NRI Secure SANS NewsBites 日本版

Vol.10 No.41 2015年12月16日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.41 2015年12月16日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 2016年2月東京開催決定!
 ━┛━┛━┛━┛━┛ 世界最高レベルの情報セキュリティトレーニング

           = SANS Secure Japan 2016 =
  http://sans-japan.jp/training/event.html

2016年2月2日、3日、16日、17日、23日、24日[6日間]

◆SEC401:Security Essentials Bootcamp Style
  最もポピュラーな情報セキュリティのゴールド・スタンダード。
  情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。

2016年2月15日~20日[6日間]

◆SEC503:Intrusion Detection In-Depth
  セキュリティアナリストとしての分析能力の極致へ。
  TCI/IPのセオリー、パケット分析からインシデント調査の実践演習で学んだ
  事項の強化まで、系統的に学習可能。

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ペンテスター、インシデントハンドラーへの登竜門。
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得。

◆SEC560:Network Penetration Testing and Ethical Hacking
  すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得。
  ネットワークや情報システムに関する基本的知識を有している方におすすめです。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.092-096
(原版: 2015年11月24日、12月1日、4日、8日、11日)
────────────────────────────────

◆ GAO が重要インフラ脅威分析と対策に関するレポートを発行(2015.11.20)

米国会計検査院(GAO)が行った調査によると、国の重要インフラに関わるシステム 等に対して責任を受け持つ多くの連邦政府機関は、 これらの重要インフラのシス テムに対し「一貫性のある脅威やセキュリティ分析ができない」とした。 重要イ ンフラを提供する事業者は、 一貫性のある指標をもってサイバー脅威や対策の有 効性を測る必要がある。

https://fcw.com/articles/2015/11/20/rockwell-gao-infrastructure.aspx
http://www.scmagazine.com/critical-infrastructure-networks-lacking-in-performance-metrics/article/455684/
http://thehill.com/policy/cybersecurity/260963-feds-lack-method-to-grade-critical-infrastructure-cybersecurity
http://www.gao.gov/products/GAO-16-79

【編集者メモ】(Paller)
DHSによるICSセキュリティへの投資が少なすぎる -投資は「問題を見る」ために されており、本来は「問題を解決」するためにするべきだ。DHSにいるサイバーセ キュリティに関する責任者たちにかけられる一番優しい言葉は、「過失」である。
【編集者メモ】(Murray)
色々と消化しなければならない事項があるが、ここで言えるのは、脆いインフラに 頼っているという事実が、注目されていないということである。首脳陣が言うよう に、攻撃による脅威が、「もし」ではなく「いつか」であるならば、タイミングは 非常に重要で、対策する時間はあまりない。この脅威分析の結果をすべて信じなく ても、脆弱性があるということは許されるべきではなく、直ちに修正すべきである

────────────────

◆ いくつかの新しい Dell製ノートパソコンに「問題ある」デジタル証明書(2015.11.23,24)

いくつかの Dell製ノートおよびデスクトップパソコンに、プリインストールされ たルート証明書と対になる暗号キーが含まれているという。 攻撃者は、この証明 書を悪用して、 ユーザの暗号化されたブラウザからの通信を盗聴することが可能 になる。 ユーザの報告によると、この証明書を削除したところ、次回起動の際に 自動的に再インストールされたとのこと。Dell からこの証明書を永久に削除する ためのツールが公開されている。

http://arstechnica.com/security/2015/11/dell-does-superfish-ships-pcs-with-self-signed-root-certificates/
http://krebsonsecurity.com/2015/11/security-bug-in-dell-pcs-shipped-since-815/
http://www.theregister.co.uk/2015/11/23/dude_youre_getting_pwned/
http://www.theregister.co.uk/2015/11/23/dell_security_nightmare_gets_worse/
http://arstechnica.com/security/2015/11/dell-apologizes-for-https-certificate-fiasco-provides-removal-tool/

【編集者メモ】(Ullrich)
Dell は、ノートパソコンに悪意あるCAをインストールしただけでなく、対となる 秘密鍵も一緒にインストールしていた。 その結果、誰でも任意の証明書に署名が できるようになり、この証明書がインストールされた Dell製パソコンの利用者に 対し、一見すると疑うべきポイントが見つからない中間者攻撃が可能になるため、 影響を受けるパソコンは、TLSによる通信の保護を受けない状態になる。これは大 問題であり、問題の証明書は直ちに削除すべきだ。 問題の証明書を削除するため には、「Dell Foundation Services」 をアンイストールする必要がある。問題の 証明書を削除しただけでは、「Dell Foundation Services」 によって問題の証明 書が再インストールされてしまう。 今後は、製造者から来たシステムを一度きれ いに削除して、信頼できるソースからOSを再インストールすべきだろう。
【編集者メモ】(Honan)
製造者は、これらのツールをインストールすることによって得られる利益と、顧客 のプライバシーを侵害しセキュリティも低下させていることを比較して、 失われ るものの方が大きいと気付くべきだ。企業向けにセキュリティサービスを提供して いる企業は、特に顧客が購入するものに対して、サプライチェーンの中でセキュリ ティが担保されていることを確認するプロセスを確立すべきである。
【編集者メモ】(Liston)
この問題を説明するための例えとして思いついたのは、建築家が一つの鍵で開くロ ックを使って複数の家を建てることだ。このような事がどうして起きるのだろう。 このような事象を見て「良いアイデアだ」と言った人は誰だろうか。

────────────────

◆ Certification Manager から情報が漏えい(2015.11.23)

Pearson VUE は、Cisco、Oracle およびIBMが提供する資格試験などの実施管理を 行っているが、Credential Manager Systemから情報が漏えいし、一部のユーザが 影響を受けたという。

http://www.scmagazine.com/pearson-vue-acknowledges-breach-says-data-exposure-appears-limited/article/455566/
http://www.theregister.co.uk/2015/11/23/pearson_vue_data_breach_pcm/
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-prototype-nation.pdf

【編集者メモ】(Paller)
GIACは、Pearson VUE Credential Manager Systemを利用していない。そのため、 現在は影響を受けていない。

────────────────

◆ Comcast による著作権侵害の警告がプライバシーに関する問題を浮き彫りに(2015.11.23)

Comcastは、ユーザが著作権を侵害するコンテンツをダウンロードした際に警告を 表示してくれるが、このComcastが警告を出す仕組みが、中間者攻撃を彷彿させて いる。暗号化されていないブラウザの通信にコードを挿入するComcastの行為は、 「Comcastがユーザに対し”ディープ・パケット・インスペクション”または、プ ロキシを使って通信先を変え、ユーザに対しメッセージを自由に送っている」 こ とを示唆している。

http://www.zdnet.com/article/comcast-injects-copyright-warnings-into-your-browser/

【編集者メモ】(Ullrich)
ここ数年で、ISPはHTTP通信を監視および変更するため、さらなる介入をしている (例えば、まだ使われているVerizonの"super cookie"やホテルによるウェブペー ジへの広告挿入や、悪意あるjavascriptを挿入する中国の"red cannon"など)。
インターネットにおける新年の抱負を語るのであれば、HTTPを使わずHTTPSのみを 利用するというのは良いスタートかもしれない。"Lets Encrypt"の稼働が一週間 後と迫っており、SSL証明書が簡単で安く(無料)入手できるようになり、個人のウ ェブサイトも保護可能になるからだ。
従来のアプローチを望むのであれば、startssl.com は以前から無料で証明書を提 供している。これが、100%の対策になるとは思えないが、80-90% の対策で広告主 による侵害は無くせるかもしれない。

────────────────

◆ 米国内務省のネットワークが海外から侵入される(2015.11.24,25)

米国内務省のネットワークがここ数年で 20回近くも外部から侵入されていること が明らかとなった。監察総監室(OIG)からのレポートによると「ハッカーおよび 海外のインテリジェンスサービスは、 外部からアクセス可能なシステムの脆弱性 を悪用してDOIのネットワークに侵入したという。結果として機密なデータ漏えい や省庁のオペレーションが阻害されるなどの被害があった」と述べられている。

http://thehill.com/policy/cybersecurity/261313-ig-chinese-hackers-hit-interior-department-in-2013
http://www.nextgov.com/cybersecurity/2015/11/interior-department-hacked-china-others-19-times/123990/?oref=ng-channelriver
OIG Report:
https://www.doioig.gov/sites/doioig.gov/files/2015ER068Public.pdf

(情報漏えいに関するレポートは、ページ23から)
【編集者メモ】(Henry)
OIGのレポートには、「他の機密情報が漏えい、窃盗、改ざんされたという証拠は 無かった」と記載されているが安心はできない。 なぜなら、攻撃者は行動を隠す ことが可能だからだ。 19回もネットワークに侵入していながら一度も侵入が検知 されていないことが何よりの証拠だ。
【編集者メモ】(Paller)
内務省を近代のセキュリティに引きずり込んだOIGを褒めたい。近代のセキュリテ ィでは、インシデントは隠ぺいせず、分析を行い、教訓からセキュリティに対する 投資が決定されるのだ。シリコンバレーにいる多くのテクノロジー企業はこのよう にしており、多くの政府機関がやっていなかったことだ。政府機関の CISO または CIO が「幸運にもまだ、大きな侵入を許していない」というような趣旨の言葉を述 べたら、Lake Wobegon Daysのように「Liar, liar, pants on fire.(嘘つき) 」と 言い返してやろう。

────────────────

◆ VTech の情報漏えいが5百万人に影響(2015.11.27,30)

電子玩具のメーカーVTech が Learning Lodge アプリストアのサービスを一時停止 した。この一時停止は、データベースへの侵入があり 500万人の顧客データのうち 20万人が子供に関するデータが漏えいしたことが発見されたことに起因している。

http://www.wired.com/2015/11/vtech-childrens-gadget-maker-hack-5-million-accounts/
http://www.bbc.com/news/technology-34963686
http://www.cnet.com/news/hack-of-toy-maker-vtech-exposes-families/
http://arstechnica.com/security/2015/11/when-children-are-breached-inside-the-massive-vtech-hack/
http://arstechnica.com/security/2015/11/hacked-toymaker-leaked-gigabytes-worth-of-kids-headshots-and-chat-logs/
http://www.computerworld.com/article/3009236/cybercrime-hacking/massive-vtech-hack-exposes-data-of-nearly-5-million-parents-and-over-200-000-kids.html
http://www.vtech.com/en/press_release/2015/statement/

【編集者メモ】(Ullrich)
この事件は、多くの子供が使用する認証情報が漏えいしたということも問題だが、 VTech 機器で撮った画像も漏えいしていることも問題だろう。子供の遊び部屋にあ るVTech以外の機器(Barbieなど)を接続する前に一度は考えていただきたい。

────────────────

◆ FBIが大規模なアカウント情報窃取と転売を捜査(2015.11.27,30)

FBIは 40万ものウェブサイトに関連する数億ものログインアカウント情報を盗んだ とされる人物を捜査している。この盗んだ情報は、いくつものアンダーグランドな サイトで転売されているという。

http://www.scmagazineuk.com/fbi-investigates-russian-hacker-that-stole-billions-of-login-credentials/article/456482/
http://www.theregister.co.uk/2015/11/27/mr_grey_the_russian_hacker_who_helped_haul_in_12_billion_logins/

────────────────

◆ 中国がOPMの情報漏えいに関わった容疑者を逮捕(2015.12.2,3)

中国政府は、米国人事局(OPM)の大規模な情報漏えいに関わったとされる容疑者を 数名逮捕したことを明らかにした。これらの逮捕は、習近平国家主席が9月に米国 へ訪れる少し前に行われたという。

https://www.washingtonpost.com/world/national-security/chinese-government-has-arrested-hackers-suspected-of-breaching-opm-database/2015/12/02/0295b918-990c-11e5-8917-653b65c809eb_story.html
http://www.scmagazine.com/china-announces-it-arrested-hackers-connected-to-opm-breach/article/457694/
http://thehill.com/policy/cybersecurity/261813-china-arrests-opm-hackers-report

【編集者メモ】(Ullrich)
インターネットセキュリティにおける悲しい事実がある。それは、国家や犯罪組織 だけではなく、実家に住んでいる子供も同じ技術を使えることだ。国家機密が保管 されているデータベースへの侵入コストは、驚くほど低いのだ。犯罪者と国家の指 示で動いているものの唯一の違いは、犯罪者の方が逮捕される可能性が高いという ことだ。

────────────────

◆ 無料のTLS証明書が一般向けに提供される(2015.12.3)

Let's Encryptプロジェクトが、無料のTLS証明書を一般向けに提供を始めた。この プロジェクトは、Internet Security Research Groupが運営しており、秋口には少 数のボランティア向けに試験運用を行っていた。これらの証明書はメジャーなブラ ウザによって信頼されている。

http://www.theregister.co.uk/2015/12/03/letsencrypt_public_beta/

【編集者メモ】(Ullrich)
「無料」よりも重要なのは、letsencrypt はスクリプトのインターフェースで証明 書を自動管理する機能を提供していることだ。 無料のSSL証明書は以前から提供さ れてきたが、letsencryptで特に重要なのは自動化である。 発行される証明書の有 効期限は数か月のため、頻繁な更新が必要となり、クリプト無しだと失効した証明 書が手元に残ってしまう。 結果として、letsencryptのスクリプトは、様々なデバ イスに搭載されている無効になった証明書や自己署名の証明書には対応できないこ とになる(いつか、誰かが広く使われているデバイスで使用可能なスクリプトを書 いてくれると期待している)。
【編集者メモ】(Vautrinot)
発行が無料になったのは、セキュリティ担保という観点では良い事だが、依然とし て管理という課題が残り、企業での管理は複雑になる可能性が高い。証明書は管理 が重要なのだ。
【編集者メモ】(Northcutt)
これは、とてつもなく大きな出来事だ。売り手がお金を取るけど透明性の無い、セ キュリティに本気で取り組みもしない認証局に対し対価を支払うという過去のモデ ルは成功するはずも無かったのだが、私はこの動きにPayPalを通じて $250.00を寄 付した。私はこの新しいモデルが好きだ。おかげで今は安全「であろう」通信のコ ンシューマである。ISRG証明書を利用した通信をしていると気付いたら(錠前をク リックすれば分かることだが)、数ドル寄付することを検討してほしい。セキュリ ティに対し、大きな貢献ができるかもしれない。
https://letsencrypt.org/
────────────────

◆ カザフスタンの法律がバックドアを必須要件に(2015.12.3)

カザフスタンの新しい法律が、国内すべてのインターネットユーザに対し「国家安 全証明書(National Security Certificate)」 をインターネットに接続するすべて の機器にインストールするよう要求している。この証明書によって、政府が安全な 通信を傍受できるようになるだけでなく、ブラウジングの履歴、認証情報やHTTPS によって暗号化された通信へもアクセス可能になる。また、通信事業者は、この証 明書をインストールしていないユーザを監視しなければならないという。この法律 は、2016年1月1日から施行される。

http://www.zdnet.com/article/kazakhstan-forces-its-citizens-into-installing-internet-backdoors/
http://bits.blogs.nytimes.com/2015/12/03/kazakhstan-moves-to-tighten-control-of-internet-traffic/?_r=0

【編集者メモ】(Assante)
このような決断は、様々な人が不快に思うべきであり、現実が理想に勝ってしまっ た新たな例である。空いているドアを必須とするのは、サイバー兵隊を配置してい ることと大差無い事だ。今日は、強制されたアクセスかもしれないが、明日は攻撃 モジュールをホスティングすることかもしれない。小さな赤いボタンの方が大きな 赤いボタンよりも現実的なのだ。
【編集者メモ】(Ullrich)
カザフスタンは多くの政府と違って、管理下に信頼できる認証局がいないのだ。例 えば、Certificate Pinning を利用することでユーザに悪意ある正当な証明書を使 った中間者攻撃に対し警告を出すことが可能だ。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「フィッシングについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
メールはとても便利なツールでありコミュニケーションだけではなく、オンライ
ンサービスを提供するためにも利用されています。そのため、あまりにも多くの
オンラインサービスがメールに頼っているために、サイバー犯罪者もメールを利
用しています。今月は、メールを使った一般的な攻撃手法であるフィッシングに
関して一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとして
お使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201512_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年2月25日(木)-26日(金)

 ・セキュアEggs(フォレンジック)
  2016年3月2日(水)
 ・セキュアEggs(インシデント対応)
  2016年3月3日(木)
 ・セキュアEggs(Webアプリケーションセキュリティ)
  20116年3月1日(火)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ フランス政府が Tor と公共 Wi-Fi のブロックを検討(2015.12.7)

フランス政府が、公共の Wi-Fi ネットワークとTor をブロックすることを検討し ている。 これは、フランスの内務省から漏えいしたドキュメントに記載されてい たもの。フランス国会に来月上げられる法案の中に、緊急事態において無料の公共 Wi-Fiを禁止するものが含まれる予定である。また、別の法案の中には「Torネット ワークの通信をブロックまたは禁止」するものがあるという。

http://arstechnica.com/tech-policy/2015/12/france-looking-at-banning-tor-blocking-public-wi-fi/
http://www.zdnet.com/article/france-considers-public-wi-fi-tor-network-ban-in-wake-of-terror-attacks/
────────────────

◆ DHS が無料でペネトレーションテストを提供(2015.12.1)

米国家安全保障省(DHS)の National Cybersecurity Assessment and Technical Services (NCATS) が、米国内の金融機関やエネルギー会社を含む、民間企業向け に無料でペネトレーションテストを実施するサービスを提供している。DHSが公開 したドキュメントによると、NCATSは、「リスクと脆弱性に関するアセスメント」 と「サイバー衛生の評価」を行うサービスを提供している。

http://krebsonsecurity.com/2015/12/dhs-giving-firms-free-penetration-tests/
http://krebsonsecurity.com/wp-content/uploads/2015/11/Agency-Acceptance-Letter-CH-Service-SLTT_PS.pdf

────────────────

◆ FBI当局者がゼロデイ脆弱性や StingRayを使用していると語る(2015.12.8)

FBIのエイミー・ヘス 科学技術事務局長補佐が FBIによる調査の中で、ゼロデイ脆 弱性を使用していることを認めた。しかしヘス氏は、StingRayと呼ばれる携帯基地 局シミュレータを使用しているという事実を伏せるよう FBIから警察に促したこと はないとしている。 FBIが隠しておきたいのは、StingRayの「電子回路図」や機器 がどのように動作するかという情報のようだ。

https://www.washingtonpost.com/world/national-security/meet-the-woman-in-charge-of-the-fbis-most-contentious-high-tech-tools/2015/12/08/15adb35e-9860-11e5-8917-653b65c809eb_story.html
http://arstechnica.com/tech-policy/2015/12/fbi-admits-it-uses-stingrays-zero-day-exploits/

【編集者メモ】(Honan)
政府機関によるゼロデイ脆弱性の収集および使用は今に始まった問題ではない。 2014年にオバマ大統領は、米国の政府機関がゼロデイ脆弱性を使用していると公言 している。

- http://www.wired.com/2014/04/obama-zero-day/ 今は、この物議を醸し続けているトピックに関して、きちんとした議論を行うべき であろう。具体的には、政府機関がゼロデイ脆弱性を使用しシステムを攻撃するこ とと、インターネットコミュニティの安全を比較して議論すべきだ。

────────────────

◆ SHA-1利用停止によって、大量のユーザがウェブサイトにアクセス不能になる可能性(2015.12.10)

ウェブサイトが SHA-2と呼ばれる暗号アルゴリズムを利用した署名を施した証明書 しか提供していない場合、多くのユーザはそのサイトをアクセスできなくなってし まう可能性がある。なぜなら、主要ブラウザの開発者は、2016年6月以降、SHA-1ア ルゴリズムの利用を停止するという。

http://www.computerworld.com/article/3014162/security/sha-1-cutoff-could-block-millions-of-users-from-encrypted-websites.html
http://arstechnica.com/security/2015/12/sha1-sunset-will-block-millions-from-encrypted-net-facebook-warns/

【編集者メモ】(Pescatore)
大腸菌やノロウイルスによって、多くのユーザは Chipotle に行くことを止められ ただろう。クリーンアップが必要だったのだ。
【編集者メモ】(Murray)
暗号学者の多くは、セキュリティに関して良いアドバイスを提示をめったにしない ものだが、Adi Shamir氏は違う。彼曰く、攻撃者暗号そのものを攻撃するのではな く、バイパス・迂回するのだという。

────────────────

◆ 違いを生む人を表彰(2015.11.23)

SANS Institute が SANS 2015 Differnece Makers Award の受賞者を発表した。 受賞者は、「情報セキュリティ分野のイノベーション、スキルおよび分野の発展に 尽力」した人が対象とされ、その中から選ばれた。受賞者は、2015年12月15日にワ シントンDCで行われる SANS Cyber Defense Initiativeのトレーニングイベントで 表彰される。

http://news.sys-con.com/node/3569764

【編集者メモ】(Pescatore)
私がSANSでやっている仕事の中で、最も楽しいことの一つである。SANS CDIへ訪れ る人は、ぜひ業界内の静かなる成功を祝いましょう。

【編集者メモ】(Pescatore)
すべての受賞者のお祝いの言葉を述べたいと思う。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2016年1月13日(水)、2月9日(火)、3月9日(水)         【日程追加】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=14

○2016年1月20日(水)、2月16日(火)                 【NEW】
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015 【無料】<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを通じて
 得られたデータの分析を基に現状の攻撃・防御傾向を分析。
 2005年度以降毎年発表しており、今回で11回目となる独自調査レポート。
 http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
 http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=21

●スパムや標的型メール(スピアフィッシング)に対して機械学習技術で検知・排除
 統合型メールセキュリティソリューション「Proofpoint」
 http://www.nri-secure.co.jp/service/others/proofpoint.html?xmid=300&xlinkid=22
 
●FireEye独自の手法で、既知・未知に依存せず、脆弱性攻撃、マルウェアを検知
 「FireEye管理サービス」
 http://www.nri-secure.co.jp/service/mss/fireeye.html?xmid=300&xlinkid=23
 
●C&Cサーバアクセス時の通信内容やDNSクエリを監視し、マルウェアの侵入を検知
 「Palo Alto PAシリーズ管理サービス」
 http://www.nri-secure.co.jp/service/mss/paloaltopa.html?xmid=300&xlinkid=24
 
●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 標的型攻撃対策ソフトウエア「FFR yarai」
 http://www.nri-secure.co.jp/service/yarai/index.html?xmid=300&xlinkid=25
 
●クラウドで、国内外のPC端末のセキュリティ状態を自動診断。パッチも強制適用。
 クラウド型PCセキュリティ管理ツール「SecureCube / PC Check クラウド」
 http://www.nri-secure.co.jp/service/cube/pccheck.html?xmid=300&xlinkid=26
 
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績
 再診断無料「セキュリティ診断(脆弱性診断)」
 http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=27
 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。