NRI Secure SANS NewsBites 日本版

Vol.10 No.35 2015年10月6日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.35 2015年10月6日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 残┃席┃わ┃ず┃か┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!

【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
◆SANS Tokyoコミュニティ ナイトセッション
 日時:2015年10月28日(木) 18:00~19:30(受付開始:17:45)
 会場:野村総合研究所 丸の内総合センター 9F大会議室
 『Building a Strong Internal Security Team
  - 組織内に強靭なセキュリティチームを構築するには -』
 ※同時通訳付き

 パネリスト:
 Christopher Crowley(SANS認定インストラクター、InfoSec)
 Justin Searle(SANS認定インストラクター、Pentest)
 Chad Tilbuly(SANSシニアインストラクター、フォレンジック)

 ▼お申し込みは こちらから▼
 https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=o004

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.076, 077
(原版: 2015年9月29日、10月2日)
────────────────────────────────

◆ BitPay がサイバー攻撃を受け、保険金請求をするも却下され保険会社提訴(2015.9.18,21)

Bitcoin の支払いを処理するBitPayは、Massachusetts Bay Insurance Company (MBIC) を提訴した。この訴えは、BitPayが不正な取引をしたことにより185万 USDの損失を出し、保険金を請求したが却下されたという経緯がある。MBICは、 今回のサイバー攻撃がBitPayの取引先従業員のアカウントを乗っ取り、BitPay のCFOに対しスピアフィッシングが行われたことに対し、保険金の請求が契約に 違反するとしている。

http://www.networkworld.com/article/2984989/security/cyber-insurance-rejects-claim-after-bitpay-lost-1-8-million-in-phishing-attack.html
http://www.csoonline.com/article/2984777/social-engineering/bitpay-insurance-claim-rejected-due-to-contract-wording.html

【編集者メモ】(Murray)
サイバー保険は保険会社にとって利益が大きいものだ。高額な保険料は、他社と 比較もできず、競争相手もいない状態である。保険金の請求もほとんど支払われ ていないことから、保険契約も非常に上手く書かれている商品だろう。
【編集者メモ】(Pescatore)
これは、サイバー保険がリスクと投資利益(ROI) を良い方向に結びつけることに 至っていないのを象徴している。(1) この契約は、通常の攻撃パターンである取 引先や信頼している第三者が乗っ取られ、そこからスピアフィッシングなどの攻 撃を受けることを除外した。(2) この契約では、攻撃による直接的な被害額の半 分しか支払われず、直接的な被害額よりも大きいのが一般的な間接的被害に対し ては、一切支払われないようになっていた。サイバー保険は、セキュリティを向 上「していない」だけでなく、多くのケースにおいて負債も軽減できていない。 これは、保険料と控除免責金額の合算が侵入発生時に支払われる金額よりも大き いことが多いからである。しかも、これは保険料に支払われている金額が実際に セキュリティを向上するために投資されていたら、という機会費用を考慮してい ない。

────────────────

◆ 米国、中国がサイバースパイ活動に関して合意する(2015.9.25,27,29)

先週、オバマ米大統領と中国の習近平国家主席が記者会見で、サイバースパイ活 動について「共通の理解」を得たと発表した。首脳陣は、それぞれの国が「サイ バーな手段に使った知的財産を脅かす行為を行わないだけでなく、このような活 動をサポートしない」ことを合意した。しかしながら、この合意によって、変化 がもたらされるかどうかについては、疑問が残っている。

http://www.scmagazine.com/little-change-expected-in-the-wake-of-the-us-china-cyber-deal/article/441446/
http://www.wired.com/2015/09/us-china-reach-historic-agreement-economic-espionage/
http://www.darkreading.com/attacks-breaches/china-us-agree-to-not-conduct-cyberespionage-for-economic-gain/d/d-id/1322370?

────────────────

◆ サイバーセキュリティ業界において女性が過小評価されている(2015.9.28)

(ISC)2 と Booz Allen Hamilton が行った調査によると、サイバーセキュリティ に従事する労働者のうち、10パーセントしか女性がおらず、昨年の調査と比較し て 1パーセント低下しているとのこと。報告書には、サイバーセキュリティ業界 にいる女性の数は増えているが、労働人口増加のペースに追いつけていないと書 かれている。さらに、ガバナンス、リスクおよびコンプラインスの部門において 男性よりも女性の数が多いことも書かれている。

http://www.darkreading.com/operations/new-data-finds-women-still-only-10--of-security-workforce/d/d-id/1322371
http://techcrunch.com/2015/09/28/women-could-be-the-solution-to-fighting-cybersecurity-threats/
http://thehill.com/policy/cybersecurity/255183-gender-gap-in-cybersecurity-widens-survey-shows

【編集者メモ】(Murray)
開発をマネジメントしていた頃、最も「頼りになる」エンジニアは女性だった
【編集者メモ】(Paller)
Murray氏の繰り返しになるが、当初のサイバーセキュリティにおいて侵入検知の 分析に最も長けていた方たちの名前はそれぞれ、VickiとJudi だった。サイバー セキュリティにおいて重要なテクニカル職に女性を募集・採用しないということ は、最低でも50%の候補者を最初から考慮していないことになる(中には、もっと 比率が大きいと言う方もいるだろう)。この問題に対して National Center for Women in TechnologyのRuthe Farmer 氏は、Aspirations in Computing(AiC) と いうプログラムを通じて、16,000人もの若い女性を発掘するという良い取り組み をしており、AiC にいる大学3年および4年生に対し、サイバースキルを試すよう に呼びかけているのだ。この中から30人に $360,000 の奨学金を使い、サイバー セキュリティの特別強化トレーニングを受けるだけでなく、「国内でサイバープ ロフェッショナルを高く評価」している50社の中から好きな企業への面接のチャ ンスを与えるというのがプログラムの主な内容だ。来週の NewsBitesで、このプ ログラムの正式な発表を取り上げる予定であり、知り合いの中にサイバーセキュ リティに興味がある女性がいたらぜひ紹介していただきたい。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「パスワードマネージャ」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
利用しているアカウントを守るためにできることのひとつに、強いパスワードを
使うというものがありますが、たくさんのアカウントに対して、使いまわすこと
なく、個別に強力なパスワードを使用するのは困難です。このような問題を解決
するために、パスワードマネージャがあります。今月は、パスワードマネージャ
の機能や選び方について一般ユーザー向けにも分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201510_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、情報セキュリティの最
 前線で活躍するために必要な基礎的スキルを演習中心に短時間で効果的に習
 得できるように設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常の
 パック以外にも、実践!サイバーセキュリティ演習 for Eggs もご用意して
 おります。

・セキュアEggs(IT+セキュリティ基礎)
 2015年10月8日(木)-9日(金)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)

・セキュアEggs(Webアプリケーションセキュリティ)
 2015年10月14日(水)
 20116年3月1日(火)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 米国のEMV 実装は、Chip-and-SignatureでありChip-and-PINではない事実(2015.9.30)

米国の小売業者は2015年10月1日から、Chip-and-PIN のカード決済に対応するた めのテクノロジーの導入を迫られた。このテクノロジーは、別名EMV (EuroPay, MasterCard, Visa) と呼ばれており、より安全なカード決済を目指しているもの だが、米国で導入されたのは、Chip-and-PINではなくChip-and-Signatureとなっ ている。その結果、カード所有者に対し PINの入力を要求しないことで決済の安 全性を弱めてしまっている状態だ。

http://www.wired.com/2015/09/big-security-fix-credit-cards-wont-stop-fraud/
http://www.scmagazine.com/credit-card-security-takes-a-step-forward-today-with-emv-cards/article/442099/
http://www.cnet.com/news/new-credit-cards-aim-to-protect-consumers-and-banks-from-hackers/

【編集者メモ】(Pescatore)
PIN は、紛失または物理的に盗まれたカードに対し有効なものであって、オンラ イン上で盗難に遭ったり不正な決済を行われたりすることに対して効果はなく、 セキュリティの観点から見てPIN を実装する方が賢かったように思えるが、利用 者のことよりはカード発行事業者のニーズに配慮することしか考えていないよう だ。たとえば、自分の署名を忘れることは無いが PINを忘れてしまうことがある だろう。そのとき、署名を使ったアプローチの方が、カードを発行する側から見 てコストが低いのである。なぜならPINのリセットに対応しなくて済むからだ。
【編集者メモ】(Murray)
PIN を過大評価し過ぎていないか。ヨーロッパにおけるPIN の利用は、多数のオ フライン決済に対応するために必要だったという背景がある。これは、我々の国 には無い条件だ。紛失または盗まれたカードを使った決済を、PIN を利用するこ とでカード紛失・盗難が報告されるまでの間で防げるか否かは、カードを発行す る側しか分からない。そのための決断やリスクを背負っているのもカードを発行 する側である。接触型の EMVは既に決済行為を遅くしており、顧客や多くの決済 を行う業者から移行に関して抵抗されるだろう。この問題をこれ以上悪化するの は止めようではないか。

http://whmurray.blogspot.com/2015/05/chip-and-pin-compared-to-chip-and.html#links

────────────────

◆ OPMの情報漏えい後に CIA は北京から職員を召還(2015.9.29.30,10.1)

今週行われた米上院の軍事委員会の公聴会で、ジェームズ・クラッパー国家情報 長官は、国会議員に対し、人事局(OPM)での情報漏えいが発覚した後、CIAは北 京の米国大使館から職員を召還したと報告した。 OPMのデータベースには、国務 省の職員に関する認可情報は含まれていたが、CIA 職員に関する情報は含まれて いないため、漏えいした情報を分析することで、CIA 職員を特定される可能性が あるという懸念に基づくものだという。この報告に際しクラッパー長官は、OPM の情報漏えいを攻撃とせず「窃盗またはスパイ行為」表現している。

https://www.washingtonpost.com/world/national-security/cia-pulled-officers-from-beijing-after-breach-of-federal-personnel-records/2015/09/29/1f78943c-66d1-11e5-9ef3-fde182507eac_story.html
http://www.bbc.com/news/technology-34411726
http://arstechnica.com/tech-policy/2015/09/cia-officers-pulled-from-china-because-of-opm-breach

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月14日(水)、11月13日(金)、12月9日(水)
 文書管理・ファイル共有/転送サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file06.html?xmid=300&xlinkid=14

○10月16日(金)、11月12日(木)、12月8日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=11

○10月20日(火)、11月17日(火)、12月11日(金)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=13

○【東京】 10月23日(金)、11月19日(木)、12月15日(火)
 【名古屋】10月16日(金)、12月3日(木)
 【大阪】 10月15日(木)、12月2日(水)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015 【無料】<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━  NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを通じ
 て得られたデータの分析を基に現状の攻撃・防御傾向を分析。
 2005年度以降毎年発表しており、今回で11回目となる独自調査レポート。
http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績。
 再診断無料「セキュリティ診断(脆弱性診断)」
http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=21
 
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=22

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=23

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=24
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。