NRI Secure SANS NewsBites 日本版

Vol.11 No.36 2016年12月13日発行

編集担当より: もうすぐクリスマスですが、お買いものなどの準備は万全でしょうか。OUCH! には モバイルデバイスなどのデータを安全に消去する方法などが平易にまとめられてい ますので、機種変更などをされる方は参考になるかと思います。

■■SANS NewsBites Vol.18 No.093-097
(原版: 2016年11月22日、29日、12月2日、6日、9日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃2017年2月開催SANSトレーニング受付中!
 ━┛━┛━┛━┛━┛
           = SANS Secure Japan 2017 =
  http://sans-japan.jp/training/event.html

【2月開催第一弾】2017年2月13日~18日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC560:Network Penetration Testing and Ethical Hacking
   -すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得-
 ◆FOR408:Windows Forensic Analysis
-内部不正を突き止めるフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【2月開催第二弾】2017年2月20日~25日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
-ペンテスター、インシデントハンドラーへの登竜門-
 ◆SEC503:Intrusion Detection in- Depth
-セキュリティアナリストとしての分析能力の極致へ-
 ◆FOR508:Advanced Digital Forensics and Incident Response
-外部からの侵入に立ち向かうフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC401:Security Essentials Bootcamp Style】
    最もポピュラーな情報セキュリティのゴールド・スタンダード。
   情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です

  ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 主要ブラウザが SHA-1サポート期限を公表(2016.11.21)
Mozilla、Microsoftおよび Googleは、SHA-1のサポートを終了するブラウザのバージョンをそれぞれ公表した。2017年1月にリリース予定のFirefox 51、Chrome 56、2017年2月14日にリリース予定の Microsoft EdgeおよびInternet Explorer 11からSHA-1をサポートしないという。このハッシュアルゴリズムに関連する問題は 10年前から知られている。

http://www.theregister.co.uk/2016/11/21/microsoft_to_massacre_sha1/

【編集者メモ】(Ullrich)
ssllabs.comというサイトでは、SSLの設定が最新のものかどうかを自身でテストできる。古いデバイスを接続する必要のあるユーザにとっては、SSL に関する精査は大きな問題が生じる。カメラやルータなど多くの古いデバイスだけではなく、サーバ用の管理コンソールである IPMIのLights OutもSHA-1ベースの証明書のみをサポートしている。SHA-1のサポートがなくなった場合、利用しているブラウザがSHA-1のみをサポートしているシステムへ接続できなくなる。例外として、ブラウザが警告をオーバーライドできる場合(すべてのブラウザがオーバーライドを許容していない)は接続できる。新しいブラウザが SHA-1システムに接続できるかテストするだけでなく、SHA-1 システムへの接続用として特定の仮想環境内に古いバージョンのブラウザを入れておくのも良いだろう。バージョンの古いJavaを必要とするシステムや、SSH(SSLではない) をサポートする古い遠隔制御の電源などではSSHクライアントがサポートしていない暗号だけが同様の問題を引き起こす。
【編集者メモ】(Northcutt)
これは待ち遠しい出来事だ。そして Certificate Transparency もあることで、安心してインターネット上で靴を一足買えるようになるだろう。
https://www.youtube.com/watch?v=1NsDKpkugR8
【編集者メモ】(Murray)
この10年もの間、有効で効率の良い攻撃について聞いたことが無い。強いアルゴリズムを選ぶのは、コストがかからないからであり、セキュリティが理由であることはほぼ無い。

◆ 米国防総省の脆弱性情報の開示ポリシー(2016.11.21)
米国防総省(DoD)は、DoDが公開しているウェブサイトの脆弱性について、研究者が発見、報告しても起訴しないというポリシーを制定した。DoD は、バグバウンティプログラムや脆弱性情報の開示ポリシーの制定を支援する HackerOne社と提携している。この DoDの取り組みは、バグバウンティではない。アシュトン・カーター国防長官は、デジタル版「何かを見たら、何かを伝える」ポリシーだとしている。

https://www.washingtonpost.com/world/national-security/hackers-can-now-report-bugs-in-defense-dept-websites-without-fear-of-prosecution/2016/11/21/2605901a-b019-11e6-840f-e3ebab6bcdd3_story.html https://hackerone.com/deptofdefense

【編集者メモ】(Honan)
脆弱性情報の開示やバグバウンティプログラムは、良い取り組みである。しかし、これらの取り組みだけでシステムのセキュリティは確保できない。優れたアプリケーションセキュリティトレーニング、脅威のツリー分析、セキュアなソースコードのレビューやテスト、脆弱性のテスト、SANS Top 25 Most Dangerous Software Errors の啓発などを組み合わせることで、包括的なアプリケーションセキュリティプログラムとなる。

◆ 法案がFBIのデジタル捜査の権限拡大を先延ばしにする(2016.11.17)
米上院議員が、Federal Rules of Criminal Procedure Rule 41 の更新を先延ばしにする法案を提出した。この更新は、複数の米国司法権にあるコンピュータの捜査権限の拡大に関するものである。変更は 2016年12月1日から適用される予定だったが、これにより2017年7月1日まで先延ばしできることになる。

http://cdn.nextgov.com/nextgov/interstitial.html?v=2.1.1&rf=http%3A%2F%2Fwww.nextgov.com%2Fsecurity%2F2016%2F11%2Fsenators-introduce-bill-delay-expansion-fbi-hacking-powers%2F133260%2F%3Foref%3Dng-technology-news-all http://www.nextgov.com/media/gbc/docs/pdfs_edit/111716jm1.pdf

◆ 都市にもリスク:サンフランシスコに対するランサムウエア攻撃で、さらなる被害の可能性も(2016.11.27,28)
San Francisco Municipal Transportation Agency (SFMTA) の支払システムが、ランサムウエアの影響により週末にオフライン状態となった。この攻撃は、11月25日の金曜に開始され、日曜まで行われていた。現在、SFMTA はシステムを利用可能な状態にするための復旧作業を行っており、SFMTAはランサムの金額 73,000 USDの支払いを拒んでいるという。 Wiredによると、最初の攻撃は「概念の実証」(proof of concept)であるとしている。また、重要インフラのエキスパートであるマイケル・アサンテ氏は Wiredに対し、「このインシデントは違うが、高度な攻撃の場合は、制御システムに影響を与えるだけでなく、復旧も困難にする」と語っており、公共のサービスが長期間利用できない可能性がある。

https://www.wired.com/2016/11/sfs-transit-hack-couldve-way-worse-cities-must-prepare
https://www.cnet.com/news/hackers-sf-muni-ransomware-attack-muni/
http://arstechnica.com/security/2016/11/san-francisco-muni-hit-by-black-friday-ransomware-attack/
http://www.csmonitor.com/Technology/2016/1128/Weekend-of-free-rides-follows-ransomware-attack-on-Bay-Area-transit
http://www.darkreading.com/endpoint/san-francisco-transit-agency-earns-praise-for-denying-ransom-request/d/d-id/1327574?

【編集者メモ】(Williams)
従来のランサムウエア攻撃は可用性のみに影響を与えるが、今回の攻撃者は情報も窃取している。SFMTAがランサムの支払いに応じない状況が続いており、攻撃者は30GBの窃取したデータをインターネット上に公開すると脅している。攻撃者は、最初の侵入は管理者が使用するマルウエアに感染したKeygenを介したものだったとメディアに語っている。面白いことに今回 SFMTAを脅迫している人物は、以前にハッキングの被害に遭っているという。
【編集者メモ】(Assante)
この攻撃はおそらく自動化されていて、攻撃対象は偶然選ばれたのだろう。攻撃者たちにとって、攻撃がメディアで大々的に取り上げられてしまったり、法執行機関による優先捜査が行われるような事態になってしまったりするのは、あまり良くないことだ。

◆ Deutsche Telekom のブロードバンドサービス停止の裏に Miraiの亜種(2016.11.28)
Deutsche Telekom の顧客 90万人余りが、週末の間ブロードバンドサービスを利用できなかった。これは、家庭用ルータに対して新たな Miraiボットネットマルウエアに感染させるような攻撃が行われていたことによる影響だとしている。特定のルータを使用している顧客は、11月27日の日曜からインターネット、電話、およびテレビの通信を阻害されていた。Deutsche Telekomは、ソフトウエアのアップデートをリリースしており、顧客に対し、ルータを再起動するように呼びかけている。

http://computerworld.com/article/3145372/security/upgraded-mirai-botnet-disrupts-deutsche-telekom-by-infecting-routers.html
http://www.reuters.com/article/us-deutsche-telekom-outages-idUSKBN13N12K
http://arstechnica.com/security/2016/11/notorious-iot-botnets-weaponize-new-flaw-found-in-millions-of-home-routers/
https://www.telekom.com/en/media/media-information/archive/information-on-current-problems-444862

【編集者メモ】(Ullrich)
攻撃に悪用された脆弱性に関する情報は 2週間前に公開されており、当時はアイルランドにある特定のISPのみが影響を受けるとされていた。Deutsche Telekom のモデムは関連の無い、別のメーカーが作ったものだが、同じ脆弱性の影響を受けた。
Deutsche Telekom のサービス停止は、意図的な攻撃ではなく、Miraiのスキャンツールによる副作用がサービス停止を招いたと考えている。Deutsche Telekomは、素早く対応を行い、影響を受けるユーザに対し、ファームウエアのアップデートを提供した。これは、他の IoTに対する攻撃では見ない例だ。
【編集者メモ】(Honan)
ポート 7547 に対するスキャンの大幅な増加を確認している。これは、IPアドレスが脆弱な機器を利用しているサインである。通信事業者には、顧客に配布している機器に対し、これらの脆弱性への対応を可能な限り早く行うことを推奨する。他の人たちは、適切なDDoS対策が行われているか、自身のシステムを確認するよう推奨する。

◆ 最も危険なサイバー攻撃手法(2016.11.28)
Ed SkoudisやJohannes Ullrich、Michael Assante の3名が、RSA 2016 Conferenceのブリーフィングにおいて、重要インフラや企業、家庭用の IoT機器に関する最も危険なサイバー攻撃手法を語る予定。このウェブキャストは、12月1日 午後1時(E-ST)に予定されている。RSAは、定員を3,000人としており、既に1,600人が登録している。
登録用のリンク: https://www.rsaconference.com

◆ FBIの監視権限拡張が有効に(2016.11.30, 12.1)
Federal Rules of Criminal Procedure の Rule 41に規定される捜査と差押えに関 する変更について、米議員による阻止の試みは成功しなかった。これらの変更によ って、FBI は拡張された監視権限が与えられる。そして、裁判官は、管轄外、ある いは海外であっても犯罪捜査のために政府によるパソコンへのリモートアクセスを 行う令状を発行できる権限も与えられる。

http://www.zdnet.com/article/fbi-gains-expanded-hacking-powers-after-congress-attempt-to-block-fails/
http://computerworld.com/article/3146114/security/senators-fail-to-block-rules-allowing-us-law-enforcement-hacking.html

【編集者メモ】(Henry)
詳細まで確認していないことをあらかじめ断っておく。これまでに行った背景および予備調査の感覚では、「ハッキングを行う新たな権限」と全ての米国民が「背筋が凍る思いをしている」という見出しは大げさに思える。これまでの犯罪捜査では、裁判官は自身の管轄内(例えば、バージニア州の東部地区)にあるパソコンに対してのみ捜査令状を発行することができた。これは、とても限定的な領域である。
昨今の不正侵入や詐欺の多くは、攻撃者のボットネットを悪用したものであり、悪用された機器は国内の様々な管轄領域に置かれている。この変更の焦点は、調査、そして令状を発行する相当な理由に関してブリーフィングを受けた裁判官が自身の管轄外に関する令状を発行できるようになることである (同じ調査において、複数の管轄区域にいる調査官が複数の裁判官が発行した令状を探すより良いと判断) 。

ここで重要なポイントは、コンピュータに対してアクセスするには、そのデバイスが連邦犯罪に加担した、または連邦犯罪に関する証拠を保持している相当な理由を示す必要がある、ということだ。政府によるデバイスに対する無差別なアクセスを許可している訳では無く、現在とても長い、煩雑なプロセスを簡略にしているものとなっている。私は、これを市民の自由や憲法による保護の崩壊とは見ておらず、テクノロジーの進化による法執行機関によるプロセスに対する妥当な調整だと考えている。国民として、政府に与えられている権限を常に評価する必要がある。政府当局が適切に配置されているかを常にモニタリングし、レビューする必要がある。
また、セキュリティとプライバシーのバランスも考慮する必要がある。このルール変更は、今後レビューする必要があるが、初期評価では、バランスが取れているのではないかと考えている。
【編集者メモ】(Pescatore)
テクノロジーは、常に法律よりも早く進む。また、法律によるレスポンスの多くは行き過ぎる。変更されたRule 41 が与える権限の実行は、次の法律と起訴のアクションを起こすことになる -犯罪者やテロリストに対し不安を煽るような適切で的を絞った活用 vs 広範囲な活用による自身に対するサービス運用妨害インシデントや必要性の無い個人情報の漏えい。これは、逆の方向に行き過ぎる可能性がある。
【編集者メモ】(Honan)
米国の国民では無い私から見ると、これは米国政府が米国外の人々のプライバシー権限を軽視している例であろう。別の国が米国に対し同じような法律を作り、外国の警察が米国民のパソコンに対しアクセスを強要できるようになったら、米国政府はどのように反応するだろうか。

◆新しいサイバー攻撃が Shamoon Wiperマルウエアの亜種を利用(2016.12.1)
サウジアラビアの政府機関に対する攻撃では、Shamoon Wiper マルウエアが利用された。Shamoonは 2012年に現れたもので、当時、サウジアラムコに対する攻撃で利用された。このマルウエアは、ファイル共有を有効にし、共通のネットワークファイルに接続することで感染を広げるという。

http://arstechnica.com/security/2016/12/shamoon-wiper-malware-returns-with-a-vengeance/
http://computerworld.com/article/3146355/security/data-wiping-malware-strikes-saudi-government-agencies.html
http://www.darkreading.com/attacks-breaches/organizations-in-saudi-arabia-reportedly-hit-in-destructive-new-shamoon-attacks/d/d-id/1327617?
http://www.eweek.com/security/shamoon-malware-returns-in-new-attacks.html

【編集者メモ】(Assante)
これらのインシデントは、成功した侵入が検知できなかった場合の危険性を表している。これらの攻撃が成功した背景は、侵入者が Windowsドメイン管理者や感染を広げるために使用するファイル共有のロックを解除できるアカウントからユーザーの資格情報を収集するといった、以前からある手法を用いた侵入であった。この一連の攻撃では、セキュリティ対策の中に「攻撃者に与える自由な時間」を可能な限り短くするような環境を作る重要性を説いている。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「クラウドを安全に使用するには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
クラウドコンピューティングは、インターネット上のサービス事業者にシステム
やデータの管理を委託するものです。クラウドの利点は、世界中のどこからでも
アクセスでき、データを誰とでも共有できることにありますが、この仕組みを正
しく理解しておかなければ意図しない情報漏えいにつながる可能性があります。
今月は、クラウドを安全に使用するために必要な注意点について、一般ユーザ向
けに分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201611_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ UKのNHS Hospital Trustがランサムウエアにより一時閉鎖(2016.12.5)
今秋、「大規模なインシデント」により一週間程度の閉鎖に追い込まれた Northern Lincolnshire and Google NHS Foundation が、その原因をランラムウエアによるものだと特定した。この感染により 2,800名もの患者の予約をキャンセルしている。この攻撃で悪用されたランサムウエアは、Globe2と特定されたが、Trust のシステム内への侵入経路については不明である。Trust の広報によるとランサムは支払っていないとのこと。

http://www.zdnet.com/article/ransomware-blamed-for-cyber-attack-which-forced-hospitals-to-cancel-operations-and-shut-down-systems/ems

【編集者メモ】(Murray)
ランサムウエア攻撃に耐えられるように、企業はデータストレージのシステムを再構築する時期に来ている。これを行うには、企業データをデスクトップからサーバに移行し、簡単に書き込み権限を与えず、さらに安定したバックアップを行う必要がある。
【編集者メモ】(Williams)
サービスを数日以上停止させられたのであれば、ランサムを支払わなかったことは名誉なこととは言えない。Trust がフルバックアップをしていたとしても、災害からの復旧プロセスの中に何か問題があったように見える。災害復旧計画を発動させるタイミングは、インシデントが起きる前であって、後ではない。ネットワークをセグメント化することはランサムウエアの広がりを止めるためにも重要である。

◆ 新たな大規模ボットネット(2016.12.2,5)
CloudFlare社のレポートによると、まだ名前のついていない大規模なボットネットが米国西海岸にある企業に対し攻撃活動を行っているとのこと。このボットネットについてCloudFlareは、Mirai との関係性は無いとしている。この新しいボットネットは、11月23日に存在が確認されており、ピーク時400Gbps、継続して300Gbpsで攻撃が行われているという。

http://computerworld.com/article/3147081/security/new-botnet-launching-daily-massive-ddos-attacks.html
http://www.theregister.co.uk/2016/12/05/cloudflare_warns_massive_botnet/
http://arstechnica.com/security/2016/12/theres-a-new-ddos-army-and-it-could-soon-rival-record-setting-mirai/
https://blog.cloudflare.com/the-daily-ddos-ten-days-of-massive-attacks/

【編集者メモ】(Murray)
Obama to Trump "DDoS, IoT Top Cybersecurity Priorities for 45th President"

https://krebsonsecurity.com/2016/12/ddos-iot-top-cybersecurity-priorities-for-45th-president/
Apple iOS のアプリは、デバイスを安全にインターネット上で利用するための模範になっている。多くは、必要な機能のみを搭載すべきで、堅牢なものだけがインターネットから直接アクセス可能になっていれば良いのだ。

◆ Visaがガソリンポンプのチップリーダー搭載の期日を延期する(2016.12.2)
Visaは、ガソリンポンプの支払いシステムにチップリーダーを搭載する期日を2020年10月1日に延期した。元々、ガソリンスタンドのオーナーは、チップリーダーを2017年10月1日 までに搭載しなければならなかった。搭載しなければ、同オーナーは chip-and-pin カードを使った不正な取引に関し、全責任を負うことになっていた。Visaによると「ガソリン業界には特有の事情がある」としており、古いポンプをリプレースしたり、適切なハードウエアとソフトウエアが不足したりしていることなどが理由に含まれるとしている。 Brian Krebs氏は「この延期は、一部の州でガソリンスタンドを悪用したスキミング攻撃が大幅に増えている中で行われた」と語っている。

http://krebsonsecurity.com/2016/12/visa-delays-chip-deadline-for-pumps-to-2020/
https://usa.visa.com/visa-everywhere/security/emv-at-the-pump.html

【編集者メモ】(Pescatore)
本当のリスクという観点から見れば、この延期はビジネス的に納得できる。ガソリンポンプをスキミングして得られるカード番号の数は、それほど多くはないし、ガソリンポンプをスキミングしている人口も元々少ない。例えば、アリゾナ州の統計によると、2016年の9月終わりまでにスキミングされたことが発見されたのは 52件であり、2015年全体では11件であった。これは、被害に遭ったポンプが合計の0.06%から0.26%に上昇したことになり、盗られたカード番号の数もそれほど増えていないだろう。
【編集者メモ】(Ullrich)
EMV チップカードへの移行は、多くのコンシューマに対し混乱を招いている。電子決済システムに対するコンシューマの信頼が失墜していることも考慮した上で EMVを推進するコストを算出しなければならない。Visaは、移行を逆手に取って、新しい端末を使ったデビット取引をすべて自分のところのネットワークを経由させ、市場での地位を確立し、さらに小売り業者に対し、手数料を高くしようとしているのではないかと疑われている。
【編集者メモ】(Murray)
ガソリンポンプは、 ATMと似ており、特殊である。どちらも無人で、クレジットカード番号と PIN番号の両方を取得できる。また、商品に対して高価値の取り引きに使われるため、アカウント番号や PIN番号を取得して収益化できる。そのため、多くのスタンドではポンプでのデビット取引ができないようになっている:店内に入り、現金と同じような感じでの取引になる。これは、ポンプがATMほど安全でなく、PIN番号を保護できず、プログラムの変更に関して耐性を持っていないからである。
また、ロックの種類も少ない上に、鍵の数だけは多い。そして、この問題をさらにややこしくしているのは、業界の慣行として EMVカード上にクレジットカードを誰にでも読める状態で記載してあることだ。私は、まだチップリーダーを搭載したポンプを見ていないが、ATMで使用されているものと同じ dip リーダーになるのではないかと予想している。これは、磁気ストリップカードとチップと磁気ストリップのカートの両方に対応しているものだ。カードが磁気ストリップを使っている限り脆弱であり、簡単に守る方法は無い。

◆ NIST:ソフトウエアの脆弱性を大幅に減少させる推奨事項を公開(2016.12.7)
米国国立標準技術研究所(NIST)が、プログラム開発者向けにソフトウエア内の脆弱性を減らすための推奨事項をまとめたレポートを公開した。このレポートでは、5つの技術的なアプローチが紹介されている: コードが機能することを検証するために数学をベースにしたツールの利用;一つの悪い部分がプログラムすべてに蔓延しないようにモジュールごとにプログラムを書くこと;コード解析ツールの相互接続;適切なプログラム言語の活用;攻撃の標的となるコードを保護するために書く手法を進化・変更させていく、となっている。

https://www.scmagazine.com/nist-report-approaches-to-reduce-software-vulnerabilities/article/577211/
http://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.8151.pdf

◆ レポート:原子力施設におけるサイバーセキュリティのプライオリティ(2016.12.7)
IAEA International Conference on Nuclear Security に向けに作成された論文では、「原子力施設に対し、高まるサイバー脅威の考察と政府と業界に対しサイバー攻撃から原子力施設を守るためのプライオリティをリスト化」している。この論文では、4つのプライオリティをアクションアイテムとして取り上げている: サイバーセキュリティを制度化する;能動的な防御策を備える;複雑なものを減らす;変革を行う、などとなっている。

http://www.nti.org/analysis/articles/outpacing-cyber-threats-priorities-cyber-security-nuclear-facilities-paper/

◆ DoJが海外の証拠を入手するために法改正を求める(2016.12.8)
米国司法省(DoJ)が、 外国のサーバに保管されている証拠を入手するための法案を提出する予定だという。この動きは、アイルランドのサーバに保管されているメールを Microsoftから入手できないとした判決を回避するためのものである。裁判所は、米国と該当する外国との間に国際協定が無い限り、米国当局者はその国の中で保管されているデータを要求できないとしている。

http://thehill.com/policy/cybersecurity/309478-doj-official-well-propose-legislative-fix-on-overseas-digital-evidence

【編集者メモ】(Williams)
これは、裁判所が出した判決に対して予想できた行動ではあるものの、様々な組織が外国にデータセンターを-その国の法律に従って-設置するよう促すだろう。この法案が通ると、外国にも拠点がある企業に負担をかけるだろう。DoJ の要求で外国にあるデータを米国に動かすことは、データが保管されている国から制裁措置が取られる可能性がある。
【編集者メモ】(Murray)
この問題は「法律の改正」ととらえるのは軽率だろう。このような法律を通してしまうと外国にも拠点がある米国企業は、米国の法律と外国の法律を結びつけることになり、他国で歓迎されなくなる可能性がある。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○【東京】12月14日(水)、1月11日(水)、1月26日(木)、2月7日(火)、2月22日(水)
 【名古屋】12月22日(木)
 【Proofpoint】触って実践・体験セミナー
 ~標的型メール攻撃から自社を守る具体的手段~
 http://www.nri-secure.co.jp/seminar/2016/proofpoint01.html?xmid=300&xlinkid=04

○1月12日(木)、2月10日(金)、3月9日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=05

○1月13日(金)、2月9日(木)、3月10日(金)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
 http://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=06

○1月19日
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=07

○2017年2月16日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=08

○2017年2月17日、3月15日
 重要文書はこう管理する! 文書管理で失敗しない3つのポイント
 http://www.nri-secure.co.jp/seminar/2017/doc01.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃Insights 【NEW!】          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 Insightsでは、セキュリティ担当、システム担当はもちろんのこと、経営者
 の方向けにも、情報セキュリティに関するトピックやその解説、コラムなど
 さまざまな情報を紹介していきます。
 第一回目は、「CSIRTの次なる一手~プロアクティブなセキュリティ機能
 構築の必要性~」です。
 https://www.nri-secure.co.jp/security/insights/index.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバー攻撃対策ソリューションキャンペーン    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 いまなら、対象製品にお問い合わせを頂いた方から抽選で、
 野村総合研究所「ITロードマップ プレビュー2017」をプレゼント
 https://www.nri-secure.co.jp/service/targeted_attacks/?xmid=300&xlinkid=12


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。