NRI Secure SANS NewsBites 日本版

Vol.10 No.33 2015年9月17日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.33 2015年9月17日発行
**********************************************************************


【編集担当より】
夏季休暇のため先週の配信はお休みさせていただきました。
今週は2週分をまとめて配信いたします。引き続きよろしくお願いいたします。


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html
【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!

【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ

【Webcast(9/23)】DLLサイドローディングに関する脆弱性の探索
 ◆タイトルDIY vulnerability discovery with DLL Side Loading
 概要:開発者が不適切なプログラム実装をすることで、深刻なリスクを招く
    おそれがあるDLLサイドローディングについて原理を解説し、DLLサイ
    ドローディングの脆弱性を発見する方法について紹介します。

 ◆日時:9月23日(水) 11時~(日本時間)
 ◆講師:Jake Williams(SANS 認定インストラクター)
   Webcastリンク: http://www.sans.org/u/7si
    ※Webcast受講には、SANSポータルのアカウントが必要です。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────
■■SANS NewsBites Vol.17 No.068-071 (原版: 2015年9月1日、4日、8日、11日)
────────────────────────────────

◆ 国防長官が、米国がサイバーセキュリティにおいて攻撃者より遅れを取るかもしれないと語る(2015.8.27)

国防総省の長官を含む幹部が利用しているサーバが、ロシア政府または中国政府 の命令を受け、攻撃を受けたという事実を受けて、米軍の幹部はサイバーセキュ リティで攻撃者に「遅れを取る」ことを懸念している。アッシュ・カーター国防 長官は、「今持っているネットワーク防御策よりも、もっと良いものが必要だ」 と語っている。しかし公共機関は、高いスキルを持った人材の確保に苦戦してお り、民間企業の方が給与面で待遇が良い、雇用期間が長い、政府機関内の職場文 化の違いが一般人との価値観と一致しないなどが理由として挙げられている。

http://www.washingtonexaminer.com/military-leaders-warn-u.s.-is-falling-behind-in-cybersecurity/article/2570945

【編集者メモ】(Pescatore)
国防総省におけるサイバーセキュリティの問題は、新たな人材を雇うためのお金 が足りないことでなく、必要なものにお金を使っていない、有能な人材を適材適 所で業務をさせていないことにあると思っている。2015年度の国防総省によるサ イバーセキュリティへの投資は、IT投資のうち13.9% を占めており、同業界の中 では、倍近い多額の投資を行っている。この投資のうち半分は、攻撃的な活動に 使われており機微な情報やデータを保管するシステムの防御にはもっとお金が必 要だろう。手始めとして、「Critical Security Controls」のようなプライオリ ティをつけていくアプローチを行いながら、お金や人材の新たなる確保に当たっ てもらいたい。
【編集者メモ】(Paller)
国防総省におけるサイバーセキュリティ面の失敗は、同僚のJohn Pescatoreが説 明してくれたが、この問題を無視できない存在にしたのは、国防科学評議委員会 が発行した「Task Force Report on Resilient Military Systems and the Advan -ced Cyber Threat」であろう。エグゼクティブ・サマリーに、「国防総省はこの ような(サイバー)脅威を適切に防げない」と書かれているからだ。同委員会は、 サイバー防御に関する施策の変更を求めているが、これを実現するためには、国 防総省のサイバーセキュリティポリシーから見直す必要があると思っている。し かし、サイバーセキュリティポリシーを変更するには、CIOオフィス内にいるスキ ルが足りない人材を国防長官が入れ替えるまでは実現できないだろう。そろそろ、 最近の攻撃がどのようにして行われているかを理解し、多くの攻撃を防ぐための 防御策や攻撃を検知するための仕組みを理解できる人材に任せるべきではないだ ろうか? 最低限、このくらいしないことには政府として許されないだろう。

────────────────

◆ 国土安全保障省が支援するContinuous Diagnostics and Mitigationの開発が遅すぎると批判(2015.8.24)

米国人事管理局(OPM)の ITセキュリティオペレーション担当の幹部職員ジェフ ・ワグナーによると、DHSの CDM (Continuous Diagnostics and Mitigation)プロ グラムは非常に良いものだが、「開発期間、提供時期、提供、全体的な進捗」に 問題があり、プログラムをすぐに実装したいOPMは不満を募らせている。DHSの予 算が投入されているこのツールは、2016年春に提供される予定だが、OPMはすぐに でも必要しており、更新される予定のツールを新たにリニューアルして使ってい るとのこと。

http://federalnewsradio.com/contractsawards/2015/08/cdm-quandary-many-agencies-facing/

【編集者メモ】(Pescatore)
残念なことだが、政府内のセキュリティマネージャから CDMプログラムに対する クレームの大半は、これと同じものだ。予算措置がなされた時代に良いアイデア であったものが、進捗が遅く、提供される頃には時代遅れになってしまうことの 好例ともいえる。この際CDMにフォーカスを当てたアプローチを継続しつつ、政府 内で「サイバーセキュリティ短距離走」でも実施するのはいかがだろうか。

────────────────

◆ 国務省がサイバーセキュリティに関するマニュアルを欲している(2015.9.3)

米国務省は、サイバーセキュリティに関するマニュアルを作成するため、業界の エキスパートから情報を収集している。マニュアルの目的は、「攻撃的なサイバ ーオペレーションとサイバー攻撃に対するレスポンスを正しく指導したい」とい うもの。国務省は、一年契約でマニュアル作成してくれる会社を探している。こ のマニュアルは、「サイバーオペレーションを行うための明確で正しいガイダン スを提供するもの」でなければならないという。本契約に対する提案は、2015年 9月11日(米国時間)まで受け付けている。

http://www.nextgov.com/cybersecurity/2015/09/state-department-wants-compile-cybersecurity-playbooks/120251/?oref=ng-channeltopstory
https://www.fbo.gov/index?s=opportunity&mode=form&tab=core&id=3d261056605769776902aa83210a9d81&_cview=0

【編集者メモ】(Paller)
このようなマニュアルの良し悪しを判定するための重要なポイント-いや、唯一 とも言えるポイントは、パフォーマンスを数値化できるかにかかっている。言い 換えると、このマニュアルが良かった場合、どのようにセキュリティが向上した かを数字で表せるのかということだ。多くのお金が、政府から民間企業に支払わ れ、「手順書」などを作成してきたが、これらを適用することで、リスクが軽減 された証拠は何もないにも関わらずだ。どの提案を受け入れるかを判断する担当 者向けにコメントするならば、提案者が開発するマニュアルを適用することで、 向上を示す何かを数値化していない、あるいはできないものは、受け入れるべき ではない。シリコンバレーには既に似たような取組みが進められており、「何パ ーセントの脆弱性がゼロデイになる前に対策されたか?」や「24時間以内に検知 した不正侵入の割合」などを数値指標として使うことを提案している。国務省も これを見習い、数値化できるものを使うべきである。
【編集者メモ】(Pescatore)
国務省が「攻撃的なサイバーオペレーション」と言うのは少し妙だ。しかし、一 度しか触れられておらず、マニュアルの一部として含まれていなければならない リストには無い - これは良いことだ。ここで言うマニュアルは、インシデント レスポンスや侵入検知だけを対象にしておらず、サイバーセキュリティ全般を対 象にしている。Critical Security Controlsと整合性の取れた、良いリストだと 思う。あえて追加するのであれば、「Bring Your Own Device (BYOD / Choose You Own IT」だろう。

────────────────

◆ 米国司法省が Stingray 利用に関する規制を強化(2015.9.3)

米司法省(DOJ)は、Stingray と呼ばれる携帯基地局シミュレータの利用に関す る新たなポリシーを発行した。新たなポリシーの下では、政府の捜査官が近くに あるモバイル機器を探索するためには、令状が必要となる。また、画像などの通 信内容の取得は禁じられ、収集したデータは定期的に削除する必要がある。

http://thehill.com/policy/national-security/252730-doj-will-demand-warrants-for-cell-spying-tech
http://www.computerworld.com/article/2980325/data-privacy/doj-tightens-policies-on-use-of-simulated-cells-for-surveillance.html
http://www.wired.com/2015/09/feds-need-warrant-spy-stingrays-now/
http://arstechnica.com/tech-policy/2015/09/fbi-dea-and-others-will-now-have-to-get-a-warrant-to-use-stingrays/
DOJ Policy Guidance:
https://www.documentcloud.org/documents/2332879-doj-cell-site-simulator-policy-9-3-15.html


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「2段階認証について」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
オンラインの世界で、自分が自分であることを証明するプロセス(認証)は、自
分に関する情報を守るために重要です。パスワードは、通常複雑なものにしたり
推測されにくいものにするといったパスワードを守るための手法を学んだりしま
すが、それでもパスワードだけで情報を守りきるのは困難です。今月は、パスワ
ードによる認証を強化するための仕組みである2段階認証について一般ユーザー
向けにも分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201509_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年10月8日(木)-9日(金)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)

・セキュアEggs(Webアプリケーションセキュリティ)
 2015年10月14日(水)
 20116年3月1日(火)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 研究者がFireEyeのゼロデイ脆弱性を公開:他にも3つが売却対象に(2015.9.7)

米国のセキュリティコンサルタント、Kristian Hermansen氏とRon Perris氏が、 FireEye Kit のファイルが漏えいするゼロデイ脆弱性に関する情報を公開した。 公開した脆弱性だけではなく、彼らは、他に3つの脆弱性も売却の対象にしてい るという。

http://www.csoonline.com/article/2980937/vulnerabilities/researcher-discloses-zero-day-vulnerability-in-fireeye.html

────────────────

◆ グーグルの研究者がカスペルスキーの脆弱性を発見、攻撃コードも作成(2015.9.7)

カスペルスキーラボは、いくつものアンチウイルス製品に対し、脆弱性を修正す るための緊急パッチをリリースした。この脆弱性を発見したグーグル社の研究員 Tavis Ormandy氏は、カスペルスキーラボに脆弱性を通知する前に実証用の攻撃 コードを作成したことを公表していた。

http://www.computerworld.com/article/2980726/security/kaspersky-lab-pushes-out-emergency-patch-for-critical-flaw.html
http://www.ibtimes.com/kaspersky-fireeye-security-products-cracked-researchers-2085291

────────────────

◆ ヤフーの悪意ある広告が Angler Exploit Kit を配布(2015/9.7)

Malwarebytes の研究者によると、攻撃者はヤフーの広告を通じてマルウエアを 配布しているという。攻撃者は、自動的に広告を表示するシステムを悪用して、 マルウエアが仕込まれている広告を表示させていた。今回明らかになった攻撃で は、Angler Exploit Kit をユーザのパソコンにダウンロードさせようとしてお り、これらの攻撃に関して現在ヤフーは対応を進めている。

http://www.scmagazine.com/hackers-spread-malware-via-yahoo-ads/article/437075/

【編集者メモ】(Northcutt)
Wired Magazineは、テクニカルではないが、悪意ある広告について良い記事を掲 載している。この記事には、どのようにしてターゲットを絞っているかも詳細に 述べられているものだ。ヤフー上の問題を発見したとしている Malwarebytesも、 この攻撃がどのようにして行われ、影響範囲についてまとめた記事を掲載してい る。今は、悪意ある広告ブームで、match.com/PDFやMSNも似たような広告を掲載 している。第三者が公開している広告が収入源となっている企業の幹部は、safe frame について読んでおくと良いだろう。

http://www.wired.com/insights/2014/11/malvertising-is-cybercriminals-latest-sweet-spot/
https://blog.malwarebytes.org/malvertising-2/2015/08/large-malvertising-campaign-takes-on-yahoo/
https://blog.malwarebytes.org/malvertising-2/2015/09/malvertising-found-on-dating-site-matchdotcom/
https://blog.malwarebytes.org/malvertising-2/2015/08/angler-exploit-kit-strikes-on-msn-com-via-malvertising-campaign/
http://www.iab.net/safeframe

────────────────

◆ 初のアンドロイド月例アップデート(2015.9.10)

グーグルは、アンドロイドOSの月例アップデートを初めて公開した。グーグルは、 Nexus端末を利用しているユーザ向けにアップデートを提供している。アンドロイ ドOSのアップデートはすべての端末で利用できるわけではなく、OEM製品の開発者 やキャリアは、自社製品に対するパッチの適用可否と不具合が発生しないことを検 証した上で、適用可能なアップデートを提供しなければならない。

http://arstechnica.com/gadgets/2015/09/first-ever-monthly-android-security-updates-start-to-roll-out/

────────────────

◆ アンドロイド向けのランサムウエアがスクリーンロックのPINを変更(2015.9.10)

ESETの研究者によると、アンドロイド携帯を標的にしたランサムウエアが拡散し ており、ユーザを端末にログインできなくしていることを明らかにした。被害者 は、USD500を支払うか、端末を初期化することで端末にアクセス可能になるが、 端末を初期化することは、端末内のデータを全て失うことを意味する。このラン サムウエアは、アダルトコンテンツのビューアとして正規ではないアプリストア から配布、拡散されているという。

http://arstechnica.com/security/2015/09/new-android-ransomware-locks-out-victims-by-changing-lock-screen-pin/
http://www.cio.com/article/2983135/android-ransomware-changes-a-devices-pin-code.html

【編集者メモ】(Northcutt)
私は昨日、このランサムウエアについては LinkedIn Pulseで記事を書いた。この 問題を発見したZscaler氏は、アプリをGoogle PlayまたはAmazon Appstoreからの みダウンロードするよう推奨している。

https://www.linkedin.com/pulse/android-troubles-customized-ransomware-stephen-northcutt?trk=pulse_spock-articles

────────────────

◆ Netflix がアンチウイルスの利用を止め、新たな防御手段に投資をシフト(2015.8.27)

Netflixは、アンチウイルスの利用を止め「次世代防御」に投資すると発表した。

http://www.forbes.com/sites/thomasbrewster/2015/08/26/netflix-and-death-of-anti-virus/

【編集者メモ】(Pescatore)
これは、少し遅いかもしれないが、素晴らしい動向だ。Netflix が主張している のは、「シグネチャベースのアンチウイルスを使って、守られるものは守られて いるが、Windows PCを守るために費用対効果はあまり良くない。デスクトップPC を守るためのコストはもっと有効な防御に投資していかなければならなくなって きている」ということだ。もちろんシグネチャはまだ利用価値はあり、比較的簡 単な問題に対応できるというメリットが残っている。しかし、防御の重点および 投資はもっと複雑な問題に置くべきだ。Windows PCのセキュリティは低下してお り、攻撃が標的型になってきている中、アンチウイルスの価値も下がってきてい る。アンチウイルスソフトの価格も下がってきてはいるが、古くからのアンチウ イルスベンダは、私から見ると「シグネチャに酔いしれている」ようにしか見え ない。ビジネスモデルとしては、ベンダに多くの利益をもたらすが、顧客にとっ てはそれほど美味しくないものだ。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月18日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=12

○9月25日(金)、10月20日(火)、11月17日(火)、12月11日(金)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント
~  http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=13

○【東京】  9月29日(火)、10月23日(金)、11月19日(木)、12月15日(火)
 【名古屋】10月16日(金)、12月3日(木)
 【大阪】 10月15日(木)、12月2日(水)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
 http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=15

○10月14日(水)、11月13日(金)、12月9日(水)
 文書管理・ファイル共有/転送サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2015/file06.html?xmid=300&xlinkid=14

○10月16日(金)、11月12日(木)、12月8日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015 【無料】<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを通じて
 得られたデータの分析を基に現状の攻撃・防御傾向を分析。
 2005年度以降毎年発表しており、今回で11回目となる独自調査レポート。
 http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績。
 再診断無料「セキュリティ診断(脆弱性診断)」
 http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=21
 
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
 http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=22

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
 http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=23

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
 http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=24
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。