NRI Secure SANS NewsBites 日本版

Vol.11 No.8 2016年4月19日発行

■■SANS NewsBites Vol.8 No.029, 030
(原版: 2016年4月12日, 15日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

           = SANS Tokyo 2016 =
  http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間] 残席わずか!
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

◆FOR610:Reverse-Engineering Malware
 Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得
 マルウェア解析の専門性を高めたい方は必見のコースです
  [☆日本初開催☆]

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
 最終日のCTFでご自身の成果測定も行えます!

◆SEC566:Implementing and Auditing the Critical Security Controls In-Depth
 Critical Security Controlsを真に理解するならこのコース
 CSCの実装や監査に必要となるツールやテクニックを習得できます
  [☆日本初開催☆]

◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ FBI が送電網に対するサイバー攻撃の脅威を電力会社に警告(2016.4.9)
FBIと米国家安全保障省(DHS)が、米国の重要インフラを運営する事業者向けに、 送電網に対するサイバー攻撃による脅威の警告を始めた。この取り組みは、昨年12 月に起きたウクライナの電力会社に対する一連のサイバー攻撃を受けて開始された もの。 Webセミナーや攻撃に関するブリーフィング、リスクの軽減策やサイバーセ キュリティの強化策などを提供している。

http://freebeacon.com/issues/fbi-warns-cyber-threat-electric-grid/
http://thehill.com/policy/cybersecurity/275723-fbi-warning-power-companies-of-cyber-threats-to-electric-grid-report

【編集者メモ】(Assnate)
この警告は正当なものだ。なぜなら、資金や設備が整っているサイバー攻撃たちが インフラへの侵入に成功した事例がいくつもあるからだ。ここでの問題は、DHS に よる評価である。 DHSは、エネルギー分野に対する脅威は低いとしている。その理 由として、侵入に成功した攻撃者たちは、さらなる目的を果たすために待ち構えて いるだけであると評価していることによる。これは、大変いい加減な評価であり、 重要なシステムに「常に誰かが侵入している状態」を受け入れなければならないと いうことだ。例えば、これから搭乗する飛行機に脆弱なリモート接続があって、誰 でも飛行制御システムにアクセス可能で設定を変更できる状態であると分かってい たら、どうだろうか?そして、我々は操縦室に対し、誰も物理的にアクセスできな いよう細心の注意を払い、権限を与えられた善良な人のみが操縦できるようにして いたとしてもだ。攻撃者がアクセスすることで、電力などのインフラを妨害または 破壊できるということは、その可能性と機会があるということであり、攻撃者にそ の隙を自ら与えていることにもなる。このような場合、私ならインフラの破壊やサ ービスの妨害に繋がる攻撃の脅威が存在する、としただろう。
【編集者メモ】(Henry)
これは、10年以上も前から言われてきたことだ。メディアや評論家による議論にお いては、実在する脅威ではないなどとされており、中には「脅威を煽って商売して いる」と言っている人たちもいる。この公表声明は、戦略および考え方のパラダイ ム・シフトであり、実在する脅威として立証した上で、直ちに対策が必要であると することができた取り組みである。
【編集者メモ】(Northcutt)
これは、大都市に住んでいる人たちにとって重要なことだ。 Ted Kopel氏は、啓発 を目的に、この話題について非常に良く研究された内容を綴った本を出している。 以下は、その本のレビューに関するリンクと、この分野に関してSANSが提供してい るコースへのリンクである:
http://www.sans.edu/research/book-reviews/article/lights-out
https://www.linkedin.com/pulse/i-just-read-lights-out-ted-koppel-stephen-northcutt?trk=hp-feed-article-title-comment

◆ Adobe が Flashのアップデートを予定よりも早く提供(2016.4.8,11)
Adobeは、Flash Playerの定例アップデートを予定よりも5日早い4月7日木曜日にリ リースした。 Adobeが予定を早めた理由は、重大な脆弱性のうち攻撃活動が既に観 測されている問題を修正する手段を提供したかったからとしている。このアップデ ートでは、Flashに含まれていた脆弱性24個が修正された。 Flashバージョン 21.0.0.197およびそれ以前のバージョンを利用しているユーザは 直ちにアップデートを適用することを推奨している。

http://www.theregister.co.uk/2016/04/08/update_flash_now_or_kill_it/
http://www.computerworld.com/article/3053959/malware-vulnerabilities/adobe-flash-player-cerber-ransomware-itbwcw.html
http://www.computerworld.com/article/3053548/security/adobe-fixes-24-vulnerabilities-in-flash-player-including-an-actively-exploited-one.html
http://krebsonsecurity.com/2016/04/adobe-patches-flash-player-zero-day-threat/
http://arstechnica.com/security/2016/04/adobe-flash-update-ransomware-windows-10/
http://www.eweek.com/security/adobe-patches-zero-day-flaw-used-by-exploit-kit.html
http://www.theregister.co.uk/2016/04/11/mindless_flash_masses_saved_as_magnitude_mongrels_bork_0day/
http://www.zdnet.com/article/cyberattackers-botch-integration-of-adobe-flash-zero-day-vulnerability-in-exploit-kits/
https://helpx.adobe.com/security/products/flash-player/apsa16-01.html
https://helpx.adobe.com/security/products/flash-player/apsb16-10.html
http://blog.trendmicro.com/trendlabs-security-intelligence/look-adobe-flash-player-cve-2016-1019-zero-day-vulnerability/

【編集者メモ】(Williams)
脆弱性が攻撃活動に使われているということは、 Flashを利用しているユーザは直 ちにアップデートを適用すべきである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「ハッキングに遭ったときの対応策は?」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
どんなにセキュリティ対策をしていても、ハッキングの被害に遭う確率はゼロに
はなりません。サイバー攻撃による被害を最小限に抑えるためには、異常を早く
検知し、素早く対応することが重要です。今月は、ハッキングの被害に遭ったか
を確認する手段と、ハッキングされた場合の対応策を一般ユーザ向けに分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201604_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2016年6月9日(木)-10日(金)
2016年9月8日(木)-9日(金)
2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
2016年9月15日(木)
2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
2016年9月14日(水)
2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2016年9月16日(金)
2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ホワイトハウスがサイバーセキュリティ強化委員会に10人を任命(2016.4.14)
オバマ大統領が、国家のサイバーセキュリティを強化する検討委員会に10名を任命 した。この委員会は、人事局(OPM) などいくつもの政府機関が大きな攻撃を受け、 今年の頭に発足したもので、この10人は、委員会の共同議長である、元ナショナル セキュリティアドバイザーのトム・ドニロン氏や元IBMのCEOサム・パルミサーノ氏 に続く増員となる。

http://www.nbcnews.com/tech/security/obama-names-former-nsa-chief-microsoft-uber-execs-cybersecurity-panel-n555811
https://www.whitehouse.gov/the-press-office/2016/04/13/president-obama-announces-more-key-administration-posts

【編集者メモ】(Paller)
この委員会の事務局長であるキルステン・トッド氏と話をする機会があり、 OPMの 情報漏えいや他のサイバー事故で何が間違いだったのか、何が失敗したのか、きち んと見直すと語った時、安心した。そして、数日後にとある政府機関の予算を使っ て、この委員会のスタッフを招集するという情報を入手したが、OPM に対しガイダ ンスを提供していた機関だったことを知った。独立委員会が調査をすれば、OPM の 情報漏えいに関して、ほとんどのミスやエラーはこの機関が促進したということが 分かるだろう。この事実の発覚により、政府機関のミスやエラーはこの委員会によ って洗い出しされないと思っている。だから、推奨事項も特に効果は無いだろう。

【編集者メモ】(Murray)
この委員会のミッションが「連邦政府」のではなく「国家」のとなっているのが残 念である。そもそも、この委員会が発足したのは、連邦政府が国民に関する情報を 適切に守ることが出来なかったからである。この問題を解決すること以上にスコー プを広げてしまうと、政府だけでなく国家も適切に守ることができないだろう。

◆ 米連邦控訴裁判所が Stingrayの使用に令状は必要ないと判決(2016.4.14)
米第6巡回控訴審裁判所が、 Stingrayと呼ばれる携帯電話監視機器を使用するにあ たり、令状は必要ないという連邦政府の決断に同意した。多くの連邦控訴裁判所が 同様の決断をしており、唯一反対した裁判所は再審理するということで、判断内容 の是非については除外された格好となっている。この件は、他の連邦控訴裁判所が 反対という判決をしない限り、最高裁判所で審理されることは無いだろう。

http://arstechnica.com/tech-policy/2016/04/us-court-agrees-with-feds-warrants-arent-needed-for-cell-site-location-data/

◆ VMWare Client Integrationプラグインに深刻な脆弱性(2016.4.14)
VMWareが公開したセキュリティアドバイザリによると、VMWare Client Integration プラグインに含まれる深刻な脆弱性があるため、 セッションコンテンツが適切に 処理されない」問題があるが、この脆弱性を悪用することで、セッションがハイジ ャックされる可能性があるという。この脆弱性に対応するためには、サーバ側とク ライアント側の両方に対策を適用する必要がある。

- http://www.theregister.co.uk/2016/04/14/critical_vmware_bug/
- http://www.vmware.com/security/advisories/VMSA-2016-0004.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月17日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○5月18日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=08

○5月19日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。