NRI Secure SANS NewsBites 日本版

Vol.10 No.29 2015年8月10日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.29 2015年8月10日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 受┃付┃中┃ SANS Tokyo コミュニティ ナイトセッション
 ━┛━┛━┛
7月に引き続き8月もSANS Tokyoコミュニティナイトを開催します。今度のコ
ミュニティナイトセッションでは、サイバー攻撃の防御のために設けられた
様々な防衛線をバイパスするテクニックを、デモを交えて解説し、より効果
的な「侵入検知」のベストプラクティスについて考察します。
多層防御(Defense-in-Depth)と検知(Detect)は、現代のセキュリティ対
策では不可欠です。10月に開催するSANSトレーニング受講をお考えの方は、
ぜひご参加ください。

●開催概要
 日時:2015年8月24日(月) 17:30~19:00
 会場:野村総合研究所 丸の内総合センター 9F大会議室
 タイムスケジュール:
 17:00~ 開場・受付開始
 17:30~18:30 セッション「バイパス侵入テクニック」※同時通訳付き
 18:30~19:00  質疑応答など
 スピーカー:Tim Medin
 (SANS認定インストラクター、Counter Hack Challenges)
 参加費:無料

●詳細なセッション情報やお申し込みはこちらから
    http://www.nri-secure.co.jp/seminar/2015/sans02.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.060, No.061
(原版: 2015年8月4日、31日)
────────────────────────────────

◆ FDAが Hospira社の薬物注入ポンプの使用に関して注意喚起(2015.8.1,3)

米国食品医薬品局(FDA)が、全米の医療機関に対し、Hospira製の薬物注入ポン プにおける特定モデルの使用を停止するよう注意を呼び掛けている。これらの機 器は、FTPおよびTelnetのポートが空いているほか、ポート8443 ではデフォルト のログインパスワードが設定されているため、院内ネットワーク経由で認可され ていないユーザからのアクセスを許可してしまうおそれがある。その結果、一回 当たりの薬物投与量を変更することなどが可能になるという。該当するHospira Simbiq Infusion Pump と呼ばれる製品は、既に製造終了となっているが、一部の 医療施設で利用され続けている。他に問題のある製品は、Plum A+ Infusion System v.13.4 以前のもの、Plum A+3 Infusion System v.13.6 以前のものが該 当する。Hospira社は、アップデートを提供する予定だという。

http://www.bbc.com/news/technology-33759428
http://www.theregister.co.uk/2015/08/01/fda_hospitals_hospira_pump_hacks/

【編集者メモ】(Assante、Paller)
Billy Riosやその他の善良なる研究者に拍手を送りたい!彼らの働きが、規制担 当者に影響を与え始めていることは明らかで、今後の設計や試験プロセスにも変 更をもたらすだろう。クライスラーの直近で発生したリコール問題やこのFDAの アドバイザリは、製品の規制に対して強制力を持つ分野で動きがあることを示し ている。その舞台裏では、責任ある研究者がこの動きに大きく貢献している。

【編集者メモ】(Murray)
この脆弱性のポイントは、アプリケーションの実装によるものではなく、なぜか 含まれていた(歴史的に脆弱性が多いとされる)FTPや(SSHではなく)Telnetに よるものだということだ。医療機器は、ある程度完成した(つまりメンテナンス や、緊急性の高いパッチをリリースする必要がない状態)安定稼働することが証 明されるまでは売るべきではない。「モノのインターネット(IoT)」における脆 弱性では、このように本来含まれるべきではないサービスが含まれているという 脆弱性を多く見るのではないかと思っている。

【編集者メモ】(Northcutt)
産業制御システムは、依然としてTelnetのような脆弱なプロトコルを利用し続け ている。私はこれから5週間、静脈内点滴を受けるが、自分自身の健康を守るた めに、自宅で点滴を受けることにした。自宅のネットワークは物理的に隔離され ているだけでなく、薬物は最初から正しい分量で混ざっており、PICCライン(静 脈カテーテル)に注入するだけで済むのだ。ここまでやっても、攻撃者が薬物を 混ぜるシステムを攻撃することはできるかもしれないが、それもかなり難しいだ ろう。セキュリティに完璧は無いが、常に攻撃を難しくすることを考慮すれば良 いのだ。
http://www.cse.wustl.edu/~jain/cse571-11/ftp/ics/
────────────────

◆ BINDの脆弱性が攻撃に使用されている(2015.8.3)

攻撃者によって、すべてのバージョンの BIND DNSソフトウェアが影響を受ける 脆弱性を悪用した攻撃が行われている。これは最近公開されたもので、脆弱性を 悪用することで、サービス拒否(DoS)攻撃を行い、広範囲でインターネットの 利用を妨げることが可能になるというもの。脆弱性を修正するためのパッチは、 先週公開されている。

http://arstechnica.com/security/2015/08/exploits-start-against-flaw-that-could-hamstring-huge-swaths-of-internet/
http://www.computerworld.com/article/2955290/security/dns-server-attacks-begin-using-bind-software-flaw.html

────────────────

◆ Cisco社が ASRルータの脆弱性に対しパッチを公開(2015.7.5)

Cisco社は、企業やサービスプロバイダ向けの ASR 1000シリーズのルータに含ま れる脆弱性に対し、修正パッチを公開した。この脆弱性を悪用することで、サー ビス運用妨害(DoS)を受けるという。問題は、「細工・断片化されたパケット の不適切な処理」に起因するもので、ワークアラウンドはなく、管理者に対しパ ッチを早急に適用することを呼び掛けている。

http://www.theregister.co.uk/2015/07/31/cisco_asr_1000_dos_hole/


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「バックアップと復旧」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
誤って重要なファイルを削除してしまったり、ハードウエアの故障やノートPCの
紛失などによりドキュメントや画像を失うことがあるでしょう。このような事態
に備えるにはバックアップを利用するのが効果的です。今月は、バックアップの
説明とバックアップ方法、そしてバックアップ戦略について一般ユーザー向けに
も分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201508_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ アメリカン航空とSabre社が情報漏えいの被害に(2015.8.7)

アメリカン航空と、航空券やホテルの予約を処理するSabre社が、それぞれ情報 漏えいの被害に遭ったと報じられている。米Anthem社や米国人事局(OPM)に対 し攻撃を行ったグループも本件に関与していると考えられている。

http://www.bloomberg.com/news/articles/2015-08-07/american-airlines-sabre-said-to-be-hit-in-hacks-backed-by-china

────────────────

◆ 米国防総省でのメール攻撃は他国政府の命令だという報道(2015.8.6)

最新の報道によると、諸外国政府の命令を受けた攻撃グループが、スピア型フィ ッシング攻撃を仕掛けたことが分かった。この攻撃が原因で、米国防総省は、ペ ンタゴン統合参謀本部の機密扱いではないメールシステムを停止した。このサー バの利用者は、4,000人にも上るという。

http://www.nextgov.com/cybersecurity/2015/08/reports-russia-hacked-pentagons-joint-staff-email/118939/?oref=ng-channeltopstory
http://www.theregister.co.uk/2015/08/06/pentagon_email_hacked/
http://www.computerworld.com/article/2960806/malware-vulnerabilities/joint-chiefs-of-staff-emails-targeted-by-russian-hackers.html

【編集者メモ】(Murray)
この報道は、分かりにくいだけでなく情報が不足しているようだが、ホワイトハ ウスや国務省での情報漏えい事件を鑑みた上で、取られるべきセキュリティ対策 (例:強い認証や封鎖)などが取られていなかったようだ。今、これを書きなが ら見ているMSNBCの報道では、「多くのデータに影響は無い」としている。しかし、 どれだけのシステムに影響があったかについては、触れられていない。数週間も システムが停止していたということは、複数のシステムに影響があったのだろう。

【編集者メモ】(Honan)
この攻撃の報道が物語っているのは、サイバー攻撃に対する防御、検知、要因特 定がいかに弱いか、ということだ。報道されている攻撃手法が、「スピア型フィ ッシング」から「未知の違う脆弱性」とされているだけでなく、「高度なサイバ ー攻撃」によるものだったというものまである。国防総省は、どこの国による攻 撃だったかは断定していないが、予想では、ロシア、中国または、別の「諸外国 政府から指示を受けた攻撃者」になるのだろう。これらの攻撃がどのようにして 行われ、阻止する術にフォーカスすることで、誰による攻撃かを特定しやすくな るだけでなく、その信憑性も高まるのではないかと思う。

【編集者メモ】(Pescatore)
国防総省のネットワークやメールシステムが、「諸外国政府から指示を受けた攻 撃者」から攻撃を受ける「前提」で設計・構築されていると願いたい。なぜなら、 国防総省は、これらの攻撃者から国民を守るためにいるのだから。

────────────────

◆ インテル社の設計ミスによって攻撃者がルートキットのインストールが可能に(2015.8.6)

インテル社のチップに設計ミスがあり、20年近く気づかれなかったことが明らか となった。この問題を悪用することで、コンピュータのファームウェアにルート キットをインストールされてしまう可能性がある。ルートキットが、この問題を 悪用してインストールされてしまうと、検知することができないという。問題と なっている機能は、1997年に x86アーキテクチャに含まれたものと考えられてい る。

http://www.computerworld.com/article/2962325/computer-processors/design-flaw-in-intel-chips-opens-door-to-rootkits.html

【編集者メモ】(Assante)
ファームウェアをフォレンジック解析できるスキルが必要になってきている。イ ンシデントレスポンス手順はいくつも考えられるが、怪しいと思われるコンピュ ータから、更新前後のファームウェアの差分を取って確認するというプロセスが あるだろうか?また、カーネルのタイムスタンプを辿って分析し、ファームウェ ア変更を他の動作と関連付けたりしているだろうか?標的型攻撃が主流になって きている中で、企業のレスポンスチームは、インフラの深いところまで分析でき るスキルが求められている。

【編集者メモ】(Murray)
これは、広範囲に影響を及ぼす実装がもたらす脆弱性だ。ただ、根本的な問題は、 ユーザがプログラムを書き込めることであるが、これは修正が難しい。セキュリ ティのコミュニティによって攻撃コードが検知されることを祈るしかない。報道 によると、攻撃を受けたシステムを検知するのは難しいとされており、信頼でき るコンピュータから世の中がどんどん遠ざかっている気がしてならない。皮肉な ことに、今だけかもしれないが、(iOS やandroidなどの)モバイルコンピュータ の方がデスクトップよりも相対的に信頼性が高いのだ。

【編集者メモ】(Pescatore)
ITセキュリティにおいて、インフラがインフラを守ることはできないということ は、昔から言われ続けてきた。これは、インテルによってマカフィーが買収され たことが、マルウェアに対する防御という意味で、良い方向に「働かなかった」 のではないかと思っている。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月20日(木)
 情報セキュリティ教育担当者向けセミナー
 ~IT技術者に情報セキュリティスキルを付加するために~
http://www.nri-secure.co.jp/seminar/2015/edu01.html?xmid=300&xlinkid=13

○8月24日(月)
 SANS Tokyoコミュニティナイトセッション
http://www.nri-secure.co.jp/seminar/2015/sans02.html?xmid=300&xlinkid=14

○8月25日(火)、9月29日(火)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=15

○8月26日(水)、9月17日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=16

○8月27日(木)、9月18日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=17

○8月28日(金)、9月25日(金)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=18

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを
通じて得られたデータの分析を基に、2005年度以降毎年発表しており、
今回で11回目となる独自調査レポート。       【ダウンロード無料】
http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績。
 再診断無料「セキュリティ診断(脆弱性診断)」
http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=21
 
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=22

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=23

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=24
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。