NRI Secure SANS NewsBites 日本版

Vol.10 No.27 2015年7月30日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.27 2015年7月30日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.056, No.057
(原版: 2015年7月21日、24日)
────────────────────────────────

◆ Internet of Things のセキュリティ状態が危険なことに(2015.7.18)

冷蔵庫や自動車、医療用薬剤注入ポンプなど、様々な機器のコンピュータ化が 進む中、セキュリティを考慮した上で開発されておらず、多くはセキュリティ パッチを受け付ける機構が備わっていない。これらの機器を開発しているメー カーにとってのセキュリティは、実際に危険性が指摘されるまで考慮されない からだ。脆弱性のデモでは、人命への危機を指摘しているが、幸いなことに攻 撃者は利益を生むための手法を考えている。たとえば、これらの機器から作ら れたボットネットが研究者によって発見されている。ボットネットは、DDoS攻 撃を行うためだけでなく、暗号通貨(Bitcoinなど)を見つけるために活動してい る。

http://www.economist.com/news/science-and-technology/21657766-nascent-internet-things-security-last-thing-peoples

【編集者メモ】(Assante)
ここで語られていないのは、これらの機器は組み込み系システムのセキュリティ と一緒に考えなければならないことだ-このコミュニティの弱点であるが、エン ジニアリングの開発者に汎用ソフトウェアの開発者より上のレベルをもとめるの は現実的ではない。この記事では、発見された脆弱性や侵入された後の対応が大 変であることを示唆している。なぜなら、多くの機器は無線経由の管理機能が備 わっていないからだ。インターネットの管理しきれない過ちへようこそ!
【編集者メモ】(Ullrich)
記事で紹介されている SANSの研究は、Hikvision製カメラDVRのセキュリティを対 象にしたものだ。これらの機器は Telnet サーバがデフォルトで稼働しており、 サーバを停止する術も無かった。パスワードの変更も容易でなく、デフォルトの パスワードは"12345"だった。我々が分析したこれらの機器に対する侵入は、すべ てこの問題を悪用しているだけであり、攻撃者は、普通にログインしたけだった。 もっと酷いのは、これらの機器を使って、別の内部ホストに対し攻撃を行っていた ことだ。幸いなことに Hikvision社の対応が良かった。数回電話で話した後、ファ ームウェアの更新をリリースしたからだ。これらの機器で稼働するTelnetは、現在 デフォルトで無効になっている。
【編集者メモ】(Murray)
これら機器のセキュリティは、OSやブラウザのセキュリティよりも扱いやすいはず である。セキュリティコミュニティは、どのようにすればいいか知っているにも関 わらず、これらの機器を作っている開発者は、この知識を有効利用しないことがリ スクになっている。
【編集者メモ】(Paller)
驚くことに多くの IoTベンダはセキュリティにそれほど注力していない。なぜ驚い ているかというと、これらのベンダは、OSやアプリケーションベンダと違い、怠慢 に関して責務から逃れられないと思っているからだ。顧客は、IoT機器がもたらすダ メージから自分を守る術が無いのが現状である。

────────────────

◆ 米国とイスラエルがサイバー攻撃に関する情報共有を強化(2015.7.17,20)

米国土安全保障省のアレハンドロ・マヨラカス事務次官がイスラエルを訪問し、イ スラエルの国家セキュリティ局の事務局長エビアタール・マタニアを含めた当局者 と会談した。両国は、「サイバーセキュリティおよびサイバー研究・開発に関して 情報共有と協力を再確認するための共同声明」に署名している。

http://thehill.com/policy/cybersecurity/248471-us-israel-reaffirm-cyber-ties
http://www.timesofisrael.com/israel-us-commit-to-beef-up-cybersecurity-cooperation/
http://www.dhs.gov/news/2015/07/17/readout-deputy-secretary-mayorkas-trip-israel

────────────────

◆ 英高等法院がデータ保管法を違法判断(2015.7.17,20)

英高等法院が Data Retention and Investigative Powers Act (DRIPA) を違法とす る判決を下した。この法律は、「EUの指令など諸法と整合性が取れていない」と指 摘されたことを受けてのもの。国会は、この法案を4日間で議決し、一年前に法律と して定めているが、英高等法院は、DRIPAがデータへのアクセスを適切に制限してい ないと指摘した。政府は、この判決に対し上訴する方針だという。

http://www.cnet.com/news/uk-dripa-data-retention-scheme-deemed-unlawful-by-high-court/
http://www.theregister.co.uk/2015/07/17/government_appeals_court_nixing_dripa_surveillance_law/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「ソーシャルメディアについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
FacebookやTwitterといったソーシャルメディアサービスは、オンラインで情報
共有が行える半面、プライバシーやセキュリティのリスクも生じます。このリス
クは、自分だけではなく、家族や同僚、会社にも影響が及ぶ可能性があるもので
す。今月は、これらのソーシャルメディアを利用する上で生じる危険性や、安全
に利用する方法を一般ユーザー向けにも分かりやすく解説します。社員の意識向
上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201507_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ サイバーに対する責務の時代:控訴裁判所が Neiman Marcus 却下の判決を覆す(2015.7.23)

7月20日月曜日に米国控訴裁判所が Neiman Marcus 社に対する責任訴訟を復活させた。 この件では、350,000人の顧客データが漏えいしたことに対し裁判が行われたもので、 Neiman Marcus社は、9,200ものアカウントが不正取引に使われていたことを認めてい た。この件は、控訴裁判所によって顧客がデータ漏えいによる被害でクレジットカー ドアカウントを復旧しなければならないことに対し、損害があることを認めた初の事 例である。

http://blogs.wsj.com/cio/2015/07/23/appeals-court-revives-neiman-marcus-data-breach-suit/

【編集者メモ】(Paller)
この件による影響の一つとして CEOは、ここ10年余り聞き続けている質問に対する明 確な回答を求めるようになるだろう。それは「どのようにすれば、責務を回避できる か?」「どこまでやればいいのか?」というものだが、最低限の対策としてコンセン サスが取れそうなものがある。それは、基本的な "Critical Security Controls"の正 しい実装とそれを常に監視することだ。この"Critical Security Controls" は、NSA、 オーストラリアASD および Center for Internet Security が発行しているもの。これ を適用する理由として、これ以外のベンチマークで攻撃を阻止している形跡を残せるも のが無いからである。
【編集者メモ】(Ullrich)
最近、どこに行っても話題になっているトピックはサイバー保険だ。サイバー保険を購 入する側として不安なのは、保険がどこまで適用されるかだ。このような裁判が続けば、 ビジネスの責務が明らかになる(さらに何から守るかも明らかにされる)だろう。

────────────────

◆ 米議員が DHS のサイバー権力を高めるための法案を提出(2015.7.22,23)

米議員によって国土安全保障省(DHS)が、政府機関のサイバーセキュリティを統括する ための権限を高めるための法案を提出した。この FISMA Reform Act では、DHS に政府機 関のネットワークに対してリスクアセスメントを実施できる権限を与え、さらに防御策を 関係省庁の許可なく適用できる権限も与えることなどが盛り込まれている。

http://www.scmagazine.com/senators-introduce-bill-to-expand-dhs-oversight-of-federal-gov-domain/article/428227/
http://www.nextgov.com/cybersecurity/2015/07/senators-want-give-dhs-new-cybercom-powers-thwart-civilian-agency-hacks/118368/?oref=ng-HPtopstory
http://media.scmagazine.com/documents/137/272387111-fisma-reform-2015_34087.pdf

【編集者メモ】(Pescatore)
私は、DHSがこの役割を担うためのサイバーセキュリティオペレーションにおける能力、 機能およびキャパシティを持っていることを示していないと思っている。「リスクアセス メントを行う」と「防御策を関係省庁の許可なく適用する」には、非常に大きな違いがあ る。政府機関内のセキュリティで最初に躓くのは、資産や構成の管理と脆弱性の可視化・ 対策である。これらは、DHS の2013年にスタートした CDMプログラムで対応されるはずだ ったが、特に目立った動きは無い。
【編集者メモ】(Murray)
最近の調査
(例:https://info.veracode.com/state-of-software-security-report-volume6.html)や データ漏えいで明らかになったのが、政府が「サイバー防御」の「弱点」になっているこ とだ。政府は、ITインフラの10%しか運用していないが、自分のネットワークをちゃんと管 理できていないことが、リーダーシップが発揮できない原因となっている。
【編集者メモ】(Henry)
Comprehensive National Cybersecurity Initiative (CNCI) は、米国政府内のネットワー クにおけるセキュリティのニーズを満たすため、2007年に可決し資金が供給されているはず だが、何度も何度も米国の戦略やポリシーで、あたかも新しい取り組みやアイデアとして、 これと似たような話を聞く。CNCIは、FISMAを更新するためのコンポーネントがあり、DHSに 米国政府ネットワークのすべてを監視・保護するための権限を与えた:しかも8年前だ! さらに、OPMのデータ漏えいによる影響を受けてのことだが、これが果たして予知できない・ 何も対策できなかったものだったのだろうか?このような動きは納税者として受け入れるこ とができない。

────────────────

◆ FBIが数百件の中国スパイ事案を調査(2015.7.23)

FBIによると、数百もの米国企業に対し、中国による経済スパイ活動が行われているという。 ロシアも同様で、米国企業に対し経済スパイ活動を行っている。中国とロシアの国名が公表 されることも珍しいが、これは米国企業の幹部が脅威を正しく把握できていないという懸念 を FBI が持っているからだろう。

http://www.thedailybeast.com/articles/2015/07/23/fbi-probes-hundreds-of-china-spy-cases.html

【編集者メモ】(Murray)
歴史的に見て、多くの企業は、脅威である攻撃者に国家の支援があるという前提は考えてこ なかったのだが時代は変わった。自分のビジネスが自社または他者の知的財産 (例:事業計 画、デザイン、プロセスなど)を保持していれば、それは競合他社(中国にいる パートナー 候補)に有益な可能性がある。その場合、脅威の中に国家が支援している、競合他社による 産業スパイ活動も前提に入れなければならない。これを前提に入れることで、リスクアセス メントも 向上し、セキュリティ対応もより良いものになるだろう。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月29日(水)、8月28日(金)、9月25日(金)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=17

○7月30日(木)
 サイバーセキュリティーセミナー
http://www.nri-secure.co.jp/seminar/2015/hitachiht01.html?xmid=300&xlinkid=11

○8月5日(水)
 エンタープライズ向けAWS活用事例・ソリューション紹介セミナー
 ~基幹系からSNSマーケティングまでもAWSで~
http://www.nri-secure.co.jp/seminar/2015/aws01.html?xmid=300&xlinkid=12

○8月25日(火)、9月29日(火)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=13

○8月26日(水)、9月17日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=14

○8月27日(木)、9月18日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを
通じて得られたデータの分析を基に、2005年度以降毎年発表しており、
今回で11回目となる独自調査レポート。       【ダウンロード無料】
http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績。
 再診断無料「セキュリティ診断(脆弱性診断)」
http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=21
 
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=22

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=23

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=24
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。