NRI Secure SANS NewsBites 日本版

Vol.9 No.7 2014年2月20日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.7 2014年2月20日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
米大統領から新しいサイバーセキュリティに関するフレームワークが発表され た。このフレームワークに違和感を感じているなら、今回取り上げているニュー スにあるAssanteのコメントを読んでみてほしい。


────────────────────────────

■■SANS NewsBites Vol.16 No.012-013
  (原版: 2014年2月11日、14日)

────────────────────────────

◆サイバーセキュリティフレームワーク、2月13日に公開予定(2014.2.8)

米国政府は2月13日にサイバーセキュリティのフレームワークを公開する。こ のフレームワークは国の重要インフラ事業者に対してセキュリティ対策を強制 するものではなく、各事業者が情報セキュリティ対策を実施する際のガイドラ インとして利用されることを目的としている。重要インフラ事業者がフレーム ワークを利用することは強制されておらず任意である。

http://www.govinfosecurity.com/on-deck-cybersecurity-framework-a-6488

【編集者メモ】(Murray)
問題が「何」であるかを識別し、「どのように」対処するのかがわからない状 態であれば、このアプローチは有効であっただろう。しかし、実際の現場で問 題となるのは、「どこまで」やるべきかがわからないことであって、どこまで 対策をとれば「十分」になるのかも同じようにわからないということである。 フレームワークを規範的にしないための配慮なのか、リスクへの考え方は企業 によって異なることを考慮して、「リスクの許容レベル」について、どのよう に決定、実行、管理されるかについては触れられていない。

【編集者メモ】(Paller)
言い換えれば、国はフレームワーク作成に1年をただ無駄に使ったということ だ。行政管理予算局(OMB)の官僚は、文書を作成したことについて過大に誇 張し、重要インフラを保護する手順については何の対処もしないだろう。

────────────────

◆北カリフォルニア州の法律事務所、Cryptolockerによりデータ喪失(2014.2.10)

北カリフォルニア州にある法律事務所が、ランサムウェアCryptolockerに感染 しデータを喪失した。同事務所は300ドルの身代金を支払うつもりでいたが、 IT担当者がファイルの復号を試みたため、身代金を支払う最終判断をする前に 3日間の猶予期間を過ぎてしまったのだという。

http://www.computerworlduk.com/news/security/3501150/cryptolocker-scambles-us-law-firms-entire-cache-of-legal-files/

【編集者メモ】(Northcutt)
SANSのManagement 512「Security Leadership Essentials」で、同様のケース スタディを行ったところ、意見は両極に分かれた。FBIにすぐに連絡すべきと いう人もいれば、身代金を支払って業務を継続するべきだという人もいた。し かし、参加者のほとんどは発言を避けたのだ。議論の最後に、私は受講者に対 して「期限のない状況で決定をしておくこと」と伝えた。NewsBitesの読者に おすすめしたいのは、このような事件を幹部と話し合う機会を設けることだ。 Cryptoclockerが登場して1年も経っていないが、ランサムウェアそのものは新 しいものではない。「うちには関係ない」と思っているなら、それは大変間違っ た認識だ。実際に被害にあっているのは、この法律事務所だけではないだろう。

https://www.us-cert.gov/ncas/alerts/TA13-309A
http://www.connectamarillo.com/news/story.aspx?id=1005134
http://www.snopes.com/computer/virus/cryptolocker.asp

【編集者メモ】(Pescatore)
これはSANSのコースCritical Security Controls 8 (データリカバリとバック アップ) と5 (マルウェア防御) で学ぶべき内容だ。身代金の支払いはビジネ ス的観点からも最善の対応ではない。長期的にみて、再度攻撃される可能性が 高くなるからだ。しかし、これはあくまでも「ビジネス」としての決定である。 IT担当者やセキュリティ担当者がこのような事件が発生した場合のリカバリ策 を準備していない場合、データリカバリをアウトソースすることを検討すべき だ。もちろんアウトソースすることで発生する問題があることを忘れてはなら ない。

【編集者メモ】(Murray)
自身のデータへのアクセスを拒否するような暗号化は、攻撃者がデータへの 「書き込み」アクセスの権限を取得しているからであって、バックアップがな いのと同義である。コンピュータで作業する場合、データを安価でもポータブ ルバックアップに取得しておくことが良策だろう。

【編集者メモ】(Shpantzer)
法律事務所は、クライアント情報を保護する責任があるが、この問題は州の弁 護士会で取り上げられるべき事件だと思う。このような事件は、セキュリティ 専任の担当者が不在でIT担当が1人という中小企業であっても、個人や企業の 機密情報を大量に保管している場合には発生する可能性が高くなる。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「マルウェアとは」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今月号では、マルウェアとは何か、誰がどのような目的で作成するのか、
 マルウェアに感染しないためにできることについて、一般ユーザ向けに、
 分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
 http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆Microsoftが、多要素認証をOffice365の利用者すべてに提供(2014.2.10-11)

MicrosoftのOffice 365スイート製品利用者は、多要素認証の利用が可能になる。 Microsoftは、管理者権限を持つ利用者に対して「クラウドサービスのセキュ リティを強化するユーザログイン機能」を追加すると発表した。多要素認証機 能の利用にあたり、追加費用は発生しないという。

http://www.zdnet.com/microsoft-expands-multi-factor-authentication-for-office-365-7000026203/
http://www.govtech.com/products/Use-Microsoft-Office-365-for-Business-Well-Get-Your-Free-Key-Fob.html
http://news.cnet.com/8301-1009_3-57618687-83/multifactor-authentication-extended-to-all-office-365-users/
http://blogs.office.com/2014/02/10/multi-factor-authentication-for-office-365/

【編集者メモ】(Pescatore)
このようにMicrosoftをはじめ、Google、Twitter、Facebookなどが、コンシュー マユーザに対してショートメッセージを認証の第二要素とする利用促進を進め れば大きな変化が起こるだろう。多くのコンシューマは、業務用システムで利 用しているハードウェアトークンを嫌がっているのも事実だが、個人利用でパ スワードが侵害されたときの苦痛も理解している。認証の第二要素としてショー トメッセージを使うことで、攻撃をすべて防ぐことはできないが、再利用可能 なパスワードに第二の認証要素を加える考え方は、車両の盗難を防ぐために、 イグニションから鍵抜くようなものだ。

【編集者メモ】(Murray)
不満ばかり言うのはやめよう。それほど不便になるわけではない。音声やテキ スト、固定電話や携帯電話を経由して一度パスワードが送信されてくるだけで はないか。これはオプションなので、いやなら使わないこともできるし、オプ ションを有効にしていなくても侵害されることは充分にありえる。アマゾンや アメリカンエクスプレスは、アカウント利用の実態があればリアルタイムで確 認してくれるが、できれば二要素認証を採用してほしい。

────────────────

◆サイバーセキュリティのフレームワークが公開される(2014.2.12-13)

ホワイトハウスは、サイバーセキュリティフレームワークの初版を公開した。 これは、米国立標準技術研究所(NIST)と民間企業が協力して作成したもの。 重要インフラ事業者は、情報セキュリティ対策を実施する上でこのフレーム ワークを用いることもできるが、同文書内に記載されているガイドラインは任 意となっている。同ガイドラインの適用は、民間企業に対しては任意となって いるが、政府と契約がある企業には必須となる可能性が高い。今回、ガイドラ インに準拠するために発生する費用の補助といった経済的支援はないため、必 須とならない事業者は同フレームワークの導入を見送る可能性もある。

http://www.theregister.co.uk/2014/02/13/obama_cybersecurity_framework/
http://www.govinfosecurity.com/nist-releases-cybersecurity-framework-a-6497
http://www.informationweek.com/government/cybersecurity/feds-launch-cyber-security-guidelines-for-us-infrastructure-providers/d/d-id/1113816
http://www.computerworld.com/s/article/9246266/White_House_pushes_cybersecurity_framework_for_critical_infrastructure?taxonomyId=17
http://www.nextgov.com/cybersecurity/2014/02/what-obamas-new-cyber-standards-mean-federal-contractors/78713/?oref=ng-HPtopstory
http://www.bloomberg.com/news/2014-02-11/obama-cybersecurity-plan-seen-lacking-perks-for-business.html
Cybersecurity Framework:
http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf

【編集者メモ】(Assante)
{読者への追記:AssanteはAmerican Electric PowerとNERCのCSOを務めるほか、 アイダホ国立研究所において電力システムの脆弱性対策なども監督している。 ここでまとめた彼のコメントは信頼できるもので、連邦議会やホワイトハウス の高官にも影響を与え始めている}
大統領の対応と、サイバー脅威において対応すべき一連の問題に対して優先度 をつけたことは称賛に値する。今回、従来のITに加えて運用技術(自動化シス テムとICS)もガイドラインに含めたNISTにも感謝している。同ガイドライン をまとめた背景には、サイバー脅威とは「何」かを理解し、「どのように」我 が国のサイバーセキュリティ体勢を強化するかを明らかにすべき機運が高まっ ていたことがある。ここでいう「どのように」には、2つの側面がある。実際 に有効な対策(大統領令で言及した脅威であり、それぞれ構造化されているも の)と、優先付けされた上で導入する対策(達成可能な能力と機能)である。 本フレームワークには、優れた要素とコンセプトが含まれているが、それに対 する説明や優先付け、定義などが欠けていると思う。

────────────────

◆Target社事件、ビル空調保守事業者へのフィッシング攻撃からネットワークアクセスを奪取される(2014.2.12-13)

Target社の流出事件で新たな手がかりがでてきた。同社が契約しているビル空 調保守会社Fazio Mechanicalの社員へフィッシング攻撃があり、社員はマルウェ アが含まれているメールを開いていたというもの。攻撃者は、Fazio社に発行 されていたログイン情報を使って、Target社のネットワークにアクセスしたと 考えられる。Fazio社のセキュリティ対策は非常に乏しいものだったようだ。

http://krebsonsecurity.com/2014/02/email-attack-on-vendor-set-up-breach-at-target/
http://arstechnica.com/security/2014/02/epic-target-hack-reportedly-began-with-malware-based-phishing-e-mail/
http://www.nextgov.com/cybersecurity/2014/02/heres-how-hackers-stole-110-million-americans-data-target/78740/?oref=ng-channeltopstory
http://www.zdnet.com/how-hackers-stole-millions-of-credit-card-records-from-target-7000026299/

【編集者メモ】(Murray)
強度のある認証技術の採用はセキュリティ意識の高い企業がやっていることで、 Microsoftですらやっている。絶対安全ではないといえないが、攻撃の難易度 が高くなるのだから。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月20日(木)、3月19日(水)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~マルチデバイスのグローバル一元管理と、BYOD活用について~
http://www.nri-secure.co.jp/seminar/2014/endpoint02.html?xmid=300&xlinkid=05

○2月25日(火)、3月13日(木)                 【New!】
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=06

○2月27日(木)、3月20日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=07


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。