると、欧州ではすでにICカードについての成功事例が長く続い ているにも関わらず、どうして米国がICカードを採用しないのか不思議でなら ない。。ICカードは、確かにカードを提示しない場合の不正利用までは防止で きないが、カードを提示する際の不正利用は防止できるものの一つだと思う。

────────────────

◆米上院銀行委員会の公聴会で、カード決済のセキュリティについて議論(2014.2.3)

米上院の銀行委員会の国土安全・国際貿易・金融小委員会において、決済シス テムの専門家は、カードの不正利用やカード情報流出から、米国消費者を長期 的に守るには、ICカードとPIN番号技術を併用した仕組みが重要だと発言した。 しかし、このICカードとPIN番号の併用だけで全てが解決できるというわけで はないとする注意も付け加えた。

http://www.govinfosecurity.com/finger-pointing-at-breach-hearing-a-6468

────────────────

◆米防衛契約企業が、情報漏えい防止策を導入(2014.2.5)

米防衛契約企業100社に対して最近行われた調査によると、スノーデンの暴露 事件以来、組織内でデータセキュリティ向上策を実施した企業は4分の3に達し た。実施策の多くは、社員に対する教育を徹底すると供に、「通常とは異なる 操作」に警告を与えるというもの。その他のデータセキュリティ向上策として は、ユーザアクセスの制限を実施した44%、管理者権限を制限した34%という回 答結果となった。

http://www.darkreading.com/attacks-breaches/nsa-document-leaks-prompt-security-chang/240165931
http://www.nextgov.com/cybersecurity/2014/02/75-percent-pentagon-contractors-adjusted-security-after-snowden-leaks/78302/?oref=ng-HPtopstory

────────────────

◆FBIがマルウェアを要請(2014.2.4-6)

FBIはサイバーセキュリティ専門家が研究用に使ったマルウェアのサンプルを 全て、当局に送信するように要請した。FBIは、マルウェアのサンプルにあた り対価を支払うという。今回の要請は、FBI運用技術部の捜査分析部門(IAU) から出された。FBIは「グローバルでマルウェアによる脅威の認知度を高める というIAUのミッション遂行にあたり、さまざまな産業、法執行機関、および 研究機関などからマルウェアを収集することは非常に重要」と述べた。

http://www.nextgov.com/cybersecurity/cybersecurity-report/2014/02/fbi-market-malware/78218/?oref=ng-channelriver
http://www.zdnet.com/uncle-sam-i-want-you-to-sell-me-malware-7000026058/
http://www.nbcnews.com/tech/security/fbi-request-give-us-your-malware-your-worms-n22266
https://www.fbo.gov/index?s=opportunity&mode=form&id=5b4b8745e39bae3510f0ed820a08c8e2&tab=core&_cview=0

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月14日(金)
 モバイル・ソリューションセミナー
 ~スマートデバイスの活用、BYOD導入の課題と解決~
http://www.nri-secure.co.jp/seminar/2014/0214.html?xmid=300&xlinkid=04

○2月20日(木)、3月19日(水)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~マルチデバイスのグローバル一元管理と、BYOD活用について~
http://www.nri-secure.co.jp/seminar/2014/endpoint02.html?xmid=300&xlinkid=05

○2月25日(火)、3月13日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=06

○2月27日(木)、3月20日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=07
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。