NRI Secure SANS NewsBites 日本版

Vol.11 No.15 2016年6月14日発行

■■SANS NewsBites Vol.18 No.045, 046
(原版: 2016年6月7日, 6月10日
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

           = SANS Tokyo 2016 =
  http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間]
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間] / 2016年10月17日~21日[5日間]
◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に。
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  [☆日本初開催☆]

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC566:Implementing and Auditing the Critical Security Controls -In-Depth
 Critical Security Controlsを真に理解するならこのコース。
 CSCの実装や監査に必要となるツールやテクニックを習得できます
  [☆日本初開催☆]

◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得。
 最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware
 Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得。
 マルウェア解析の専門性を高めたい方は必見のコースです
  [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 米国上院の国防関連法案にUS Cyber Commandを昇格させる規定が含まれていない(2016.6.6)
米上院が議会に提出した国防関連法案に、US Cyber Commandを昇格させる規定が含 まれていないことが明らかになった。米下院の法案では、US Cyber Commandは軍の 中で独立した部隊に昇格させる旨が記載されている。上院の法案に部隊昇格といっ た内容は含まれていないが、上院の中には昇格させるべきとするメンバーも一定数 存在する。US Cyber Commandは現在、US Strategic Commandの一部として活動して おり、上位組織からの許可がなければ具体的な活動はできないように統制上なって おり、ホワイトハウスはこの統制変更に反対の立場を明らかにしている。

http://thehill.com/policy/cybersecurity/282133-week-ahead-lawmakers-divided-over-pentagons-cyber-unit

【編集者メモ】(Murray)
この問題は、協議会で議論され決着がつくことを祈っている。国防軍のチェアマン や幹部が出したコメントに、なぜこの変更が必要なのかが記されている。現在の状 態では、いずれの取りくみも上手くいっていない。

https://youtu.be/Q4jQ4gjDE50

◆ Angler Exploit Kit が EMET を回避(2016.6.6)
Angler Exploit Kit が Microsoft の Enhanced Mitigation Experience Toolkit (EMET) による検知を回避するための機能を追加したことが明らかとなった。 Fire Eyeでは、SilverlightやAdobe Flash Playerの脆弱性を悪用し、EMETによる検知を 回避する攻撃ツールの存在を確認しているという。

http://www.scmagazine.com/fireeye-finds-angler-evading-microsoft-emet-on-windows-7/article/501244/
http://www.computerworld.com/article/3079826/security/widespread-exploits-evade-protections-enforced-by-microsoft-emet.html

FireEye ブログ: https://www.fireeye.com/blog/threat-research/2016/06/angler_exploit_kite.html

【編集者メモ】(Murray)
これは修正可能な問題である。EMETにおける最大の問題は、すべての事象を検知で きないことではなく、そもそも有効になっていないことである。多くの管理者は、 EMETが不適切な挙動をするレガシーアプリケーションの動作を止めたりするかもし れないという根拠の無い懸念を抱いている。これらのアプリケーションを特定し、 修正またはリプレースするのではなく、EMETが対応可能な脆弱性を許容し、自組織 だけでなく関連組織をもリスクに晒している。(素晴らしい人たちならば、脆弱な システムをインターネットに接続しないことを)今は、必須としたいが、EMETはデ フォルトで有効にするべきだと考える。
【編集者メモ】(Williams)
このような話題は問題が多く、EMETのような攻撃防止ツールに対する信頼を落とし てしまっている。事実は、EMETが「とても」有効であり、攻撃ツールを作成する人 たちの難易度を確実に引き上げている。EMETを有効にしていない組織は、直ちに有 効にすることを検討していただきたい。また、Export Address Filteringはシェル コードの実行を阻止するために有効であることも付け加える。

◆ SWIFT がサイバーセキュリティ対策を怠っている加盟行とは取引しない予定(2016.6.3)
SWIFTのCEOは、適切なサイバーセキュリティ対策を行っていない加盟行に対して、 SWIFT の利用を一時中断させる措置を取る可能性があることを明らかにした。これ は、バングラデッシュ中央銀行をはじめとする SWIFTを経由した不正送金問題を受 けてのもの。

http://thehill.com/policy/cybersecurity/282114-transactions-network-threatens-to-cut-off-insecure-banks
http://www.theregister.co.uk/2016/06/03/swift_threatens_insecure_bank_suspensions/

【編集者メモ】(Pescatore)
この取組みに対し、拍手を送るところだったが、「セキュリティ問題に適切な対応 を取らない組織に対し、利用停止を考慮する」としており、明確な計画は出してい ない。今のところ公開されているCustomer Security Programme は、PCI に似てお り、これは良くない傾向だと言える。「基本的なセキュリティ対策」またはそれに 似たフレーズと共に、チェックの段階で何かあれば、利用の一時停止をするような 仕組みが見たいのだ。こうすることで、銀行の CEOや幹部に対し、明確なペナルテ ィを提示し、ビジネスに悪影響を及ぼす可能性があることも同時に示すことができ たら対応を検討するだろう。
【編集者メモ】(Williams)
銀行が SWIFTを利用できなくなる、ということは銀行間の送金に手動のプロセスが 多く発生する (つまり間違いも起きる) ことを意味する。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「暗号について」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
暗号という言葉に、複雑さや難しさを感じている方も多いでしょう。しかし、暗
号によって自分がどうやって守られるのか、そして正しく活用するための手順で
あったり、暗号であってもできない限界を理解しておくことは重要です。今月は、
暗号について一般ユーザ向けに分かりやすく解説するとともに、暗号を正しく利
用する方法をご紹介します。 社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201606_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2016年9月8日(木)-9日(金)
2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
2016年9月15日(木)
2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
2016年9月14日(水)
2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2016年9月16日(金)
2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ US Cyber Command がサイバーセキュリティ人材を雇い続けることに苦労(2016.6.7)
US Cyber Commandではサイバーセキュリティスペシャリストを雇うことにプライオ リティを置いているが、適切な人材を雇用し続けることに苦労している。この原因 の一つとして、公的機関と民間企業の給与差が大きいことが挙げられる。US Cyber Command National Mission Force のポール・ナカソネ少佐は「直近の問題は、既 にチームにいる実力ある人材を雇い続けることである」と断じている。

http://www.cio.com/article/3080014/government/u-s-cyber-command-struggles-to-retain-top-cybersecurity-talent.html

【編集者メモ】(Murray)
人材育成をし、雇い続ける方が、リクルートして組織の文化に教化するよりも効率 的だろう。
【編集者メモ】(Murray)
サイバー人材が組織に対し、どのようなことを求めているのかを特定するために、 CSISとSANSがアンケートを行っている。サイバー関係の業務に従事しており、この アンケートに協力したい方は、http://cyberninjas.csis.org/ のアンケートに7月 1日までにお答えください。

◆ シンガポールが、公務員の職場でのインターネットアクセスを禁止に(2016.6.9)
シンガポール政府は、サーバをマルウエアから守り、メールやドキュメントの漏え いを防ぐために、公務員による職場でのインターネットアクセスを禁止することを 決めた。この取り組みは、国内のInformation Development Authorityで試行され、 2017年 5月までには全面的に実施する予定である。インターネットアクセスが必要 な公務員は、専用のインターネットターミナル経由でアクセスすることになる。ま た、個人的なデバイスを使ってインターネットへのアクセスは可能となっている。

http://www.cnet.com/news/singapore-civil-servants-are-set-to-lose-their-internet-privileges/

【編集者メモ】(Williams)
これによって、政府のノートパソコンと個人の携帯電話をテザリングしてポリシー を回避することが容易に想像できる。職員が個人的なデバイスからテザリングをし た場合(いずれは起きることだ)、職員による通信が見えなくなるだけでなく、プロ キシを使った保護やコンテンツ監視のファイアウォールも迂回してしまうことにな る。

◆ 米銀行規制当局が銀行にサイバー窃盗の脅威について注意喚起(2016.6.7)
米銀行規制当局は、バングラデシュ中央銀行で起きた不正送金に端を発したとされ る、銀行に対して行われた一連のサイバー攻撃の形跡が無いか確認を促している。 また、リスク管理の手順と送金システムネットワークの制御の再確認も求められて いる。

http://www.reuters.com/article/us-cyber-heist-regulator-idUSKCN0YT25H

【編集者メモ】(Murray)
バングラデッシュ中銀で起きた不正送金は、複雑な手順を使って行われており、特 別な知識と権限が必要であったことから、内部者による手伝いもあったのではない かと推察される。これは、簡単に他の銀行で行われるとは限らないし、起きること を期待してもいけない。今までの経緯からこのような不正から守る最大の方法は、 お金の引き出しを難しくすることである。匿名なデジタル通貨は、脅しを促進して しまうが、不正な現金が出てくる手助けもしているのだから。

◆ カルガリー大学がランサムウエアによる攻撃で身代金支払いへ(2016.6.7,8)
カルガリー大学は、システムがランサムウエアに感染した後、暗号化されたデータ へアクセスするために2万カナダドル(1.57万 米ドル)を支払ったことが明らかと なった。 この攻撃は、100台以上ものパソコンに影響を及ぼしたもので、大学は最 初の感染から一週間後に身代金を支払っている。大学側の経理とサービス担当の次 長は、大学が身代金を支払った理由として「大学側で作られる情報の品質と性質を 守るため」という点を挙げている。

http://arstechnica.com/security/2016/06/university-pays-almost-16000-to-recover-crucial-data-held-hostage/
http://www.bbc.com/news/technology-36478650
http://www.cbc.ca/news/canada/calgary/university-calgary-ransomware-cyberattack-1.3620979

【編集者メモ】(Murray)
基本的に「善人は身代金を払わない」ものだが、この攻撃者は適正価格を調査し、 適切な価格を付けた。匿名のデジタル通貨(例えば、Bitcoin) は、脅しをリスクの 低い犯罪に変えてしまったようだ。
MIT Technology Reviewの記事によると(http://preview.tinyurl.com/gnfpjhg)、 多くの組織はこれらの通貨を抱えており、このような事が起きた時の支払いに備え ている。なお、自身のパソコンでは、任意のプログラムを書き込む機能によりデー タを非表示にするため注意が必要である。
【編集者メモ】(Paller)
善人がランサムを払うのは、ビジネスへの利益がコストを上回る場合である。
【編集者メモ】(Williams)
私は、攻撃者が支払い可能な額を推測できるよりも早く身代金を支払うことを推奨 している。より多くのお金を要求するのは、攻撃者が大きな組織を相手にできたと きのみに限られるからだ。いずれにしても、データが閲覧できなかった間のビジネ ス損失を考えると 15,700USDの支払いはそれほど大きな金額ではないだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月15日(水)、7月14日(木)、8月26日(金)、9月16日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○7月7日(木)、9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

○7月29日(金)、8月31日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○東京:8月25日(木)、9月15日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。