NRI Secure SANS NewsBites 日本版

Vol.11 No.4 2016年1月28日発行

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 2016年2月東京開催決定!
 ━┛━┛━┛━┛━┛ 世界最高レベルの情報セキュリティトレーニング

       = SANS Secure Japan 2016 =
  http://sans-japan.jp/training/event.html

2016年2月2日、3日、16日、17日、23日、24日[6日間]

◆SEC401:Security Essentials Bootcamp Style <満員御礼>
  最もポピュラーな情報セキュリティのゴールド・スタンダード。
  情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。

2016年2月15日~20日[6日間]

◆SEC503:Intrusion Detection In-Depth
  セキュリティアナリストとしての分析能力の極致へ。
  TCI/IPのセオリー、パケット分析からインシデント調査の実践演習で学んだ
  事項の強化まで、系統的に学習可能。

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ペンテスター、インシデントハンドラーへの登竜門。
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得。

◆SEC560:Network Penetration Testing and Ethical Hacking
  すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得。
  ネットワークや情報システムに関する基本的知識を有している方にお勧めです。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
■■SANS NewsBites Vol.18 No.005, 006
(原版: 2016年1月19日、22日)
◆ 重要な製造業に対する攻撃が倍増(2016.1.15)
米国土安全保障省(DHS)のIndustrial Control System Computer Emergency Respo- nse Team (ICS-CERT)が発行したレポートによると、2014年10月1日から 2015年9月 30日の期間で重要製造分野に対するインシデントの数が上期に比べ倍増したとして いる。ICS-CERTが調査した 295件のインシデントのうち、97件が自動車や航空機を 製造する事業者、または主要な製造業に分類される事業者が影響を受けたという。 その他、エネルギー分野で46件、水道分野は25件、公共交通システムは23件にも上 るインシデントの発生により、それぞれ影響を及ぼしている。

http://www.nbcnews.com/tech/security/cyber-attacks-manufacturing-jumped-past-year-homeland-security-n497441
http://thehill.com/policy/cybersecurity/266081-dhs-critical-manufacturing-cyberattacks-have-nearly-doubled

【編集者メモ】(Murray)
毎年インシデントの数が増えているのは、「フィッシング」が成功し続けているか らだ。これらの攻撃から防御するためには、E-mailを他のビジネスプロセスから分 離する必要があるだろう。ソフトウエアの設定変更が実現できない場合(できるの かもしれないが、やりたくないのかもしれない)は、ハードウェアを実装する必要 があるだろう。価格もそれほど高くなく、効果も高いだろう。

◆ アンドロイド向けのマルウエアが音声ベースの2段階認証コードを盗む(2016.1.13,18)
シマンテック社は、アンドロイド向けに作成されたマルウエアを検知した。このマ ルウエアは、オンラインバンキングを安全に行う際にワンタイムで利用されるパス コードを盗むものである。いくつかの機関は、SMS 経由ではなく音声通話を使って い、ワンタイム用のパスワードを送っているが、Android.Bankosy と呼ばれるマル ウエアは、電話の自動転送やサイレントモードを有効にし、デバイスの所有者が転 送されていることを気づかせないような工夫がなされているという。

http://www.theregister.co.uk/2016/01/18/updated_android_malware_steals_voice_two_factor_authentication/
http://www.pcworld.com/article/3021930/security/android-malware-steals-one-time-passcodes.html

【編集者メモ】(Murray)
「帯域外」は、そのままの意味として捉えればよいだろう。同じデバイスを使って プロセス(オンラインバンキング)に対し認証(ワンタイムパスワードを受信)を 行うのであれば、そのデバイス内でプロセス同士が隔離されているべきである。ア ンドロイドデバイスにおいて、プロセスの隔離は、オンラインバンキングを利用す るユーザでは判断できないだろう。銀行側もアンドロイドアプリのバージョンを使 って判断させることもできない。 UIDやパスワードリプレイ攻撃に比べ、中間者攻 撃(MITM)やワンタイムパスワードに対するセッションハイジャック攻撃を成功さ せるのは難しく、正規のユーザがセッションを確立させる前提が必要なのである。

◆ カジノが情報漏えいに対し調査不足としてTrustwave社を提訴(2016.1.15,16,18)
ネバダ州にあるカジノが情報漏えいに関する調査が不足していたとして Trustwave 社を起訴した。Affinty Gaming による訴状では、Trustwaveの調査を「様々な要素 において不足していた」としている。 Trustwaveは、情報漏えいの原因となるマル ウエアを特定し、削除したと報告したが、2度目の漏えい後に行われた Mandiantの 調査によると最初の漏えいの原因となったマルウエアは、システムから完全に削除 されていなかったことが判明している。

http://arstechnica.com/security/2016/01/security-firm-sued-for-filing-woefully-inadequate-forensics-report/
http://www.theregister.co.uk/2016/01/16/trustwave_sued_by_casino/
http://www.zdnet.com/article/trustwave-sued-over-failure-to-stop-security-breach/
http://thehill.com/policy/cybersecurity/266103-hacked-casino-sues-cybersecurity-firm
https://regmedia.co.uk/2016/01/16/affinity_trustwave.pdf
http://uk.reuters.com/article/uk-ukraine-cybersecurity-malware-idUKKCN0UW0S7
http://cert.gov.ua/?p=2464 (元記事はウクライナ語)

【編集者メモ】(Northcutt)
サイバーセキュリティがビジネスとして広がっていく中で、このような事が起きる のは必然だろう。だからこそ、このような研究は行うべきだと考える。下記のリン ク(SANSおよび私が内容を確認している)は、 Stroz Friedberg社の従業員がここ 数か月で GIAC試験において 85点以上を取っていることに気付いたというものだ。 この企業について詳細は知らないが、この分野にフォーカスをおいていることは間 違いないだろう。
http://www.itbusinessedge.com/slideshows/top-25-cybersecurity-companies-to-watch-in-2015.html

◆ サイバー攻撃による損失で保険会社が訴えられる(2016.1.18)
テキサス州にある製造会社が、メール詐欺によって被った48万ドルの損失に対する 保険金を支払わなかったとして保険会社を起訴した。 Federal Insurance社との契 約によると、パソコン詐欺および送金詐欺による損失で 300万ドルまでを保証し、 控除免責金額は10万ドルであった。 Federal Insuranceは、この詐欺が「金融資産 の偽造」の基準を満たしていないとした上で、「ビジネスメールが攻撃された」ま たは CEO詐欺と判断しているという。

http://krebsonsecurity.com/2016/01/firm-sues-cyber-insurer-over-480k-loss/

【編集者メモ】(Pescatore)
これはサイバー保険の契約に対し、請求を行う際に良く起きることである。 CFOや 法務部門は、保険の契約を見直し、契約内で保障されているものと、保障されてい ないものを特定した上で契約する必要がある。サイバー保険の契約で負債の限度は 無い。また多くの事例から一般的なフィッシング攻撃が成功した時でも負債の限度 は無いことが確認されている。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「タブレットを安全に使用するには」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
タブレットは、コミュニケーションをパソコンよりも手軽にできる便利なツール
ですが、タブレットや個人情報に対する一番の脅威は、ハッカーではなく自分自
身なのです。それは、ハッカーによって攻撃を受けるよりも、自分でどこかに忘
れてしまったり、紛失してしまうというものです。そのため、タブレットを安全
に守るためには、画面の自動ロックやリモートからのトラッキングなどが有効で
す。今月は、タブレットを守るためにできることを一般ユーザ向けに分かりやす
く解説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201601_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2016年2月25日(木)-26日(金)

 ・セキュアEggs(フォレンジック)
2016年3月2日(水)
 ・セキュアEggs(インシデント対応)
2016年3月3日(木)
 ・セキュアEggs(Webアプリケーションセキュリティ)
20116年3月1日(火)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ウクライナの発電所がさらなる攻撃の被害に(2016.1.20,21)
ウクライナの発電所がさらなる攻撃の被害に遭っている。今回は、無料のオープン ソースソフトウエアに含まれるバックドアを悪用するマルウエアが使われている。 このマルウエアは、細工された XLSファイルを使って、メールによるスピアフィッ シングを使い、内部に侵入するというものだが、ESETによると「国家スポンサーに よる攻撃者が通常悪用するものではない」と述べている。

http://www.welivesecurity.com/2016/01/20/new-wave-attacks-ukrainian-power-industry/
http://www.theregister.co.uk/2016/01/21/ukraine_energy_utilities_attacked_again_with_open_source_trojan_backdoor/
http://www.scmagazine.com/new-wave-of-attacks-on-ukrainian-power-plants/article/466473/
http://thehill.com/policy/cybersecurity/266603-security-researcher-ukraine-power-grid-facing-new-wave-of-cyberattacks

◆ ウクライナの発電所に対する攻撃(2016.1.20)
Kim Zetterから「ウクライナの発電所に対する攻撃で把握できていること」と題し た詳細な記事が公開されている。また、このインシデントから上がった質問に対す る回答も含まれているほか、まだ把握できてないことも列挙している。

http://www.wired.com/2016/01/everything-we-know-about-ukraines-power-plant-hack/

◆ ボーイングのサプライヤである FACC AGの株価がサイバー攻撃後に暴落(2016.1.20)
オーストリアにある FACC AGの財務会計部がサイバー詐欺の被害に遭った後、株価 が15パーセント以上下落している。この企業は、ボーイングやエアバスに対し部品 を供給しており、FACCは今回の件を受けて、損失を5千万ユーロ(5.4千万ドル)と 計上している。

http://www.bloomberg.com/news/articles/2016-01-20/cyberattack-sends-shares-of-aerospace-supplier-facc-19-lower
http://www.facc.com/en/News/News-Press/EANS-Adhoc-FACC-AG-UPDATE-FACC-AG-Cyber-Fraud

【編集者メモ】(Northcutt)
こういうことが起きないと、上役の気を引けないかもしれない。
FACC AGや TalkTalk あるいは Targetのような企業が増えれば、多くのお金が動くだろう。
http://www.telegraph.co.uk/technology/internet-security/11951797/TalkTalk-share-prices-drop-almost-11pc-as-Metropolitan-Police-investigation-continues.html
http://www.wsj.com/articles/SB10001424052702304255604579406694182132568

◆ 個人情報に対する免責条項の期限が迫る(2016.1.20,21)
ヨーロッパ連合(EU)のプライバシー規制に従うと、2016年1月31日までに EUのデー タに関するセキュリテイとプライバシーの懸念を取り除かなければ、米国とEU間で データ通信を制限する可能性が出てきた。昨年末、欧州裁判所によって米国とEU間 の免責条項の合意が無効である判決が出されたが、その理由として、米国の監視行 為に対する懸念などを挙げていた。通信の制限が実際に行われるか否かは、2016年 2月2日に行われる Article 29 Working Partyによる会議で決定される見込み。

http://thehill.com/policy/cybersecurity/266572-eu-regulators-could-freeze-safe-harbor-alternatives
http://www.csmonitor.com/World/Passcode/2016/0120/What-the-end-of-Safe-Harbor-means-for-the-digital-economy
http://www.reuters.com/article/us-eu-dataprotection-usa-idUSKCN0UY2Y7

【編集者メモ】(Murray)
この免責条項の合意が無効にされたのは、ヨーロッパの法律ではプライバシーを侵 害された住民に対し解決策を提供しなければならないが、ほかに具体的なものがな く「解決策が無い状態」になってしまったからである。当の米国民も、損失を証明 することが難しいため、あまり起訴に成功していないため、(米国民に与えられる 解決策として)起訴するという選択肢すらない可能性も高くなっている。ちなみに ヨーロッパの法律においては、このような前提は必要ない。いずれにしても、米国 からヨーロッパに対し、自国民以上に与えられている権利を他国に対して与えるこ とは無いだろう。
【編集者メモ】(Liston)
この交渉における最大の難関は、情報漏えいに対し「被害」をどのように証明し、 どこまで証明すれば責任が企業側に移るのかという根本的な思想の違いから来てい る。米国がEUからのプレッシャーにより証明しなければならない被害の要件を緩和 するとは思えない。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月10日(水)、3月8日(金)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=11

○2月18日(木)
 SANSコミュニティナイトセッション
 -Network Early Warning Systems Against The Current Cyber Threats-
 http://www.nri-secure.co.jp/seminar/2016/sans01.html?xmid=300&xlinkid=11

○2月23日(火)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=12

○3月9日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015 【無料】<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを
 通じて得られたデータの分析を基に現状の攻撃・防御傾向を分析。
 2005年度以降毎年発表しており、今回で11回目となる独自調査レポート。
 http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃ニュースリリース                  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアがクレジットカード情報漏えい事故に関する専門調査機関として
 認定される ~日本企業で唯一、PCI DSSの4つの認定を取得~
 http://www.nri-secure.co.jp/news/2016/0113.html?xmid=300&xlinkid=15

 PFI クレジットカード情報漏えい調査サービス
 http://www.nri-secure.co.jp/service/assessment/pfi.html?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
 http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=21

●スパムや標的型メール(スピアフィッシング)に対して機械学習技術で検知・排除
 統合型メールセキュリティソリューション「Proofpoint」
 http://www.nri-secure.co.jp/service/others/proofpoint.html?xmid=300&xlinkid=22

●FireEye独自の手法で、既知・未知に依存せず、脆弱性攻撃、マルウェアを検知
 「FireEye管理サービス」
 http://www.nri-secure.co.jp/service/mss/fireeye.html?xmid=300&xlinkid=23

●C&Cサーバアクセス時の通信内容やDNSクエリを監視し、マルウェアの侵入を検知
 「Palo Alto PAシリーズ管理サービス」
 http://www.nri-secure.co.jp/service/mss/paloaltopa.html?xmid=300&xlinkid=24

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 標的型攻撃対策ソフトウエア「FFR yarai」
 http://www.nri-secure.co.jp/service/yarai/index.html?xmid=300&xlinkid=25

●クラウドで、国内外のPC端末のセキュリティ状態を自動診断。パッチも強制適用
 クラウド型PCセキュリティ管理ツール「SecureCube / PC Check クラウド」
 http://www.nri-secure.co.jp/service/cube/pccheck.html?xmid=300&xlinkid=26

●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績
 再診断無料「セキュリティ診断(脆弱性診断)」
 http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=27

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃セキュアファイル転送ASP「クリプト便」導入事例を追加<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○住友生命保険相互会社様
 保険加入者の個人情報の受け渡しにクローズド送信機能を活用して
 誤送信による情報リスクの極小化を達成
 http://www.nri-secure.co.jp/service/crypto/case/sumitomoseimei_hoken.html?xmid=300&xlinkid=28

○第一生命カードサービス株式会社様
 クリプト便オートパイロットオプションで大幅なコスト削減と
 業務の効率化を実現
 http://www.nri-secure.co.jp/service/crypto/case/daiichilife-card.html?xmid=300&xlinkid=29
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。