NRI Secure SANS NewsBites 日本版

Vol.11 No.12 2016年5月25日発行

■■■■SANS NewsBites Vol.18 No.039, 040
(原版: 2016年5月17日, 20日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

           = SANS Tokyo 2016 =
  http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間]
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間] / 2016年10月17日~21日[5日間]
◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に。
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  [☆日本初開催☆]

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC566:Implementing and Auditing the Critical Security Controls -In-Depth
 Critical Security Controlsを真に理解するならこのコース。
 CSCの実装や監査に必要となるツールやテクニックを習得できます
  [☆日本初開催☆]

◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得。
 最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware
 Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得。
 マルウェア解析の専門性を高めたい方は必見のコースです
  [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ ベトナムの銀行が SWIFT経由の不正送金を阻止(2016.5.13,16)
ベトナムの銀行が SWIFTメッセージシステム経由で行われた $1万USD以上の不正送 金の取引を阻止した。 Tien Phong Bankや Bangladesh Central Bankに対する攻撃 で使われた攻撃コードは、2014年に Sony Picturesに対する攻撃で使われたものと 類似しているという。

http://thehill.com/policy/cybersecurity/279999-vietnam-bank-thwarts-11m-cyberheist-using-swift-software
http://www.scmagazine.com/vietnamese-bank-thwarts-hack-made-through-swift-messaging-system/article/496584/
http://arstechnica.com/information-technology/2016/05/1b-bangladesh-hackers-implicated-in-attack-on-vietnamese-bank-sony-hack/
http://www.computerworld.com/article/3070375/security/malware-attacks-on-two-banks-have-links-with-2014-sony-pictures-hack.html

【編集者メモ】(Murray)
多くの民間金融機関と一部の地方銀行は、受け取り側が SWIFTのユーザでなくても 顧客のために電信送金を開始させるが、その際、取引が多い代理店を経由するのが 一般的だ。これまで見てきた「アカウントの乗っ取り」の多くは、国内のACH(自動 決済機関)ネットワークから始まり、いくつかの代理店を経由して国際のSWIFTネッ トワークに辿りついている。そのため、不正送金のいくつかは代理店の銀行によっ て検知され、そして阻止もできている。代表的なところではJPMorgan-Chaseが阻止 に成功している。

◆ SWIFTがサイバーセキュリティに関する責任はユーザ側にあると通告(2016.5.12)
SWIFTは、バングラデッシュ銀行から$81万USDが盗まれた件に関して、SWIFT側の責 任であるとする申し立てを却下した。バングラデッシュ銀行の幹部は、SWIFT の技 術者が SWIFTのメッセージシステムを即時グロス決済システムに接続した際に脆弱 性を作り込んだと主張している。 SWIFTが5月3日に発行したレターによると、金融 機関は自身のシステムのセキュリティに関しては各機関が持つこととしており、そ の中で「SWIFTは、ファイアウォールの選定、実装 (メンテナンス)および内部ネッ トワークとの分離に関して責任を持つことができないだけでなく、持たない」と記 載している。

http://www.reuters.com/article/us-bangladesh-heist-swift-idUSKCN0Y320K
http://www.nbcnews.com/tech/security/financial-messaging-service-swift-says-banks-responsible-own-cybersecurity-n572631

【編集者メモ】(Liston)
SWIFT は、ユーザに対し暗号化用のツールやメッセージに署名を施すための証明書 を提供しており、正しく署名されたメッセージを受領した場合は、転送されるのが 仕様だ。ある機関の認証プロセスに問題が生じた場合、SWIFTに責任は無い。
【編集者メモ】(Murray)
これは SWIFTの顧客である金融機関にとって、連邦準備制度とは違うのだから驚く ことではないはずだ。 SWIFTはメッセージシステムであって、取引や送金に関して 直接関わりを持っていない。 SWIFTは銀行業務や信託業務を行っている訳では無い のだ。 SWIFTに対して金融機関がアクセスすることで、自身の組織名を使ってメッ セージを送信したり、取引を行ったりすることが可能になるというだけのことだ。 SWIFT 側でこれを制御することはできないし、取引をやり直すようなこともできな い。取引はあくまでも関係者間のものである。取引は、即時に実行され追加の認証 などは要求されないのだから、金融機関側でこのシステムの活用を承認された取引 のみに限定する必要がある。

◆ Chromeが年末までにデフォルトのメディアプレーヤをFlashからHTML5に移行する予定(2016.5.16)
Googleが提供するChromeブラウザは、今年の年末までにビデオやアニメーションの 再生を行うためのデフォルトをFlashからHTML5に移行する予定であることが明らか となった。この変更は、ホワイトリストの10個の人気サイトを除くすべてのサイト で適用されるという。 ホワイトリストのサイトには、Facebook、Amazon、YouTube および Yahooが含まれているが、Chrome内で Flashは当面の間提供され続け、ユー ザが HTML5をサポートしていないサイトを訪れた際に Flashを利用するか否かを聞 かれるようになる。 Googleは、Google Display Network や DoubleClick Digital Marketingのサイトはそれぞれ 2016年6月30日をもって、HTML5のみをサポートする ようになるという。

http://www.informationweek.com/software/enterprise-applications/google-ending-automatic-chrome-support-for-flash/d/d-id/1325533
http://www.computerworld.com/article/3070495/security/google-to-block-flash-by-default-on-most-sites-for-chrome-users.html
http://www.bbc.com/news/technology-36301904
http://www.v3.co.uk/v3-uk/news/2458341/google-chrome-will-switch-off-flash-content-by-default
https://docs.google.com/presentation/d/106_KLNJfwb9L-1hVVa4i29aw1YXUy9qFX-Ye4kvJj-4/edit#slide=id.p

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「モノのインターネット(IoT)」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パソコンやスマートフォンだけではなく、日常生活で利用するデバイスがインタ
ーネットに接続できるようになってきました。しかし、スマートフォンのような
モバイルデバイスと同様に、固有のセキュリティ問題を抱えています。今月は、
これらの問題とリスクについて一般ユーザ向けに分かりやすく解説するとともに
、IoTデバイスを安全に利用する方法をご紹介します。 社員の意識向上ツールと
してお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201605_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年6月9日(木)-10日(金) [☆好評受付中です☆]
  2016年9月8日(木)-9日(金)
  2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
  2016年9月15日(木)
  2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
  2016年9月14日(水)
  2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
  2016年9月16日(金)
  2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 政府調達が Simple Security Controlsの規則を採択する(2016.5.16)
今週、政府調達に関する規則 (Federal Acquisition Regulations)に対して、セキ ュリティの基本に重点を置いた更新が行われた。

https://www.federalregister.gov/articles/2016/05/16/2016-11001/federal-acquisition-regulation-basic-safeguarding-of-contractor-information-systems

Pescatore のブログ:
http://www.sans.org/security-trends/2016/05/19/progress-in-using-the-critical-security-controls-to-sort-out-security-bad-apples

【編集者メモ】(Pescatore)
調達に関する変更はとても緩やか (2012年から議論されている) であるが、2016年 6月15日に政府調達に関する規則が更新される予定だという。請負業者(ベンダ開発 の市販製品は除く) の中で政府に関する情報の取り扱いを行う業者は、基本的なセ キュリティ要件を満たす必要があるが、この要件は、Critical Security Controls のサブセットに含まれている。過去には、契約において NIST 800-52 または NIST Cybersecurity Framework に準拠していることを示す、といったものがあったが、 政府調達に関する規則に基本的なセキュリティを規定することが、すべてのプロジ ェクトおよびサービス契約ではコストパフォーマンスが一番高いだろう。

◆ SEC委員長:金融システムの中でサイバーセキュリティは一番大きいリスクである(2016.5.18)
米証券取引委員会 (SEC)のメリー・ジョー・ホワイト委員長が、Reuter Financial Regulation Summit において、金融システムに対する一番大きいリスクはサイバー 脅威であると語り、多くの組織が適切な防御を実装していないことについても言及 した。さらにホワイト委員長は、金融機関が「たくさんの準備、たくさんの啓発」 をしていることを SECは見ているとした上で、「組織内のポリシーや想定されるリ スクに適切に対応できないものである」と語った。

http://www.reuters.com/article/us-finance-summit-sec-idUSKCN0Y82K4
http://www.zdnet.com/article/sec-warns-hackers-are-the-biggest-threat-to-financial-system/
http://www.theregister.co.uk/2016/05/18/sec_warns_cybersecurity_biggest_threat_to_financial_system/

◆ 国防関連法案で US Cyber Command が独立した部隊に昇格(2016.5.19)
米国下院が、国防に関する National Defense Authorization Act (NDAA)を承認し た。同法が施行されるとUS Cyber Commandは独立した部隊になるが、ホワイトハウ ス側はこの動きに反対している。US Cyber Commandは、US Strategic Commandの配 下に現在属しており、サイバーに関する軍事作戦を実行する際には、許可を受けな ければならない立場にある。

http://thehill.com/policy/cybersecurity/280491-house-defense-bill-elevates-cyber-force-defying-white-house

また関連する話で、テッド・リウ下院議員 (民主党-カリフォルニア州)は、NDAAに 修正案を提案している。その内容は、連邦資金を使った機器にバックドアを仕込む ことを禁止することだが、下院の幹部は、投票にかけることを避けているという。

http://thehill.com/policy/cybersecurity/280581-house-dem-hits-gop-for-skipping-cyber-defense-vote

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月27日(金)、6月29日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○6月1日(水)~3日(金)
 AWS Summit Tokyo 2016
 http://www.nri-secure.co.jp/seminar/2016/aws_summit_2016.html?xmid=300&xlinkid=09

○大阪:6月10日(金)
 東京:6月16日(木)、7月15日(金)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=10

○6月15日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○7月7日(木)、9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。