NRI Secure SANS NewsBites 日本版

Vol.10 No.1 2015年1月6日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.13 2015年4月15日発行
**********************************************************************


────────────────────────────────
■■SANS NewsBites Vol.17 No.027、028
(原版: 2015年4月7日、4月10日)
────────────────────────────────

◆ 米国のテクノロジー企業がデータ共有に対し警戒心(2015.4.2)

米国のテクノロジー企業が、脅威情報を連邦政府と共有することに対して警戒心 を強めていると、国土安全保障省(DHS)のNational Protection and Programs Directorateを管轄するCybersecurity and Communicationsの事務次官フィリス・ シュネック氏が語った。この中でシュネック氏は、「信頼関係を築くことが第一 プライオリティー」であるとしている。テクノロジー企業は、顧客に個人情報が 安全に保管されプライバシーが守られていることを断言できなければ、政府との 距離が近いと見られることに懸念があると伝えられている。シュネック氏による と、国民のプライバシーを守りつつサイバー犯罪と闘うために、企業がデータを 共有する意義を証明できれば、考えがかわるのではないかと語っている。

http://www.usatoday.com/story/news/politics/2015/04/02/phyllis-schneck-cybersecurity-technology-summit/70838226/

【編集者メモ】(Murray)
これらの企業は、様々な政府の統治下にあり、統治されている側の情報そのもの を「脅威」と認識している。これらの企業は、「サービスを受けている側との仲 介責任」を持つ立場にはなりたくないと考えている。さらに、顧客や政府に対し て、どのように権利を主張しているかを説明する責任も持ちたくないから、権利 放棄する企業が増えてきているし、米国政府は権利を放棄することを違法とした いのだ。例えば、通信には安全なサービスの提供が挙げられるが、これらを変更 することによる影響をすべて把握していないということなどがあるだろう。
シュネック氏は「信頼関係を築くことが第一プライオリティー」としているが、 政府機関の大半が「信頼」をプライリティーリストに載せることはないのが問題 なのだ。先のクリントン、ブッシュそして現在のオバマ政権は、信頼を無限にあ る資源であるかのように無駄にしてきている。米国民が与える信頼を政府が全て 使いきったとは言わないが、その日はかなり近いように思える。

────────────────

◆ FAAのシステムが2月に侵入されていた(2015.4.6)

米国連邦航空局(FAA)の当局者によると、同局のネットワークが、今年頭にマル ウエアに感染していたことを明らかにした。この事実は、新たな契約締結の通知 において報告されたもの。FAAは、請負業者との契約を2016年2月まで延長してい るが、その理由として「最近起こったサイバー攻撃によって、FAAは調達要件を見 直すために時間が必要」としている。

http://www.nextgov.com/cybersecurity/2015/04/faa-computer-systems-hit-cyberattack-earlier-year/109384/?oref=ng-HPtopstory
https://www.fbo.gov/index?s=opportunity&mode=form&id=c4a71161b7bae8f6a37e6020cf874863&tab=core&_cview=0


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「パスフレーズについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワードは、メールの利用やオンラインショッピングなど、様々な場面で皆さん
の生活に関わっていますが、手軽にパスワードで個人識別ができることが欠点とな
って、勝手に不正送金されたり個人情報を盗み出されてしまう危険性があります。
このような被害にあわないためには、強力なパスワードを設定することが大切です
が、自分のパスワードを覚えられない問題があります。今月は、もっと手軽に強力
なパスワードを設定するパスフレーズについて、一般ユーザー向けに、分かりやす
く解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201504_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 重要インフラシステムが、破壊をもたらすサイバー攻撃の標的に(2015.4.7)

米州機構(OAS: Organization of American States Organization of American States)が行った調査によると、北米および南米において重要インフラを運用して いる企業に対し、破壊をもたらすサイバー攻撃が行われていることが分かった。 回答があった575組織のうち、60パーセントがデータを盗もうとするタイプの攻撃 を検知したとしており、54パーセントが機器の設定を変更しようとする攻撃を検知 したとしている。また、ファイル削除やネットワーク遮断といった攻撃についても 報告があったという。

http://www.reuters.com/article/2015/04/07/us-cybersecurity-americas-idUSKBN0MY06Z20150407

【編集者メモ】(McBride)
OASが、この問題について相互協力を促しているのはいいことだ。しかし、この調 査および記事では、「組織に影響を与えた攻撃」と「その組織が運用している重要 インフラに影響を与えた攻撃」を区別していないのが残念だ。

────────────────

◆ ホワイトハウスからデータが漏えい(2015.4.8)

ホワイトハウスのコンピュータシステムが、不正侵入されていたことが、担当者の コメントにより明らかとなった。攻撃者は昨年秋、ホワイトハウスにある機密扱い されていないシステムに侵入していたと見られており、システムに残された痕跡な どから、ロシア政府が関与している可能性が高いと考えられているという。ホワイ トハウスには、機密レベルに応じて複数のシステムが運用されており、今回の不正 侵入から安全保障上の機密情報にはアクセスできなかったとしているが、機密扱い されていない情報が外部に流失した可能性を受けて、ある議員は、インシデントに 関するフリーフィングを要求しているという。 この報道に対してクレムリンの報道官は、ロシアがこの攻撃を行ったというコメン トそのものを否定している。

http://www.nextgov.com/cybersecurity/2015/04/lawmakers-wants-briefing-russian-hack-white-house/109582/?oref=ng-channeltopstory
http://www.eweek.com/security/russia-implicated-in-white-house-email-hack.html
http://www.darkreading.com/attacks-breaches/russian-hackers-breached-white-house-via-us-state-department-/d/d-id/1319828?
http://thehill.com/policy/cybersecurity/238281-white-house-hackers-accessed-sensitive-not-confidential-data
http://www.bloomberg.com/news/articles/2015-04-08/russia-didn-t-carry-out-white-house-computer-hack-peskov-says

────────────────

◆ AT&T社がコールセンターのデータ漏えいに関して示談金2,500万ドルを支払いへ(2015.4.8,9)

AT&Tは、メキシコとコロンビアおよびフィリピンのコールセンターから顧客情報が 漏えいした件で、米連邦通信委員会(FCC)と示談金について合意した。AT&Tは、 2,500万ドル支払うことになる。これらのインシデントは、2013年と2014年に起き たもので、コールセンターの数人の従業員は、システムに対するアクセス権限を悪 用し、情報を入手し、盗難された電話のロックを解除するためのコードを盗んだと いうもので、280,000人に影響を及ぼしたとされている。AT&Tは、既にこれらのコ ールセンターとの契約は破棄している。

http://arstechnica.com/tech-policy/2015/04/att-fined-25-million-after-call-center-employees-stole-customers-data/
http://www.scmagazine.com/att-fined-by-fcc-for-breaches-in-three-call-centers/article/408114/
http://www.bbc.com/news/technology-32232604
http://www.fcc.gov/document/att-pay-25m-settle-investigation-three-data-breaches-0


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4月17日(金)、5月21日(木)、6月17日)水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=14

○4月21日(火)、5月22日(金)、6月25日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=12

○5月27日(水)、6月26日(金)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価とエンドポイントセキュリティの一元管理~
http://www.nri-secure.co.jp/seminar/2015/endpoint03.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃「企業における情報セキュリティ実態調査2014」を公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2002年より13回目となる情報セキュリティに関する調査レポートの最新版。
定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目
について調査・分析。                  【閲覧無料】
http://www.nri-secure.co.jp/news/2015/0127_report.html?xmid=300&xlinkid=26
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます