NRI Secure SANS NewsBites 日本版

Vol.11 No.16 2016年6月23日発行

■■■SANS NewsBites Vol.18 No.047, 048
(原版: 2016年6月13日, 6月18日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
◆SANS Tokyoコミュニティ ナイトセッション
 日時:2016年7月4日(月) 18:15~19:30 (受付開始:18:00)
 会場:大手町サンケイプラザ3F ルーム311, 312
 『The Hidden Threat』
 ※同時通訳付き

 講演者:
 Kevin Fiscus(SANS認定インストラクター)

 ▼詳細は こちらから▼
 http://www.nri-secure.co.jp/seminar/2016/sans02.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

    = SANS Tokyo 2016 =
    http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間] <<満員御礼>>
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間] / 2016年10月17日~21日[5日間]
◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に。
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  [☆日本初開催☆]

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC566:Implementing and Auditing the Critical Security Controls -In-Depth
 Critical Security Controlsを真に理解するならこのコース。
 CSCの実装や監査に必要となるツールやテクニックを習得できます
  [☆日本初開催☆]

◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得。
 最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得。
 マルウェア解析の専門性を高めたい方は必見のコースです
 [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 北朝鮮のサイバー攻撃により韓国内の14万台ものパソコンに侵入(2016.6.13)
北朝鮮のハッカーが、韓国内の企業や政府機関など約 160組織で利用しているネッ トワーク管理ソフトウエアを標的とするサイバー攻撃を行い、14万台ものパソコン に侵入したという。攻撃者は、これらのシステムに悪意あるソフトウエアを仕込ん だとされており、さらに大きなサイバー攻撃を行うための土台だったが、韓国当局 によると「攻撃は阻止した」とのこと。

http://www.ibtimes.co.uk/south-korea-thwarted-massive-cyberattack-by-north-targeting-140000-government-private-systems-1565107

◆ 米保健福祉省の IGが医療機器のセキュリティモニタリングを評価予定(2016.6.9)
米保険福祉省(HHS) の監察総監室(IG) が公表した 2016年度中間計画では、米食品 医薬品局(FDA) が実施した無線またはインターネット接続型の医療機器のサイバー セキュリティ制御に関する調査も評価対象に含まれている。また、州のメディケイ ド (編集注:医療保険に加入できない低所得者などに対して適用される公的医療制 度) 局やその請負業者が行った違反に関する検査だけでなく、健康情報の侵害につ いても調査を行う予定だという。

http://www.govinfosecurity.com/monitoring-medical-device-security-to-be-scrutinized-a-9189

◆ NSA が監視のために、インターネットに接続する医療機器を活用する可能性(2016.6.10,13)
NSAのリチャード・レジェット副長官は、ワシントンDCで開催された Defense One Tech Summitにおいて、NSAがモノのインターネット(IoT) を活用した監視活動を検 討していることを明らかにした。これらについて NSAのレジェット副長官は「理論 上のもので、現段階では研究段階である」と前置きした上で、医療機器を利用した 監視は「一つのツール」となるかもしれない、と語っている。

http://www.computerworld.com/article/3082162/security/nsa-interested-in-exploiting-internet-connected-medical-devices-spying-on-iot.html https://theintercept.com/2016/06/10/nsa-looking-to-exploit-internet-of-things-including-biomedical-devices-official-says/

◆ FAA の小委員会が旅客機のサイバーセキュリティ基準について仮合意(2016.6.12)
政府と航空業界の有識者からなる米連邦航空局(FAA) の小委員会が、旅客機のサイ バーセキュリティ基準について仮合意に至ったという。この基準には、重要な安全 装置がハックされた際に操縦席へアラートを出すことが含まれている。議長がどの ような問題を解決したかを簡潔に述べている:補助的な操作から「直接的な攻撃も 気にしなければならないし、間接的な攻撃も気にしなければならない」

http://www.wsj.com/articles/panel-reaches-preliminary-agreement-on-airliner-cybersecurity-standards-1465848030

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「暗号について」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
暗号という言葉に、複雑さや難しさを感じている方も多いでしょう。しかし、暗
号によって自分がどうやって守られるのか、そして正しく活用するための手順で
あったり、暗号であってもできない限界を理解しておくことは重要です。今月は、
暗号について一般ユーザ向けに分かりやすく解説するとともに、暗号を正しく利
用する方法をご紹介します。 社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201606_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年9月8日(木)-9日(金)
  2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
  2016年9月15日(木)
  2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
  2016年9月14日(水)
  2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
  2016年9月16日(金)
  2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 米国防総省主催のバグバウンティコンテスト(2016.6.15)
米国防総省(DoD) が初めて開催したバグバウンティプログラムである「Hack the Pentagon」が開催され、24日間にわたり 1,400人以上が参加したという。アッシュ トン・カーター国防長官によると、参加者は 100以上のセキュリティ問題を発見し たという。

http://www.eweek.com/security/pentagon-bug-bounty-contest-uncovers-at-least-100-vulnerabilities.html

【編集者メモ】(Pescatore)
適切に管理された「バグバウンティ」プログラムは、アプリケーションの脆弱性テ ストに係る契約のハードルを上げている。通常、15万ドル前後の契約だと、納品物 はテンプレート化されたドキュメントに市販されている脆弱性テスト用のツールか ら出力された結果が貼り付けられ、その後に数ページのカスタマイズされたテキス トがあるくらいだ。また、適切に管理されていないバグバウンティプログラムは、 従来の契約よりも酷いだろう。やはり、品質の高いサプライヤーを選ぶことが何よ りも重要である。

◆ 米国防総省(DoD)が、ネットワークアクセスに利用する一般的なアクセスカードを停止(2016.6.14.15)
米国防総省のテリー・ハルボーセン CIOは、ネットワークアクセスに利用する一般 的なアクセスカード(Common Access Cards) を今後 2年間にかけて段階的に停止す る計画を明らかにした。同氏は、「これらのカードが省庁のやりたいことに適応で きない」と述べている。また、今後のITシステムへのアクセスは、多要素認証を用 い、行動と生体認証のコンポーネントを利用する予定。なお、既存の CACはビルア クセスなどに利用を限定して利用される可能性はあるという。

http://federalnewsradio.com/defense/2016/06/dod-plans-bring-cac-cards-end/ http://fedscoop.com/dod-plans-to-eliminate-login-with-cac-cards http://www.nextgov.com/defense/2016/06/dod-plans-eliminate-common-access-cards/129102/?oref=ng-channelriver

【編集者メモ】(Northcutt)
「捨てる」や「段階的に停止する」は、選ぶ言葉として残念な気がしてならない。 これは、過去でも最大級の成功を収めたPKI実装を、2要素認証から多要素認証へア ップグレードし、これを主要な省庁で実装することへの取り組みだ。生体認証のコ ンポーネントはもはや説明不要だろう; 5年前に使っていたノートパソコンに指紋 読み取りデバイスがついていた。行動に関する部分はとても興味深いが、まだ発展 途上で、今後の成熟度によっては実環境で運用できないだけでなく、どこまで運用 に耐えるかも不明だからだ。朝、コーヒーを持ってワークステーションの前に着席 する時と、追撃砲に襲われている時とでは行動は違うだろう。

http://www.isy.vcu.edu/~gdhillon/Old2/secconf/pdfs/22.pdf

◆ SiemensがICS機器の脆弱な認証情報に関してアップデートを提供(2016.6.16)
US Computer Emergency Readiness Team (US-CERT:記事原文は Responseとなって います) が、Siemens SIMATIC WinCC flexible industrial control system (ICS) に含まれる脆弱な認証情報に関してアドバイザリを公開した。Siemens は、この問 題への対策として更新プログラムを提供している。

http://www.theregister.co.uk/2016/06/16/dodgy_creds_found_in_siemens_ics_gear/
http://www.scmagazineuk.com/siemens-update-advised-following-us-cert-advisory/article/503492/

US-CERT アドバイザリ: https://ics-cert.us-cert.gov/advisories/ICSA-16-161-02

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月7日(木)、9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

○7月14日(木)、8月26日(金)、9月16日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○7月29日(金)、8月31日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○東京:8月25日(木)、9月15日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。