NRI Secure SANS NewsBites 日本版

Vol.10 No.42 2015年12月22日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.42 2015年12月22日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 2016年2月東京開催決定!
 ━┛━┛━┛━┛━┛ 世界最高レベルの情報セキュリティトレーニング

           = SANS Secure Japan 2016 =
  http://sans-japan.jp/training/event.html

2016年2月2日、3日、16日、17日、23日、24日[6日間]

◆SEC401:Security Essentials Bootcamp Style
  最もポピュラーな情報セキュリティのゴールド・スタンダード。
  情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。

2016年2月15日~20日[6日間]

◆SEC503:Intrusion Detection In-Depth
  セキュリティアナリストとしての分析能力の極致へ。
  TCI/IPのセオリー、パケット分析からインシデント調査の実践演習で学んだ
  事項の強化まで、系統的に学習可能。

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ペンテスター、インシデントハンドラーへの登竜門。
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得。

◆SEC560:Network Penetration Testing and Ethical Hacking
  すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得。
  ネットワークや情報システムに関する基本的知識を有している方におすすめです。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.097, 098
(原版: 2015年12月15日、18日)
────────────────────────────────

◆ Moonfrui社がサイトを一時的に閉鎖-DDoS攻撃対策を実施(2015.12.14)

Moonfrui社(会員制のウェブホスティング会社)は、多くのサイトをオフラインに した。同社は、先週あたりから攻撃を受けており、この攻撃を行ったとされる攻撃 者は、同社に身代金を要求したが、支払いを拒否したという。Moonfrui社は、同様 の攻撃からインフラを守る対策を取るために、運営しているサイトを「最大12時間 閉鎖した」ことを明らかにした。

http://www.scmagazine.com/moonfruit-takes-down-customer-sites-for-up-to-12-hours-after-attack-threat/article/459511/
http://www.v3.co.uk/v3-uk/news/2439205/moonfruit-takes-thousands-of-websites-offline-after-cyber-attack-threat
http://www.bbc.com/news/technology-35091534

【編集者メモ】(Ullrich)
「Armada Collective」と呼ばれるグループは、今まで DDoS攻撃を回避するために 身代金を支払わせることにある程度成功していた。悲しいことに、DDoS攻撃を回避 するためには、Armada Collective またはDDoS対策事業者のどちらかにお金を支払 わなければならない。「インターネット上」でBCP-38が実装されたら良いのだが、 これは非現実的だろう。
【編集者メモ】(Honan)
これは、セキュリティ対策を攻撃による影響を受ける前、あるいは攻撃によって脅 威が示唆される前に行うべきであるという良い例だ。顧客は Moonfruit社が自社の インフラをDoS攻撃から守るためにMoonfruit社による DoS攻撃を受けたと言える。 インシデントレスポンスの計画および予防は、攻撃が行われる前にするのが一番効 果的だ。
【編集者メモ】(Murray)
インターネットを中心にした事業を展開している組織は、DoS 攻撃の対策は攻撃を 受ける前に行うべきだ。なぜなら、その方が安価であり、また比較的簡単であり、 かつ顧客への影響が少ないからだ。

────────────────

◆ サイバー脅威に対応するため若い役員を抜擢するように推奨(2015.12.14)

Financial Time紙がロンドン市の上役たちを対象に行ったアンケートによると、組 織は金融システムを脅かすサイバー脅威に対応するため、若い世代の役員を抜擢す るべきだとしている。

http://www.ft.com/cms/s/0/66e4c356-a27a-11e5-bc70-7ff6d4fd203a.html

────────────────

◆ Visaが、シンガポールでトークンを使ったサービスを展開(2015.12.15)

Visaは、Visa Token Serviceと呼ばれるサービスの展開を始めた。これにより、シ ンガポール国内におけるカードのデータはデジタルトークンで置き換えられた。こ れは、United Overseas Bankとパートナーシップを組むことで、このテクノロジー を実現している。このサービスは、支払いの処理をする際、カード番号が晒される ことは無い。

http://www.zdnet.com/article/visa-brings-token-service-to-singapore-with-uob-partnership/

【編集者メモ】(Ullrich)
従来のクレジットカード番号というコンセプトには欠点が多い。我々は、単純な数 字だけを並べたパスワードを多くの業者と共有しているのだ。その結果、ある事業 社でこの番号が漏えいするだけで、このシステムそのものが大きな脅威に晒されて しまう。トークン化は、モバイルデバイスでの支払いシステムが普及したことによ り、実現が可能になっただけでなく、使い勝手も良いテクノロジーだ。このテクノ ロジーが従来のクレジットカード番号に取って代わることを期待している。
【編集者メモ】(Murray)
このテクノロジーは、他のモバイル支払いシステム、例えばSamsung Pay、Android Payなどのバックエンド処理を提供しているほかApple Pay で導入されたもので、 同様のサービスがMasterCardやAmerican Expressからも提供されている。これは、 事業社からクレジットカード番号を秘匿しているため、見えないものは保存もでき ない上に、漏えいもしない。しかし、不正なクレジットカード番号を使ったリプレ イ攻撃に対しては脆弱なままである。クレジットカード番号をトークン化すること で、問題が多い支払いシステムのセキュリティを向上することができるだろうが、 実現には、ユーザ側のモバイル端末を使った支払いシステム利用の普及が必要だ。 この普及は、メディアなどで取り上げられるモバイル支払いのシステムに潜むリス ク、そしてクレジットカードの便利さによって阻まれているのが現状である。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「フィッシングについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
メールはとても便利なツールでありコミュニケーションだけではなく、オンライ
ンサービスを提供するためにも利用されています。そのため、あまりにも多くの
オンラインサービスがメールに頼っているために、サイバー犯罪者もメールを利
用しています。今月は、メールを使った一般的な攻撃手法であるフィッシングに
関して一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとして
お使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201512_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年2月25日(木)-26日(金)

 ・セキュアEggs(フォレンジック)
  2016年3月2日(水)
 ・セキュアEggs(インシデント対応)
  2016年3月3日(木)
 ・セキュアEggs(Webアプリケーションセキュリティ)
  20116年3月1日(火)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ サイバー人材の発掘に向けて:米空軍のVetSuccessがサイバー人材を発掘し、トレーニングを経た軍人を民間事業者に就職させる(2015.12.7)

50th Network Operations Group の最高責任者と、米空軍下士官アレクサンダー・ ホール、チャールズ・キャンベルが、2015 Difference Maker 賞を受賞した。二人 は、VetSuccessと呼ばれる取り組みを通じ、空軍を去る軍人の中から高度なサイバ ー任務をこなせる人材を発掘、ハンズオントレーニングを実施して必要な資格を取 得させ、高年俸で再就職させているという。

http://www.afspc.af.mil/news/story.asp?id=123464835
【編集者メモ】(Paller)
ある軍人は、ヘルプデスクの仕事で年俸$30,000-$40,000のオファーがあった。彼 は、VetSuccessに応募し、トレーニングおよび資格試験でも良い成績を残した人物 で、現在は$70,000-$100,000の年俸を提示した3つのオファーから次の職を選択し ている。

【ゲストコメンテーター・メモ】
(Max Shuftan, SANS Cyber Talent Program Director)
大規模なMSSPでは、VetSuccessで発掘された人材を対象にカスタマイズされたトレ ーニングを実施し、これらの才能ある人材をそのMSSP固有のプロセスに慣れさせ、 就業の初日から活躍可能な状態にしている。
サイバーセキュリティのスキルを持った人材と、米国の軍人にチャンスを与えるこ とに興味を持っている企業は、mshuftan@sans.org にメールを送ることで情報を得 ることができる。また、高度なサイバースキルを持った女性を大学卒業時に即戦力 として配属させる取り組みもあるので、興味がある企業は、こちらについても併せ て問い合わせしてみてほしい。

────────────────

◆ 米政府機関がサイバーセキュリティの不足を特定する期日が迫る(2015.12.15)

米国の政府機関が、サイバーセキュリティ人材が不足している 5分野を特定し、ホ ワイトハウスに報告する期日が 2015年12月31日までと迫っている。2016年4月には 行政予算管理局(OMB)および人事局(OPM)から政府向けのサイバーセキュリティ における人事戦略が公開される予定である。

http://www.nextgov.com/cybersecurity/2015/12/agencies-get-marching-orders-filling-major-cyber-talent-shortage/124520/?oref=ng-channeltopstory

【編集者メモ】(Assante)
サイバーセキュリティ人材の将来について真剣な議論を始める時が来た。人材戦略 の中で、仕事において必須とされる要求が、ゴールとマッピングされているものが 少ない。多く見られるのは、設計や受動的な防御策の向上のみで、それ以上のもの も少ない。適切な能動的防御策を実現するためには、必要な役割とスキルを明確に すべきで、こうすることで標的型攻撃によるダメージを最小限に抑えることが可能 になる。
【編集者メモ】(Murray)
怖いのは、政府機関が要求されている回答が分からなかっただけでなく、期日まで に理解しきれないことであろう。
【編集者メモ】(Paller)
米国土安全保障省が集めた優秀なパネルによって、人材不足が最もダメージに直結 している10の重要なロールが特定された。多くの政府機関は、ポリシーやコンプラ イアンスの部門において人材をテコ入れしたが、パネルで特定された「レッド・ゾ ーン」エリアにはテコ入れされていない -目に見えて大きな影響があるように思 える。これらの重要な役割は安全保障省顧問委員会レポートの 7ページに列挙され ており、一緒にタスクの詳細と人材不足がもたらす影響が記載されている。

このレポートは以下から入手できる:
https://www.dhs.gov/sites/default/files/publications/HSAC%20CyberSkills%20Report%20-%20Final.pdf

────────────────

◆ FireEye が緊急のアドバイザリを発行、脆弱性を修正(2015.12.15,16,17)

FireEye は、リモートから任意のコード実行が可能になる脆弱性を修正した。この 脆弱性は、同社が提供する NX、EX、AX、FX シリーズに同梱されるモジュールに存 在していたもの。本脆弱性を悪用することで、監視下のネットワークへのアクセス が可能になったという。この脆弱性は、ネットワーク内にいるユーザに対し、細工 されたメールを送るだけで悪用することが可能であった。またFireEyeは、Google の Project Zeroから本脆弱性の報告を受けたことも明らかにしている。

http://www.bankinfosecurity.com/fireeye-patches-flaw-found-by-google-a-8755
http://arstechnica.com/security/2015/12/when-a-single-e-mail-gives-hackers-full-access-to-your-network/
http://www.zdnet.com/article/googles-project-zero-uncovers-critical-flaw-in-fireeye-products/
https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-rce-vulnerability.pdf
http://www.theregister.co.uk/2015/12/16/fireeye_ultra_critical_flaw/
http://www.computerworld.com/article/3015693/security/google-researchers-uncover-a-remote-execution-bug-in-fireeye-appliances.html

【編集者メモ】(Ullrich)
これは今に始まった問題ではない。「Witty Worm (2004年3月)」を覚えている人は いるだろうか。ISSが提供する「Black Ice」と呼ばれる製品を搭載していたシステ ムに感染したもので、AOLの IMをパージングするツールにバグが存在したからだ。 これらの製品があるのは、様々なファイルパーサーに存在する問題から我々を守る ためだが、これらのデバイスにパーサーを実装することと引き換えであって、実装 することで、脅威の範囲を大きくしてしまっている。実装する際には、デバイスの 設計を気にする必要があり、脆弱なコンポーネントが孤立している状態になってい なければならない。 FireEyeは、この問題だけを修正するに止まってはいけないし (他にも出てくるだろう、Adobe Flashを連想すると良い)、 デバイスの設計から見 直すべき時だろう。一つのコンポーネントに脆弱性があるということは、そのデバ イスが危険に晒される可能性が複数あるということだ。

────────────────

◆ CISA がオムニバスな法案の中に取り込まれる(2015.12.16)

多くのプライバシー保護関連条項を除いた Cybersecurity Information Sharing Act (CISA)が、オムニバスな法案の中に取り込まれた。この法案は、連邦政府予算 の大半を占めることから、可決されると予想されている。改訂された CISA による と、企業は政府にデータを提供する際に匿名化を要求しなくなった。さらに政府が これらのデータをどのように利用するかを規定し、利用できる範囲を広げている。

http://www.wired.com/2015/12/congress-slips-cisa-into-omnibus-bill-thats-sure-to-pass/
http://www.theregister.co.uk/2015/12/16/congress_strips_out_privacy_protections_from_cisa_security_bill/

【編集者メモ】(Murray)
この悪質な法律をスポンサーしている人たちは、とても真剣だ。コミュニティとし て、透明化や説明責任をもとめることが多くなってきた中、この法案は、それらの 要求水準を下げている。この法律の中で、企業や一般のユーザは ISPからの「良い 行い」は期待できなくなった。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2016年1月13日(水)、2月9日(火)、3月9日(水)         【日程追加】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=14

○2016年1月20日(水)、2月16日(火)                 【NEW】
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015 【無料】<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを通じて
 得られたデータの分析を基に現状の攻撃・防御傾向を分析。
 2005年度以降毎年発表しており、今回で11回目となる独自調査レポート。
 http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
 http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=21

●スパムや標的型メール(スピアフィッシング)に対して機械学習技術で検知・排除
 統合型メールセキュリティソリューション「Proofpoint」
 http://www.nri-secure.co.jp/service/others/proofpoint.html?xmid=300&xlinkid=22
 
●FireEye独自の手法で、既知・未知に依存せず、脆弱性攻撃、マルウェアを検知
 「FireEye管理サービス」
 http://www.nri-secure.co.jp/service/mss/fireeye.html?xmid=300&xlinkid=23
 
●C&Cサーバアクセス時の通信内容やDNSクエリを監視し、マルウェアの侵入を検知
 「Palo Alto PAシリーズ管理サービス」
 http://www.nri-secure.co.jp/service/mss/paloaltopa.html?xmid=300&xlinkid=24
 
●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 標的型攻撃対策ソフトウエア「FFR yarai」
 http://www.nri-secure.co.jp/service/yarai/index.html?xmid=300&xlinkid=25
 
●クラウドで、国内外のPC端末のセキュリティ状態を自動診断。パッチも強制適用。
 クラウド型PCセキュリティ管理ツール「SecureCube / PC Check クラウド」
 http://www.nri-secure.co.jp/service/cube/pccheck.html?xmid=300&xlinkid=26
 
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績
 再診断無料「セキュリティ診断(脆弱性診断)」
 http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=27
 
────────────────

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。