NRI Secure SANS NewsBites 日本版

Vol.11 No.5 2016年3月2日発行

■■SANS NewsBites Vol.18 No.007 - 016
(原版: 2016年1月 26 日 - 2月 26日)
【編集担当より】
配信が遅れておりましたが、今週より再開いたします。今週は、これまでに原文で 配信された10日分の記事をまとめてお送りいたします。

◆ FBIのネットワーク調査手法によってユーザの身元が判明(2016.1.21,22)
Washington Post誌による匿名の情報源によると、FBIがTorネットワークを利用し ていたユーザの身元を特定するためにスパイウエアを使用していたという。昨FBI はTorネットワーク内で隠されていた違法なウエブサイトを押収したが、サイト運 営者を特定し、証拠も集めるためにサイトでマルウエアを実装し、2週間もの間サ イトをそのまま稼働させていたという。 連邦裁判所によりこの調査手法は許可さ れており、FBIは2013年にもTorMailを押収する際にも同様の手法を使っていた。

https://www.washingtonpost.com/world/national-security/how-the-government-is-using-malware-to-ensnare-child-porn-users/2016/01/21/fb8ab5f8-bec0-11e5-83d4-42e3bceea902_story.html?postshare=6721453401674096&tid=ss_tw
http://arstechnica.com/tech-policy/2016/01/after-fbi-briefly-ran-tor-hidden-child-porn-site-investigations-went-global/
http://www.scmagazine.com/fbi-faces-allegations-of-infecting-innocent-tormail-users-with-spyware/article/466942/
http://motherboard.vice.com/read/fbi-may-have-hacked-innocent-tormail-users

◆ フォーティネット製品のSSH実装にバックドア(2016.1.22,23,25)
フォーティネット社は、提供している新しい製品も含む、いくつかの製品の SSH実 装にバックドアが見つかったと報告している。また、ハードコードされたパスワー ドのアカウントは、「リモート管理」機能に関連しているとフォーティネット社は 報告している。

http://www.theregister.co.uk/2016/01/23/thought_you_were_safe_from_the_fortinet_backdoor_think_again/
http://www.computerworld.com/article/3025913/security/fortiguard-ssh-backdoor-found-in-more-fortinet-security-appliances.html
http://arstechnica.com/security/2016/01/secret-ssh-backdoor-in-fortinet-hardware-found-in-more-products/
http://www.govinfosecurity.com/fortinet-finds-more-ssh-backdoors-a-8826
http://www.scmagazine.com/fortinet-on-ssh-vulnerabilities-look-this-really-isnt-a-backdoor-honest/article/467066/

【編集者メモ】(Ullrich)
この脆弱性を探索するスキャンは既にたくさん行われており、素早い対応が必要で ある。脆弱なファイアウォールへアクセスできた場合、攻撃は比較的容易になるか らだ。
【編集者メモ】(Honan)
私は、このフォーティネット製品に含まれるバックドアに関するニュースや、今年 の初めに報道されたジュニパー製品に関連した類似の問題を聞いたネットワーク製 品を開発しているベンダが、すべてのコードを検査し、このような問題を取り除い てくれることを願っている。

◆ 米国の新しい政府機関が身元調査を行う(2016.1.22.25)
米国政府は、政府の従業員および契約者に関連した身元調査を、新しい政府機関が 行うと発表した。人事局(OPM)の Federal Investigative Services (FIS)は、今後 National Background Investigations Bureau (NRIB) に統合される。国防総省は、 「NBIBが身元調査を行うためのシステムの設計、構築、セキュリティおよび運用に 関する責任を負う」としている。

https://fcw.com/articles/2016/01/22/nbib-clearance-noble.aspx
https://www.whitehouse.gov/blog/2016/01/22/way-forward-federal-background-investigations
http://www.nextgov.com/cybersecurity/2016/01/after-opm-hack-pentagon-store-and-secure-sensitive-security-clearance-docs/125338/?oref=ng-HPtopstory
http://thehill.com/policy/cybersecurity/266721-pentagon-will-secure-opm-background-checks-after-hacks
http://www.v3.co.uk/v3-uk/news/2443093/us-government-changes-personnel-data-processing-after-opm-hack

【編集者メモ】(Ullrich)
大きな標的を作ることは、大規模な漏えいのリスクを増やすことと同じだ。標的を 他の組織に移したところで何も変わらず、データの管理をもっと厳格にしなければ ならない。データ管理のポリシーには、保存に関する条項が必要である。その中に 調査が完了した、または利用しなくなった生データについてオンライン上からのア クセスを制限する必要がある。
【編集者メモ】(Honan)
セキュリティ事故が起きた後に組織の名前を変更するのは、ブランドの評判を守る ための手段ではあるが、セキュリティの基本は無視してはいけない。この新しい組 織において、セキュリティに関する予算の方が、組織名を変更するための予算より もはるかに大きいことを祈っている。

◆ 産業制御システムにおいてインシデントレスポンスが難しい理由(2016.1.28)
産業制御システム(ICS) 環境の中で行うインシデントレスポンスは複雑だ。純粋な IT環境で行うインシデントレスポンスにおける手順の一部はICS環境では使えない。 さらに、電力や製造工場のネットワークオペレータは、システム停止や中断をした くないためパッチを適用しないことが多い。

http://www.darkreading.com/perimeter/how-incident-response-fails-in-industrial-control-system-networks/d/d-id/1324094

【編集者メモ】(Pescatore)
これは、IT/OT (IT Operations Technology) という大きなカテゴリに分類できるも のだ。 多くのセキュリティに関する計画、ポリシー、規制は、この二つのエリアを 広くカバーできていない。ICSは良い例だ。医療システムも良い例である。対応する ための多くの優れたガイダンスが公開されているが、 最終的に、組織のトップから スタートしなければならない。CIOたちは、同じ問題を抱えているのだ。 【編集者メモ】(Murray)
これが態度の問題であることは変わっていない。これらのシステムが公共のネット ワークに接続されているのは、オペレータを楽にするためなのだ。オペレータたち は、これらのシステムやアプリケーションへ容易にアクセスし、単純な問題を解決 していくことの方が、攻撃者によるアクセスや攻撃への対応よりも大事だと思って おり、 DHSも説得してしまった。彼らのガイダンスは、パッチ適用やアクセス制御 (ホワイトリスト)などにフォーカスしており、リモートアクセスの安全性や強力 な認証などは後回しにされてしまっている。ここ10年で悪意あるセキュリティは、 事故によるセキュリティに抜かれてしまったのが現実である。
【編集者メモ】(Liston)
ICS 環境は、一般のネットワークと(ほぼ)同じくらい存在しているにも係らず、 セキュリティに関してあまりにも無関心だ。ICS 環境の中で行うIRは特別なスキル だ。通常のIRで利用するツールやテクニックももちろん使えるが、新たなツールや スキルが必要である。

◆ イスラエルの規制機関がランサムウエアの被害に(2016.1.27,28)
イスラエルの電力機関に対するサイバー攻撃に関する報道は事実と違っている。同 国の電力担当大臣は、「過去最大に近いサイバー攻撃」の標的になったとしている が、問題の原因はランサムウエアによるものであることが判明した。また、SANSの Rob Lee は、電力機関は行政を行う機関であり、「イスラエルの電力会社のネット ワークや通信、送電と関係が無い」と述べている。

http://www.theregister.co.uk/2016/01/28/israel_power_grid_attack_boring_ransomware/
http://www.computerworld.com/article/3026609/security/no-israels-power-grid-wasnt-hacked-but-ransomware-hit-israels-electric-authority.html

【編集者メモ】(Murray)
攻撃者がバンキングシステムを迂回して電子通貨を使えるということは、犯罪者の リスクを下げるだけでなく、一般市民がゆすりなどを受けるリスクがあることを同 時に挙げている。
【編集者メモ】(Honan)
メインストリームのメディアと接する人たちは、Rob Leeのアプローチを見習って、 このような出来事に対してコメントをすべきだろう。彼の報告は、きちんと調べた 結果からの分析であり、憶測や過剰な言いまわしなどは含まれていない。

◆ レノボ社が、SHAREitの問題に対応(2016.1.27)
レノボ社は、提供している SHAREitと呼ばれるファイル共有のユーティリティに含 まれる複数の脆弱性を修正した。これらを悪用すると、共有されたファイルにアク セスされ、コピーを作成されるという。脆弱性の中には、 Windows版のみが影響を 受けるハードコードされたパスワードの脆弱性や、Windows および Android版が影 響を受けるファイルを平文のまま転送させるなどの修正も含まれる。 Windowsユー ザは、アプリケーションを 3.2.0、Androidユーザはアプリケーションを3.5.88_ww にそれぞれアップデートすべきだろう。

http://www.computerworld.com/article/3026348/security/lenovo-fixes-hard-coded-password-in-file-sharing-utility.html

◆ 個人情報に対する免責条項の期限が過ぎ合意への調整が進む(2016.1.29, 2016.2.2)
米国とヨーロッパ連合(EU)間で交わされる「個人情報免責条項」について、合意形 成の期限は2016年1月31日であった。 以前合意していた条項は、昨年の春、EU住民 のプライバシーを適切に保護していないことなどを理由として、欧州連合司法裁判 所によって無効化されている。

http://thehill.com/policy/cybersecurity/267518-week-ahead-safe-harbor-talks-go-down-to-the-wire
http://www.computerworld.com/article/3027610/data-privacy/no-agreement-as-deadline-to-replace-safe-harbor-nears.html
http://arstechnica.com/tech-policy/2016/02/us-and-european-union-fail-to-strike-deal-on-new-safe-harbour-pact/

【編集者メモ】(Honan)
期限は過ぎたが、交渉は本日も続いており免責条項の合意がなされたようだ。この 合意は、過去に出た判決の要求を満たすだけでなく、欧州連合司法裁判所の懸念も 払拭しなければならないものになるだろう。
http://fortune.com/2016/02/02/looks-like-data-will-keep-flowing-from-the-eu-to-the-u-s-after-all/

◆ Apacheサーバのデフォルト設定が Tor サイトを暴露(2016.2.1)
Apache http サーバでデフォルト設定を利用している場合、Tor ウェブサイトの位 置情報を晒してしまう問題があることが明らかとなった。Apacheを利用しているサ イトは、mod_statusモジュールを無効化する必要がある。このモジュールは、サー バの状態を記すページを表示するものだが、その中は機密情報も含まれているとい う。

http://arstechnica.com/security/2016/02/default-settings-in-apache-may-decloak-tor-hidden-services/
http://www.scmagazine.com/apache-server-default-setting-leaves-tor-users-identities-vulnerable/article/470268/

【編集者メモ】(Ullrich) すべての Apacheサーバは、mod_status の結果を晒すことのない状態で運用すべきである。これは、Torだけの問題ではないが、Torの問題が大きく取り上げられているのは、 Torが匿名性を確保するとしているからだ。しかしながら、Torを使うほどの重要なコンテンツを提供しているのであれば、コンテンツを配信するためのインフラについて、もう少し配慮しても良いのではないだろうか。 【編集者メモ】(Liston) mod_statusのページを見える状態にすること自体が良くないことだと思っている。これだけは、覚えておいて欲しい。「Torは、サイト管理者のずさんな行為を直すことはできない」

◆ 「何も見えなくなる(Going Dark)」は誇張していると報告された(2016.2.1)
ハーバード大学の Berkman Center for Internet & Societyからの報告によると、 米国の法執行機関が懸念している、暗号を使うことでテロリストの行動を「見えな くする」という指摘は、問題を誇張していると指摘した。報告の中では、暗号が使 われることで監視活動が少し制限されることがあるとしたが、インターネットに接 続されるデバイスが増えることで、「このギャップを埋めることができるだけでな く、政府が新たな方法を使って」監視を続けることができる、と述べている。

http://thehill.com/policy/cybersecurity/267717-law-enforcement-overstating-going-dark-warnings-study-finds
http://www.computerworld.com/article/3028106/security/harvard-study-refutes-going-dark-argument-against-encryption.html
http://www.zdnet.com/article/encryption-not-as-bad-for-police-as-first-thought-study-finds/
http://www.cnet.com/news/law-enforcements-encryption-claims-overblown-study-finds/

【編集者メモ】(Northcutt)
私はこの問題について研究をしている。「何も見えなくなる」という事象は、何に もログインしない、スクリプトも実行しない(ありえないはず)限り、不可能であ る。今までの研究の成果は以下のリンクより参照できる。更新も随時する予定だ。
http://securitywa.blogspot.com/2015/12/browser-safety-digital-cover-and.html

◆ 新しいツールがCCDC と CyberPatriot Regional Competitionの準備を促進(2016.2.2)
多くのチームが地域大会に向けて準備を進めている。とある地域大会で良い成績を 収めたチームのコーチが、ハンズオンで必要なスキルを身につけるためのアドバイ スを提供している。このコーチがアドバイスを提供しているのは、CCDCの最終目標 が大会に勝つことでは無く、国内で優秀な人材を育てるためとしている。 「pivotproject.orgで提供されているハンズオンは、CCDCに参加しているチームに ゲームを有利に進めるためのスキルを養う: Linuxコマンド、ネットワークのセキ ュリティとフォレンジック」となっている。CyperPatriotで成功を収めているコー チからも「CyberPatriotチームを指揮している人でチームのスキルを向上させたい のであれば、Pivotの問題(特にコマンドラインとNmap) を追加することで、実りあ る楽しいトレーニングになるだろう」と見解を述べている。 pivotproject.org の 問題は、Ed Skoudisのチームが BSides と高校・大学の先生から協力を得て作成さ れたものであることだろう。これらは、ハンズオンのスキルを高めたい人向けのも ので、大会に出る人のためだけにあるものではない。 pivotproject は、フィード バックや新たな問題のアイデアを提供した人に対し、Amazonの商品券を謝礼として 提供している。

問題のサイト:http://pivotproject.org/

◆ 原子力規制委員会の元職員がスピアフィッシングの容疑を認める(2016.2.2,3,4)
米国エネルギー省(DOE) の元職員が不正アクセスと保護されているパソコンに対し 損害を与えるため、元同僚を標的にスピアフィッシングを行った容疑を認めた。チ ャールズ・ハービー・エクルストンは、フィッシングメールの受信者にリンクをク リックさせることで DOEのネットワーク内にマルウエアを侵入させ、機密情報を漏 えいさせようとした疑いが持たれている。エクルストンは、2010年に解雇されるま で DOEの原子力規制委員会(NRC) で業務に従事していた。2013年には、エネルギー に関する機密なデータを海外に売ろうとしていた件も容疑が持たれているという。

http://www.scmagazine.com/former-doe-staffer-nailed-for-attempting-spearphishing-attack/article/470959/
http://arstechnica.com/tech-policy/2016/02/former-energy-department-employee-admits-trying-to-spear-phish-coworkers/
http://thehill.com/policy/cybersecurity/267953-former-doe-employee-admits-to-hacking-scheme
http://www.theatlantic.com/technology/archive/2016/02/fired-federal-employee-tried-to-launch-cyberattack-on-nuclear-scientists-computers/459894/
http://www.justice.gov/opa/pr/former-us-nuclear-regulatory-commission-employee-pleads-guilty-attempted-spear-phishing-cyber

【編集者メモ】(Williams)
この事例は、今後もセキュリティ意識啓発トレーニングを続けていく必要性を示唆 している。次回の意識啓発トレーニングにおいて職員に伝えるべき内容として、元 職員や不満を持っている職員が正式なメールに似せて作ったスピアフィッシングの メールを送ることがあるということだ。メールをきちんと分析することで救われる ことがあるだろう。
【編集者メモ】(Paller)
内部の職員は、良く作られたスピアフィッシングメールを見分けられないだろう。 米国政府は、豪州政府から(過去にスピアフィッシングにより大被害を負った)事 例について学ぶべきで、高度なアプリケーションホワイトリスト方式を実装するべ きだ。

◆ GoogleがChromeのセーフブラウジング機能を拡張(2016.2.3)
Googleのセーフブラウジング機能は、ユーザを騙し、アカウントの認証情報を入力 させたり、ソフトウエアの更新に見せかけたマルウエアをダウンロードするオンラ イン広告に対し保護を行う機能拡張を行った。悪意あるサイトと判定された場合、 Chromeは赤い画面を表示し、テキストで警告を出すという。

http://www.computerworld.com/article/3029735/internet/google-expands-chromes-safe-browsing-defenses-to-sniff-out-ad-scams.html

【編集者メモ】(Pescatore)
Google がセーフブラウジング機能を提供してから8年が経過しているが、良い成果 を上げているように思える。保護をブラウザベンダに任せるのではなく、ゲートウ ェイで同じようなことをISP側でもやることができたら効果はさらに高まるだろう。 FCC Communications Security, Reliability, and Interoperability Council のワ ーキンググループでは、このような議論はされるのだが、実際の行動は起こせてい ない。
【編集者メモ】(Paller)
ジョン (Pescatore)よ、良いアイデアだ。しかし、私は過去に効果的にセキュリテ ィ対策を議論する FCC CSRICワーキンググループの主査を務めたことがあるが、そ の中で学んだのは、FCCのスタッフは、ISPに対し、セキュリティを向上させるため の施策を提案することを非常に怖がっている。なぜならば、大規模 ISPは政府の従 業員に対し毎年100万ドルの給料とボーナスを支給しているが、この支給は、FCCが ISPのビジネスを妨げないようにするための手付金みたいなものであろう。 また、 お金を委員会にばら撒き、政治的な力を使い、 FCCスタッフをねじ伏せたりするこ ともある。とても悲しいことだ。

◆ WordPressで構築されたサイトがランサムウエアを配布(2016.2.4)
CMSのWordPressを実装している多くのウェブサイトが改ざんされ、サイト訪問者の パソコンをランサムウエアや他のマルウエアに感染させているという。これらの攻 撃は、Adobe Flash・Reader、Microsoft SilverlightおよびInternet Explorer に 最新のパッチを適用していないバージョンを使用しているパソコンに対し被害を拡 大させている。

http://arstechnica.com/security/2016/02/mysterious-spike-in-wordpress-hacks-silently-delivers-ransomware-to-visitors/

関連した話だが、WordPressは自動アップデートで2つの脆弱性と17個のバグを修正 したバージョンを提供している:
http://www.eweek.com/security/wordpress-update-patches-pair-of-vulnerabilities.html

◆ GPS衛星が誤った時間を通知(2016.2.4)
2016年1月26日、15個ものグローバル・ポジショニング・システム(GPS)の衛星が 誤った時間を通知していたことが発覚した。問題の原因は、古い GPS衛星を退役さ せた際に共通のタイミングシグナルに 13マイクロ秒のずれが生じたことによる。 時間の計測は通信事業者のネットワーク内でデータの流れを制御するために利用さ れている。この問題により、デジタルラジオの配信に影響を及ぼしたという。

http://www.airtrafficmanagement.net/2016/02/glitch-in-time/
http://www.navcen.uscg.gov/pdf/gps/AirForceOfficialPressRelease.pdf
http://www.bbc.com/news/technology-35491962
http://www.bbc.com/news/technology-35463347

【編集者メモ】(Northcutt)
GPSはネットワーク・タイム・プロトコル(NTP)を実装しており、SIEMと通信する ログサーバに対しデータを送るセンサーの時間を同期するために利用されている。 インシデント発生時に時系列で事象を整理する際、時間を信用できない場合、多く の労力を費やすことになるだけでなく、証拠の認容性が落ちることになる。そのた め、同期に関しては、検知、報告そして対応をすべきである。
http://www.gpsntp.com/
http://www.ntp.org/ntpfaq/NTP-s-refclk.htm
http://www.cisco.com/c/en/us/support/docs/ip/network-time-protocol-ntp/116161-trouble-ntp-00.html

◆ NSA が組織改編(2016.2.2)
米国家安全保障局(NSA)が組織改編を予定しており、無線諜報本部と情報保証本 部を統合し、作戦本部を新たに作ることを明らかにした。 攻撃と防御のオペレー ションを一つにすることで、 「統合コラボレーション」が期待できるとしている が、「あまりにも文化が違い過ぎる」という懸念も上がっている。

https://www.washingtonpost.com/world/national-security/national-security-agency-plans-major-reorganization/2016/02/02/2a66555e-c960-11e5-a7b2-5a2f824b02c9_story.html

◆ 管理者権限を無くすことで多くのWindowsに含まれる脆弱性を防ぐことが可能(2016.2.4)
最近のレポートによると、公開されたWindowsの深刻な脆弱性のうち85%は、管理者 権限が無くなることで防げたという。また、公開されたInternet Explorer (IE)の 深刻な脆弱性のほとんどは同様の行動を取ることで防げたという。

http://www.zdnet.com/article/most-windows-flaws-mitigated-by-removing-admin-rights-says-report/

【編集者メモ】(Pescatore)
自社の製品が問題を解決するというベンダ発信のレポートには、いつも同じコメン トをするのだが、Critical Security Controls のバージョン6では、管理者権限の 適切な利用がバージョン5では#12だったのが、#5まで上げられている。管理者権限 をビジネス上必要な最低限の人数に与え、そして、その管理者権限でできることも 制限することもそれほど難しくは無い。また、経営およびソフトウェアをあまりイ ンストールしないユーザからも抵抗は少ないだろう。この問題の舞台は、むしろモ バイルデバイスに移動していると考える。
【編集者メモ】(Murray)
未だに管理者やrootのIDおよびパスワード共有が多すぎると思う。共有されている ことで重大な行動に対し、説明責任が無くなってしまうのだ。
【編集者メモ】(Weatherford)
私は、以前から管理者用のアカウントが作成または変更された時に警告または通知 を出すことを推奨している。
【編集者メモ】(Ranum)
私はこれに 「85%のパソコン侵入は、自身の過失によるもの;根本原因は、愚かさ と怠慢」というタイトルを付けるだろう。
【編集者メモ】(Honan)
これは新しい話ではない。2009年に公開されたレポートによると、深刻な脆弱性の うち92%は、 システム内で設定されているユーザの権限レベルを落とすことで防げ たとしている。

http://www.zdnet.com/article/report-92-of-critical-microsoft-vulnerabilities-mitigated-by-least-privilege-accounts/
また、NSAが 2013年に公開したガイダンスには、ローカルシステム内での管理者権 限の利用を制限するよう推奨している。ローカルシステム内での管理者権限の利用 は、使い勝手の良さがセキュリティよりも優先される典型的な例である。マイクロ ソフトからこの問題を解決する方法のガイダンスが公開されている。

https://technet.microsoft.com/library/cc700846.aspx
http://blogs.technet.com/b/rhalbheer/archive/2010/12/05/mitigating-the-use-of-local-admin.aspx

◆ DHSとFBIの職員データが漏えい(2016.2.7,8)
何者かによって9,000人の米国土安全保障省(DHS) の職員と20,000人ものFBI職員に 関する個人情報がオンライン上で公開された。攻撃者であると自称している人物に よると、この情報は米司法省(DOJ) 内のパソコンから窃取したもので、乗っ取った DOJメールアカウントを悪用したという。

http://www.cnet.com/news/need-to-call-the-fbi-hacker-offers-you-20000-numbers/
http://www.darkreading.com/attacks-breaches/us-doj-dhs-yet-to-confirm-breach-leak/d/d-id/1324224?
http://thehill.com/policy/cybersecurity/268037-senate-energy-bill-aims-to-fight-power-grid-hackers
http://thehill.com/policy/cybersecurity/268594-hacker-dumps-10k-dhs-employees-data-threatens-fbi-next
http://www.computerworld.com/article/3030983/security/hackers-breach-doj-dump-details-of-9-000-dhs-employees-plan-to-leak-20-000-from-fbi.html
http://motherboard.vice.com/read/hacker-plans-to-dump-alleged-details-of-20000-fbi-9000-dhs-employees

◆ ホワイトハウスがCISOを募集(2016.2.9)
ホワイトハウスがサイバーセキュリティを統括するCISOを募集している。この人物 は、連邦政府のCIOであるトニー・スコット氏に報告を行うことになる。

http://www.zdnet.com/article/white-house-wants-to-hire-its-first-chief-information-security-officer/
https://www.usajobs.gov/GetJob/ViewDetails/428904900

【編集者メモ】(Murray)
同僚であるPeter Browne氏からの教訓によると、CISOは採用面接の時に、成功する ために必要な予算、権限、人間関係、地位、役職、報告する人物 (CIO ではない誰 か、Browne氏は、自身を雇った幹部の同格の人物を指名した) などを交渉すること になる。しかし、賃金や特典などは無視して良いだろう。前者を得ることができれ ば、後者は勝手についてくるものだから。

◆ IRSがeFileのPIN番号が攻撃者によって取得されたことを認める(2016.2.10,11)
米国税庁(IRS)によると、サイバー犯罪者によって IRS.govのウェブサイトからPIN 番号を奪われ、これを使い偽の納税申告を提出されたことが明らかになった。 攻撃 者はボットを使い、社会保障番号(SSN)番号をシステムに入力し、10,000回以上、 ログインに成功している。攻撃者は450,000以上のSSNを試行したことが確認されて いるという。

http://www.nextgov.com/cybersecurity/2016/02/crooks-tricked-irs-system-providing-them-false-ids/125860/?oref=ng-channelriver
http://www.eweek.com/security/irs-confirms-it-was-a-victim-of-an-automated-attack.html
https://fcw.com/articles/2016/02/10/irs-pin-attack.aspx
http://www.darkreading.com/endpoint/over-100000-e-file-pins-fraudulently-accessed-in-automated-attack-on-irs-app/d/d-id/1324266?

【編集者メモ】(Ulrich)
ユーザとしてできる最大の事は、悪い人から「逃げる」ことだ。具体的には、納税 申告を早めに提出する、あるいはe-Filing 用のPIN番号を取得して、他人による取 得を防ぐことなどがある。すべての SSNが盗まれていると考えるならば、自分自身 のSSNが使われているか否かは「運」の問題だろう。
【編集者メモ】(Murray)
Googleは、良く設計された強力な認証方法をユーザに提供しているだけでなく、そ の実装を IRSや他の政府機関にも提供できる状態にある。連邦政府は、強力な認証 を実装しないことで、国だけでなく国民を不要なリスクに晒していることを自覚す べきだ。

◆ Google が広告内のFlash利用を禁止する(2015.2.10)
2016年6月30日からGoogleは、AdWordsおよびDoubleClick ネットワークから Flash を利用する広告を受け付けないと発表した。代わりに広告主やオンライン広告作成 者に HTML5の利用を促している。また、2017年1月2日からシステム内に残っている Flashを使った広告は、DoubleClickおよびGoogle Display Network上で表示されな くなる予定だという。

http://www.theregister.co.uk/2016/02/10/google_orders_advertisers_to_adopt_html5/
http://www.computerworld.com/article/3031908/security/google-will-stop-accepting-new-flash-ads-on-june-30.html
http://www.v3.co.uk/v3-uk/news/2446512/google-to-ban-flash-ads-from-its-network

【編集者メモ】(Murray)
これは、広告主に対してFlashはまだ使っても構わないという意思表示に過ぎない。 私は、ここ5年間 Flashをサポートしていないブラウザを利用しているが(Steve、 ありがとう!)、特に困ったことは無い。言わなくても分かると思うが、ブラウザ 内のスクリプト実行もブロックしている。我々自身の脆弱性が脅威を呼び込んでい るのは明らかな状態だが、脅威が存在し続けるのは、我々が何をしていいのか分か らないからではなく、それを実行する意思が無いからだと考える。
【編集者メモ】(Pescatore)
誰一人として広告内での Flash利用が無くなったことを悲しむことはないだろう、 点滅するURLタグと同じように。
【編集者メモ】(Ullrich)
この Flashを使った広告を取り除くことで、広告収入に頼っているウェブサイトも 同様に Flashを使った広告を取り除いてくれることを望んでいる。いくつかのケー スでは、広告も含めて Flashを無効にされることを防ぐため、すべての Flashコン テンツをそのまま残しているサイトがあるという。

◆ Chromeのアップデート(2016.2.10)
Googleが提供する最新のChromeブラウザは、悪用することでシステムを乗っ取るこ とが可能な6つの脆弱性を修正した。これらの問題は、Windows、MacおよびLinux版 のChromeが影響を受けるとされており、最新のバージョンは48.0.2564.109である。

http://www.scmagazine.com/google-issues-chrome-update-to-fix-windows-mac-and-linux-bugs/article/473340/
http://googlechromereleases.blogspot.com/2016/02/stable-channel-update_9.html

◆ Google Security Team がglibc のgetaddrinfo関数に含まれるリモートコード実行の脆弱性を発見(2016.2.17)
Google がブログで glibcのgetaddrinfo関数にスタックベースのバッファオーバー フローを発見したことを公開した。この問題にはCVE-2015-7547 が割り当てられて おり、攻撃成功は簡単ではないとGoogleは主張しているが、リモートコード実行の 可能性があるという。パッチは公開されており、 Linuxディストリビュータもアッ プデートを提供している。攻撃が成立する条件として、攻撃を受けたマシンによる アドレス解決が必要となっており、そのレスポンスが2048バイト以上の際に成功す ると報告されている。この問題は、特定の条件が満たされた時、glibc は割り当て られたメモリを適切に拡張せず、バッファオーバーフローが起きてしまうのが原因 だという。Googleは、PoCを作成しているが、公開はしていない。名前解決にglibc およびgetaddrinfoを利用しているシステムまたは機器がこの問題による影響を受け る。また、携帯電話、サーバや産業制御システムなども影響を受ける。

◆ カリフォルニア州の病院がランサムウエアに感染(2016.2.15)
カリフォルニア州南部にあるHollywood Presbyterian Medical Center で利用され ているシステムがランサムウエアに感染した。これらのシステムは、一週間以上も オフラインの状態のままになっている。この間職員は、患者に関するファイルにア クセスできず、病院はこの事態を非常事態として対応を行っているという。現在、 FBI やロスアンゼルス警察およびサイバーフォレンジックのエキスパートが調査を 行っており、攻撃者は、9,000 bitcoin (360万ドル、320万ユーロ相当)もの身代金 を要求していることが明らかとなっている。

http://www.zdnet.com/article/hollywood-hospital-becomes-ransomware-victim/
http://www.computerworld.com/article/3032310/security/hollywood-hospital-hit-with-ransomware-hackers-demand-3-6-million-as-ransom.html
http://www.bbc.com/news/technology-35584081

【編集者メモ】(Williams)
これは、他組織に対しランサムウエアによる攻撃を受けた際の対応方法を考えるた めの良いきっかけだ。(理想の回答は、優れたDRPとなる) 過去にあったランサムウ エアを使った攻撃事例では、攻撃者が企業に対する攻撃が成功したことを知らずに 少額の身代金(数百万ドルと比較して、例えば500ドル) を要求したことがあった。 そのような事態となった場合は、直ちに払うべきだろう。ランサムウエアへの対処 としてFBIも支払いが最良の決断であるとしている。

http://www.businessinsider.com/fbi-recommends-paying-ransom-for-infected-computer-2015-10

【編集者メモ】(Murray)
HIPAA のプライバシールールは、医療関連業界に対し、確保しようとしたセキュリ ティを実現できずにITの実装を遅れさせてしまう悪影響を及ぼしてしまった。医療 関連業界のセキュリティは、政府団体のセキュリティよりもちょっと良い程度であ る。
【編集者メモ】(Honan)
ランサムウエア攻撃による影響は、インシデントレスポンスのプロセスの中に事業 継続計画を織り交ぜておくべき理由だと考えている。私は、自組織の事業継続計画 にサイバー攻撃への対応も考慮することを推奨する。
【編集者メモ】(Northcutt)
最近フルバックアップを取った人は救われる。ただし、そのバックアップドライブ を物理的にシステムから隔離することを忘れてはならない。Ransom32は、最近使わ れている最新のランサムウエアで、SANS Technology Institute の関係者が詳細な 分析を完了させている:
http://securitywa.blogspot.com/2016/02/javascript-ransomware-attack.html

◆ サイバーセキュリティ国家行動計画(2016.2.12)
オバマ大統領によるサイバーセキュリティ国家行動計画(CNAP)は、「サイバーセキ ュリティ啓発と防御の向上、プライバシー保護、公衆の安全、国家と経済の安全そ してアメリカ国民それぞれが自身のデジタルセキュリティを守るために主導権を握 る」ためのものである。

http://www.nextgov.com/cybersecurity/2016/02/obamas-war-hackers/125930/?oref=ng-channeltopstory
http://www.natlawreview.com/article/president-obama-unveils-cybersecurity-national-action-plan-and-issues-two-new

【編集者メモ】(Honan)
偶然だが、European Network Information Security Agency (ENISA)も同日、国家 レベルでサイバーセキュリティ戦略を作成または実装するための E-Learning 教材 の提供を開始している。
【編集者メモ】(Honan)
連邦議会で可決されるはずの無いこの計画を任期の最終年に提案したのは、タイミ ングが遅すぎる。新しい連邦政府の CIO (トニー・スコット氏) は、短期間ででき ることを示しているが、この政権は、省庁に対しNISTのガイダンスを守るという誤 ったことをさせてきた。このガイダンスは間違った指標を出すだけでなく、意味を 持たないレポートの作成に体験を使い、有効でない防御策を実装させているにも関 わらずだ。

◆ カリフォルニア州のAGがCritical Security Controlsを実装しないことは「妥当なセキュリティを提供していない」と発言(2016.2.16)
カリフォルニア州の司法長官からのレポートには、情報漏えいを防ぐために組織が 取るべき対策が含まれている。たとえば企業や組織が法を遵守し、データ漏えいを 減らし、そして公衆安全と国家のセキュリティを高めるたに取るべきステップを明 確に記している。このレポートでは、情報セキュリティの取り組みを開始するにあ たり、Center for Internet Securityが公開しているCritical Security Controls の適用からスタートすべきとしており、司法長官からは、「これを行わないという ことは、組織が妥当なセキュリティを提供していないことを示す」とコメントして いる。

http://www.turlockjournal.com/section/15/article/31313/

【編集者メモ】(Pescatore)
カリフォルニア州は、データ漏えい通知を最初に義務付けた州でもあり、Critical Security Controls が基本的なセキュリティ対策として広く認知されていることを 周知しているのも良いことだ。
【編集者メモ】(Northcutt)
これが元のドキュメントである:
https://www.oag.ca.gov/sites/all/files/agweb/pdfs/dbr/breachreport2016.pdf
主にSANS Technology Institute に所属する数名のセキュリティ研究者が20 Critical Security Controlsを実装することに関して様々な視点から研究を行っている。公開 されているものがいくつかあり、以下のリンクから閲覧可能である。 他のも随時公 開される予定である。
https://www.sans.org/reading-room/whitepapers/critical

SANSは受講者が多く、頻繁に教材の内容も更新されており、評価も高いコースが提 供している。
https://www.sans.org/course/implementing-auditing-critical-security-controls

◆ DoDが大幅なセキュリティの向上およびコスト削減のためWindows 10へのアップグレートを行う(2016.2.17,18)
米国防総省(DoD) が古いバージョンの Windowsを使用している 400万台もの機器を 2017年2月までにWindows 10にアップグレードするという。DoDのアシュトン・カー ター長官は、古いバージョンのWindowsを利用しているDoDの省庁に対し、直ちに移 行を始めるよう指示した。2015年11月に DoDのCIO テリー・ハルヴォーソンが出し たメモによると、これは「DoDのサイバーセキュリティ姿勢を向上させ、 ITコスト を削減し、IT動作環境を合理化」する目的でこの移行が行われるという。

http://www.scmagazine.com/with-cybersecurity-in-mind-dod-commences-year-long-windows-10-deployment/article/477832/
http://blog.executivebiz.com/2016/02/terry-halvorsen-orders-microsoft-windows-10-updates-on-4m-dod-seats/
http://www.computerworld.com/article/3033984/microsoft-windows/defense-department-to-put-windows-10-on-4m-computers.html
http://www.zdnet.com/article/u-s-department-of-defense-to-upgrade-4-million-devices-to-windows-10-by-february-2017/

ハルヴォーソンによるメモ:
http://1yxsm73j7aop3quc9y5ifaw3.wpengine.netdna-cdn.com/wp-content/uploads/2015/12/121815_dod_windows10_memo.pdf

【編集者メモ】(Paller)
このDoDのCIOによる取り組みは、政府内のサイバーセキュリティを向上させるため 最も大事な取り組みであり、さらにコストも削減できるというものだ。空軍CIO の ギリガンが証明をし、NSAも取り組みを支援し、その上でDoDも全力で取り組むとい うもので、DoD以外のCIOを始めとするキーマンに対して取り組みに関するパスを確 立することが期待されている。そのため、ハルヴォーソン CIOの取り組みを真似し ない他の CIOは、システムが攻撃を受けた際に批判を受ける(場合によっては解雇 となる)だろう。
【編集者メモ】(Pescatore)
この Windows 10 への移行はセキュリティを強化する意味では良いのだが、セキュ リティの見直しは Windows 7ベースのセキュリティを単に Windows 10 に移行した という点ではなく、「セロベース」で行うべきである。セキュリティ強化という意 味でやるべきことは、アドミニストレータ権限の制限、スタンダードな権限におい てアプリケーションの制限を行うことである。その後にセキュリティを見直し、追 加すべきところを追加していけば良い。一台あたりのコストを同じ(もしくはより 低い)コストで、ユーザ・ビジネスの妨げにならずにセキュリティを強化すること が可能である。
【編集者メモ】(Murray)
これは必要なことではあるが、見た目よりも難しいだろう。XP またはWindows 7を 動作させているハードウエアで、Microsoftが Windows 10が動作すると行ったもの の中でも Windows 10が動作しないこともあるだろう。私は、利用している Dellの PCをWindows 10に移行しようとして半日取り組んだが、駄目だった。

◆ カリフォルニア州の病院がデータへアクセスするために身代金を支払う(2016.2.16,17,18)
カリフォルニア州南部のHollywood Presbyterian Medical Center が、ランサムウ ェアのファイル暗号化の鍵を回復するため40 bitcoin (16,850 UDD、15,150ユーロ 相当) の身代金を支払ったことを明らかにした。この病院のシステムは10日あまり アクセス不可の状況に陥り、アクセスの復旧は2月15日の月曜に行われている。

https://www.washingtonpost.com/news/morning-mix/wp/2016/02/18/after-computer-hack-l-a-hospital-pays-17000-in-bitcoin-ransom-to-get-back-medical-records/
http://arstechnica.com/security/2016/02/hospital-pays-17k-for-ransomware-crypto-key/
http://www.theregister.co.uk/2016/02/18/la_hospital_bitcoins/
http://www.theregister.co.uk/2016/02/18/la_hospital_bitcoins/
http://www.computerworld.com/article/3034736/security/hospital-pays-17k-ransom-to-get-back-access-to-encrypted-files.html

◆ OPMのCIOと監察長官が辞任。適切な説明責任が課せられる(2016.2.22)
米人事局(OPM) の最高情報責任者(CIO) が、委員会での証言 2日目に圧力かけられ た中で辞任した。両氏は OPM内のサイバーセキュリティ対策を統括しており、NIST のガイダンスを基にしていたが、最低限実装すべきだと知られている Critical Security Controlsは実装していなかった。CIOの辞任は、監察長官辞任の直後であ り、監察長官も同様に OMBのサイバーセキュリティ対策が不十分であったことに対 し、責任があったと評価されている。

CIO:
http://thehill.com/policy/cybersecurity/270305-top-opm-tech-official-resigns-under-pressure
IG:
http://www.federaltimes.com/story/government/management/agency/2016/02/03/opm-inspector-general-resigns-leaving-february/79756822/

◆ サイバーセキュリティに関する国家活動計画がIoTも視野に(2016.2.18)
ホワイトハウスのサイバーセキュリティに関する国家活動計画では、モノのインタ ーネット(IoT) に関するセキュリティにも対応することが定められている。計画に よると、米国土安全保障省(DHS)はアンダーライターズ・ラボラトリーズと協力し、 IoT機器が販売される前にサイバーセキュリティが確保されていることを保証するた めのプログラムを開発することになっている。

http://www.nextgov.com/cybersecurity/2016/02/what-white-house-cybersecurity-plan-says-about-internet-things/126032/?oref=ng-HPtopstory

【編集者メモ】(Northcutt)
この共有されているデジタルエコシステムに存在する脅威に対応しないことは、犯 罪に等しい行為だと思っている。ちょうど Abundanceというタイトルの本を読み終 えたところだが、この本の前提は、テクノロジーが世界を良くする力を持っている ため、世界が予想以上に良いものになっている、ということだ。そして、この前提 をくつがえすのが、「これらのテクノロジーはハッカーからの攻撃を受ける」とい うことだ。物語の終盤ではハッキングや情報収集、そしてテクノロジーを奪取する ための文化ができあがり、戦いは IoTという世界にフィールドを広げて繰り広げら れるというものだ。
http://www.sans.edu/research/book-reviews/article/abundance

◆ DoJがiPhone事件に関してAppleに協力を求める申し立てを申請(2016.2.19,21)
米司法省(DoJ)がAppleに連邦治安判事の命令に従うよう協力を求める申し立てを申 請した。この命令では、容疑者のiPhoneに保存されているコンテンツにアクセスす るための協力を求めている。

http://www.theregister.co.uk/2016/02/19/us_doj_apple/
http://www.wired.com/2016/02/doj-files-motion-to-compel-apple-to-cooperate-in-san-bernardino-case/
http://www.scmagazine.com/doj-slams-apple-demands-court-make-company-comply/article/478111/

DoJ による申し立て申請:
http://www.wired.com/wp-content/uploads/2016/02/Apple-iPhone-access-MOTION-TO-COMPEL.pdf
http://www.wired.com/2016/02/apple-says-the-government-bungled-its-chance-to-hack-that-iphone/
http://krebsonsecurity.com/2016/02/the-lowdown-on-the-apple-fbi-showdown/

【編集者メモ】(Williams)
FBIがAppleに対するリクエストに成功した場合、エンタープライズセキュリティに おけるソフトウエアアップデートの信頼モデルが根本的に変わってしまう。この件 に関してコメントをしている多くのコメンテーターは、テクノロジーを把握してい ない。この議論は、きちんとした根拠に基づいて行うべきであり誇張は必要ない。 Fox News にて Dave Kennedy氏が説明を行っている。
https://vimeo.com/156260338

◆ California Data Breach Report が悪用された脆弱性を特定し、サイバーセキュリティにおける最低限の標準を明確に(2016.2.23,24)
California Data Breach Reportは、 「2012年から2015年までにカリフォルニア州 検事総長宛に報告されたデータ漏えいに関する分析」を提供している。ほとんどの 事例において、悪用された脆弱性を修正するパッチが一年以上も前から提供されて いた。カリフォルニア州法によると「カリフォルニア州民に関する情報を所有、ラ イセンス、管理する企業は、それらの情報に見合ったセキュリティ対策を実装、維 持しなければならない」と記載されている。
このレポートでは、Center for Internet Security (CIS) の20 Critical Security Controls を実装していない企業は、「適切なセキュリティ対策をしていない」と見 なされるとしている。

http://www.nextgov.com/cybersecurity/2016/02/california-says-companies-should-embrace-nsa-developed-data-protections/126151/
http://www.natlawreview.com/article/reasonable-data-security-defined-california-attorney-general

【編集者メモ】(Murray)
カリフォルニア州の効果的なリーダーシップに対して感謝しなければならない。彼 らのイニシアチブは、国家に影響を与えるだけでなく、国家を脅威にも晒していな い。また、これらのイニシアチブは、綿密に練られており、意図しない結果をもた らしていない。国家レベルのイニシアチブと違って不具合を修正しやすい規模であ るし、国家による提案が怪しまれ、反発される原因となることが多い裏の意図も無 い。さらに、悪用されたり誤用されたりする恐れも無いのだから。
【編集者メモ】(Williams)
カリフォルニア州は、プライバシーに関する法律においてリーダーシップを取っており、残りの州が追従している状態で、 このレポートも法的基準を確立させている。特にカリフォルニア州内で事業を行う企業は、既存のセキュリティ対策が Critical Security Controlsとマッピングしているかを確認し、足りない部分を補てんする必要がある。

◆ 海軍の提督たちは省庁のスコアカードにSCADAを追加して欲しいとリクエスト(2016.2.25)
米海軍の提督 2人がアッシュ・カーター米国防長官に対し、防衛関連省庁がカータ ー長官に毎月提出するスコアカードに産業制御システム(ICS) の項目を追加して欲 しいとリクエストした。この問題が放置されると「割り当てられた使命を遂行でき ない」としている。

https://fcw.com/articles/2016/02/25/commanders-cyber-pentagon.aspx
https://drive.google.com/file/d/0B7HRgICvsyVKRHpFS0JnWGZ1eWc/view

【編集者メモ】(Assante)
ウクライナで物理的な影響を及ぼした最近の ICSに対する攻撃は、標的型攻撃に対 し適切な対策が急務であることを物語っている。この要求は、「オーナーシップの 任命」と「検知と通常状態の定義」が今までされてこなかった理由を語ったものだ。 ICS コミュニティは、セキュリティ構造の構築およびパッシブな防御という難しい 第一のフェーズからスキルベースおよびテクノロジーを駆使したアクティブな防御 という第二のフェーズに移行しつつある。
【編集者メモ】(Murray)
SCADA に関する大きな問題は、機密なコントロールがどこにあるか分からないとい うことだ。そのため、これらの検知と特定に関する情報が必要だ。

◆ DoDからカーネギーメロン大学にTorの研究を行うための資金拠出が発覚(2016.2.24,25)
米国政府は、政府の従業員および契約者に関連した身元調査は、新しい政府機関が 行うと発表した。人事局(OPM) の Federal Investigative Services (FIS) は、今 後 National Background Investigations Bureau (NRIB) に統合される。「国防総 省は、NBIBが身元調査を行うためのシステムの設計、構築、セキュリティおよび運 用に関する責任を負う」となっている。

https://fcw.com/articles/2016/01/22/nbib-clearance-noble.aspx
https://www.whitehouse.gov/blog/2016/01/22/way-forward-federal-background-investigations
http://www.nextgov.com/cybersecurity/2016/01/after-opm-hack-pentagon-store-and-secure-sensitive-security-clearance-docs/125338/?oref=ng-HPtopstory
http://thehill.com/policy/cybersecurity/266721-pentagon-will-secure-opm-background-checks-after-hacks
http://www.v3.co.uk/v3-uk/news/2443093/us-government-changes-personnel-data-processing-after-opm-hack

【編集者メモ】(Ullrich)
大きな標的を作ることは、大規模な漏えいのリスクを増やすことと同じである。標 的を他の組織に移したところで何も変わらず、データの管理をもっと厳格にしなけ ればならない。データ管理のポリシーには、保存に関する条項が必要である。その 中に調査が完了したまたは利用しなくなった生データをオンライン上からのアクセ スを制限する必要がある。
【編集者メモ】(Honan)
セキュリティ事故が起きた後に組織の名前を変更するのは、ブランドの評判を守る ための手段ではあるが、セキュリティの基本は無視してはいけない。この新しい組 織において、セキュリティに関する予算の方が、組織名を変更するための予算より もはるかに大きいことを祈っている。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月8日(火)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=11

○JC3 Forum 2016
 サイバー脅威の特定・軽減・無効化に向けて2016年 3月10日
http://www.nri-secure.co.jp/seminar/2016/jc3forum.html?xmid=300&xlinkid=12

○3月15日(火)、4月15日(金)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=13

○4月13日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015 【New】 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=16
http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=17
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。