NRI Secure SANS NewsBites 日本版

Vol.11 No.17 2016年6月28日発行

■■SANS NewsBites Vol.18 No.049, 050
(原版: 2016年6月21日, 6月24日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
◆SANS Tokyoコミュニティ ナイトセッション
 日時:2016年7月4日(月) 18:15~19:30 (受付開始:18:00)
 会場:大手町サンケイプラザ3F ルーム311, 312
 『The Hidden Threat』
 ※同時通訳付き

 講演者:
 Kevin Fiscus(SANS認定インストラクター)

 ▼詳細は こちらから▼
 http://www.nri-secure.co.jp/seminar/2016/sans02.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
 20のコントロールで飛躍的なセキュリティレベル向上
 ダウンロードはこちらから↓↓↓
 https://www.cisecurity.org/critical-controls.cfm
 ----------------------------------------------------

 「SANS SEC566:Implementing and Auditing the Critical Security
 Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
 http://sans-japan.jp/courses/sec566.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

    = SANS Tokyo 2016 =
    http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間] <<満員御礼>>
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間] / 2016年10月17日~21日[5日間]
◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に。
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  [☆日本初開催☆]

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC566:Implementing and Auditing the Critical Security Controls -In-Depth
 Critical Security Controlsを真に理解するならこのコース。
 CSCの実装や監査に必要となるツールやテクニックを習得できます
  [☆日本初開催☆]

◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得。
 最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得。
 マルウェア解析の専門性を高めたい方は必見のコースです
 [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 中国からのサイバー攻撃が減っていることをデータが示している(2016.6.21)
FireEye(Mandiant) によると、中国による米国や他国の政府機関や企業のネットワ ークに対するハッキングが以前と比べ、80%も減少しているという。CrowdStrikeも 同様の減少を確認しているという。

http://www.wsj.com/articles/china-based-hacking-incidents-see-dip-cybersecurity-experts-say-1466467316
http://thehill.com/policy/cybersecurity/284235-security-firm-sees-sharp-decline-in-chinese-hacking

【編集者メモ】(Paller)
中国は、10年以上もの間、多くの人を使い、気になるものを全て入手し、価値のあ るものを見つけ出すというノイズの多いアプローチを使っていた (CIA は、この中 国の手法に「1,000粒の砂」と適切な名前をつけている)。 対してロシアは、必要 なもののみを標的とし、商用のツールに見つからないように隠れ、こっそりとハッ キングを行っている。これまでの中国による攻撃は、上位レベル (主にホワイトハ ウス) からの圧力を受け、こっそりとハッキングを行う手法に切り替えてきたのか もしれない。これらのアプローチが使われると、被害にあった企業は、攻撃を検知 しづらくなり、委託しているインシデントハンドラーを呼ぶ機会が減るのだ。

◆ Acer社からクレジットカード情報が漏えい(2016.6.17,20)
Acer社によると、同社の約34,000人もの顧客情報が漏えいしたことを明らかにした 。漏えいした顧客情報の中には、クレジットカード番号や CVCセキュリティコード などが含まれているという。漏えいした原因については、データが「安全性でない 形式」で保存されていたためとしている。

http://www.zdnet.com/article/acer-online-store-flaw-let-hackers-steal-a-years-worth-of-credit-cards/
http://www.computerworld.com/article/3086155/security/acer-security-breach-exposes-data-of-34500-online-shoppers.html
http://www.scmagazine.com/345k-affected-in-acer-breach/article/504337/

【編集者メモ】(William Hugh Murray)
クレジットカード会社と発行元が、磁気ストライプを廃止し、デジタルトークンを 持つクレジットカード番号に置き換えることを、我々は首を長くして待っている。 Apple、Android や Samsung Pay などのシステムは、当然これらを使う顧客を守る ことができるが、適切に保護されていないクレジットカード番号を取り扱う目的で 下位互換性を持つデバイスを使っている業者は守ることができない。さらに、専門 家でない人達に、PCI を保護する役割を持たせてはいけないことがはっきりした。 オンライン決済を利用している企業の担当者は、PayPal、Amazon、Visa Checkout のほか Master Passなどの決済代行業者を使って顧客のクレジットカード番号を処 理することを検討するべきである。

◆ 米国防総省がDISSを利用開始予定(2016.6.20)
米国防総省が、連邦政府の設備やコンピュータにアクセス可能な職員の身辺調査を 行うために、新たなデータベースの利用を開始するという。このデータベースは、 Defense Information System for Security(DISS) と呼ばれ、現在、この機能を担 っている 2つのツールが実装されている。一つは、Joint Personnel Adjudication Systemで、現在は Joint Verification Systemとして知られている。もう一つは、 Case Adjudication Tracking Systemである。DISS は、職員の継続した評価をサポ ートすることになり、5年に一度再評価される予定となっている。

http://www.nextgov.com/defense/2016/06/pentagon-prepares-launch-mega-database-screening-national-security-workers/129212/?oref=ng-channelriver

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「暗号について」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
暗号という言葉に、複雑さや難しさを感じている方も多いでしょう。しかし、暗
号によって自分がどうやって守られるのか、そして正しく活用するための手順で
あったり、暗号であってもできない限界を理解しておくことは重要です。今月は、
暗号について一般ユーザ向けに分かりやすく解説するとともに、暗号を正しく利
用する方法をご紹介します。 社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201606_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年9月8日(木)-9日(金)
  2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
  2016年9月15日(木)
  2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
  2016年9月14日(水)
  2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
  2016年9月16日(金)
  2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 米連邦準備制度理事会がセキュリティ対策の強化を検討(2016.6.22)
バングラデッシュ銀行から 8,100万 USD が盗まれたことを受け 、米連邦準備制度 (Fed) のジャネット・イェレン理事会議長が、国会議員に対し Fedが特定の取引に 対して「監視の強化」を実装する可能性を示した。米下院金融サービス委員会のミ ーティングにおいてイェレン議長は、Fed のシステムが攻撃による被害を受けてい ないと以前に語っている。

http://thehill.com/business-a-lobbying/284505-fed-weighs-enhanced-scrutiny-on-transfers-after-81m-cyberheist

【編集者メモ】(Pescatore) 米連邦準備制度の監察総監室は、Fed による金融機関のサイバーセキュリティ対策 の監視における実績を監査し、2016年 第4四半期に報告書を公開するとしている。 バングラデッシュ銀行での窃盗は、基本的なセキュリティ対策がされていなかった ことが根幹原因だったことから、OIG はこれらの対策にまず着目すべきだろう。 2015年 1月に FFIECは、銀行向けにサイバーセキュリティの評価ツールを公開して いる。このツールは、サイバーセキュリティの取り組みにおける成熟度を計るため のものである。私は、成熟した取り組みを行っていると評価された機関がどれほど 基本的なセキュリティ対策を行っていないか比較して欲しいと思っている。残念な がら、多くの場合はこのパターンに収まっているのだから。 【編集者メモ】(William Hugh Murray) 多くの商取引は継続したコミュニケーションの一部にすぎない;不正な商取引は、 このコミュニケーションの見た目が違うのだから、コンピュータがこれらを特定す るのは得意であろう。 Chaseは、通常の商取引を妨げずにこれらを発見することに 長けている。この「強化」は、現在の制御ルールを変えるだけで済むかもしれない。

◆ AppleのSafariが、古いバージョンのFlashプラグインをブロック(2016.6.21)
Appleは、Adobeが提供する Flashプラグインの古いバージョンをブロックすると発 表した。Safariのユーザで古いバージョンの Flashを使っている場合、プラグイン のバージョンが古いという警告メッセージが表示されるようになる。ユーザは、そ こから Flashの最新バージョンをダウンロードするか否か選択が可能である。他の メジャーなブラウザも Flashに対し同様の制限をかけ始めている。

http://www.cnet.com/news/apple-blocks-outdated-versions-of-adobe-flash/
http://news.softpedia.com/news/apple-disables-old-flash-player-versions-due-to-security-vulnerabilities-505476.shtml https://support.apple.com/en-us/HT202681

【編集者メモ】(Stephen Northcutt)
これは非常に賢明であり、企業同士がいがみ合っているような形跡も無い。ただ、 Apple がエンドユーザに対して提供するメッセージを変えて欲しいと思っている。 なぜなら、Apple のサポートサイトでは、警告メッセージについて「あなたは古い バージョンの Adobe Flash Player プラグインを利用しており、Safariで Flashコ ンテンツを閲覧しようとした場合、"プラグインがブロックされました" あるいは "Flash セキュリティ警告" や "古いバージョンの Flash" という警告が表示され る」としているからだ。このメッセージは、一つのまとまったメッセージの方が効 果があるように思えるのだ。例えば、"セキュリティ警告、古いバージョンのFlash です" を提案したい。

◆ GAO監査:政府機関は、他国政府を一番のサイバー脅威と考える(2016.6.21)
米会計検査院(GAO) が収集した情報によると、政府機関のシステムに対する脅威で 一番頻度が高く、そして攻撃による影響が大きいものは、他国政府からの攻撃によ るもの、としている。

http://www.nextgov.com/cybersecurity/2016/06/foreign-government-hackers-are-gravest-and-most-common-threat-agencies-say/129280/?oref=ng-channelriver
http://www.gao.gov/products/GAO-16-501

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月7日(木)、9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

○7月14日(木)、8月26日(金)、9月16日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○7月29日(金)、8月31日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○東京:8月25日(木)、9月15日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。