NRI Secure SANS NewsBites 日本版

Vol.10 No.17 2015年5月19日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.17 2015年5月19日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
◆SEC401:Security Essentials Bootcamp Style
  最もポピュラーな情報セキュリティのゴールド・スタンダード
  週2日ずつ無理なく受講できる開催日程

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.037, 038
(原版: 2015年5月12日、15日)
────────────────────────────────

◆ SAP ERPの脆弱性を攻撃されたとUSISが語る(2015.5.10)

米国土安全保障省(DHS)の請負業者 であるUSIS が雇ったデジタルフォレンジ ック会社が報告したところによると、システムに侵入された原因として、攻撃者 がサードパーティの ERP アプリケーションに含まれる脆弱性を悪用されたこと にあるという。この名前が公開されていないSAP アプリケーションに対する修正 が、不正に侵入をされた時期に提供されていたかは不明で、脆弱性の修正対応の 責任がUSIS側にあったのか、SAP側にあったのかも特定されていないという。

http://www.nextgov.com/cybersecurity/2015/05/third-party-software-was-entry-point-background-check-system-hack/112354/?oref=ng-channeltopstory

【編集者メモ】(Paller)
SAPセキュリティに関する現状について語った良い(少々古い)レポートが3年前 に公開されていたが、更新されたデータがつい数日前に公開されているので、ご 覧いただきたい。
https://media.blackhat.com/bh-eu-12/DiCroce/bh-eu-12-DiCroce-CyberAttacks_to_SAP_systems-WP.pdf

【編集者メモ】(Murray)
企業を管理する側がそのサーバの存在について知らなかったことを示唆しているが、 これは珍しいことではない。ここで考えるべきは、ベンダーが企業ネットワークに サーバをインストールした時から、そのサーバは企業対応が必要な脆弱性になると いことだ。このサーバが、管理下のVPNからのみアクセス可能(VPNサーバは、公共 ネットワークとサーバの間にいるということを理解すべきだろう。)とするなど適 切な制御が必要であり、強い認証やアクセスも管理下もしくは、適切にアサインさ れた人のみがアクセス可能にするなどの対応も必要なのだ。さらに、このサーバと 企業内の他のサーバとの間に VLAN や VPN を導入することも検討しなければ、この ような問題はまた発生するだろう。

────────────────

◆ 中国は重要インフラを攻撃するツールを開発している(2015.5.11)

米国政府は、中国が他国の重要インフラを運用しているシステムを攻撃するための ツールを開発していると警告した。これは、米国防総省(DoD)が議会に対する年 次報告において明らかになったもので「中国はサイバー諜報活動と通して、米国の 国土安全保障をサポートするプログラム、とりわけ外交、経済や防衛に関するイン テリジェンスを収集している」と報告している。

http://www.v3.co.uk/v3-uk/news/2407889/china-developing-network-killing-cyber-attack-tools-warns-us-government
http://www.defense.gov/pubs/2015_China_Military_Power_Report.pdf

────────────────

◆ ロシアと中国がサイバーセキュリティに関する条約を結ぶ(2015.5.11)

ロシアと中国は、お互いの国家に対し、サイバー攻撃を行わないという条約を結ん だ。また、この条約には、重要インフラを守る目的で各国の法執行機関同士で情報 共有を行うことも含まれている。

http://www.darkreading.com/vulnerabilities---threats/advanced-threats/what-does-china-russia-no-hack-pact-mean-for-us-/d/d-id/1320365?
http://www.zdnet.com/article/russia-china-cuddle-up-on-cyber-warfare-rules/

────────────────

◆ 空港におけるノートパソコンの捜査活動を「理不尽」とする判決(2015.5.11)

ワシントンD.C.の米連邦裁判所判事が、ロスアンゼルス国際空港で行われたノート パソコンの捜査活動に対して、ノートパソコン所有者のプライバシーが憲法で与え られる権利を侵害しているとする判決を下した。この判決により、韓国人のビジネ スマンである被告人は、パソコンから押収された証拠の差止請求が可能となる。 このビジネスマンは、航空機のパーツをイランに販売している疑いで起訴されてい たもの。

http://arstechnica.com/tech-policy/2015/05/warrantless-airport-search-of-laptop-cannot-be-justified-judge-rules/
http://www.zdnet.com/article/border-laptop-search-unreasonable-violated-privacy/

【編集者メモ】(Murray)
これは国境における「感情的な捜査」ではない。米移民税関捜査局(ICE)は今後も 「密輸品」を発見するために「コンテナ」を捜査するだろう。法執行機関は、捜査 を進めるために「国境における特例」を使い続けるだろう。しかし、この判決によ って、妥当な捜査とは何かの境界線があることが示唆され、裁判所によっては、そ の境界線をきちんと引くこともあるということが分かった。これらの捜査が行われ る頻度は、ノートパソコンを持つ一般的な渡航者の妨げにはならないだろうが、乱 用が簡単な米国憲法4番目の改正の特例について、ICEが国境にいる捜査官にどのよ うな指示やガイダンスを提供しているのか公開することを願う。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「セキュリティのジェネレーションギャップを埋める」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
さまざまなテクノロジーを使う皆さんとは違って、コンピュータやインターネット
に親しんでいない方も家族にはいらっしゃるでしょう。そのような方に対して必要
なセキュリティ対策を実施してもらうには、いくつかの方法があります。今月は、
このようなジェネレーションギャップを埋めるために必要な対策について、一般ユ
ーザー向けに、分かりやすく解説します。社員の意識向上ツールとしてお使いくだ
さい。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201505_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 5月のPatch Tuesday(2015.5.12)

マイクロソフトは、5月12日に13件の新規セキュリティ情報を公開し、Windows、 Internet Explorer(IE)、Officeおよびその他の製品において、合計46個の問題 を修正するパッチを公開した。公開されたセキュリティ情報のうち3件が「緊急」 に分類されている。また、Adobeも同社製品のFlash Player、Adobe Air、Reader およびAcrobatなどの製品向けのアップデートも公開している。

Internet Storm Center:
https://isc.sans.edu/forums/diary/May+2015+Microsoft+Patch+Tuesday+Summary/19685/
http://www.zdnet.com/article/may-2015-patch-tuesday/
http://www.computerworld.com/article/2922035/application-security/critical-updates-to-ie-and-office-for-may-patch-tuesday.html
http://www.computerworld.com/article/2922114/security/microsoft-fixes-46-flaws-in-windows-ie-office-other-products.html
http://krebsonsecurity.com/2015/05/adobe-microsoft-push-critical-security-fixes-7/
https://technet.microsoft.com/en-us/library/security/MS15-MAY

────────────────

◆ 米議会がNSAのデータ収集行為のいくつかを止めるための法案を可決(2015.5.13,14)

【編集者メモ】(Pescatore)
元々あった(Patriot Actの) Section 215の文言よりも、Freedom Actの文言に近い 方が、結果的に見たら良いだろう。インテリジェンスの観点から「すべてを見るこ とができる」アプローチは良いのだろうが、社会的なリスクが伴う。リスクと恩恵 のバランスは時間の経過とともに変化するものだ。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年6月9日(火)-10日(水)
 2015年7月9日(木)-10日(金)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○5月21日(木)、6月17日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=11

○5月22日(金) 15:00~15:50
 金融フォーラム2015:【東京/D-4】セッション
 金融機関の為のクラウドサービスの選び方
 ~安全・安心なファイル転送を実現するには~
 http://www.finance-forum.jp/forum_2015_tokyo/entry/seminars/view/402

○5月22日(金)、6月25日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=12

○5月27日(水)、6月26日(金)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価とエンドポイントセキュリティの一元管理~
 http://www.nri-secure.co.jp/seminar/2015/endpoint03.html?xmid=300&xlinkid=13


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます