NRI Secure SANS NewsBites 日本版

Vol.10 No.36 2015年10月20日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.36 2015年10月20日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 残┃席┃わ┃ず┃か┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
◆SANS Tokyoコミュニティ ナイトセッション
 日時:2015年10月28日(木) 18:00~19:30(受付開始:17:45)
 会場:野村総合研究所 丸の内総合センター 9F大会議室
 『Building a Strong Internal Security Team
  - 組織内に強靭なセキュリティチームを構築するには -』
 ※同時通訳付き

 パネリスト:
 Christopher Crowley(SANS認定インストラクター、InfoSec)
 Justin Searle(SANS認定インストラクター、Pentest)
 Chad Tilbuly(SANSシニアインストラクター、フォレンジック)

 ▼お申し込みは こちらから▼
 https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=o004

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.078-081 (原版: 2015年10月6日、9日、13日、16日)
────────────────────────────────

◆ 欧州裁判所が米国のセーフ・ハーバー・ルールに無効判決(2015.10.6)

国際的なデータの受け渡しや処理と、これらのサービスを提供する企業に大きな 影響を与える判決が下された。これは、欧州裁判所がEUと米国の間で締結されて いたセーフ・ハーバー条項は無効と判決したもの。専門家は、国際的にビジネス を展開する企業に多大な影響を与えると予想している。

http://www.scmagazineuk.com/safe-harbour-ruled-invalid-by-european-court-of-justice/article/
http://m.rte.ie/news/2015/1006/732665-safe-harbour-ecj/

【編集者メモ】(Honan)
この判決によって、EUの企業が米国の企業に個人情報を送付している場合、EUの データ保護規制に違反していることになる。たとえそのEUの企業が米国のセーフ ・ハーバープログラムに登録されていても、セーフ・ハーバー条項が無効と判断 されてしまったため、まったく意味のないものになってしまった。米国の法執行 機関が、ダブリンにあるサーバ上のメールボックスにアクセスするという件に関 して、マイクロソフトが上訴に負けた場合、米国のテクノロジー企業がEU内でビ ジネスを行うのは大変なことになるだろう。

────────────────

◆ S&Pがサイバーセキュリティ対策を行っていない銀行を格下げ可能に(2015.9.29)

Standard & Poor's (S&P) は、たとえ情報漏えいなどのインシデントが起きてい ない銀行であっても、サイバーセキュリティ対策を適切に行っていない場合は、 その格付けを下げることがあると発表した。S&P はこれまで、情報漏えいを理由 とした銀行の格下げは行っていないが、情報漏えいによって、組織の評判が落ち たり、顧客の信頼や資金損失を発生させた場合は、このような格下げ措置を取る ことがあるという。

http://ww2.cfo.com/cyber-security-technology/2015/09/banks-weak-cybersecurity-downgraded-sp/
https://www.globalcreditportal.com/ratingsdirect/renderArticle.do?articleId=1455510&SctArtId=343857&from=CM&nsl_code=LIME&sourceObjectId=9348447&sourceRevId=2&fee_ind=N&exp_date=20250927-20:56:45

【編集者メモ】(Pescatore)
S&Pの格下げ措置は報漏えいが起きた後で、かつ銀行の「評判」に傷がついた後に しか行われないのであれば、あまり意味は無い。以前にS&Pが銀行の格下げを市場 崩壊後に行った時と似ている。

────────────────

◆ Linuxのボットネット(2015.9.29)

XOR のDDoSボットネットが Linux マシンにも感染被害を広げている。このボット ネットは、150 Gb/秒の帯域をもっており、教育機関やゲーム関連のウェブサイト を主な標的としており、標的となったサイトの多くはアジアにある。 いくつかの 攻撃では、ボットの IPアドレスが偽装されており、標的になったネットワークの 一部として誤認するようになっていたという。

http://arstechnica.com/security/2015/09/botnet-preying-on-linux-computers-delivers-potent-ddos-attacks/

────────────────

◆ 女性人材の発掘で高度なハンズオントレーニングに奨学金(2015.10.9)

性別の格差を縮め、有能な人材をサイバーセキュリティ業界に入れるため、SANS とNational Center for Women in Technologyは、最も必要とされているスキルを 身につけるハンズオントレーニングのために$300,000 USD の奨学金を準備してい る。 このプログラムは、サイバーセキュリティに関する基本的な知識とスキルを 持つ女性が対象となっている。現在は申請期間中で、検定試験は 10月30日まで行 われる予定。

スケジュールと検定サイト:
https://www.sans.org/cybertalent/immersion-academy/programs?#womens-academy
サイバーアカデミーの詳細:
http://www.sans.org/cybertalent/immersion-academy/

────────────────

◆ FBIが2段階認証の利用を推奨(2015.10.6)

FBIは、中小企業や一般のインターネットユーザに対し、個人情報を守るため2段階 認証の利用を推奨しており、この呼びかけを今年のNational Cyber Security Awar -eness Monthの一環として行った。関連する取り組みとして、政府機関やテクノロ ジー企業、およびセキュリティ専門家が今週頭にワシントンDCに集まり、より強度 が高い2段階認証について議論を行っている。

https://www.fbi.gov/news/news_blog/cyber-tip-protect-yourself-with-two-factor-authentication
http://www.executivegov.com/2015/10/fbi-calls-on-businesses-online-users-to-adopt-2-factor-authentication/
http://www.dailydot.com/politics/two-factor-tuesday-passwords-cybersecurity/

【編集者メモ】(Pescatore)
再利用可能なパスワードから離れていくことは、(完璧ではないが)より強度の高 いセキュリティに向かっていることになるのは間違いない。 2段階認証を推奨して いる FIDO Allianceには、多くのコンシューマブランドのほか、グーグル、マスタ ーカード、マイクロソフト、ペイパルや Visa がおり、それぞれが理事職を務めて いる。私の望みは、これらの企業が強い認証をデフォルトとし、再利用可能なパス ワードの利用を見つけるのが難しい「オプト・アウト」のオプションとして提供す ることだ。この見つけるのが難しいオプト・アウトのオプションは、現在これらの 企業が提供する広告やトラッキングのサービスと一緒なのだから。

【編集者メモ】(Ullrich)
もし、自分が秘密だと思っている情報(メール、銀行サイト、など)を保持してい るサイトに毎日ログインしている、あるいは 2段階認証のオプションない場合は、 そのサイトの管理者に問い合わせを行って、 2段階認証のオプションを加えてもら うようにすべきだろう。Google Authenticatorのようなシステムは、それほどお金 もかからないし(無料)、比較的実装も簡単である。もちろんハードウェアトーク ンを必要とするシステムの方が良いが、Google Authenticatorのような簡単なシス テムでも強度はそれなりに上がり、ユーザもそれほど負担にはならないだろう。

【編集者メモ】(Murray)
(いつも言っている)強い認証の定義は、「最低でも2段階」であるが、すべての2 段階認証が強いとは言えない。 効果的な強い認証とは定義通りであれば、リプレ イ攻撃に耐性を持っていなければならない。すなわちワンタイムな要素が必要なの だ。

これを確認してみれば自ずとわかるはずだ:
http://tiny.cc/vsph4x

────────────────

◆ 米国当局が、スパイ行為によって利益を得た中国企業を列挙(2015.10.8)

米国企業から知的財産を盗んだ疑いがある中国企業を司法省(DoJ)が特定した。 それらは、Chinalco:金属(アルミニウム)、Baosteel:金属(鉄鋼)、SNPTC:エ ネルギー(原子力)である。これらの企業は、 2014年頃に米国のエネルギーや製造 関連企業から盗んだ情報を使って利益を得ていたとしている。

http://thehill.com/policy/cybersecurity/256330-us-authorities-name-chinese-firms-involved-in-military-hacks

【編集者メモ】(Assante)
関連する分析の結果が、米連邦議会に提出された 2011年の報告書に記載されていた 話(他国のスパイがサイバー空間で経済的な秘密を盗んでいた)を蘇らせるだろう。 この2011年10月の報告書は、Office of the National Counterintelligence Execut -ive (ONCIX)が提出したもので、すべての事例においてリスクが高いとされていた。 盗まれたとされる知的財産は、研究成果だけでなく基本的な製造工程やメンテナンス の工程のほか、自動化や産業制御システムにも注目しており、素材の配合比率や処理 工程、製造データが含まれている。

【編集者メモ】(Henry)
中国が明確に抑止する何かがない限り、これからも欧米の企業を標的にして、知的財 産や R&Dに関する情報を狙ってくるだろう。米国政府によって、盗んだ財産から利益 を得た中国企業が 3つも特定されたのであれば、これらの企業に責任を取らせるため の政策が必要だ。習近平中国国家主席による「利益を得るためのハッキングを行わな い」という約束は良いスタートだ。米国企業の重要な情報を窃取したこの 3つの中国 企業に対する制裁を見たら、彼も自分の言葉通り忠実に実行するのではないだろうか。

────────────────

◆ 中国当局が米国からの要請でハッカーを逮捕(2015.10.9)

先月末、習近平中国国家主席がワシントンDC を訪問する2週間前に、中国政府は米国 政府からの要請によりハッカーを数人逮捕していた。このような事例は過去になく、 米国との切迫した関係を鎮めるべく行われたと考えられている。折しも、オバマ政権 が経済的制裁を下そうと考えている中でのことでもあるからだ。中国によって逮捕さ れたこれらのハッカーは、米国の役人が米国企業から企業秘密を盗みだし、さらに中 国政府に関連する企業に渡した、または売ったとされている。

https://www.washingtonpost.com/world/national-security/in-a-first-chinese-hackers-are-arrested-at-the-behest-of-the-us-government/2015/10/09/0a7b0e46-6778-11e5-8325-a42b5a459b1e_story.html


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「パスワードマネージャ」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
利用しているアカウントを守るためにできることのひとつに、強いパスワードを
使うというものがありますが、たくさんのアカウントに対して、使いまわすこと
なく、個別に強力なパスワードを使用するのは困難です。このような問題を解決
するために、パスワードマネージャがあります。今月は、パスワードマネージャ
の機能や選び方について一般ユーザー向けにも分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201510_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、情報セキュリティの最
 前線で活躍するために必要な基礎的スキルを演習中心に短時間で効果的に習
 得できるように設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常の
 パック以外にも、実践!サイバーセキュリティ演習 for Eggs もご用意して
 おります。
・セキュアEggs(IT+セキュリティ基礎)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2016年3月2日(水)
・セキュアEggs(インシデント対応)
 2016年3月3日(木)
・セキュアEggs(Webアプリケーションセキュリティ)
 20116年3月1日(火)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ Tallinn マニュアル バージョン2.0 (2015.10.12)

世界中にいる法律の専門家が集まり、サイバー空間における争いにおいてどのよ うに適用されるかを記載しているTallinn マニュアル(国際法)の更新作業を行 っている。更新版のTallinnマニュアル 2.0 では、メタデータの収集といった平 時における部分について更新が行われる予定。この Tallinnマニュアル2.0 は、 2016年後半に発行される見込みとなっている。

http://www.theregister.co.uk/2015/10/12/cyberwar_lawyers_mull_metadata_snooping_rules/

【編集者メモ】(Murray)
このTallinnマニュアルと多大なる幸運があれば戦争は避けられるかもしれない。 「Red Phone」もあるといいかもしれない。Solar Sunriseを思い出しほしい。作 り話かもしれないが、カリフォルニアに住んでいた二人の10代の若者が、ハッキ ングを行っていたことの仕返しとして、イラクにある代理人を米空軍が攻撃を行 う寸前までたどり着いたとされている話だ。

────────────────

◆ DoE が送電網のサイバーセキュリティに関するプロジェクトに投資(2015.10.9,12)

米国エネルギー省(DoE)が、送電網をサイバー脅威から守るために2つのプロジ ェクトに対し、3,400万USDを資金投資することを明らかにした。これらのプロジ ェクトは、それぞれアーカンソー大学とイリノイ大学が拠点になるという。

http://www.nbcnews.com/tech/security/feds-fund-research-centers-protect-power-grid-cyberattacks-n443241
http://www.energy.gov/articles/energy-department-invests-over-34-million-improve-protection-nation-s-energy-infrastructure

【編集者メモ】(Murray)
これらの公共事業は、互いに競合している事業ではなく、(国ではなく)各州に よって規制されている独占事業であったことが、適切なセキュリティ対策を業界 内で取られていなかった要因かもしれない。国からの資金が入ることで、この問 題が改善されることを期待している。

────────────────

◆ サイバー保険の価格高騰(2015.10.12)

世界中で多くのサイバー攻撃が行われている中、保険会社はサイバー保険の保険 料を大幅に引き上げており、高いリスクを抱えている企業は混乱している。保険 会社は、控除免責金額を引き上げたり、補償の範囲を限定したりもしているとい う。

http://uk.reuters.com/article/2015/10/12/uk-cybersecurity-insurance-insight-idUKKCN0S609S20151012

────────────────

◆ アドビがFlashのゼロデイについて注意を喚起;パッチは来週提供予定(2015.10.14,15)

アドビは、Flash に存在する対策されていない問題(既に攻撃が行われている)が あることを公表した。これは、月例セキュリティアップデートの翌日に公表された 行われたもので、月例アップデートでは問題が修正されないという。この問題は、 Windows、MacintoshおよびLinux向けのFlash バージョン 19,0.0.207およびそれ以 前のバージョンが影響を受けるというもの。アドビは、来週この問題を修正する緊 急パッチを公開する予定だという。

http://www.darkreading.com/attacks-breaches/pawn-storm-flashes-a-new-flash-zero-day/d/d-id/1322670?
http://www.cnet.com/news/another-security-flaw-affects-all-versions-of-adobe-flash/
http://www.theregister.co.uk/2015/10/15/adobe_patch_for_critical_flash_flaw/
http://www.scmagazine.com/adobe-issues-advisory-for-flash-vulnerability-targeting-government-agencies/article/445181/
http://arstechnica.com/security/2015/10/new-zero-day-exploit-hits-fully-patched-adobe-flash/
http://www.zdnet.com/article/all-flash-versions-vulnerable-to-remote-control-attack-until-next-week/

【編集者メモ】(Murray)
Flashを実装することによる脆弱性が多いが、次々に見つからる脆弱性に対応したパ ッチも頻繁に提供されている。 しかし、このリスクは得られるものよりも遥かに大 きいものだ。 このリスクを管理するのは、アドビだけの問題ではない。なぜなら、 このリスクに対応するために割かれているリソースは、アドビの時価総額よりも 上 なのだから。 しかし、業界としても対応できない問題であることも事実であり、こ の問題を管理できないだけでなく、利用停止することに対し無関心でもある。 改め て考えると、 スティーブ・ジョブスだけが勇敢で、誰もが理解していることを実行 したのだろう。

────────────────

◆ ボットネットの運用に関与したとしてVovnenko氏を送還(2015.10.13)

米司法省(DoJ)は、裁判のためにイタリアから、あるウクライナ人の身柄引き渡し が行われた。 この男性は、ボットネットを使い不正送金やコンピュータに対する不 正アクセス、身分詐称などを行った容疑がかけられている。 この男性(Sergey Vovnenko という名前は明らかになっている)、 コンピュータを ハッキングし、 クレジットカード情報を盗むためのボットネットの運用にも関与し ていたという。Vovnenkoは、ジャーナリストのBrian Krebs氏も脅迫したとも見られ ており、薬物保持の濡れ衣を着せようともしていたとされる。 現在の彼の容疑は、 Krebs氏の脅迫とは無関係だという。

http://www.nbcnews.com/tech/security/ukranian-man-accused-using-army-infected-computers-steal-data-n443986
http://www.theregister.co.uk/2015/10/13/ukrainian_botnet_herder_faces_43_yrs/
http://krebsonsecurity.com/2015/10/hacker-who-sent-me-heroin-faces-charges-in-u-s/
http://www.justice.gov/usao-nj/pr/operator-botnet-and-elite-international-hacking-forums-extradited-italy-face-hacking

【編集者メモ】(Murray)
Brian Krebs には危害を加えない方が良いだろう。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○【東京】 11月17日(火)、12月11日(金)
 【名古屋】12月3日(木)
 【大阪】 12月2日(水)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=14

○【東京】 10月23日(金)、11月19日(木)、12月15日(火)
 【名古屋】12月3日(木)
 【大阪】 12月2日(水)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=13

○10月28日(水)  SANS Tokyoコミュニティナイトセッション  - Building a Strong Internal Security Team - http://www.nri-secure.co.jp/seminar/2015/sans03.html?xmid=300&xlinkid=15

○10月29日(木)
 NRIセキュアが考える、これからのアイデンティティ&アクセス・マネジメント
 ~第一話:クラウドIAM編~
http://www.nri-secure.co.jp/seminar/2015/iam01.html?xmid=300&xlinkid=12

○11月12日(木)、12月8日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=12

○11月13日(金)、12月9日(水)
 文書管理・ファイル共有/転送サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file06.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015 【無料】<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを通じて
 得られたデータの分析を基に現状の攻撃・防御傾向を分析。
 2005年度以降毎年発表しており、今回で11回目となる独自調査レポート。
http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績。
 再診断無料「セキュリティ診断(脆弱性診断)」
http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=21

  ●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=22

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=23

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=24
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。