NRI Secure SANS NewsBites 日本版

Vol.10 No.19 2015年6月2日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.19 2015年6月2日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
◆SEC401:Security Essentials Bootcamp Style
  最もポピュラーな情報セキュリティのゴールド・スタンダード
  週2日ずつ無理なく受講できる開催日程

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.041, 042
(原版: 2015年5月26日、29日)
────────────────────────────────

◆上院が米国愛国者法(USA PATRIOT Act)の再授権を阻止(2015.5.23)

米上院は、先月57対42で米国愛国者法(USA PATRIOT Act)の一部条項の恒久化も しくは延長する再授権法案を否決した。この採決により、米国愛国者法の継続 は阻止され、月末に失効することになる。

http://www.scmagazine.com/news-alert-senate-blocks-usa-patriot-act-reauthorization/article/416488/
http://www.npr.org/2015/05/23/408927009/senate-blocks-patriot-act-extension

────────────────

◆郡保安官事務所が令状無しで Stingray を300回使用(2015.5.24)

San Bernardino (カリフォルニア州) 郡の保安官事務所が2年間にわたり、令状 無しで携帯電話基地局なりすましのテクノロジーであるStingrayを300回も利用 したことが明らかとなった。公文書に対する情報公開請求によって明らかとなっ た情報によると、ペンレジスタ(電話機から発信された電話番号を記録する装置) および トラップ&トレース(受信者情報の分析と記録装置)の発注申請があった際 に、郡の弁護士が令状の申請と誤認したという。

http://arstechnica.com/tech-policy/2015/05/county-sheriff-has-used-stingray-over-300-times-with-no-warrant/

────────────────

◆インテリジェンス機関がスマートフォンにスパイウェアの仕込みを画策(2015.5.21,22)

インテリジェンスの世界で5つの目(Five Eyes)と称されるカナダ、米国、英国、 オーストラリアおよびニュージーランドは、Network Tradecraft Advancement Team(NTAT) を設立し、標的となるスマートフォンにスパイウェアを仕込む方法 を模索しているが、その活動を通してUCブラウザ内にある脆弱性が発見されてい る。これらの機関は、モバイルアプリケーションストアとスマートフォン間のデ ータストリームを傍受する計画中であったことに加えて、UCブラウザ内で発見さ れた脆弱性が公表されてないことから、データを漏えいさせるのではないかとい う懸念の声が上がっている。

http://www.cbc.ca/news/canada/spy-agencies-target-mobile-phones-app-stores-to-implant-spyware-1.3076546
http://www.eweek.com/security/spy-agencies-target-links-to-google-mobile-app-stores-reports-claim.html

【編集者メモ】(Pescatore)
これは、標的型のインテリジェンス活動であり、無差別に実施するよりは非常に 良いことだと思える。しかし、UCブラウザは"Five Eyes"諸国であまり使われてい ないことから、脆弱性情報も公開されることはなかった。これは、インテリジェ ンス機関が防衛責任を持つ(カウンターインテリジェンス的な観点に限らず、こ れを悪用した攻撃も)モチベーションも強いものではないということを証明した ことにもなるだろう。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「子供に教えるインターネットセキュリティ」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
オンライン接続が当たり前となった現代に生きる子供は、いくつかの利益を享受で
きると同時に、リスクも伴います。子供ならではの行動や振る舞いであったり、交
流の仕方を間違えると、自分自身の安全を保つことが難しくなります。しかし、子
供に難しいテクノロジーの話をしても、なかなか真意は伝わりにくくなるのがお悩
みではないでしょうか。このような問題を解決するいくつかの方法があります。今
月は、子供に教えるインターネットセキュリティについて、一般ユーザー向けにも
分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201506_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆米下院が 米国自由法(USA Freedom Act)を可決(2015.5.26,27)

米下院が、情報収集活動の改革法案である米国自由法(USA Freedom Act)を可決し た。これにより、米国愛国者法(USA PATRIOT Act)の条項に修正を加えた状態では あるが再授権されたことになる。今回の修正によって、法執行機関はモバイル通信 のメタデータを入手すること自体は引き続き可能だが、電気通信事業者側に保管の 責任を負わせ、法執行機関は令状を持たなければアクセスができないようになる。

http://www.theregister.co.uk/2015/05/27/us_senate_freedom_nsa_laws/
http://www.scmagazine.com/usa-freedom-act-and-section-215-extension-fail-in-senate/article/416741/
The Patriot Act may be dead forever
http://www.thedailybeast.com/articles/2015/05/28/the-patriot-act-may-be-dead-for-good.html

────────────────

◆データ窃盗者が、IRSのアプリから納税者情報を取得(2015.5.26)

米国税庁(IRS)は、データ窃盗者によって100,000人の納税者に関する個人情報が 取得されたことを公式に認めた。これらの情報は、国税庁が提供するアプリを悪用 して、オンラインサービス経由で謄本を取得していたと考えられている。さらに窃 盗者は、一連の攻撃や情報収集を行う前に、サービスを利用するための情報を別の 情報源から入手していた可能性があるという。

http://www.darkreading.com/attacks-breaches/irs-breach-exposes-100000-taxpayers-tax-returns-other-data/d/d-id/1320566?
http://www.wired.com/2015/05/hackers-hit-irs-access-100000-taxpayers-files/
http://www.nytimes.com/2015/05/27/business/breach-exposes-irs-tax-returns.html?ref=technology
http://www.computerworld.com/article/2926351/security/thieves-stole-data-on-100000-taxpayers-via-irs-app.html
IRS:
http://www.irs.gov/uac/Newsroom/IRS-Statement-on-the-Get-Transcript-Application

────────────────

◆保険会社がデータ漏えいに関わる支払いを求めて医療会社を提訴(2015.5.28)

米保険会社Columbia Casualty Company が 、データ漏えいに関わる損失410万US ドルを求め、医療会社Cottage Healthcare Systemsを提訴した。損失額の根拠は、 データ窃盗者が32,500件もの患者情報を取得した件を受けて、影響を受けたとさ れるCottage Healtcare の顧客にColumbia Casualty Company が支払った総額だ という。起訴状に記載されている問題の中には、セキュリティ機器の設定をデフ ォルトから変更しなかったことや、パッチが公開されてから3日以内にパッチを 適用しなかったなどが列挙されており、Cottageは、ネットワークに関するセキュ リティ要件を満たしていなかった。即ちColumbiaとの契約に反するものであった と主張している。

http://www.theregister.co.uk/2015/05/28/cottage_healthcare_system_sued/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html


 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年6月9日(火)-10日(水)
 2015年7月9日(木)-10日(金)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月2日(火)~3日(水)
 AWS Summit Tokyo 2015             <NRIグループで出展>
http://www.nri-secure.co.jp/seminar/2015/aws_summit.html?xmid=300&xlinkid=14

○6月17日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=11

○6月25日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=12

○6月26日(金)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価とエンドポイントセキュリティの一元管理~
http://www.nri-secure.co.jp/seminar/2015/endpoint03.html?xmid=300&xlinkid=13


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Amazon Web Services対応セキュリティリファレンス公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 シンガポールで定められた、基準の厳しい金融情報システム向けの
 MAS-TRMガイドラインに対応することを目標に作成 【無償DL・登録不要】
http://www.nri-secure.co.jp/service/consulting/guideline/aws/index.html?xmid=300&xlinkid=15
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます