NRI Secure SANS NewsBites 日本版

Vol.10 No.23 2015年6月30日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.23 2015年6月30日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 受┃付┃中┃ SANS Tokyo コミュニティ ナイトセッション
 ━┛━┛━┛
今年もSANS Tokyo 2015を開催します(10月19日~31日)。今回は、インシデ
ントハンドリングやデジタルフォレンジックの定番コースに、ペネトレーショ
ンテストの上級コース、Windowsフォレンジックのコース、SOC(セキュリティ
オペレーションセンター)従事者のための上級コースを加えて、豊富なライン
ナップでの開催を予定しています。

コミュニティナイトセッションセミナーでは、SOCの果たすべき役割や、効果
的に機能させるための方法、従事する人材のスキルといった内容を、デモを
交えて解説します。
SANS Tokyo 2015において開催予定の、『SEC511:Continuous Monitorting
and Security Operations』の受講を検討している企業の方は必見です。

●お申し込みはこちら
    https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=o004

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.049, 050
(原版: 2015年6月23日、26日)
────────────────────────────────

◆ サイバー攻撃が原因でポーランドの航空会社LOTが欠航(2015.6.22)

ポーランドの航空会社LOTが、6月21日にワルシャワ・フレデリック・ショパン空 港発のLO 10便を欠航する騒ぎとなった。原因は、フライト前に事前承認を得なけ ればならない飛行計画をサイバー攻撃により提出できなかったことだったという。 また、後続のLO 12便も遅れて離陸するなどの影響が出た。コンピュータシステム に対するサイバー攻撃は、1,400人もの乗客に影響を及ぼし、復旧までに5時間を要 したという。

http://www.theregister.co.uk/2015/06/22/polish_airline_lot_flights_delayed_it_attack_pwns_flight_planning/
http://www.computerworld.com/article/2938486/security/cyberattack-grounds-planes-in-poland.html
http://arstechnica.com/security/2015/06/airplanes-grounded-in-poland-after-hackers-attack-flight-plan-computer/

【編集者メモ】(Henry)
本件に関して複数のレポートがある。航空会社の広報担当者は、サービス運用妨害 攻撃だとしているが、他のメディアは、「脆弱な飛行計画承認プロトコル」による ものだったとしている。もっとも、データ漏えいに比べてサービス運用妨害は対応 が比較的容易だが、オペレーションに影響を及ぼす脆弱性に変わりは無い。

────────────────

◆ 脆弱な飛行計画承認プロトコルが広く利用されている(2015.6.22)

先日のLOT航空の欠航問題の原因として考えられている飛行計画承認プロトコルは、 ほぼすべての航空会社が利用している。このプロトコルは認証を必要としない脆弱 なものだ。6月上旬にユナイテッド航空のフライトは米国で1時間足止めにあってい る。ユナイテッド航空は詳細を明かさなかったが、原因はパイロットに間違った飛 行計画が送られたことにあったという。

http://www.wired.com/2015/06/airlines-security-hole-grounded-polish-planes/

【編集者メモ】(Skoudis)
今は問題視しているこのプロトコルも、導入された当時は、認証が無くても問題は 無かったのだと思う。セキュリティエンジニアおよび設計者は、今こそ監視環境を 見直し、認証が無いプロトコルやシステムを特定すべきだ。そして、そのままにし ておくのか、監査や説明責任のために認証機構を導入すべきか、発見されたプロト コルやシステムそれぞれに対して判断を行う必要がある。恐らく認証は必要になる だろう。今回のケースでも、エンジニアがどのようにして認証を導入するか考えて いるために慌てていることを願っているが、最終手段でIPSecが利用できるかもしれ ない。
【編集者メモ】(Murray)
この承認申請を行う環境は、過去(紙ベース)よりも現代のネットワーク化された 環境の方が危険だ。現在の感覚では珍しくなったが、このネットワークアプリケー ションには、(強い)認証を必須としていないものだからだ。

────────────────

◆ NSAとGCHQがセキュリティソフトウェアのリバースエンジニアリングを試みる(2015.6.22)

The Interceptの報道によると、米国および英国のインテリジェンス機関が、様々 なセキュリティソフトウェアのリバースエンジニアリングを試みたという。主な理 由は、これらのソフトウェアが捜査の妨げになっているというもの。この報道は、 NSAから漏えいしたドキュメントがベースとなっている。NSAとGCHQは、カスペルス キー社、エフセキュア社、アバスト社、イーセット社、ビットディフェンダー社お よびチェックポイント社のソフトウェアを対象に、リバースエンジニアリングを試 みていたという。

https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky/
http://www.wired.com/2015/06/us-british-spies-targeted-antivirus-companies/
http://www.computerworld.com/article/2938570/data-privacy/us-uk-spies-said-to-attack-security-software.html
http://www.darkreading.com/vulnerabilities---threats/advanced-threats/report-nsa-gchq-actively-targeted-kaspersky-lab-other-security-vendors/d/d-id/1320991?

【編集者メモ】(Skoudis)
敵対者の防御をどのようにして迂回または回避するか、手法を分析するのは良くあ ることだ。これをやらなかったとしたら、彼らは職務を全うしていない!
【編集者メモ】(Pescatore)
善良なシステムを試験したり、善良なセキュリティソフトウェアをリバースエンジ ニアリングするのは、結果的に良い結果を得られる可能性がある。-攻撃行為を防 御側に「通知」することで、システムのセキュリティの「強化」に繋がればという 前提だが。しかし、攻撃側が防御側を「弱体化」させるのは良くない。サイバー攻 撃と防御の両方を備える国家ポリシーが失敗し続けているのはこれが理由だ。
【編集者メモ】(Paller)
John Pescatoreは正しいかもしれない。一つの機関に攻撃と防御の両方の責任を負 わせることは、無用なストレスを生み、そこで発生するストレスによって失敗を繰 り返してきているのは事実だ。しかし、最低でもこれからの10年は、米国において スキルが高い脆弱性分析の技術者(従来のITシステムだけではなく、モバイルやIoT も含む)が不足しているため、攻撃と防御機能を分けることが、結果として攻撃と 防御の双方でスキル不足に陥る可能性もあるのだ。仮にスキルの高い人材が潤沢に 提供され続けたとしても、イスラエルの攻撃と防御を一緒にするアプローチを分析 することで、これらの機能を分けるよりも新たな道が見つかるかもしれない。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「ソーシャルメディアについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
FacebookやTwitterといったソーシャルメディアサービスは、オンラインで情報共有
が行える半面、プライバシーやセキュリティのリスクも生じます。このリスクは、
自分だけではなく、家族や同僚、会社にも影響が及ぶ可能性があるものです。
今月は、これらのソーシャルメディアを利用する上で生じる危険性や、安全に利用
する方法を一般ユーザー向けにも分かりやすく解説します。社員の意識向上ツール
としてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201507_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ OPM: システムログが不足(2015.6.25)

OPMの事案は、システムに対する攻撃の広さと複雑さを正しく評価をするには困難 を極めている。なぜなら、OPMとその請負業者が、適切なログ情報を保持していな かったから、とされている。そうしている間にも、データ漏えいは、KeyuPoint Government Solutions および USIS でも発生していた。

http://www.nextgov.com/cybersecurity/2015/06/hacked-opm-and-background-check-contractors-lacked-logs-dhs-says/116251/?oref=ng-channelriver

【編集者メモ】(Murray)
ストレージの価格がどんな廉価になったとしてもIT管理者は、このストレージをロ グのために使用するほどではないと思っているようだ。ログの重要性は、フォレン ジック調査を行う時に分かるものだが、政府機関のリーダーシップを見る限りログ を必須としていない。彼らの考える主な理由は、透明性や説明責任に関して余計な 手間をもたらすと思っているからだろう。

────────────────

◆ OPM: セキュリティ対策が適切に管理されていなかった(2015.6.24)

米国人事局(OPM)の主席監察官によると、当局がシステムのセキュリティ向上を目 的として適用したセキュリティ対策が、むしろシステムをリスクに晒すことにつな がったのだという考えを明らかにした。OPMは、当局のシステムにセキュリティ管 理ソフトウェアを4月に導入したが、調達も適切な手順で行わなかったことなどか ら、このソフトウェアは許可されておらず、一部のシステム上でしか動作しないも のであった。このような事態を受けて主席監察官は、事の重大性を理解させるため、 OPMの幹部に向けて緊急監査を実行するように通知したという。

http://www.eweek.com/security/inspector-finds-efforts-to-assess-fix-opm-data-breach-in-disarray.html
http://www.washingtonpost.com/blogs/federal-eye/wp/2015/06/23/effort-to-improve-security-for-federal-employee-records-at-high-risk-of-failure-audit-finds/

【【編集者メモ】(Pescatore)
データ漏えいに対して、素早く対応をしたOPMを責めるつもりはない。しかしインシ デント後の対応が、インシデント前の対応と同じくらいずさんなのだ。最新の OMB FISMAスコアカードによると、OPMは、97%の資産が常に監視下にあるとしている。 これが正しいとすれば、彼らは屋根裏のドアを監視している中、攻撃者は玄関から 出入りしたということになる。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年7月9日(木)-10日(金)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月15日(水)
 ESC ESECTOR SECURITY CONFERENCE 2015 SUMMER
 ~マイナンバー制度セキュリティ対策ソリューション展示会&説明会~
 http://www.nri-secure.co.jp/seminar/2015/esector01.html?xmid=300&xlinkid=16

○7月15日(水)
 SANS Tokyoコミュニティナイトセッション
 http://www.nri-secure.co.jp/seminar/2015/sans01.html?xmid=300&xlinkid=17

○7月22日(水)、8月27日(木)、9月18日(金)    【7月以降、新プログラム】
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=18

○7月23日(木)、8月25日(火)、9月29日(火)    【新セミナー】
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
 http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=19

○7月24日(金)、8月26日(水)、9月17日(木)
事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=11

○7月29日(水)、8月28日(金)、9月25日(金)    【7月以降、新プログラム】
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
 http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
 http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=21

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
 http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=22

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
 http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=23

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。