NRI Secure SANS NewsBites 日本版

Vol.10 No.14 2015年4月21日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.14 2015年4月21日発行
**********************************************************************


────────────────────────────────
■■SANS NewsBites Vol.17 No.029、030
(原版: 2015年4月14日、4月17日)
────────────────────────────────

◆ フランスの放送ネットワークがテレビ取材を受ける際にパスワードを漏えい(2015.4.9)

TV5Mondeの記者David Delos氏が、衛星を介したハッキングに関する取材中に、 局のソーシャルメディアアカウントのパスワードを誤って漏えいさせてしまっ た。撮影は氏の机付近で行われたが、アカウントのユーザ名とパスワードを記 載した付箋が机に貼付されており、それが放送中に写りこんでしまったという もの。

http://arstechnica.com/security/2015/04/hacked-french-network-exposed-its-own-passwords-during-tv-interview/

────────────────

◆ Carder氏が12年の実刑判決を受ける(2015.4.9,10)

Jermaine Smithは、アンダーグラウンドのペイメントカード偽造のオペレーショ ンに関わっていたとして、12年の実刑判決を受けた。また、ペイメントカード偽 造によって得た5,080万米ドルも払い戻しするよう命じられた。この件に関して Smithは、2014年10月にゆすりなどを行う犯罪組織に関わっていたことを認めて いた。Smithは、ニュージャージーに住んでおり、偽造されたペイメントカード を、ロシアを拠点にする犯罪組織のために販売していたという。

http://www.darkreading.com/attacks-breaches/member-of-organized-cybercrime-ring-sentenced-to-150-months-in-prison-for-selling-stolen-and-counterfeit-credit-cards/d/d-id/1319877
http://www.scmagazine.com/prison-term-508-million-fine-for-cardersu-member/article/408517/
http://thehill.com/policy/cybersecurity/238377-credit-card-fraudster-gets-150-months

────────────────

◆ 中学生が学校のネットワークに対する不正アクセスで重罪になる可能性(2015.4.13)

フロリダ州に住む14歳の中学生が、学校のネットワークに不正アクセスを行い、 教員が使用するパソコンの壁紙を変更したとして、重罪になる可能性が出ている。 学区は、パスワードとして教職員の名字を設定している状態だった。この生徒は、 過去にも校内システムに不正アクセスを行ったとして、3日間の停学処分を受けて いるという。

http://www.computerworld.com/article/2909321/8th-grader-charged-with-felony-hacking-for-changing-teachers-digital-wallpaper.html
http://arstechnica.com/security/2015/04/eighth-grader-charged-with-felony-for-shoulder-surfing-teachers-password/

【編集者メモ】
我々はハッキングを美化しつつ、未来ある若い世代を悪い方向に導いてしまって いる。これらの若者が法執行機関、地方自治体や被害者によって雇われることは あまり無いのが残念だ。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「パスフレーズについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワードは、メールの利用やオンラインショッピングなど、様々な場面で皆さん
の生活に関わっていますが、手軽にパスワードで個人識別ができることが欠点とな
って、勝手に不正送金されたり個人情報を盗み出されてしまう危険性があります。
このような被害にあわないためには、強力なパスワードを設定することが大切です
が、自分のパスワードを覚えられない問題があります。今月は、もっと手軽に強力
なパスワードを設定するパスフレーズについて、一般ユーザー向けに、分かりやす
く解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201504_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ GAOがFAAに対しWi-Fiセキュリティに関する懸念を対処するよう促す(2015.4.14,15,16)

米政府説明責任局(GAO)が発行したレポートによると、特定の航空機では、乗客 用のWi-Fiネットワークが、航空機のアビオニクスシステムと同じネットワークを 利用しているため、航空機が乗客や地上にいる攻撃者からの攻撃を受ける可能性が あると指摘し改善を促している。GAOがリリースしたレポートは「FAA Needs a More Comprehensive Approach to Address Cybersecurity As Agency Transitions to NextGen」であり、米下院の国土交通委員会(House Transportation and Infrast -ructure Committee) のリクエストにより発行されたもの。

http://www.wired.com/2015/04/hackers-commandeer-new-planes-passenger-wi-fi/
http://arstechnica.com/security/2015/04/in-flight-wi-fi-is-direct-link-to-hackers/
http://www.siliconrepublic.com/enterprise/item/41610-us-government-fears-airline/
http://www.scmagazine.com/gao-issues-report-on-faa-practices/article/409315/
http://www.v3.co.uk/v3-uk/news/2404323/modern-aircraft-could-be-hacked-via-onboard-wifi-systems
http://www.computerworld.com/article/2909527/us-sounds-alarm-on-hacking-of-passenger-jets-air-traffic-control.html

【編集者メモ】(Honan)
フォーブスの記事では、GAOレポート内容の多くに語弊があるもしくは間違ってい るとしている。
http://www.forbes.com/sites/thomasbrewster/2015/04/16/us-government-flight-security-claims-fallacious/
【編集者メモ】(Paller)
フォーブスの記事では、GAOのレポートが「現代航空機の機能を、正確に理解して いない人たちによって作成された」としている。私は、通常このような発言を泣き 言として片付けるのだが、このGAOのレポートに関しては、そうするわけにはいか ないようだ。GAOの職員は、ネットワークやサイバー攻撃がどのようにして行われる のか、テクニカルなレベルで理解していないということだし、GAOのレポートを読 んだ政府機関がお金を無駄にすることにもつながるからだ。さらに付け加えると、 GAOは、連邦政府機関で起きている不正アクセスの事案を誘発しているに等しいと さえ言える。GAOの職員は、間違いや誤解だという指摘に対して、OMBの規制による ものだとしているが、GAOが発揮するリーダーシップや調査結果によって受けるダ メージや、これらの調査を行っている人たちについて、見つめなおす時期が来たの ではないだろうか?

────────────────

◆ 産業制御システムに対する攻撃が増加 ~Dellレポート(2015.4.15)

2015年の Dell Security Annual Threat Reportによると、産業制御システムに対 する攻撃が一昨年と比べて4倍も増加したとのこと。フィンランド、英国および米 国にあるシステムに対して多くの攻撃が行われたという。また、レポートでは、 HTTPS通信を使った攻撃が大幅に増えたことも記載されていた。Dellによると、マ ルウェアをトラフィック上で隠ぺいするために悪用されるため、これは良くない 傾向だとしている。

http://www.computerworld.com.au/article/572668/attacks-against-scada-systems-soar/

────────────────

◆ 月例パッチで修正された問題に対する攻撃を確認(2015.4.14,15)

4月14日の火曜日に、マイクロソフト、アドビおよびオラクルが、それぞれセキュ リティアップデートをリリースした。マイクロソフトは11件のセキュリティアップ デートで、Windows、Office、Internet Explorer(IE)に含まれる29個の脆弱性を 修正している。11個のアップデートのうち、4つが深刻(critical)と評価されて おり、一つ以上の脆弱性が攻撃活動に悪用されているという。アドビも同社のソフ トウエアFlash Playerのアップデートを提供し、12個の問題を修正しているが、マ イクロソフトと同様に、修正された問題のうち一つが攻撃活動に悪用されていると いう。また、OracleはJavaのアップデートを提供している。

https://isc.sans.edu/forums/diary/Microsoft+Patch+Tuesday+April+2015/19577/
http://www.computerworld.com/article/2909524/microsoft-releases-11-critical-updates-and-fi」xes-critical-http-flaw.html
http://www.computerworld.com/article/2909646/microsoft-patch-tuesday-the-patches-keep-coming.html
http://www.theregister.co.uk/2015/04/15/april_patch_tuesday/
http://www.v3.co.uk/v3-uk/news/2404110/microsoft-patch-tuesday-release-brings-critical-ie-windows-and-office-fixes
http://www.scmagazine.com/microsoft-addresses-26-vulnerabilities-some-critical-on-patch-tuesday/article/409048/
http://krebsonsecurity.com/2015/04/critical-updates-for-windows-flash-java/
https://technet.microsoft.com/library/security/ms15-apr
https://helpx.adobe.com/security/products/flash-player/apsb15-06.html
http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html

────────────────

◆ モバイルマルウェアはまだ重要ではないとVerizonのレポート(2015.4.14)

Verizonの2015 Data Breach Investigations Report (DBIR)によると、脅威に関す る展望は昨年のレポート時点とあまり変化が無いとしている。昨年、データ漏えい の原因として挙げられたのが、ウェブアプリケーションに対する攻撃やPoS(Point of Sales)への侵入、サイバースパイ活動やクライムウェアなどだった。レポート では、モバイルマルウェア感染の多くはアドウェアや他の迷惑行為などが大半であ るとしており、本当に悪意あるものではないと報告している。

http://www.eweek.com/security/verizon-data-breach-study-finds-little-change-in-attack-patterns.html
http://www.darkreading.com/attacks-breaches/verizon-dbir-mobile-devices-not-a-factor-in-real-world-attacks/d/d-id/1319905
http://www.computerworld.com/article/2909519/web-app-attacks-pos-intrusions-and-cyberespionage-top-causes-of-data-breaches.html

【編集者メモ】(Honan)
今年、一つのセキュリティレポートしか読む時間が無いのであれば、Verizonの 2015 Data Breach Investigations Report (DBIR)を読むことをお勧めする。世界 中にいる寄稿者から得られた良いデータと、インシデントの実態を提供している。 特に来週のRSA Conferenceに参加する予定ならば、これは良いドキュメントで、ベ ンダーの訴えていることが本当か否かを判断できるようになるだろう。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月21日(木)、6月17日)水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=14

○5月22日(金)、6月25日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=12

○5月27日(水)、6月26日(金)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価とエンドポイントセキュリティの一元管理~
http://www.nri-secure.co.jp/seminar/2015/endpoint03.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃「企業における情報セキュリティ実態調査2014」を公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2002年より13回目となる情報セキュリティに関する調査レポートの最新版。
定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目
について調査・分析。                  【閲覧無料】
http://www.nri-secure.co.jp/news/2015/0127_report.html?xmid=300&xlinkid=26
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます