NRI Secure SANS NewsBites 日本版

Vol.9 No.9 2014年3月5日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.9 2014年3月5日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
サイバー軍のグローバル競争と有能な人材獲得競争は、スノーデンの機密情報 暴露により拍車がかかっている。今週号は、ワシントンポスト紙の朝刊のCISIL (習近平が率いる中国の新サイバー組織)の最新情報だ。習は中国をサイバー 強国にすると宣言している。


────────────────────────────

■■SANS NewsBites Vol.16 No.016-017
  (原版: 2014年2月25日、28日)

────────────────────────────

◆ニーマンマーカス流出事件、見当違いの自動化システムにより6万件の警告を見逃す(2014.2.21)

ニーマンマーカス社を狙ったクレジットカード決済システムへのハッキング行 為により、同社のセキュリティシステムから6万回も警告を出されていたが、 8か月間気付かれることがなかったことが明らかとなった。その理由は、シス テムがカード情報盗難ソフトウェアを毎日自動的に削除していたことが原因だ という。犯人は、毎日盗難ソフトウェアをリロードしており、7月から10月に かけて利用されたカードデータが盗まれてしまったという。

http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data

────────────────

◆Microsoft EMETを迂回するエクスプロイト(2014.2.23-24)

研究者は、Microsoftの脆弱性緩和ツールEMETを迂回するコンセプト実証用の コードを作成した。EMETはゼロデイの脆弱性が悪用されるリスクを軽減するた めに提供されている。このエクスプロイトを作成した研究者のうちの1人は、 「問題となるのは、EMETが回避可能かどうかではなく、EMETが存在することに よって攻撃の難易度が高くなっているかどうかである」だと述べている。

http://www.darkreading.com/attacks-breaches/researchers-bypass-protections-in-micros/240166227
http://arstechnica.com/security/2014/02/new-attack-completely-bypasses-microsoft-zero-day-protection-app/
http://www.eweek.com/security/microsofts-emet-security-technology-isnt-impenetrable-bromium.html

────────────────

◆AppleがiOSの重大な問題を修正するプログラムをリリース(2014.2.22-24)

Apple社は、モバイル用オペレーティングシステムiOSの更新プログラムをリリー スした。今回のリリースでは、SSL接続における重大な脆弱性に対応している。 更新を適用する、iOS 7.xは7.0.6に、iOS 6.xは6.1.6になる。問題の原因はコー ディングのエラーのようで、セキュリティ機能を完全に回避することができる という。悪意ある第三者がこの不具合を悪用すると、アカウントの認証情報や クレジットカードデータなどの重要情報を含むトラフィックの傍受が可能になる。

http://www.wired.com/threatlevel/2014/02/gotofail/
http://news.cnet.com/8301-1009_3-57619299-83/apple-security-update-fixes-ios-vulnerability/
http://krebsonsecurity.com/2014/02/ios-update-quashes-dangerous-ssl-bug/
http://www.v3.co.uk/v3-uk/news/2330460/apple-ios-and-os-x-security-bug-leaves-users-open-to-attack

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃「企業における情報セキュリティ実態調査2013」を公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2002年より12回目となる情報セキュリティに関する調査レポートの最新版。
定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の
計52の質問を、「予算」「人材」「グローバル統制」「モバイル・クラウド」
「インシデントレスポンス」の5つの観点で分析。      【閲覧無料】
http://www.nri-secure.co.jp/news/2014/0221_report.html?xmid=300&xlinkid=10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆Apple社、OS Xにおける暗号化問題の修正は「近日中」(2014.2.22-23)

iOSで発見されたSSL暗号化の脆弱性は、OS Xにも影響することが明らかになっ ている。この問題により、中間者攻撃が可能になるとされており、Appleは、 OS Xへの修正予定を「近日中」と発表した。

https://isc.sans.edu/forums/diary/IOS+SSL+vulnerability+also+present+in+OS+X/17702
http://www.theregister.co.uk/2014/02/23/apple_mac_os_x_10_9_ssl_fix/
http://www.reuters.com/article/2014/02/22/us-apple-encryption-idUSBREA1L10220140222
http://news.cnet.com/8301-1009_3-57619332-83/apple-promises-to-fix-os-x-encryption-flaw-very-soon/
ドイツのセキュリティ会社は、OS X Mavericksの脆弱性に対応する非公式の修正を公開している。
http://www.computerworld.com/s/article/9246555/German_security_firm_offers_unauthorized_patch_for_critical_encryption_bug_in_OS_X_Mavericks?taxonomyId=17

【編集者メモ】(Hoelzer)
今までApple社はセキュリティ問題への対応を適切に行ってきた。これまでの iOSへの対応は称賛に値する。修正が簡単なものは、悪用するもの簡単だが、 ちょっと待て。セキュリティコミュニティは充分盛り上がったのだから悪用す るに値するものになっているだろう。

────────────────

◆習近平がCISILを直接監督、中国を「サイバー強国」へ(2014.2.28)

習近平は中国を「サイバー強国」にすると明言し、サイバーセキュリティを優 先課題にすると述べた。同氏自ら長を務めるCISIL(中央サイバーセキュリティ 情報化指導グループ)の初会合を開いた。その中で同氏は、参加者に対して、 サイバーセキュリティは国家の安全と発展における戦略的問題であると述べた 上で、「中国をサイバー強国にする」と述べたものだ。中国でもっとも権力を 持つ共産党常務委員のメンバーである李克強と劉雲山が同グループの副長を務 めることになっており、その両名とも今回の会合に参加している。

http://www.washingtonpost.com/world/chinese-president-takes-charge-of-new-cyber-effort/2014/02/27/a4bffaac-9fc9-11e3-b8d8-94577ff66b28_story.html

【編集者メモ】(Assante)
サイバー世界における戦略的活動を推進しているのは、国家の安全や競合優位 性を保持したい国々だ。中国の障壁となっているのは、規制をしながらサイバー 強国にしようとしている点だ。国民の思想や国民が入手できる情報を管理しな がら、サイバーにおける軍事力の強化に注力している。この政策を成功させる ならば、自由な情報の流通や革新的な活動を推進することが必要であると認識 すること、そして人民、産業、政府、軍による自発的なリーダーシップと行動 を発生させることだ。リーダが掲げるサイバーパワーの目標は、国家、国民、 そしてグローバルコミュニティにとって利益をもたらすものであるべきだ。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「Windows XPのサポート終了」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2014年4月8日にはWindows XPのEOL(サポート終了)が予定されています。
 今月号では、Windows XPのサポート終了後に考えられるリスクとその対応策
 について、一般ユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
 http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆FBI長官、ネット犯罪の複雑化を指摘(2014.2.27)

サンフランシスコで開催されたRSAセキュリティカンファレンスで、FBI長官 ジェームズ・コミー(James Comey)は、「FBIの最優先事項はテロリスト対策 であるが、サイバー犯罪が国内でもっとも大きな脅威になる日は近い」と述べた。 FBIはすでにBACSS(Binary Analysis, Characterization, and Storage System) と呼ばれるデータベースへマルウェアを収集する作業を開始しており、年末に はデータベースの一部がFBIのセキュリティパートナーに開示される予定となっ ている。コミー氏は、「BACSSを通常の犯罪捜査における指紋、DNA、犯罪歴を 収集しているデータベースと同様のレベルにする予定」と述べた。

http://www.theregister.co.uk/2014/02/27/new_fbi_boss_pledges_cyber_crime_not_terrorism_will_dominate_agency_in_the_next_decade/
http://www.fbi.gov/news/speeches/combating-threats-in-the-cyber-world-outsmarting-terrorists-hackers-and-spies??

【編集者メモ】(Pescatore)
これは2001年9月10日にもFBIが言っていたが、犯罪の様態が変化することで国 家の司法当局の注力分野も変わるのは当然だ。サイバーセキュリティ分野にお いて、国が中心的役割を担うようになるのは、競争問題ではなく犯罪的要素が 大きいから良いことだ。ただし、FBIはデータベース構築よりも、インテリジェ ンス分野や職員の技術力の向上に注力してほしい。そのようなスキルこそが、 過去の犯罪減少に最も貢献できるのだと思う。

【編集者メモ】(Murray)
通常の犯罪捜査における指紋やDNAのデータベースとBACCSの共通点は、データ ベースということだけだ。データベースの情報から犯人を突き止めることはで きないし、登録されていても有罪とは限らない。

────────────────

◆エネルギー会社、サイバー保険の契約締結に壁(2014.2.27)

エネルギー会社は、サイバー攻撃対策保険の購入に苦労している。リスク評価 者は、各社とも十分なセキュリティ対策がされていないため、保険業者は、保 険契約の締結に向けた条件の適用に躊躇している。エネルギー産業の各社が導 入している産業制御システム(ICSまたはSCADA)は、最新のパッチが適用され ていないことが多いことが主な理由。評価者は、各社のシステム侵入防止策、 ソフトウェアのパッチ適用状態の管理、遠隔ネットワークの監視方法などを調 査しているが、ある保険業者は「セキュリティの替わりとして保険に頼られて も困る」と述べている。

http://www.bbc.com/news/technology-26358042
http://www.theregister.co.uk/2014/02/27/energy_sector_refused_cyber_insurance/

【編集者メモ】(Pescatore)
この問題はサイバー保険で何年も議論されている(単純なパソコン買い換えポ リシーを除く)。Slammer、Blaster、TJX、Sonyなどの大きな事件が発生し、 「セキュリティは難しい、その答えは保険だ」という誇大広告により、サイバー 保険への期待が高まっているが、サイバー保険を扱う業界は「サイバー保険は 売りたいが、保険を使う予定がないことが前提」という姿勢だ。保険は、防止 策が機能しなかった時の「補完」費用でしかなく、防止策に代わるものではな い。防止策が失敗したときの経済的な危険状態をカバーするにすぎない。バル サ材で造られた家に保険はかけられないし、免許証が失効していれば自賠責保 険は購入できない。Critical Security Controlsを考えてほしい。セキュリティ プログラムが適切に運用されている環境においてのみ、サイバー保険をかける ことで損害額を有限に留めることができる。それこそ保険会社が求めているこ とだ。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月13日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=06

○3月19日(水)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~マルチデバイスのグローバル一元管理と、BYOD活用について~
http://www.nri-secure.co.jp/seminar/2014/endpoint02.html?xmid=300&xlinkid=05

○3月20日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=07

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。