NRI Secure SANS NewsBites 日本版

Vol.10 No.32 2015年9月1日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.32 2015年9月1日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第一弾】10月19日~24日[6日間]
 ◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
 ◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
 ◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
 ◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛



────────────────────────────────
■■SANS NewsBites Vol.17 No.066, No.067
(原版: 2015年8月25日、28日)
────────────────────────────────

◆ データ漏えいを取り締まる権限が FTC にあると控訴裁判所が判断(2015.8.24)

米第3巡回区控訴裁判所が、連邦取引委員会(FTC)がデータ漏えいなどに対し適 切なセキュリティを行っていない企業に対し、法的施行の権限を与えることを満 場一致で認める判決を下した。この判決は、下級裁判所が下した判決を支持する ものである。現在 FTCは、Wyndaham Worldwide Corp. が顧客データを守るため に適切なセキュリティ政策をしていなかったとして告訴しているが、この手続き をさらに進めていくと見られている。Wyndham 社は、サイバー攻撃の被害者であ り既に罰を受けていると考えており、FTC が越権行為をしているとも主張してい る。

http://thehill.com/policy/cybersecurity/251803-appeals-court-ftcs-authority-extends-to-cybersecurity
http://www.wired.com/2015/08/court-says-ftc-can-slap-companies-getting-hacked/
http://www.darkreading.com/perimeter/ruling-ftc-can-hold-wyndham-liable-for-data-breach/d/d-id/1321881?
http://www.computerworld.com/article/2975054/security/ftc-can-bring-down-the-hammer-on-companies-with-sloppy-cybersecurity-court-rules.html
https://hoofnagle.berkeley.edu/ftcprivacy/wp-content/uploads/2015/08/wyndham_3rd_cir_14-3514.pdf

【編集者メモ】(Pescatore)
裁判所によって、FTCの権限が明言されていくのは良いことだ。これによりFTCは、 顧客データを守っていると主張している企業が基本的なセキュリティ政策も行っ ていない場合、法的に罰することが可能になる。米連邦議会は脅威情報の共有に ついて10年以上議論しているが、その間 FTCは、セキュリティやプライバシーを 向上するための具体的な活動を行ってきているのだから。

────────────────

◆ Ashley Madison 社のデータ漏えいデータを悪用した攻撃を検知:懸賞金制度が始まる (2015.8.21)

Ashley Madison 社のデータ漏えいで影響を受けたユーザが、情報を悪用され脅迫 文面を送り付けられたり、お金と引き換えにデータ削除を行うといった趣旨のウェ ブサイトに誘導されたりしているという。確認は取れていないが、データ漏えいの 影響を受けた2名が自殺をしたとも報じられている。Ashley Madison社の親会社で ある Avid Life Media は、データを漏えいさせた人物またはグループの逮捕に貢 献する情報を提供した人に対し、50万カナダドル(約38万米ドル)の懸賞金を提供 する用意があるという。

http://arstechnica.com/security/2015/08/exposed-ashley-madison-members-targeted-by-scammers-and-extortionists/
http://krebsonsecurity.com/2015/08/extortionists-target-ashley-madison-users/
http://www.bbc.com/news/technology-34044506
http://www.smh.com.au/digital-life/digital-life-news/ashley-madison-two-unconfirmed-reports-of-suicide-linked-to-hack-say-police-20150824-gj6s4o.html
http://www.v3.co.uk/v3-uk/news/2418412/ashley-madison-cheating-site-hack-leaves-37-million-users-exposed
http://www.wired.com/2015/08/ashley-madison-offering-500k-reward-info-hackers/
http://www.zdnet.com/article/first-ashley-madison-suicides-reported/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「2段階認証について」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
オンラインの世界で、自分が自分であることを証明するプロセス(認証)は、自
分に関する情報を守るために重要です。パスワードは、通常複雑なものにしたり
推測されにくいものにするといったパスワードを守るための手法を学んだりしま
すが、それでもパスワードだけで情報を守りきるのは困難です。今月は、パスワ
ードによる認証を強化するための仕組みである2段階認証について一般ユーザー
向けにも分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201509_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年10月8日(木)-9日(金)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)

・セキュアEggs(Webアプリケーションセキュリティ)
 2015年10月14日(水)
 20116年3月1日(火)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 医療機関に対するサイバーセキュリティアンケート- 80%が攻撃の被害に(2015.8.27)

医療機関に対するサイバーセキュリティのアンケートによると、80%以上もの医療 機関が、ここ2年間にITシステムに対して、何かしらの攻撃を受けたと回答してい ることが明らかとなった。過去と比較して、医療機関の IT システムに対する攻撃 が増えてきているという。攻撃増加の要因として、患者記録のデジタル化や自動臨 床システムの利用率の向上のほか、現在となっては当たり前となっている「常時接 続」ネットワークによる利用を想定していなかった古い電子診断(EMB)臨床アプ リが原因として取り上げられている。このEMBを悪用すると、ネットワーク上にあ る患者のデータや医療機器の制御に関する情報が取得可能になるという。

http://www.computerworld.com/article/2975988/healthcare-it/more-than-80-of-healthcare-it-leaders-say-their-systems-have-been-compromised.html

【編集者メモ】(Murray)
HIPAAが与えた悪影響を物語っているようだ。HIPPA は、電子カルテなどのデジタ ルデータに対し、セキュリティ要件を課したが、紙媒体には同等の要件を課してい ない。そのため、HIPAAは、悪いところばかり取っていることになってしまってい る。Veracodeの調査によると、医療業界は、政府機関に次いでサイバーセキュリテ ィにおいて悪い状況であることが明らかとなっている。

────────────────

◆ Chrome が Flash広告をブロック(2015.8.28)

2015年9月1日から、Google が提供する Chrome ブラウザ上で「不必要な」Flash 広告をデフォルトでブロックするようになる。これらの広告は、ユーザが広告上 に表示される「プラグインを実行する」というボタンを押さない限り表示される ことはない。「必要な」Flashコンテンツ、例えば埋め込まれた動画再生ツールな どは、自動で実行され続ける。

http://www.theregister.co.uk/2015/08/28/google_says_flash_ads_out_september/

【編集者メモ】(Pescatore)
Adobe は 10年かけて Flashを安全にしようとしたが成功しなかった。その中で、 アニメーション広告が見られなくなったからと言って、私は特に損はしないだろ う。
【編集者メモ】(Murray)
オプトイン方式がデフォルトになったのは良いことだ。Flashの利用を続けている ということは、そのリスクを許容しているということなのだ。ということは、我々 はセキュリティに対する意識はそれほど高くないとも言える。Flashは、「歴史的 に見て」破たんしており、改善もされていない。依然としてブラウザやデスクトッ プPCにおける最大の弱点となっており、Flashコンテンツを再生できる環境が常に 存在するということそのものが、企業などのインフラに対するリスクとなっている。

────────────────

◆ 防衛事業の請負会社に対するサイバーセキュリティルール(2015.8.26)

米国政府の防衛事業に関する請負会社を対象に、新しいサイバーセキュリティル ールの適用が開始された。請負会社の中には、政府側の新ルールを遡及的に適用 するように契約が変更されるのではないかと懸念が上がっている。ここ数年の間 に米国防総省は、ベンダに対するサイバーセキュリティに関するポリシーを3つ 公開している。
この国防総省から新たに発行された規制は、「Network Penetration Reporting and Contracting for Cloud Services」と呼ばれ、過去のポリシーよりも包括的な ものとなっている。

http://www.nextgov.com/cybersecurity/2015/08/pentagon-tries-harmonize-contractor-data-breach-rules/119498/?oref=ng-channelriver

【編集者メモ】(Pescatore)
11年もの間、防衛事業の請負事業社の従業員として働いてきた中で学んだことは、 請負会社は契約を変更されても金銭的に損しない、ということだ。多くのものは、 「変更要求(Change Request)」となっていることがその証左である。新ルール では「compromise (侵入)」と「cyber incident (サイバーインシデント)」がそ れぞれ定義されているが、これらの定義は解釈が広過ぎだと思う。きちんと解釈 すると、すべての請負業者は、DIBnet のウェブサイトに対し72時間置きに誤検出 の情報を送信することになるので、それは現実的ではない。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月17日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=16

○9月18日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=17

○9月25日(金)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
 http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=18

○9月29日(火)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
 http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015 【無料】<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━  NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを通じて
 得られたデータの分析を基に現状の攻撃・防御傾向を分析。
 2005年度以降毎年発表しており、今回で11回目となる独自調査レポート。
 http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績。
 再診断無料「セキュリティ診断(脆弱性診断)」
 http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=21
 
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
 http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=22

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
 http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=23

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
 http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=24
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。