NRI Secure SANS NewsBites 日本版

Vol.10 No.25 2015年7月13日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.25 2015年7月13日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.052, No.053
(原版: 2015年7月7日、10日)
────────────────────────────────

◆ Critical Security Controls のパブリックコメントを募集(2015.7.1)

Center for Internet Security が Critical Security Controls のドラフト バージョン 6c に対し、パブリックコメントの募集を開始した。このバージョ ンでの変更点は、変化する脅威を鑑み、Control の優先順位の見直しと説明を 簡素化し、NIST の Cybersecurity Framework など、他のフレームワークとの 整合性を高めている。

https://www.cisecurity.org/critical-controls.cfm

【編集者メモ】(Honana)
この Critical Controls は、とても良いリソースだ。これまでにNewsBitesで 紹介してきたデータ漏えい事件は、これらの Critical Control を適用してい れば防げたのではないかと思う。このドラフトを確認し、必要に応じてコメン トをいただきたい。世界中のセキュリティの専門家コラボレーションすること でさらに安全になります。

────────────────
◆ FBIがサイバー犯罪者指名手配リストを公開(2015.6.30, 7.2)

FBI はサイバー犯罪者の指名手配リストを公開した。トップ5の逮捕拘束と、 起訴に貢献する情報を提供した人には報奨金が提供される。FBI は、この報奨 金制度のために合計 420万ドルを準備しているという。

https://www.washingtonpost.com/blogs/the-switch/wp/2015/06/30/the-fbi-is-willing-to-pay-4-2-million-to-get-these-hackers/
http://www.theregister.co.uk/2015/07/02/42m_for_five_hacker_heads/
http://www.zdnet.com/article/college-student-tops-brazilian-list-as-top-banking-malware-creator/

【編集者メモ】(Henry)
法執行機関が「海を越えて」リーチするには課題がたくさんあり、これらの人 物が滞在している国によっては、国同士の関係性がさらに物事をややこしくす る原因となっている。報奨金があることで、情報が得られやすくなるかもしれ ないが - 最終的には海外の法執行機関の協力が必要になる。この協力が無い ことには、ハッカーは隠れ続けることになるだろう。
【編集者メモ】(Pescatore)
FBIの指名手配リストの公開という仕組みが始まってから65年が経過しており、 これまでに504人の犯罪者がリストアップされてきた。国民から得られた情報に よって、165人の逮捕に繋がっており、実に33% のヒット率となる。ただし、今 回 FBI リストに掲載された半数は、中国の軍人だ。彼らが、近所の野球場で見 かけることもなければ、Instagramで自画像を上げることもないだろう。従って ヒット率はもっと低くなるはずだ。

────────────────
◆ FISCがNSAのデータ収集活動の6カ月期間延長を承認 (2015.6.30, 7.1)
外国情報監視裁判所 (Foreign Intelligence Surveillance Court:FISC) が、 NSAによる携帯電話メタデータの収集活動について、180日の期間延長を承認し た。この活動は、5月末に失効した Patriot Act と同時に停止したもの。6月頭 に承認された米国の Freedom Act には、制限付きでデータ収集活動を続けても 良いことが含まれているが、この法律が適用されるまで5か月あるため、この承 認によりデータ収集活動の空白期間を埋めることができることになった。

http://www.scmagazine.com/fisc-judge-gives-nsa-go-ahead-to-resume-surveillance/article/424232/
http://www.cnet.com/news/nsa-can-track-everyones-phone-calls-again-for-a-while/
http://www.theregister.co.uk/2015/07/01/section_215_rules/
http://www.forbes.com/sites/katevinton/2015/06/30/nsa-will-continue-mass-surveillance-program-for-180-days-with-court-approval/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「ソーシャルメディアについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
FacebookやTwitterといったソーシャルメディアサービスは、オンラインで情報共有
が行える半面、プライバシーやセキュリティのリスクも生じます。このリスクは、
自分だけではなく、家族や同僚、会社にも影響が及ぶ可能性があるものです。
今月は、これらのソーシャルメディアを利用する上で生じる危険性や、安全に利用
する方法を一般ユーザー向けにも分かりやすく解説します。社員の意識向上ツール
としてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201507_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ OPM: データ漏えいが 2,150 万人に影響(2015.7.9)

米国人事局 (OPM) は、システムが外部から不正に侵入され 2,150万人の個人情 報が漏えいしたことを公に認めた。漏えいデータには、Social Security Number や、身辺調査のために収集された情報が含まれているとのこと。この個人情報漏 えい事件によって影響を受けるのは、2000年以降に身辺調査用紙を提出した人が 中心で、その他にも180万人分の個人情報が漏えいしたという。

http://www.forbes.com/sites/katevinton/2015/07/09/21-5-million-americans-were-compromised-in-opms-second-breach/
http://arstechnica.com/security/2015/07/call-it-a-data-rupture-hack-hitting-opm-affects-21-5-million/

【編集者メモ】(Murray)
かの有名なeBayで起きたデータ漏えい事件ほどの影響範囲はないが、この事件で はeBayよりも機微な情報が漏えいしている。eBayの事件で漏えいしたデータは、 クレジットカードの不正利用や税金に関連した詐欺に悪用される恐れがあるとい うものだったが、OPMの事件で漏えいしたデータは、より悪質な詐欺や脅迫にまで 発展する恐れがある。不正申請されてしまった人は、法執行機関に報告するでき るが、脅迫された場合は法執行機関に報告しづらいのだ。

────────────────
◆ 通信事業者が顧客データのセキュリティ管理に関して罰金(2015.7.9)

米国の通信事業者2社が合わせて350万ドルの罰金を払うことになった。処罰の 対象になった理由は、米連邦通信委員会(FCC)の調査によるもので、これらの事 業者が顧客データを保護せず、インターネットからアクセス可能なサーバに保 存していたことが明らかになったからだという。 この問題は、TerraComとYourTelAmerica社の顧客、30万人に影響が及んでいる。

http://www.computerworld.com/article/2946104/technology-law-regulation/two-us-telecoms-to-pay-35m-for-data-breach.html
http://transition.fcc.gov/Daily_Releases/Daily_Business/2015/db0709/DA-15-776A1.pdf

【編集者メモ】(Murray)
政府が、民間事業者に説明責任を求めることに支持を示す人が多いが、本来の 説明責任は外部に求められる前に内部から起こって求められるべきだ。オバマ 政権は、虐待に対しても説明責任をあまり求めてこなかったが、データ漏えい に関しても同様である。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月21日(火)                         【NEW】
 次世代アイデンティティ&アクセス管理モデルセミナー
 ~IDを制する者はセキュリティをも制す。
  不正アクセス対策は「境界防御」から「ID統制」へ~


○7月22日(水)                         【NEW】
 サイバーセキュリティ2015夏:独自調査レポートが解くセキュリティ攻防最前線
 ~サイバー攻撃にどう立ち向かうか・最新事例解説と対応策について~
http://www.nri-secure.co.jp/seminar/2015/0722.html?xmid=300&xlinkid=14

○7月22日(水)、8月27日(木)、9月18日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=15

○7月23日(木)、8月25日(火)、9月29日(火)            【NEW】
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=16

○7月24日(金)、8月26日(水)、9月17日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=17

○7月24日(金):シンガポール
 第3回 ASEAN地域におけるガバナンスセミナー
 M&Aと企業統合後のガバナンス
 ~企業買収・合併とその後に考慮すべきリスク対応の実務~
http://www.nri-secure.co.jp/seminar/2015/asean02.html?xmid=300&xlinkid=18

○7月29日(水)、8月28日(金)、9月25日(金)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=21

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=22

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=23

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。