NRI Secure SANS NewsBites 日本版

Vol.9 No.8 2014年2月26日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.8 2014年2月26日発行
**********************************************************************


────────────────────────────

■■SANS NewsBites Vol.16 No.014-015
  (原版: 2014年2月18日、21日)

────────────────────────────

◆米保険福祉省監察室、ネットワークに接続された医療機器のセキュリティを調査(2014.2.10)

米保険福祉省(HHS)の監査室(IOG)は、特定の医療機器のセキュリティ状態 を調査する。今回の調査は、2014年度HHS OIG作業計画書で説明されていると おり、医療業界全体におけるセキュリティ問題への取り組みの一環として行わ れる。OIGは、各病院が患者情報を守るために、ネットワークに接続された医 療機器に対して十分なセキュリティ対策を行っているかを確認する。例えば、 透析機器、薬の分注システムなどである。OIGは、オバマケアのWebサイトと、 HITECH電子医療記録プログラムに参加している組織のセキュリティやプライバ シーの方針についても確認する。

http://www.govinfosecurity.com/oig-to-review-medical-device-security-a-6490
2014年度HHS OIG作業計画:
http://docs.ismgcorp.com/files/external/OIG-Work-Plan-2014.pdf

【編集者メモ】(Assante)
担当官による説明では、重要な争点の周辺事項に焦点を当てていた。患者情報 の流出は阻止すべきではあるが、ここで患者にとって重要なのは、機器が生成 した情報、または医療担当者の判断材料に使われる情報の完全性だ。一個人と しての私も、情報に依存した医療システムに頼って健康を維持している。完全 性が高いデータでも治療のニアミスは発生する。医療機器が生成するデータの 完全性が失われることは、どのようなレベルであっても、現代の医療機関に対 する信頼をなくし、不安をあおることになるだろう。

【編集者メモ】(Pescatore)
これは、重要ながら範囲が非常に広いため、Critical Security Controlsを使っ た監査が効果的だろう。特に、医療機器を何台ネットワークに接続しているか を認識しているかを確認するだけでも、病院の管理能力がわかる(Critical Security Control 1)。根本的な問題の解決に対して、集中的かつ迅速な行動 が期待される。1年近くかけて欠点を一覧化しただけの電話帳のような分厚い 報告書と、雑誌1年分の参考資料を作成することに終わらないようにしてもら いたいものだ。

────────────────
◆偽造SSL証明書を検出しないモバイルアプリ(2014.2.14)

スマートフォンのオンラインバンキング利用者は、偽装SSL証明書の危険にさ らされている。何十件にもなる偽装SSL証明書が確認されているという。攻撃 者は偽装SSL証明書を使って中間者攻撃を仕掛けることができる。利用者には、 正規のバンキング、ショッピングサイト、ソーシャルネットワークサイトに接 続しているように思いこませ、実際には利用者のデータを窃取する。偽装証明 書は信頼のおける認証局の署名がないため、主要なブラウザは検出できるが、 アプリやブラウザ以外のソフトウェアで直接バンキングサービスを利用してい る場合は、危険にさらされる。

http://www.theregister.co.uk/2014/02/14/fake_ssl_cert_peril/
http://arstechnica.com/security/2014/02/in-the-wild-phony-ssl-certificates-impersonating-google-facebook-and-itunes/

【編集者メモ】(Pescatore)
証明書の検証なしで公開されているアプリは相当数になっている。多くは、 AmazonやPayPalの店舗用SDKや検証されていないショッピングカートオブジェ クトを使っている。Apple Appストアや、Google Playは、このようなアプリが 公開される前にアプリ検証とサーバ側のSSL検証を強化するべきだ。

【編集者メモ】(Ullrich)
問題は、このような偽装SSL証明書が存在することではなく、モバイルアプリ が騙されてしまうことだ。

【編集者メモ】(Murray)
利用銀行から提供されているアプリケーションからなら安心して接続できると、 普通は考えるだろう。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃「企業における情報セキュリティ実態調査2013」を公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2002年より12回目となる情報セキュリティに関する調査レポートの最新版。
定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の
計52の質問を、「予算」「人材」「グローバル統制」「モバイル・クラウド」
「インシデントレスポンス」の5つの観点で分析。      【閲覧無料】
 http://www.nri-secure.co.jp/news/2014/0221_report.html?xmid=300&xlinkid=10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆USBメモリを使うATM強盗発生(2014.2.13)

犯罪組織が、USBメモリを使ってATMマシン4台からすべての現金を盗難する事 件が、米国外で発生した。ATMマシンの扉を開けてマルウェアを含むUSBメモリ を挿入し、ATMマシンを操作し、現金を引き出したのである。これまでのとこ ろ、現金の運び屋をしていた1名のみが逮捕されている。この攻撃は、個々の 口座からではなく銀行から直接現金が盗難されたという点が、過去のATM強盗 とは異なっている。

http://www.darkreading.com/attacks-breaches/criminals-control-cash-out-banks-atm-mac/240166070

【編集者メモ】(Henry)
各組織がセキュリティ対策を強化する中で、敵も攻撃方法を模索している。こ の事件は国外で発生したが、米国内の金融機関も、同じように被害を受ける可 能性があるので、ATMマシンなどに物理アクセスされないように最新の注意を 払うべきだ。

【編集者メモ】(Murray)
かつてのATMは、独自ソフトウェア、独自プロトコルとネットワークを使い、 堅牢化され、銀行内に設置されていた機器で銀行により管理されていた。現在 のATMはアプライアンス機器であり、一般の店舗内に設置され、Windowsのよう な一般のソフトウェア、公共ネットワークのプロトコルとネットワークを使い、 サードパーティにより管理されている。さらに、ATM専用カードは、デビット カードのように多目的カードに変わった。攻撃箇所や脆弱性の増加と比較すれ ば、攻撃の成功率の向上は、驚くほどでもなく、妥当だと言える。

────────────────

◆ICS-CERTの報告書、基幹インフラへの攻撃の多くは未検出のまま(2014.2.19)

米国土安全保障省(DHS)の制御システムのセキュリティ担当機関である ICS-CERTは、米国の基幹インフラを構成する企業や団体のネットワークに対す る攻撃は、検出能力不足とログ情報の不足により未検出のままであると報告し た。ICS-CERTは、対象機関や団体に対して、インシデントを検出、監視、対応 できる能力の改善を推奨した上で、攻撃に対する理解を深めるためにインシデ ントを報告するように求めた。攻撃手法として最も利用されるのは、水飲み場 攻撃(標的がアクセスしそうなサイトにマルウェアを埋め込む方法)、スピア フィッシング、SQLインジェクションであるという。

http://www.govinfosecurity.com/report-cyberthreat-detection-lacking-a-6516
https://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_Oct-Dec2013.pdf

【編集者メモ】(Assante)
ICSネットワークや機器におけるセキュリティは不明確で、攻撃者は時間をか けて攻撃ができる。ICSネットワークは、特別な目的のために構成されたネッ トワークであるが、ある程度予測した対策ができるように、理解して管理する ことは可能だ。不必要な通信やプロトコルやソフトウェアの脆弱性悪用を試行 している通信を検出することは、アウトバウンドな通信をフィルタリングして 監視するのと同様に非常に重要である。これらのシステムの周囲に単純に防護 壁を作成するだけでは充分ではない。防衛戦略は、防止策だけでは不足という 事実を皆が認識するべきだ。

【編集者メモ】(Paller)
最大手の電力会社の経営陣は、リスクを理解している。今の課題は、対象シス テムは数十年前に構築されたものであり、企業ネットワークから完全に隔離も できなければ、完全保護もできないという事実だ。革新的な考えを持つ電力会 社は、Assante氏の推奨を取り入れ、少数の担当者で監視チームを作成し、侵 入者を発見し排除している。難しい問題に対して、現実的な取り組みだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「マルウェアとは」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今月号では、マルウェアとは何か、誰がどのような目的で作成するのか、
 マルウェアに感染しないためにできることについて、一般ユーザ向けに、
 分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
 http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆米HSBC銀行、一部2要素認証を必須に(2014.2.20)

米HSBC銀行は、個人顧客が行うオンライン処理に対して2要素認証を必須にした。 店舗利用者は、振替、振込、講座名義の変更などを行う際に必須となる。追加 のセキュリティコードを生成するために、ハードウェアトークンまたはモバイ ルアプリのいずれかを選択できる。追加費用はかからない。

http://www.bankinfosecurity.com/interviews/hsbc-requires-dual-authentication-i-2189

【編集者メモ】(Murray)
元の記事では、これを「画期的」と言っているがそのようなことはない。多く の銀行は何年にもわたり法人利用者に対して強固な認証を必須としてきたが、 一般利用者にはオプションにしていた。ただし、特定の銀行サービスで必須と したのは、非常に新しい。

【編集者メモ】(Honan)
米HSBC銀行が、セキュリティを深刻にとらえ、米国の利用者に対して2要素認 証を採用するのはよいことだ。この認証について、英国では2006年から提供さ れている。
http://www.finextra.com/news/fullstory.aspx?newsitemid=15169

【編集者メモ】(Northcutt)
これですべてが解決するわけではない。最新のマルウェアは認証されるのを 待ってから不正処理を行うこともある。しかしこれは大きな進歩であり、正し い方向に進んでいる。私は個人的に2要素認証を採用していない銀行の口座を 閉じて、HSBCで口座を開こうと思っている。eTradeとSchewabも2要素認証を採 用している。採用している銀行が他にもあるなら、stephen@sans.eduまで知ら せてほしい。

────────────────

◆Windowsクラッシュレポートの分析から新たなAPTとPOS端末への攻撃が発覚(2014.2.19)

WebsenseがMicrosoft Windowsのクラッシュレポートを分析し、新たなAPTと POS端末への攻撃の証跡を確認した。Websenseは最近、Windowsクラッシュレ ポートが平文でシステムのログデータを送信するメカニズムを悪用する攻撃に ついて公開した。Websenseは、クラッシュレポートを分析して、侵害を検出で きるソースコードを無償で公開した。

http://www.darkreading.com/attacks-breaches/microsoft-windows-crash-reports-reveal-n/240166207
http://www.infosecurity-magazine.com/view/37010/using-windows-error-reports-to-detect-unknown-breaches/

【編集者メモ】(Ullrich)
Websenseからのツール提供で、大きく前進したと言える。クラッシュレポート は長年にわたり見過ごされてきた。エンタープライズ系の環境においては、ク ラッシュレポートを使うことで、効果的かつ自動的に新しいマルウェアについ て学ぶことができる。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月27日(木)、3月20日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=07

○3月13日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=06

○3月19日(水)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~マルチデバイスのグローバル一元管理と、BYOD活用について~
http://www.nri-secure.co.jp/seminar/2014/endpoint02.html?xmid=300&xlinkid=05


────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。