NRI Secure SANS NewsBites 日本版

Vol.10 No.18 2015年5月27日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.18 2015年5月27日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
◆SEC401:Security Essentials Bootcamp Style
  最もポピュラーな情報セキュリティのゴールド・スタンダード
  週2日ずつ無理なく受講できる開催日程

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.039, 040
(原版: 2015年5月19日、22日)
────────────────────────────────

◆ FBI: データ漏えい件数が400%上昇;人員を「2倍から3倍へ」(2015.5.14)

FBI副長官補(サイバー担当)ジェームズ・トレイナーは、大規模なデータ漏えい について「新たな情報を2,3週間に一度知らされていた」ことを振り返り「今は、 2,3日に一度という感じである。」と感想を語った。同氏は、ハッカーからの脅威 に備えるため、サイバーセキュリティ業界は人員を「2倍から3倍」に増やす必要が あるとしている。

http://thehill.com/policy/cybersecurity/242110-fbi-official-data-breaches-increasing-substantially

【編集者メモ】(Paller)
サイバー人員について、「あ、しまった」と思ってしまうのは、シニアマネジャー や部長が、ポリシーやフレームワークのコンプライアンス(例えば FISMA、HIPAA、 SOXやISO)をコアスキル(や資格)を持った人員を雇ったが、データ漏えいを発見 し対応するために必要な人員で無かったと気付いた時だ。新たなセキュリティ要件 を満たす人員を探しているのであれば、「Continuous Monitoring and Security Operations (Security 511)」のコースで成績が良かった人に目を向けるのはいかが だろうか。このコースを通じて、脅威の分析やサイバー攻撃を予兆する例外の検知 などを行うスキルを身につけることができる。また、GCFE(Forensic Examiners) やGCFA(Forensics Analysts)の資格を持っている人を探すのも良いだろう。なぜ なら、これらの人材は、新しい時代に必要な知識とテクニカルスキルを持っている ことを証明しているからだ。これらのトレーニングや他のトレーニングについて知 りたい場合は、SANSFIREにご参加いただきたい。
http://www.sans.org/event/sansfire-2015
他のトレーニング開催情報はこちら:
http://www.sans.org/security-training/by-location/all

────────────────

◆ 男性が飛行中の航空機の制御を乗っ取ったとFBIが主張(2015.5.16,17)

FBI捜査官が2015年4月17日に提出した捜査令状申請によると、4月にユナイテッド 航空の便から酸素マスクを下げることができるとツイートして追放されたChris Robertsが、飛行中のどこかのタイミングで航空機の制御を乗っ取ったことを理由 としている。令状を提出した捜査官によると、2015年2月のインタビューでこれら の事実を同氏が主張したという。

http://www.wired.com/2015/05/feds-say-banned-researcher-commandeered-plane/
http://arstechnica.com/security/2015/05/fbi-researcher-admitted-to-hacking-plane-in-flight-causing-it-to-climb/
http://www.cnet.com/news/fbi-claims-security-researcher-took-control-of-plane/
https://regmedia.co.uk/2015/05/17/fbi_chris_roberts_search_warrant_application.pdf
捜査令状の申請書(Application for Search Warrant):
http://www.wired.com/wp-content/uploads/2015/05/Chris-Roberts-Application-for-Search-Warrant.pdf

【編集者メモ】(Honan)
どこかのタイミングで本当の事実が明かされることを願う。セキュリティ研究者、 法執行機関、監視官や民間企業はこの事件から学べることが多い。例えばシステム に脆弱性が存在する疑いをかけられた時のハンドリングについて などがあるだろ う。
【編集者メモ】(Assante)
FBIが押収された数々の品を捜査した結果、Chrisの主張に対して何かしらの事実確 認できるのではないかと信じている。あと、機内システムのログがアクセスされた コンポーネントや、影響を受けたコンポーネントとの通信履歴から何が起きたのか を鮮明にしてくれることを期待はしているが、信じてはいない。

────────────────

◆ サイバー恐喝でヘッジファンドが標的に(2015.5.8)

米司法省安全保障課長のジョン・カーリン氏が、悪意ある攻撃者がサイバー恐喝を 展開しており、いくつかのヘッジファンドを標的にしていることをSALTヘッジファ ンドカンファレンスの講演で発表した。その中で「ロシア、中国、イランおよび北 朝鮮の国家(あるいは国家の支援を受けた攻撃者)は、あなた方の企業を標的にし …企業の情報を悪用する」と語りかけた。カーリン氏は、DOJが攻撃による被害を受 けたヘッジファンドに対し協力を行っていることを明らかにした上で、標的になっ ている疑いがある場合は、DOJに連絡するよう呼びかけた。また、DOJは犯罪者を捕 まえることが目的だと訴え、被害を受けた企業を非難することはないとしている。

http://www.usatoday.com/story/money/business/2015/05/08/hedge-funds-conference-cyber-espionage/26983845/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「セキュリティのジェネレーションギャップを埋める」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
さまざまなテクノロジーを使う皆さんとは違って、コンピュータやインターネット
に親しんでいない方も家族にはいらっしゃるでしょう。そのような方に対して必要
なセキュリティ対策を実施してもらうには、いくつかの方法があります。今月は、
このようなジェネレーションギャップを埋めるために必要な対策について、一般ユ
ーザー向けに、分かりやすく解説します。社員の意識向上ツールとしてお使いくだ
さい。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201505_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 5月のPatch Tuesday(2015.5.12)

CareFirst BlueCross BlueShieldは、管理するデータベースに対する攻撃の影響で 顧客110万人の個人情報が漏えいしたと発表した。この攻撃は、AnthemとPremeraに 対して行われた攻撃と似ている。漏えいしたデータの中には、氏名、生年月日、メ ールアドレスおよび保険ID番号が含まれていたという。

http://krebsonsecurity.com/2015/05/carefirst-blue-cross-breach-hits-1-1m/
http://www.computerworld.com/article/2925176/cybercrime-hacking/health-insurer-carefirst-says-2014-cyberattack-affected-11m.html
http://www.darkreading.com/attacks-breaches/11-million-hit-in-another-bluecross-blueshield-breach/d/d-id/1320513?

【編集者メモ】(Murray)
もう隠すものは何もない。eBay、Anthem、Targetで起きたデータ漏えいだけが原因 ではないが、我々に関する情報はすべて、ホワイトおよびブラックマーケット内で 買収の対象としてまとめて売られており、一件あたり数円の領域だ。クレジットカ ード番号、ソーシャルセキュリティ番号やパスワードなどの共有秘密をベースにし たセキュリティでは事足りなくなってきている。強度のある認証は良いのだが、マ ーケットで取引事実を確認できた際には素早い通知が必要だ。Amazon、American Express、いくつかの銀行などでは既に行われている。何かビジネスを行っている 組織のすべてに対して義務化すべきだ。他にも、個人情報が売られているという通 知する度にお金を請求できる権限が、法律で制定されているクレジットカード会社 やデータ管理会社に与えられているのを取り消す必要がある。高いものは月$15USD かかるのだが、この金額は漏えいが起きた組織や被害者が払わない金額としてちょ うど良い金額設定なのだ。(データ漏えいの被害者となってしまった人に対して一 つ有益だったことは、漏えいが起きてしまった組織がこの金額を一定期間払うこと もあるということだ。Anthem社、ありがとう!)

────────────────

◆ 出会い系サイトがハッキングされ、数百万件のユーザ情報が晒される(2015.5.23)

Adult FriendFinderに登録している 390万人のユーザに関する性的な好みや個人情 報がハッカーによって奪取され、公開された。性的な好みの詳細、例えば同性愛者 であるか否か、不倫をもとめているのかなどの情報とともに、メールアドレス、ユ ーザ名、生年月日、郵便番号およびユーザパソコンのユニークなインターネットア ドレスの情報も漏えいした。この出会い系サイトは、ユーザがプライベートな性的 な好みに関する情報を共有できる「ホットなコミュニティ」といううたい文句で宣 伝している。

http://www.theguardian.com/lifeandstyle/2015/may/21/adult-friendfinder-dating-site-hackers-expose-users-millions

────────────────

◆ ゼロデイ情報に対する輸出許可制度(2015.5.21)

米商務省はワッセナー協約(Wassenaar Agreement)に対して変更提案をしている。 その中には、ゼロデイ攻撃に関する情報を国外組織に輸出するにあたり、さらに厳 しいルールを設けるという内容が含まれている。この提案は、侵入するためのソフ トウェアのほか、一般および軍事目的で使用される Dual-useな製品に対しても適 用するとしている。

http://www.zdnet.com/article/us-clamps-down-on-zero-day-exploits-says-sales-should-require-an-export-license/
http://www.theregister.co.uk/2015/05/20/us_export_controls_0days/
http://www.computerworld.com/article/2925339/security/us-proposes-tighter-export-rules-for-computer-security-tools.html
https://s3.amazonaws.com/public-inspection.federalregister.gov/2015-11642.pdf

【編集者メモ】(Murray)
私は、「責任ある」脆弱性情報の開示や「Proof-of-Concept」攻撃コードを開示す ることに対して常に不満を持っている。これらの情報に対して、ブラックマーケッ トの存在が、セキュリティ問題を大きくしているからだ。とは言え、この提案によ る問題の解決法に関して素直に喜べない。
【編集者メモ】(Northcutt)
以前この状態にいたことがある:お小遣い稼ぎに「ゼロデイ T-シャツ」を売って トレードマークを取ってしまうのはどうだろうか。
http://en.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html


 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年6月9日(火)-10日(水)
 2015年7月9日(木)-10日(金)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○5月22日(金) 15:00~15:50
 金融フォーラム2015:【東京/D-4】セッション
 金融機関の為のクラウドサービスの選び方
 ~安全・安心なファイル転送を実現するには~
http://www.finance-forum.jp/forum_2015_tokyo/entry/seminars/view/402

○6月17日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=11

○5月22日(金)、6月25日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=12

○5月27日(水)、6月26日(金)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価とエンドポイントセキュリティの一元管理~
http://www.nri-secure.co.jp/seminar/2015/endpoint03.html?xmid=300&xlinkid=13



NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます。