NRI Secure SANS NewsBites 日本版

Vol.10 No.26 2015年7月21日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.26 2015年7月21日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.054, No.055
(原版: 2015年7月14日、17日)
────────────────────────────────

◆ OPM の局長が辞任(2015.7.10)

米国人事局(OPM)の局長、キャサリン・アーチュレタ氏が辞任した。多くの人々 に影響を与えた情報漏えい事件が理由とのこと。この事件によって漏えいしたデ ータの中には、身辺調査を受けるための書類を提出した人の個人情報も含まれて いた。

http://www.forbes.com/sites/katevinton/2015/07/10/opm-director-katherine-archuleta-resigns-after-federal-data-breach-affects-25-million-americans/
http://www.computerworld.com/article/2946840/cybercrime-hacking/opm-director-steps-down-in-wake-of-unprecedented-data-breach.html
http://www.theregister.co.uk/2015/07/10/opm_boss_hands_in_resignation_over_massive_security_failures/

【編集者メモ】(Pescatore)
連邦政府内の悲しい事実として、CIOよりも局長を罰する方が簡単な場合がある ことがある。Verizon社などが発行している大規模な情報漏えいに関するレポー トによると、多くの情報漏えいは、基本的な「セキュリティ予防策」- 例えば、 Critical Security Controls などを適用することで防げたのである。設定管理 やパッチ・権限管理における多くの失敗は、CIOが容認し続けているITオペレー ションの失敗であり、「セキュリティ」とは名ばかりのものであったからだ。そ れと対照的に、Target社の漏えいが発覚した後に最初に退任させられたのはCIO であったことを思い出してほしい。私は、連邦政府のCIO トニー・スコット氏が 行っているサイバーセキュリティレビューが進む中で、政府機関内においてITオ ペレーション側にしっかりとフォーカスを充てることを願っている。

【編集者メモ】(Paller)
ジョンは正しい事を述べている。このケースにおいて、公平に責任を負わし、そ して今後のアクションも正すためには、CIOとは別の責任者を退任させるとともに、 さらに別の2人が降格させられるべきだ。この対象者には、OPMの監察長官スタッ フであるセキュリティ監査ディレクターも含まれている。彼らは、監査の対象を 誤った責任を取るべきだ。これは、とても重要なことだと思う。これをやらない と、監察長官スタッフは今後も連邦政府のセキュリティを良くない方向にしか導 かないだろう。ただし、降格させた上で抱え続けるべきなのは、OPM の現CISOと OMB幹部の中で5年以上もの間間違った指標を使ってパフォーマンスを測定してい た人だろう。CISOは、適切な防御・発見・抑制・リカバリ策を展開するためのテ クニカルスキルが無いように思えるし、間違った指標を使い続けた幹部は、観察 長官の片腕を後ろ手に縛っていたとしか言えないからだ。有能な監察官であれば、 間違った指標(OMB指標)と正しい指標を同時に扱えただろうが、彼らはそうでは なかった。

────────────────

◆ 中国のサイバーセキュリティ法(2015.7.12,13)

中国が検討している法案によると、重大な「社会保障に関するインシデント」発 生時は、政府にインターネットアクセスを遮断する権限を与えることになった。 この法律では、テクノロジー企業にユーザデータの保護も要求している。市民は、 サービスなどを利用する場合は実名での登録を要求されるが、企業にはそのユー ザデータを国内に保管することを要求している。

http://qz.com/450381/china-wants-the-internet-to-boost-the-economy-but-fears-it-will-threaten-national-security/
http://arstechnica.co.uk/tech-policy/2015/07/chinas-new-internet-law-formalises-stricter-censorship-surveillance-powers/
http://www.theregister.co.uk/2015/07/13/china_cyber_security_law/
http://chinalawtranslate.com/cybersecuritydraft/?lang=en

【編集者メモ】(Pescatore)
米国のアプローチと比較した時に、これらの条項は二つのカテゴリに分けること ができる(1) 法律・規制・行政命令として既に米国で適用されているもの、そし て(2) 過去に提案(例えば、インターネットの「Kill Switch」、匿名性の排除、 すべての情報が政府に行く、など)されたが、却下されたもの。"Internet"から "Inter"を取り除くのはありえない -同様に「飛行機は飛ばさなければ、事故に 遭わない」という理論と一緒だ。これは、中国が「要求しているすべての事項を 満たしてセキュアにしなければ、そこを攻撃するよ」と言っていると解釈してよ いだろう。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「ソーシャルメディアについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
FacebookやTwitterといったソーシャルメディアサービスは、オンラインで情報
共有が行える半面、プライバシーやセキュリティのリスクも生じます。このリス
クは、自分だけではなく、家族や同僚、会社にも影響が及ぶ可能性があるもので
す。今月は、これらのソーシャルメディアを利用する上で生じる危険性や、安全
に利用する方法を一般ユーザー向けにも分かりやすく解説します。社員の意識向
上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201507_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 数千のセキュリティ問題が発見されたと米内務省のレポート(2015.7.16)

米国内務省(DOI)監察総監室のレポートによると、システムは、3,000ものセキュ リティ問題があるという。脆弱性の中には、悪用することで感染した端末から政 府機関内のネットワークに侵入可能なものもあるとのこと。ちなみにDOI は、人 事局(OPM)の事件で最初に漏えいしたファイルを保管していた。

http://www.scmagazine.com/department-of-the-interior-system-riddled-with-critical-vulnerabilities/article/426902/
http://www.nextgov.com/cybersecurity/2015/07/after-dodging-bullet-hit-opm-interior-owns-cyber-problem/117904/?oref=ng-HPtopstory
http://www.doi.gov/oig/reports/upload/ISDINMOA00042014Public.pdf

【編集者メモ】(Pescatore)
監察総監室のレポートには、2014年にDOIで起きた3つの漏えいについて述べられ ているが、それぞれの漏えいがどれほどの影響を及ぼしたのかは述べられていな い。また、「局が外部からアクセス可能なITシステムの数およびそれらのシステ ムに脆弱性があるかはわからない」と述べられているほか、ネットワークが分離 されていなかったことも明らかになった。Critical Security Controlsがある中 で、基本的なセキュリティ対策が取られていないのはとても残念だ。この中でも 唯一の朗報は、今まで見た中でも良く書かれていたレポートだということだ。影 響度の低い、監査が簡単なもの(よくある「80%ものシステムに対して、認定証 の書類が無かった」)からスタートせず、Critical Security Controlsで記載さ れている順番通りに調査結果を報告していたからだ。

────────────────

◆ Adobe Flash Player が不人気に(2015.7.14,15)

Mozillaは、Firefoxブラウザにおいて、修正されていない脆弱性がいくつかある としてFlashのプラグインをブロックした。また、Googleは、次の Chrome Stable Release にて特定の Flash コンテンツをブロックするという。Ubuntu PC を製 造している System 76は、今後の製品に 危険なだけで導入する必要が無いとして Flashをインストールしないという。Adobeは、7月14日の火曜に2つの新たな脆弱 性を修正したアップデートを公開している。

http://www.eweek.com/blogs/security-watch/mozilla-blocks-flash-in-firefox-thanks-to-unpatched-zero-days.html
http://arstechnica.com/security/2015/07/firefox-blacklists-flash-player-due-to-unpatched-0-day-vulnerabilities/
http://arstechnica.com/information-technology/2015/07/ubuntu-pc-maker-system76-abandons-flash-says-its-too-dangerous/
http://www.wired.com/2015/07/adobe-flash-player-die/

【編集者メモ】(Pescatore)
Flashは、水素で動く小型飛行船や自動車の有鉛ガソリンと同じ道を歩むべきだ。 Adobe は10年以上前にMacromediaとFlashを買収したが、10年以上経過した今でも Flashは安全な製品になっていない。AdobeがFlashを提供し続けてたとしても、ウ ェブサイト側でFlashの利用は止めるべきだ。
【編集者メモ】(Murray)
スティーブ・ジョブスは、数年前にFlashについて警告したが、AppleでもFlashは サポートされ続けている。インフラを安全にしたいと言いながら、Flashを利用・ サポートし続けているのは矛盾しているのではないか。

────────────────

◆ United は Bug Bounty として数百万のマイルを提供(2015.7.14,16)

United航空は、同社が経営するウェブサイトの脆弱性を発見した人たちに対して、 合計200万マイルを提供したことを明らかにした。5月に発表した Bug Bountyプロ グラム経由で、問題を報告した二人にそれぞれ100万マイルずつを提供したという。

https://www.washingtonpost.com/blogs/the-switch/wp/2015/07/16/why-united-airlines-is-rewarding-hackers-with-millions-of-free-miles/
http://www.bbc.com/news/technology-33552195
http://www.theregister.co.uk/2015/07/16/united_airlines_bug_bounty_18m/
http://www.zdnet.com/article/united-airlines-showers-air-miles-on-bug-bounty-researchers/

【編集者メモ】(Northcutt)
Unitedはとても賢いと思う。100万マイルを利用するのはとても大変だろう。
http://time.com/money/3896999/airline-miles-awards-consultants/
http://www.wsj.com/articles/SB1000142405270230


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月22日(水)                         【NEW】
 サイバーセキュリティ2015夏:独自調査レポートが解くセキュリティ攻防最前線
 ~サイバー攻撃にどう立ち向かうか・最新事例解説と対応策について~
http://www.nri-secure.co.jp/seminar/2015/0722.html?xmid=300&xlinkid=14

○7月22日(水)、8月27日(木)、9月18日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=15

○7月23日(木)、8月25日(火)、9月29日(火)            【NEW】
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=16

○7月24日(金)、8月26日(水)、9月17日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=17

○7月24日(金):シンガポール
 第3回 ASEAN地域におけるガバナンスセミナー
 M&Aと企業統合後のガバナンス
 ~企業買収・合併とその後に考慮すべきリスク対応の実務~
http://www.nri-secure.co.jp/seminar/2015/asean02.html?xmid=300&xlinkid=18

○7月29日(水)、8月28日(金)、9月25日(金)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=19

○7月30日(火)
 サイバーセキュリティーセミナー
http://www.nri-secure.co.jp/seminar/2015/hitachiht01.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績。
 再診断無料「セキュリティ診断(脆弱性診断)」
http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=21
 
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=22

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=23

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=24

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。