NRI Secure SANS NewsBites 日本版

Vol.11 No.6 2016年4月1日発行

■■SANS NewsBites Vol.18 No.017 - 024
(原版: 2016年3月1日 - 3月25日)
【編集担当より】
海外出張などにより再び遅れておりました。申し訳ございません。
今週は、これまでに原文で配信された8日分の記事をまとめてお送りいたします。

◆ ニューヨーク州の裁判所がFBIによるiPhoneロック画面解除の要求を却下(2016.2.29)
Appleは、iPhoneに関する令状において勝利した。この勝利は、ニューヨーク州の 地方裁判所からの判決であり、San Bernardinoに関する裁判と似たような事例では あるが、San Bernardinoにおける裁判の支援にはならないかもしれない。 Orenstein 判事による50ページの判決文は、All Writs Act が政府の要求を正当化 するものでは無いとし、政府から Appleに対し要求を法的に受け入れることは無い と判断したと述べている。

http://www.theverge.com/2016/2/29/11135986/new-york-apple-fbi-iphone-encryption-ruling

◆ 米軍が、サイバー兵器をイスラム国家に対し使用(2016.2.29)
米国防総省の幹部は、US CyberCommandがイスラム国家に対しサイバー兵器を使い、 通信や軍の管理を妨害しようとしていることを認めた。この取り組みは、「2009年 に結成されてから始めて US CyberCommandが大規模な戦場作戦に組み込まれた」事 例である。

(注意:WSJのサイトを閲覧するには、アカウント登録が必要です)
http://www.wsj.com/articles/pentagon-deploys-cyberweapons-against-islamic-state-1456768428
http://www.latimes.com/nation/la-fg-isis-cyber-20160228-story.html

【編集者メモ】(Assante)
「ISISの名誉を傷つけたり、破壊したり」するという目的を果たすためにサイバー 兵器を使うことは理解できる。サイバー兵器は、我が国が持っている兵器の中で、 インターネットを使って憎しみを煽り、サポートの確保をするために世界中にメッ セージを拡散するという ISIS の強みを攻撃するために適したものは他に無いだろ う。これを有効に機能させるには、第三者へのリスクが広がらないための手順や、 サイバーキャンペーンから情報をあまり収集されない施策が必要だろう。
【編集者メモ】(Williams)
今後は、これを通常の「サイバー戦争」だと考えた方が良いだろう。物理的な戦争 行為と違い、ネットワークに対する攻撃の効果を計るのは難しい。なぜなら、サイ バー攻撃とインテリジェンスの収集は全くの別物だから。

◆ ICS-CERTレポート:ウクライナに対する攻撃のシナリオ確認(2016.2.25,26)
米国土安全保障省(DHS)のIndustrial Control Systems Cyber Emergency Response Team(ICS-CERT)が最近公開したレポートによると、2015年12月に起きたウクライナ での停電は、外部からの攻撃者によって行われたものだと述べている。 この停電 は、225,000人の顧客に影響を及ぼしたが、この事件は、攻撃者が送電網に対し攻 撃を行い成功した初の事例とされている。

http://www.nytimes.com/2016/03/01/us/politics/utilities-cautioned-about-potential-for-a-cyberattack-after-ukraines.html?_r=0
http://arstechnica.com/security/2016/02/hackers-did-indeed-cause-ukrainian-power-outage-us-report-concludes/
http://www.newsweek.com/ukraine-power-outage-cyber-attack-russia-putin-sandworm-430556
http://www.bbc.com/news/technology-35667989

【編集者メモ】(Assante)
ここで重要なのは、攻撃者が複数の環境が違う電力会社に対して攻撃を行い、それ ぞれ調整をした上で成功させたことである。また、攻撃者は、破壊行為にも成功し ており、フィールドデバイスに対し、ファイルの上書きや細工されたファームウェ アを書き込んでいた。これらの攻撃は、分析する必要がある。その上で、防御する 側がこのような綿密に調整が行われる攻撃に対して、どのような準備ができるかを 評価しなければならない。 SANSのICSチームは、これを綴ったドキュメントを近日 中に以下のリンクにて公開する予定である。
http://ics.sans.org/duc5

◆ Verizon:Data Breach Digestレポート(2016.3.3)
Verizonから、データ漏えいが発生したシナリオを分析するという初めての試みを1 8の事例から行ったData Breach Digest Reportが公開された。事例の中には、水道 事業社に対する攻撃で侵入者が水処理のプロセスや流れを改ざんしたものや、中国 に開発の仕事をアウトソーシングした結果もたらされたもの、さらに輸送会社のパ ソコンから盗んだ情報を使い、特定のコンテナが乗っている船を標的としたものが あるという。

http://www.eweek.com/security/hackers-helping-pirates-rob-ships-among-incidents-verizons-tracking.html
http://www.darkreading.com/operations/pirates-ships-and-a-hacked-cms--inside-verizons-breach-investigations/d/d-id/1324474
http://arstechnica.com/security/2016/03/pirates-hack-into-shipping-companys-servers-to-identify-booty/
http://www.csoonline.com/article/3039555/investigations-forensics/verizon-releases-first-ever-data-breach-digest-with-security-case-studies.html

【編集者メモ】(Paller)
このレポートは、セキュリティコミュニティに対するプレゼントである-重要な教 材だ。Verizonは、大半の情報漏えいは 20のCritical Security Controlsを実装す るだけで防げることを、詳細なレポートの中で余すところなく示している。数週間 前にカリフォルニア州の検事総長が公開したデータ漏えいに関するレポートには、 「これらを実装しない組織は、一定のセキュリティを提供していない」としている。
https://www.oag.ca.gov/sites/all/files/agweb/pdfs/dbr/breachreport2016.pdf

◆ レポート:企業は攻撃に関する報告を避けている(2016.3.3)
Institute of DirectorsとBarclays銀行が公開したレポートによると、多くの企業 がサイバー攻撃に関して法執行機関に報告していない事実が明らかとなった。実に 28% のサイバー攻撃しか報告されておらず、多くの経営者はサイバーセキュリティ が重要だと語っているが、半分しか攻撃から守るための計画を立てていないという。

http://www.zdnet.com/article/businesses-are-still-scared-of-reporting-cyberattacks-to-the-police/

【編集者メモ】(Pescatore)
あの 28%という数字は、法執行機関に報告することがどれだけ株主・顧客に対して 価値があるかという論点において、企業がどのように考えているかを想像すれば妥 当な数字だと思える。この数字は、ランサムウエアによる攻撃が成功し続けると変 わるかもしれない。法執行機関に報告することで、暗号化されたデータやシステム へのアクセスが再度可能になるかもしれない-法執行機関がスタッフとスキルを増 やすための予算が「もらえれば」の話だが。私は、オペレーションの復旧をするた めに外部からの手助けに頼るのではなく、ランサムウエアに対抗するため、企業に は効果のある防御とバックアップのプロセスの確立を期待している。

◆ Windows 10にAPT防御が追加される(2016.3.1,2)
マイクソフトは、サンフランシスコで行われたRSA Conferenceで、高度で執拗な脅 威(APT) に対する防御機能を Windows10に追加することを発表した。このサービス は、Windows Defender Advanced Threat Protection と呼ばれ、特異なシステムの 挙動を検知することができるという。現在、ベータ版で 500,000ものシステムで稼 働している。

http://www.nextgov.com/cybersecurity/2016/03/windows-10-adding-apt-protection-heres-why-s-big-deal/126372/?oref=ng-channelriver
http://arstechnica.com/information-technology/2016/03/windows-defender-advanced-threat-protection-uses-cloud-power-to-figure-out-youve-been-pwned/

【編集者メモ】(Pescatore)
AppleやGoogleが iOSおよびAndroid向けにインシデントが起きた後に検知し、レス ポンスを行うようなサービスを発表しないことに気付いているだろうか。彼らは、 App Store/Google Play に悪意あるアプリが入り込まないための対策をしている。 また、月に一回、大量のアップデートを行うマイクロソフトに対し、アップデート は透過性を持っており、頻度も高い。攻撃可能な範囲を減らすために、依然として 課題は残るがマルウエアの活動範囲を限定していることは事実だ。マイクロソフト は、「Windows 10に移行してもセキュリティ的にあまり変化はないが、Windows PC が侵入された時に通知を早くするための機能を追加した」と言っているも同然だ。 これは、2003年にマイクロソフトがアンチウイルスのベンダを買収した時と似てい る。Windows 7 に新しいセキュリティ機構を追加せずにAVの世界に飛び込んだ時で ある。

◆ DROWNと呼ばれる脆弱性がSSLv2に影響を及ぼす(2016.3.1,2)
SSLv2のプロトコルには、暗号化されたTLS通信の傍受を可能にする脆弱性が含まれ ている。この脆弱性は DROWN と呼ばれ、Decrypting RSA with Obsolete and Weak -ened eNcryptionの略語である。この問題は、Heartbleedほど広まってはいない。 SSLv2 は2011年に廃止され、Red Hat の Josh Bressers氏曰く「これを稼働させて いる人がいてはいけない」とのこと。 SSLv2は、「多くのサーバでデフォルトもし くアクティブで有効になっていたり、設定のミスや変更をしていなかったり、古い サービスで使われ続けられている」新しいバージョンのOpenSSLでは、SSLv2は無効 になっている。

http://www.eweek.com/security/drown-vulnerability-hits-ssltls-but-its-no-heartbleed.html
http://arstechnica.com/security/2016/03/more-than-13-million-https-websites-imperiled-by-new-decryption-attack/
http://www.computerworld.com/article/3040206/security/attack-against-tls-shows-the-pitfalls-of-weakening-encryption.html
http://www.darkreading.com/attacks-breaches/ssl-drowns-in-yet-another-serious-security-flaw/d/d-id/1324521?
http://www.scmagazine.com/drown-attack-could-break-tls-for-third-of-websites/article/480464/

【編集者メモ】(Williams)
これで正式なリリースが出そろった。SSL は死んだも同然だ。証明書を使いまわし たり、ワイルドカードを使った SSL証明書をインストールしたりしている企業は、 見直しを行うタイミングだろう。ワイルドカードを使った SSL証明書の実装は、特 に気を付けるべきである。この証明書を悪用されると、ドメイン内のすべてのホス トを偽装されてしまうのだから。
【編集者メモ】(Honan)
オランダのNational Cyber Security Centreから、この脆弱性に関して良い報告書 が公開されている:
https://www.ncsc.nl/english/current-topics/factsheets/factsheet-disable-ssl-2.0-and-upgrade-openssl.html
【編集者メモ】(Murray)
この脆弱性は、プロトコルではなく実装の問題である。「暗号の実装は、思ってい る以上に難しいものだ」「実装方法は無数に存在するが、多くが間違っている」と いう状況の中では、開発者が暗号を実装する際にセキュリティ業界として正しい知 識を与えてあげないといけない。

◆ 米空軍のサイバー兵器が使用可能な状態に(2016.3.7)
米空軍宇宙軍の Cyberspace Vulnerability Assessment/Hunter (CVA/H) 兵器シス テムが使用可能な状態にあるという。CVA/H は、脆弱性診断、脅威発見やコンプラ インス準拠の観点から空軍の情報ネットワークを保護している。今年の始めには、 Air Force Intranet Control (AFINC) 兵器も使用可能な状態になっており、外部 および内部の通信を監視することで境界防御の機能を提供するようになっている。 空軍は、他にもいくつかのサイバー兵器を開発しているようである。

http://www.zdnet.com/article/the-us-air-force-now-has-two-fully-operational-cyberspace-weapon-systems/

◆ DHSやFBIがデータ復号のために身代金を支払い(2016.3.7)
Institute for Critical Infrastructure Technologyからのレポートによると、米 国土安全保障省(DHS)と米連邦捜査局(FBI)がそれぞれランサムウエアによる攻 撃を受け、結果として身代金を支払ったことが明らかとなった。レポートにおいて インシデントに関する詳細までは明らかにされていない。

http://www.nextgov.com/cybersecurity/2016/03/fbi-and-dhs-paid-crooks-get-back-their-hacked-data-report-says/126479/?oref=ng-channeltopstory

【編集者メモ】(Williams)
これは特に驚くことでは無いと思っている。なぜなら、政府機関も民間企業同様、 頼れるバックアップを保持していないからだ。頼れるバックアップを持っていて、 そのバックアップから復旧できない限り、私は身代金を支払うよう推奨する。恐喝 してくる攻撃者は、要求している金額よりも多く支払うことが可能な企業や団体を 相手にすると、身代金の金額を上げてくることがあるからだ。

◆ RSA: 七つの攻撃トレンド(2016.3.3)
先週、サンフランシスコで行われたRSA Conferenceにおいて、SANSの研究者から今 年も続くであろう攻撃の7つのトレンドが公表された。その7つとは、①Windows Po -werShellを使った攻撃、②Stagefrightのようなモバイルプラットフォームの脆弱 性、③Xcode Ghostのような開発環境の脆弱性、④産業制御システム(ICS)に対する 攻撃、⑤セキュアでないサードパーティコンポーネントを狙った攻撃、 ⑥IoT、お よび⑦ランサムウエアとなっている。

http://www.darkreading.com/risk/7-attack-trends-making-security-pros-sweat/d/d-id/1324563

◆ 司法省が 2013年のダムに対する攻撃でサイバー侵入したイラン人を告訴予定(2016.3.10)
米司法省が、2013年にニューヨークのダムに対し、サイバー攻撃を仕掛けたとされ る不特定多数のイラン人を告訴する準備を進めている。このインシデントは、2013 年に起きたものだが、昨年の 12月に始めて情報が公開されたもの。ニューヨーク 州、ライ・ブルック市にある Bowman Avenueダムは、洪水防止を目的とした排水量 調節用のダムである。攻撃者は、施設内からインターネットに接続するために配備 されたブロードバンド:セルラー式モデムを介して侵入に成功している。また、こ の告訴で挙げられる人物たちは、SunTrustおよびPNC Financial Services Groupに 対する攻撃も行ったとされている。

http://www.nytimes.com/reuters/2016/03/10/world/middleeast/10reuters-usa-iran-cyber.html
http://www.cnn.com/2016/03/10/politics/iran-us-dam-cyber-attack/
http://thehill.com/policy/cybersecurity/272563-report-us-preparing-to-publicly-blame-iran-for-cyberattack-on-dam
http://arstechnica.com/security/2016/03/dam-you-justice-dept-to-indict-iranians-for-probing-flood-control-network/

【編集者メモ】(Assante)
侵入経路など攻撃に関する情報が告訴状に含まれるかに興味がある。攻撃者が侵入 したと同時期に水門が設置されているが、遠隔操作機能が有効になっていなかった ため、水門が攻撃者によって操作されるリスクは低かったとされている。覚えてお かないといけないのは、攻撃者グループは、様々な施設を標的にしていることであ り、我々は標的になるかならないかを選択できる立場にはない。しかし、どれだけ 難しい標的になるかだけはコントロール可能だ。SANS Defense Use Case #4を確認 してみてほしい。
http://ics.sans.org/media/SANSICS_DUC4_Analysis_of_Attacks_on_US_Infrastructure_V1.1.pdf

◆ FCCがISPに対し、顧客向けのセキュリティ対応を要求(2016.3.8)
FCC チェアマンのトム・ウィーラー氏は、ブロードバンドプロバイダがデータをど のようにして活用し、共有しているかを顧客が理解できる適切なツールが提供され ていることを保証するNotice of Proposed Rulemaking (NPRM)を委員会内で検討す るために配布した。この案では、Communications Act内のプライバシーに関する要 求事項を、ブロードバンドインターネットアクセスサービス、という今の一番重要 な通信テクノロジーに課すことになる。

http://transition.fcc.gov/Daily_Releases/Daily_Business/2016/db0310/DOC-338159A1.pdf

【編集者メモ】(Pescatore)
大手 ISPは、顧客サービスに対しセキュリティの強化をするための時間もたくさん あり、議論もたくさんされてきたが、具体的な行動は少なかった。この案に対し、 反対意見も多く出るだろう。なぜなら、セキュリティを強化するための手段として 規則を設けるのは、効率が良くないだけでなく、最終手段として考えるべきものだ からだ。 Ciscoのケーブルモデムに対して提供されたパッチがどのような運命を辿 ったかを知れば、 ISPはセキュリティを強化するために規則などの外圧が必要なの だと考えるはずだ。

http://www.theregister.co.uk/2016/03/10/cisco_patches_a_bunch_of_cable_modem_vulns/
http://www.computerworld.com/article/3042599/security/cisco-patches-serious-flaws-in-cable-modems-and-home-gateways.html

◆ IRSがなりすまし防止ツールGet IP PIN にセキュリティ上の問題が発覚し配布を停止(2016.3.7,8)
米国税庁 (IRS)が、偽の納税申告書を提出するために悪用されたツールの配布を停 止した。 Get IP PIN(Identity Protection PIN)と呼ばれるツールは、納税申告 をウェブ上から提出する機能を提供していた。IRSによると、Get IPのPINは盗まれ たとしている。

http://www.nextgov.com/cybersecurity/2016/03/irs-finally-pulls-offline-id-protection-service-exploited-hackers/126509/?oref=ng-channelriver
http://thehill.com/policy/finance/272131-irs-suspends-online-tool-during-security-review
http://krebsonsecurity.com/2016/03/irs-suspends-insecure-get-ip-pin-feature/
https://www.washingtonpost.com/news/the-switch/wp/2016/03/08/the-irs-suspends-hacked-tool-meant-to-help-identity-theft-victims/

◆ アナログ機器を使ったセキュリティ強化(2016.3.10)
ウクライナにある電力会社のオペレータは攻撃を受けた際、手動でブレーカーをリ セットすることで素早く復旧できたという。多くの機器がインターネットに接続さ れる中、サイバー攻撃のリスクは上がるが、「物理ハードウエアのバックアップ」 はセキュリティ対策として役に立つ。元海軍長官であり現在John Hopkins Applied Physics Lab 上級研究員のリチャード・ダンジグ氏によると「メインのシステムが デジタルである場合、保護策がアナログである方が強力だ」と語っている。

http://www.bloomberg.com/news/articles/2016-03-10/cybersecurity-the-best-insurance-may-be-analog

【編集者メモ】(Assante)
システムをより単純にすることや発見されにくい物理的・電気機械式の保護策を実 装することで攻撃対象を減らす・失くす行為が、最終的な防御になるのではないか と思う。これは、テクノロジーを無視しているわけではなく、きちんと考えた上で 実装していく、ということだ。
【編集者メモ】(Williams)
Wired の記事によると、米国にある多くの公共事業社は、ウクライナが受けたよう な攻撃を受けたら復旧は困難だろうと分析している。デジタルシステムにおいて問 題が起きた場合、復旧・安全という意味でアナログのバックアップシステムは重要 になってくるだろう。
http://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
【編集者メモ】(Murray)
公共事業社は、インターネットや公衆交換電話網(PSTN)への接続を制御しており、 責任あるオペレータが遠隔からオペレーションを行うための接続サービスも提供し ている。このサービスを提供しているという事実が、遠隔からの攻撃を受ける可能 性も提供している事につながっているのだろう。もう一度言うが、解決策が同時に 問題になっているのだ。

◆ 政府と暗号:次のステップは?(2015.3.12,14)
政府による、暗号化された情報へのアクセスを巡る議論で、次なる標的はWhatsApp である。このメッセージングサービスは、裁判所に対し、暗号化されたデータを復 号するための鍵を保持していないため、法執行機関のリクエストに応じることがで きないと回答している。

http://www.nytimes.com/2016/03/13/us/politics/whatsapp-encryption-said-to-stymie-wiretap-order.html?_r=0
http://www.wired.com/2016/03/fbi-crypto-war-apps/
http://www.scmagazine.com/the-next-encryption-debate-whatsapp-v-feds/article/483069/
http://www.cnet.com/news/facebook-google-whatsapp-to-beef-up-data-encryption/
http://www.zdnet.com/article/facebook-google-among-tech-giants-expanding-encryption-in-wake-of-apple-battle/
http://www.zdnet.com/article/after-apple-is-whatsapp-us-governments-next-crypto-target/

【編集者メモ】(Honan)
この問題は、多くの政府がぶち当たっており、解決策を未だ見いだせていないもの だ。そして、この分野のエキスパートである私たちが、政府に対し要求しているこ とが認められた場合の技術的な影響を伝えなければならない。例えば、ブラジルに おいて WhatsAppユーザが薬物に関与したという件では、なぜかFacebook の上級管 理者が逮捕されている。
http://fortune.com/2016/03/01/brazil-facebook-arrest/

◆ FBI vs Apple: 解決策か前例か?(2016.3.14)
表題の件に関連して、ホワイトハウスの元サイバーセキュリティアドバイザーだっ たリチャード・クラーク氏は、ナショナル・パブリック・メディア(NPR)を通じて、 NSAがSan Bernardinoに関連したiPhoneの暗号を破ることはできるとしたが、FBIは 「問題を解決するよりも法に関して前例を作りたくない」と考えていることを明ら かにした。

http://www.npr.org/2016/03/14/470347719/encryption-and-privacy-are-larger-issues-than-fighting-terrorism-clarke-says
http://arstechnica.com/tech-policy/2016/03/former-cyber-czar-says-nsa-could-crack-the-san-bernadino-shooters-phone/

◆ 大手メディアサイトが悪意ある広告を使った攻撃の標的に(2016.3.15,16)
大手のニュースやエンターテインメントサイトから悪意ある広告が検出された。こ の中には、BBC、ニューヨークタイムズ、MSNなどが含まれていた。これらの悪意あ る広告は、サイト訪問者のパソコンをランサムウエアに感染させようとしていたと いう。

http://www.computerworld.com/article/3044565/security/advertising-based-cyberattacks-hit-bbc-new-york-times-msn.html
http://www.bbc.com/news/technology-35821276
http://www.cnet.com/news/new-york-times-bbc-dangerous-ads-ransomware-malvertising/
http://www.scmagazine.com/new-york-times-bbc-and-newsweek-dish-up-malvertising/article/483473/
http://arstechnica.com/security/2016/03/big-name-sites-hit-by-rash-of-malicious-ads-spreading-crypto-ransomware/
http://www.zdnet.com/article/malvertising-campaign-strikes-top-websites-worldwide/
https://blog.malwarebytes.org/malvertising-2/2016/03/large-angler-malvertising-campaign-hits-top-publishers/

【編集者メモ】(Murray)
最近 MIT Technology Reviewに掲載された記事において、広告を介してシステムを 感染させる攻撃手法は主流となっており、「adblocker (広告ブロックする機能)」 は、セキュリティ対策として必須であるとしている。

◆ サイバー犯罪者がコード署名用の証明書を窃取(2016.3.16)
サイバー犯罪者グループは、マルウエアを正規のソフトウエアと見せかけるために コード署名用のデジタル証明書を窃取している。Suckfly APT と呼ばれるグループ は、韓国の企業から窃取した証明書を使って、様々な企業や政府団体に対し攻撃活 動を行っている。

http://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates
http://www.computerworld.com/article/3044728/security/cyberespionage-groups-are-stealing-digital-certificates-to-sign-malware.html
http://www.scmagazine.com/suckfly-in-the-ointment-chinese-apt-group-steals-code-signing-certificates/article/483480/
http://arstechnica.com/security/2016/03/to-bypass-code-signing-checks-malware-gang-steals-lots-of-certificates/

【編集者メモ】(Murray)
署名は証明書ではなく、秘密鍵を使って施されるものである。証明書は、鍵と署名 した人の身元を関連付けるものに過ぎない。署名用の鍵はオンライン上で保存すべ きではないだろう。
【編集者メモ】(Williams)
これは、Stuxnet などの政府関連の攻撃に見られた手法だが、一般的なマルウエア にも見られるようになってきている。攻撃者は、アンチウイルスに検知されないよ う先を行こうとしている。コード署名用の証明書を活用している企業に対し、外部 のUSBトークンに保存されているExtended Validationコード署名用証明書を使うよ うお勧めしたい。このトークンは、証明書そのものをエキスポートしない。即ち、 トークンを保持しているもののみコードに署名を施すことが可能になる。攻撃者に よって、トークンを窃取される可能性はあるが、ソフトウエアベースの証明書より も窃取されたことを検知しやすくなる。

◆ キーストロークロガーのマルウエアが企業を標的に(2016.3.17)
キーストロークを記録する機能を持ったマルウエアが、18か国もの企業で感染が確 認されている。このマルウエアは、企業内で金銭的な取引を行う人を探す目的で感 染したパソコンの設定に関する情報を収集している。

http://www.computerworld.com/article/3045540/security/keylogger-hijacks-key-business-email-accounts.html

◆ Pescatoreの目:セキュリティの種まきは重要だ
ワシントンDCにおいて、Washington Metro(地下鉄) systemの本部長、ポール・J・ ウィードフェルド氏は、水曜日(3月15日) の終日システムを完全に停止するという 難しい決断を下した。この決断は、早朝に線路用のブースターケーブルから火災が 発生したのを受けて、他のケーブルが危険な状態にあることを点検において見逃し た可能性があるとして下したものだった。システム停止中の点検において、電気ケ ーブルやケーブルと線路を接続する部分で、合計26か所で破損などのダメージが確 認されたという。ウィードフェルド氏は、このうち 3つは、通常の点検で見つかっ た場合、その地域でのサービス停止をせざる得ない状態であったことを明らかにし ている。

◆ OMB のセキュリティに関する年次レポート(2016.3.21)
米行政予算管理局 (OPM) が公開したレポートによると、米国政府機関によるサイバ ーセキュリティのインシデント報告件数が2015年度は 77,318件あり、2014年度から 10パーセントあまり増えたという。このレポートは、Annual Report to Congress: Federal Information Security Modernization Actというタイトルで、 5点満点で 評価されるリアルタイムでのセキュリティ監視において、 2点以下を取った機関が 24個中21個あったと記載されている。

http://www.nextgov.com/cybersecurity/2016/03/white-house-says-agencies-experienced-77200-cyber-incidents-2015/126810/?oref=ng-channeltopstory
https://www.whitehouse.gov/sites/default/files/omb/assets/egov_docs/final_fy_2015_fisma_report_to_congress_03_18_2016.pdf

【編集者メモ】(Murray)
このレポートそのものに対しコメントは無い。民間企業は安心するどころかさらに 注意すべきだと思う。
【編集者メモ】(Williams)
我々は、マルウエアなどに感染させようとするフィッシング攻撃に注目しすぎてい る。そして、ネットワークに侵入するための攻撃者による機密なデータをもとめる 攻撃は蔑ろにされている。

◆ FBIがAppleの公判を延期(2016.3.21)
Appleが容疑者に関連するiPhone内のデータへのアクセスを拒否している件で、FBI は公判の延期を認められた。FBIは、Appleの手助け無しでiPhone内のデータにアク セスできると主張している。裁判所に提出された書類によると FBIは「第三者から FBIに対し機器内のデータにアクセスする手法を提示した」している。

http://www.wired.com/2016/03/fbi-now-says-may-crack-iphone-without-apples-help/
http://thehill.com/policy/cybersecurity/273828-doj-asks-to-cancel-apple-hearing-may-be-able-to-hack-iphone
http://www.theregister.co.uk/2016/03/21/fbi_apple_iphone/
http://arstechnica.com/tech-policy/2016/03/fbi-says-it-might-be-able-to-break-into-seized-iphone-wants-hearing-vacated/
http://www.computerworld.com/article/3046682/security/fbi-says-it-may-have-found-a-way-to-crack-shooters-iphone.html

FBIによる申告
- https://regmedia.co.uk/2016/03/21/applefbivacate.pdf

◆ バングラデッシュの銀行詐欺に関してSWIFTが注意喚起(2016.3.20,21)
バングラデッシュの中央銀行から 8100万USDが盗まれたことを受け、国際銀行間金 融通信協会(SWIFT) が注意喚起を行った。その中で、国際取引を行う金融機関に対 し、内部セキュリティの監視を含むセキュリティを実行するよう促している。 SWIFTは、メンバーに対しセキュリティ対策の助言はできるが、 強制できる標準は 無く、銀行によってセキュリティ対策はバラバラであるという。

http://www.reuters.com/article/us-usa-fed-bangladesh-idUSKCN0WM0ZS
http://www.darkreading.com/cloud/swift-to-issue-warning-in-wake-of-cyberattack-on-bagladesh-central-bank-/d/d-id/1324767?

【編集者メモ】(Murray)
SWIFT が提供する素早い、信頼できるが無効にすることが難しい国際送金はとても 価値がある。もちろん、我々の連邦準備銀行が提供する安全な送金も素早い上に信 頼できる。
【編集者メモ】(Williams)
「助言」と「強制」の違いはとても大きく、セキュリティにおいて出てくる結果も 大きく変わってくる。

◆ 攻撃者が水処理工場の薬品設定を改ざん(2016.3.22,23)
Verizon社が公開した Data Breach Digestに記載されているインシデントには、攻 撃者グループが水処理工場内の ICS/SCADAシステムへのアクセスに成功し、飲み水 を処理するための薬品設定を改ざんした事例が紹介されている。攻撃者は、フィッ シングと SQLインジェクションを使って侵入に成功したという。この攻撃において どの国が被害を受けたかは記載されていないが、インターネット上に公開されてい る顧客の支払いポータルサイトに存在するパッチが適用されていない脆弱性を悪用 してシステムへのアクセスに成功したとされている。

http://www.theregister.co.uk/2016/03/24/water_utility_hacked/
http://news.softpedia.com/news/hackers-modify-water-treatment-parameters-by-accident-502043.shtml
http://www.zdnet.com/article/the-future-of-our-city-services-cyberattackers-target-core-water-systems/

【編集者メモ】(Assante)
我々は本件に関して未だ調査を行っている。水業界で頻繁に悪用される問題は、施 設内システムへのリモートアクセス機能の脆弱性である。インターネット上に公開 されているシステムの脆弱性を悪用し、ICS を標的にする攻撃者が増えてきている のだ。
【編集者メモ】(Williams)
この件において、インターネット上に公開されている支払い用のポータルサイトか ら、システムに対するアクセスに成功しているということは、IT(情報システム) とOT(運用システム)の資産が適切に区分けされていないことを示している。これら の事業社は、二つのネットワークが交わるところを可能な限り減らすだけでなく、 それらのポイントを常に監視しつづけなければならない。

◆ イラン人7人を銀行およびダムに対する攻撃に関わった罪で起訴(2016.3.24)
ニューヨーク州の連邦大陪審が、イランにある 2つの企業で働くイラン人を、米国 の銀行サイトやニューヨーク州のダムで利用されている SCADAシステムに対し「数 々のサイバー攻撃」を行ったとして起訴した。 この7人は、イラン政府の命令で活 動をしていたという。

- https://www.washingtonpost.com/world/national-security/justice-department-to-unseal-indictment-against-hackers-linked-to-iranian-goverment/2016/03/24/9b3797d2-f17b-11e5-a61f-e9c95c06edca_story.html
- http://www.darkreading.com/cloud/doj-indicts-7-iranian-hackers-for-attacks-on-us-banks-and-new-york-dam/d/d-id/1324834?
- http://arstechnica.com/tech-policy/2016/03/federal-grand-jury-indicts-7-iranians-for-campaign-of-cyber-attacks/
- https://fcw.com/articles/2016/03/24/iran-hacker-indict.aspx

【編集者メモ】(Assante)
司法省の行動が外交と失効を結び付けるサポートをしている。過去に DOJが中国に 対して告訴の手続きをした際、何を学んだのだろうか?また、損害において興味深 い議論が行われている:銀行は損害をはっきりと示すことができるが、ダムにおい て攻撃者がインフラを悪用できたかもしれないという場合はどうなるのだろうか?
【編集者メモ】(Henry)
この件についてコメントだけでなく、刑事罰について二つの話を紹介したい。今週 PRCの国民、7人のイラン人そして 3人のシリア人がそれぞれ米国内のコンピュータ ネットワークに侵入したとして告訴の手続きがされた。ちょっと振りかえってみよ う。18か月前に米国が 5人の中国人を訴えた際、時間の無駄だと非難を受け、見た 目重視の行動だったとされた。あの時私は、裁判のために米国へ引き渡される可能 性は限りなく低いとコメントしたが、流れが大きく変わった。そして、ようやくそ の流れが実を結んだように思える。外国のインテリジェンス機関やテロリストに関 する調査が増えた。そして、同盟国同士で協力して攻撃者グループへの対策をして いる。また、中国の習大統領と他国の首脳陣との会話も増えており、米国政府も知 的財産および重要インフラを標的にする攻撃を様々なツールを使って防ごうとして います。これらの取り組みが全てではないが、話を進める上で重要であり、国内の ネットワークを安全にしていくという目標を成し遂げるための第一歩である。

◆ OracleからJavaの緊急パッチが提供される(2016.3.24)
Oracle社がデスクトップおよびブラウザプラグイン用の Java SEに含まれる脆弱性 を修正する緊急パッチを公開した。この脆弱性は、ネットワーク上において認証無 しで悪用可能であり「ユーザシステムの可用性、完全性、機密性に影響する」とさ れている。Java SEのバージョンは更新され、最新版は、Java SE 8u77となった。 参照されている SC Magazineの記事には、 Cisco社のアップデートについても言及 されており、複数製品で利用されているIOSおよびIOS XEに含まれる6つの脆弱性を 修正したと記載されている。

http://www.theregister.co.uk/2016/03/24/java_flaw_cve_2016_0636/
http://www.scmagazine.com/oracle-and-cisco-both-released-critical-security-updates-affected-several-products/article/485316/
http://www.computerworld.com/article/3047528/security/emergency-java-update-fixes-two-year-old-flaw-after-researchers-bypass-old-patch.html
Oracle アラート:
http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0636-2949497.html
Cisco アップデートに関するUS-CERTドキュメント:
https://www.us-cert.gov/ncas/current-activity/2016/03/23/Cisco-Release-Security-Updates

【編集者メモ】(Murray)
パッチの適用は非常にコストがかかる:ルーチン外のパッチは特にだ。パッチの適 用は、パッチ公開時からパッチ適用までの期間中に侵入されるリスクがどれだけあ るかで判断されている。適用は、ベンダの顔を立てるために行われている訳ではな いのだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4月13日(水)、5月17日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○4月15日(金)、5月19日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=07

○5月18日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。