NRI Secure SANS NewsBites 日本版

Vol.10 No.28 2015年8月5日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.28 2015年8月5日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 受┃付┃中┃ SANS Tokyo コミュニティ ナイトセッション
 ━┛━┛━┛
7月に引き続き8月もSANS Tokyoコミュニティナイトを開催します。今度のコ
ミュニティナイトセッションでは、サイバー攻撃の防御のために設けられた
様々な防衛線をバイパスするテクニックを、デモを交えて解説し、より効果
的な「侵入検知」のベストプラクティスについて考察します。
多層防御(Defense-in-Depth)と検知(Detect)は、現代のセキュリティ対
策では不可欠です。10月に開催するSANSトレーニング受講をお考えの方は、
ぜひご参加ください。

●開催概要
 日時:2015年8月24日(月) 17:30~19:00
 会場:野村総合研究所 丸の内総合センター 9F大会議室
 タイムスケジュール:
 17:00~ 開場・受付開始
 17:30~18:30 セッション「バイパス侵入テクニック」※同時通訳付き
 18:30~19:00  質疑応答など
 スピーカー:Tim Medin
 (SANS認定インストラクター、Counter Hack Challenges)
 参加費:無料

●詳細なセッション情報やお申し込みはこちらから
    http://www.nri-secure.co.jp/seminar/2015/sans02.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.058, No.059
(原版: 2015年7月28日、31日)
────────────────────────────────

◆ フィアットクライスラーがリコール (2015.7.27)
ハッカーによって Jeep の制御を乗っ取られたという報道を受けたクライスラー は、安全性に問題があるとして 140万台をリコールの対象とした。該当する車両 のユーザは、脆弱性への対応にいくつか選択肢があり、1)クライスラーの販売店 に行き、ソフトウェアを更新してもらう方法、2)パッチをダウンロードし、USBド ライブに保存した上で車にそのUSBドライブを挿入する方法、および3)最後にクラ イスラーからパッチの入ったUSBドライブを郵送してもらう方法の3つが提示され ている。このうち、クライスラーからUSBドライブを郵送してもらう方法について は、ユーザに郵送されたUSBドライブを信用することを強要していることから、一 部で物議を醸している。

http://www.v3.co.uk/v3-uk/news/2419372/fiat-chrysler-issues-software-update-for-14-million-cars-amid-remote-hacking-concerns
http://www.wired.com/2015/07/jeep-hack-chrysler-recalls-1-4m-vehicles-bug-fix/
http://www.zdnet.com/article/chryslers-response-to-car-hack-was-slow-and-incredibly-stupid/
http://arstechnica.com/security/2015/07/fiat-chrysler-recalls-1-4-million-cars-over-remote-hack-vulnerability/

【編集者メモ】(Northcutt)
悪い知らせは途切れることがない。高額な罰金を(1.05億ドル)を課されるだけ ではなく、ラムトラック、ピックアップトラックの買い取りを申し出なければな らないからだ。

http://money.cnn.com/2015/07/26/news/companies/chrysler-105-million-fine/
http://www.nbcnews.com/business/autos/fiat-chrysler-must-buy-back-hundreds-thousands-ram-pickups-n398911

────────────────

◆ 米国の送電網が脆弱だというレポート (2015.7.24)
USA Todayが、米国送網に対する様々な調査分析を集約した結果、米国の送電網は 他の先進国の送電網よりも障害が多いということが明らかになった。このレポート は、既に発行されているもの。

http://www.inquisitr.com/2279678/power-grid-is-americas-biggest-weakness-new-report-conforms/
http://www.usatoday.com/story/news/2015/03/24/power-grid-physical-and-cyber-attacks-concern-security-experts/24892471/

【編集者メモ】(Assante)
多数のインシデントによって注意が逸らされることもあるし、標的型攻撃に対す る準備に役立つこともあるだろうが、通常のセキュリティインシデントを分析す ることに集中するあまり、本当に深刻なインシデントによって、広い地域で送電 が受けられなくなる結果が待っていることを忘れているように思える。たしかに 送信システムのコンポーネントには、大規模なインシデントを引き起す脆弱性が 潜んでいるが、深刻な影響を及ぼすインシデントを検知するための仕組みに官公 庁が多大な投資をしている中で、依然としてどのくらいの標的型サイバーインシ デントが重要なシステムに対して影響を及ぼしているのかを把握できていないの だ。標的型攻撃が何かしらの影響を及ぼす確率は高くなっているが、大惨事が起 きるかもしれないということを、通常の検知実績や具体的な変電所への侵入を見 ているのでは分からないだろう。

────────────────

◆ パキスタンがブラックベリーエンタープライズサーバを規制 (2015.7.27)
パキスタンのMinistry of the Interiorは、ブラックベリーエンタープライズサ ーバへのアクセスを2015年12月1日付で停止する旨を、国内の通信事業者に通達す るよう Pakistan Telecommunication Authority (PTA) に通知した。PTAの広報は 、「セキュリティ上の懸念」があることから、この通知が発行されたとしている。

http://www.theregister.co.uk/2015/07/27/pakistan_bans_blackberry_enterprise_server/
http://www.v3.co.uk/v3-uk/news/2419418/pakistan-cracks-down-on-blackberry-privacy-services
http://arstechnica.com/security/2015/07/pakistan-bans-blackberry-messaging-e-mail-for-security-reasons/


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「バックアップと復旧」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
誤って重要なファイルを削除してしまったり、ハードウエアの故障やノートPCの
紛失などによりドキュメントや画像を失うことがあるでしょう。このような事態
に備えるにはバックアップを利用するのが効果的です。今月は、バックアップの
説明とバックアップ方法、そしてバックアップ戦略について一般ユーザー向けに
も分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201508_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ サイバーに対する責務の時代:控訴裁判所が Neiman Marcus に関する判決を覆す決定(2015.7.23)

ホワイトハウスは政府の請負業者に対して、機密データを保護するにあたり、厳 しく、明確で一貫性のあるルールを作りたい意向を示した。最近発覚している情 報漏えいでは、請負業者との取り決めに関する問題が浮き彫りにされつつあるが、 その中には、連邦政府との契約において一貫性の無いデータセキュリティに関す る標準や様々な省庁によって発行されているガイドラインの存在があると指摘さ れている。今後、新しいルール案に対するパブリックコメントの募集が近日中に 公開される予定だという。

http://thehill.com/policy/cybersecurity/249752-white-house-wants-consistent-cyber-rules-for-contractors
https://s3.amazonaws.com/public-inspection.federalregister.gov/2015-18747.pdf

【編集者メモ】(Pescatore)
多くの政府系と大規模案件のRFPには、FISMAが要求されている。要求そのものが 問題なのではなく、請負業者がその要求を満たしているのか正しくアセスメント できていないことが問題なのだ(これは、政府の様々な省庁内でも同様の問題が 起きている。)。ホワイトハウスは、FedRAMPプログラムを参考にすべきだろう。 このプログラムは、連邦政府にクラウドサービスを提供したいプロバイダについ て、セキュリティ対策実施状況をアセスメントするだけでなく、一貫性のある定 義が含まれているものだからだ。

────────────────

◆ 4月に起きたサイバー攻撃の影響を受け続けている仏テレビ局 (2015.7.30)
今年の4月に仏テレビ局TV5Mondeを襲ったサイバー攻撃が依然として終息していな い。この攻撃で攻撃者は、テレビ局のソーシャルメディアアカウントなどを集中 に収めたが、これらの問題を収めるためにはさらに時間がかかるようだ。同社の CEOは、10月までの完全復旧を目指すとともに、今後原則として社内からインター ネットには接続させず、外部サービスをインターネットに公開する場合には、よ り安全に構築されたシステムを利用したいと述べた。

http://www.scmagazine.com/tv5monde-in-chaos-as-data-breach-costs-roll-into-the-millions/article/429390/

【編集者メモ】(Assante)
公共サービスに影響を及ぼす大規模なサイバー攻撃は、再発を防ぐための規制措 置が取られるようになる。たとえば政府機関などが対象にされた攻撃に対するレ スポンスで困るのは、攻撃者を適切に食い止め、排除し、再度攻撃されないこと を証明することだ。そのためには、サイバーの垣根を越えることも必要だし、影 響を食い止める観点から見れば、政府は多くの規制措置を適用することも可能だ ろう(OSHA、EPA など)。

────────────────

◆ BIND サーバに含まれる深刻な脆弱性に対して修正パッチの提供開始(2015.7.30)
DNSサーバの実装であるBINDには、DNS プロトコルに含まれる脆弱性により、悪意 ある第三者によりサービス拒否(DoS)攻撃を受ける可能性がある。攻撃が成功した 場合、DNSサービスを利用する全てのサービスが影響を受け、実質インターネット が利用不可能になるというもの。この脆弱性は、BINDのトランザクションキーレ コードに関するクエリを処理する際の問題に起因しており、BINDオペレータは、 この脆弱性に対応する修正パッチを公開している。

http://www.zdnet.com/article/remote-denial-of-service-vulnerability-exposes-bind-servers/
http://arstechnica.com/security/2015/07/major-flaw-could-let-lone-wolf-hacker-bring-down-huge-swath-of-internet/
http://www.computerworld.com/article/2955005/security/critical-bind-denialofservice-flaw-could-disrupt-large-portions-of-the-internet.html

【編集者メモ】(Murray)
BINDは、インフラの中でも重要なコンポーネントであるが故に、あまり手を入れ たがらない。だが、この問題を回避するために修正パッチを適用するのは、明確 な例外だ。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月20日(木)
 情報セキュリティ教育担当者向けセミナー
 ~IT技術者に情報セキュリティスキルを付加するために~
http://www.nri-secure.co.jp/seminar/2015/edu01.html?xmid=300&xlinkid=13

○8月24日(月)
 SANS Tokyoコミュニティナイトセッション
http://www.nri-secure.co.jp/seminar/2015/sans02.html?xmid=300&xlinkid=14

○8月25日(火)、9月29日(火)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=15

○8月26日(水)、9月17日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=16

○8月27日(木)、9月18日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=17

○8月28日(金)、9月25日(金)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=18

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを
通じて得られたデータの分析を基に、2005年度以降毎年発表しており、
今回で11回目となる独自調査レポート。       【ダウンロード無料】
http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績。
 再診断無料「セキュリティ診断(脆弱性診断)」
http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=21
 
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=22

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=23

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=24
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。