NRI Secure SANS NewsBites 日本版

Vol.12 No.06 2017年2月28日発行

■■SANS NewsBites Vol.19 No.015,016
(原版: 2017年2月21日、2月24日)


 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.1 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ データ漏えいにより、VerizonによるYahooの買収価格を3億5千万ドル減額(2017.2.21)
Verizon と Yahooは、買収価格を 3億5千万ドル減額することに合意した。これは、ここ最近 Yahooによって公表された 2件の大規模な情報漏えいが、10 億人ものユーザに影響を及ぼしたことが原因となっている。

] http://money.cnn.com/2017/02/21/technology/yahoo-verizon-deal/
https://www.wsj.com/articles/why-verizon-decided-to-still-buy-yahoo-after-big-data-breaches-1487679768?mod=djemalertTECH

【編集者メモ】(Pescatore)
Yahoo の情報漏えいは、Verizon による買収価格を 3億5千万ドル減額させただけでなく、今後Yahooが、この件に関するコストを 5割負担することにも合意させられている。結果として、Yahooのセキュリティがずさんであったことから、買収による収益が7億ドル減ることになる。これは、漏えいに関するレスポンスにかかった金額の上に積算されるもので、インパクトは倍になるだろう。つまり、10億5千万のコストがのしかかることになるのだ。これは、どこの役員会の目に止まるだろう。 このニュースを使い、CISO は戦略を立て、このような事が自分の企業で起きないような対策を立てるべきである。
【編集者メモ】(Murray)
「今、支払っても良いし、後で支払っても良い」 のだが、いずれ支払わなければならないものだ。 セキュリティにお金を使っても良いし、損害に対してお金を使っても良い。いずれ支払わなければならない。 あらかじめ漏えいに関する直接的なコストを支払っても良いし、後で間接的なコストを支払っても良い。 どちらにしても、いずれ支払わなければならないのだ。 セキュリティのコストは管理でき、予測もできる。しかし、損害は予測できない。 損害をカバーするためのお金を見つけることの方が簡単で(このようなお金は常にある)あり、 セキュリティの予算よりも簡単に作れるだろう。しかし、運は戦略でないし、希望も戦略でない。

◆ Google Project ZeroがWindowsの画像処理ライブラリの脆弱性情報を公開(2017.2.20)
Google Project Zeroは、Windowsの画像処理コンポーネント GDI ライブラリの脆弱性について詳細を公開した。Microsoftが 2月に予定していたセキュリティアップデートには、この脆弱性に対する修正が含まれるはずだったが、Microsoftは 3月までこれらの修正公開を延期している。Microsoftは、この問題に関するパッチを昨年の6月に公開しているが、Project Zeroは、そのパッチは問題の一部しか修正していないと主張している。

http://www.v3.co.uk/v3-uk/news/3004963/google-security-group-slams-microsoft-for-patch-tuesday-delay
http://www.theregister.co.uk/2017/02/20/google_project_zero_discloses_microsoft_bug_again/

【編集者メモ】(Pescatore)
Google Project Zeroのルールでは、パッチがリリースされるのであれば、通常の90日間に加えて最長 14日間まで情報公開のタイミングを延長することが可能となっている。Microsoftは、依然として月例のパッチリリースのサイクルを固持していることから、30日経過後にパッチが公開される見込み。Microsoft(及び他のエンタープライズ向けソフトウエアベンダ)は、世の中のCIO達によって固定されたパッチサイクルを導入させられている。一方、Appleやgoogleなどのコンシューマ向けのソフトウエアを開発しているベンダは、パッチの提供はいつになるか分からないが、 それなりの頻度でパッチが提供されている。DevOps スタイルを促進するためには、パッチサイクルを速め、ソフトウエアベンダにも同じように求めていく必要がある。
【編集者メモ】(Murray)
「まず、他者に危害を加えない」、たとえ Googleの行動が善意であるとしても。真のセキュリティ担当者は、脆弱性やエクスプロイトではなく、回避策を公開する。
競合他者が果たさなければならない責任や限られたリソースを、 どう割り振るかをその企業以上に知っていると言い張るのは思い上がりでしかない。
【編集者メモ】(Williams)
この問題は、脆弱性に対して適切なパッチを提供できないという、 思いのほか頻繁に起きる事象である。似たような事例として、MicrosoftはStuxnetが悪用した .LNK の脆弱性を適切に修正しなかったことが上げられる。Microsoftは、CVE-2010-2568としてCVE番号が与えられ .LNKの脆弱性を 2010年に修正を公開したが、重要な妥当性チェックが抜けており、2015年に CVE-2015-0096 の一部として修正が行われている。
https://threatpost.com/patched-windows-machines-exposed-to-stuxnet-lnk-flaw-all-along/111558/

◆ 不満を持っている元従業員に対し懲役3年の判決
Brian P. Johsnson は、元雇用主のネットワークに損害を与えたとして、懲役3年の判決が言い渡された。Johnson氏は Georgia-Pacific社のシステム管理者であり、2014年2月に解雇されてからも、VPN 経由でコンピュータシステムへのアクセスが可能であったとされており、 制御や品質管理のシステムにアクセスして、損害を与えたという。Johnson氏は、保護されたパソコンに対して意図的に損害を与えたことに対し罪を認めている。また、賠償金として 1億1300万ドルの支払いも命じられている。

http://www.theregister.co.uk/2017/02/18/it_admin_/
http://www.newsadvance.com/work_it_lynchburg/news/revenge-hacker-months-must-repay-georgia-pacific-million/article_918afb52-f53f-11e6-947a-cff3d79da414.html
https://www.justice.gov/usao-mdla/pr/former-systems-administrator-sentenced-prison-hacking-industrial-facility-computer

【編集者メモ】(Murray)
権限ユーザの管理は、必要以上に高いリスクになるだけではなく、 許容範囲を超えているだろう。通常の解雇でも十分な検討はされておらず、 ましてや論争が起きた上での解雇については一切検討されていない。 特権を与える前に、特権をはく奪する必要が生じた際の考慮事項を検討しておかなければならない。

◆ NISTが電力網保護のガイドラインに対してパブコメを公開(2017.2.17)
米国立標準技術研究所(NIST)は、Cybersecurity Practice Guide SP 1800-7, Situational Awareness for Electric Utilities のドラフト版に対しパブリックコメントを受け付けている。このドキュメントは、「電力会社がインシデントを調査し、調査結果を他の電力会社と共有するためのガイドライン」としている。 パブリックコメントは、2017年4月17日まで受け付けている。

http://cdn.nextgov.com/nextgov/interstitial.html?v=2.1.1&rf=http%3A%2F%2Fwww.nextgov.com%2Fcybersecurity%2F2017%2F02%2Fnist-wants-know-how-utility-companies-deter-hackers%2F135555%2F%3Foref%3Dng-channeltopstory https://nccoe.nist.gov/

【編集者メモ】(Paller)
Mike Assanteは RSA 2017の基調講演において、公共施設に対する攻撃がどのようにして行われているかを解説し、 今後の動向について予想を語っている。氏は、一つ重要な事を語っており、NIST の著者は「完全に」これを忘れていると言える。それは、 ツール(NISTは、いくつもツールを買うことを推奨している)は、テクニカルスタッフのレベルが一定の高さでないと、効果を発揮できない、ということである。
NIST の著者たちは、侵入者を見つけるためのテクニカルスキルを持っていないために、そのスキルの価値が分からないのだろうか?
【編集者メモ】(Northcutt)
これは良い。NISTは、業界のベンダと連携をしたのだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「モバイルアプリを安全に使用するには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スマートフォンやタブレットなどのモバイルデバイスが万能な理由は、利用可能
なアプリが無数に存在するからです。このアプリによって、あなたのモバイルデ
バイスは、勉強用のツールにもなれば、ゲームを楽しむ端末にも変わります。こ
のように様々な可能性を秘めたモバイルアプリですが、不用意に使用するとあな
たの個人情報や大事なデータを盗み取られてしまう可能性があります。今月は、
モバイルアプリを安全に使用する方法について一般ユーザ向けに分かりやすく解
説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201703_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ サイバーセキュリティ業務に応募する人の25%が要件を満たしていない事実(2017.2.22)
ISACAによる調査から、サイバーセキュリティの業務に応募する人たちのうち、要件を満たす人材は、25%もいないことが分かった。募集する職の半数以上は、これらの要件を満たすように適切なトレーニングなどを施すため 3から6か月以上の時間がかかる。 このレポートでは、トレーニングよりもハンズオンの経験の方が重要だと指摘している。

http://www.darkreading.com/vulnerabilities---threats/fewer-than-one-fourth-of-cybersecurity-job-candidates-are-qualified/d/d-id/1328244

【編集者メモ】(Williams)
この記事の裏にはたくさんのことがあり、 いくつもの測定値が結果と合わない感じがしているたとえば、 情報セキュリティに関する人材を雇おうとしている多くの企業は、とても低い年俸しか提示していないことだ。 情報セキュリティ業界には、人材はあまりいないため、 提示している年俸が直接、要件を満たしている人を雇えるか否かに影響してくる。場合によっては、応募すら来ないだろう。

◆ サイバーセキュリティ業務に向けた準備をしてくれる大学は?(2017.2.23)
数日前に Cybersecurity Advisory Boardに届いたメールに「情報セキュリティチームに新入社員のポジションを追加しました、というのがあった。 (それなりの数があった) 応募者の中にサイバーセキュリティの理学士を持っている人が数名いたが、彼らが学んでいる事を聞いて我々は驚いた。 彼らは、ポリシーや基準の必要性を理解しているし、アンチウイルスやパッチ、Kali Linuxのほか Encaseなども知っていたのだ。 ペネトレーションテストも非常に良い成績を残しているほか、ソーシャルエンジニアリングやフィッシングについても少し知っているという。 脆弱性と脅威の違いについて質問をしても、素晴らしい回答が返ってくるし、 アクセスモデルや暗号についての基本的な知識も持ち合わせているのだ。 しかし、「サイバー」の観点から何か抜けているような気がしてならないのはなぜだろうか。 私たちの考えでは、大学でのトレーニングにおいてパソコン、XSS、バッファオーバーフロー、オペレーティングシステムの基本が教えられていないように見えるということだ。 ソルトを加える、ハッシュを使うといったコンセプトに関して、 ほとんど知らなかっただけでなく、鍵に関する知識もごく僅かしか持ち合わせていないのだ。 今挙げた分野は、もっと高度なトピックなのかもしれないが、 それでも残念な気持ちになったのは事実である。別の機会に、3つの大学プログラムを卒業した生徒と話をする機会があった。そのうち 2人は、NSA/DHS Center of Academic Excellence List にも掲載されていた学生であり、私は彼らに期待していたのは間違いない。

サイバーセキュリティ分野の学問を修めた学生を、有益な従業員にするための「5つの基盤」について、 ハンズオンを中心とした経験を積ませる大学を知っている人はいないだろうか? (5つの基盤とは、1.コンピュータの仕組み、OSと仮想化、ネットワーキングを含むコンピュータの基礎、2.Linuxの基礎、3.Windowsの基礎、4.C言語、Python、HTMLおよび Javaを含めたプログラミング、5.バッファオーバーフローやインジェクションといった攻撃者を、 ネットワーク内で発見するための基本を含めたセキュリティの基本)を指す」

NewsBites読者の中で、これらの基盤を提供してくれる大学を知っている人は教えていただきたい。内容を確認して、Advisory Boardへ質問をしてきた CISOに情報を提供する予定だ。さらに、その大学を「Best undergraduate colleges for cybersecurity education」リストの中でハイライトすることも考えている。ぜひ apaller@sans.orgまで情報をお寄せいただきたい。

◆ Googleがハッシュ衝突攻撃を使って、SHA-1を破る(2017.2.23)
オランダのアムステルダムにあるGoogle と Centrum Wiskunde & Informatica 研究所の研究者たちは、SHA-1アルゴリズムを破るためのハッシュの衝突攻撃を編み出した。SHA-1は、ここ一年以上ウェブサイトのデジタル証明書で使われておらず、多くのブラウザが SHA-1の証明書を推奨していないが、SHA-1はドキュメントの完全性を証明するために広く使われている。

https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
https://www.wsj.com/articles/google-team-cracks-longtime-pillar-of-internet-security-1487854804
https://www.wired.com/2017/02/common-cryptographic-tool-turns-majorly-insecure/
http://www.theregister.co.uk/2017/02/23/google_first_sha1_collision/
https://www.scmagazine.com/on-shaky-ground-sha-1-web-standard-cracked/article/639790/
https://arstechnica.com/security/2017/02/at-deaths-door-for-years-widely-used-sha1-function-is-now-dead/

【編集者メモ】(Murray)
衝突はいずれ起きるものだ。 衝突攻撃は、過去に考えられていたよりも安く行えるが、それでもコスト高の状態になるのは間違いない。 問題は、実現性ではなく効率性である。そんな中、SHA-1は他の効率の高い代替アルゴリズムが出てきたことで廃れてきているのが現状だ。もっと強固なアルゴリズムへの移行は推奨されているが、すぐに行わなければいけないものでもない。
【編集者メモ】(Williams)
この SHA-1衝突を起こすために、九百京ものSHA-1による計算を必要としている。詳細は明かされていないが、衝突を起こすためには、 特定のデータタイプが必要なのかもしれない。PDFはとても複雑であり、このファイルフォーマットの複雑さがこれを助けているのかもしれない。しかし、多くの組織は、SHA-1衝突を起こすためのリソースを持っていない。依然としてMD5は、脅威を探すために有効である。最後になるが、SHA-1は、信頼関係を維持するために使わない方が良いが、これを読んで「SHA-1はすべてのアプリケーションで使えなくなった」と考えないで欲しい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月15日(水)
 重要文書はこう管理する! 文書管理で失敗しない3つのポイント
 http://www.nri-secure.co.jp/seminar/2017/doc01.html?xmid=300&xlinkid=04

○3月9日(木)、4月12日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=07

○3月10日(金)、4月13日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
 http://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・米国でのセキュリティサービスに機械学習技術を導入
 https://www.nri-secure.co.jp/whats_new/2017/0214.html?xmid=300&xlinkid=11

・クラウド型外部委託先リスクマネジメントツール「Supplier Risk MT」の販売を開始
 https://www.nri-secure.co.jp/whats_new/2017/0208.html?xmid=300&xlinkid=12

・標的型サイバー攻撃対策「Deep Discovery Inspector管理サービス」の販売を開始
 https://www.nri-secure.co.jp/whats_new/2017/0206.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバー攻撃対策ソリューションキャンペーン    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 いまなら、対象製品にお問い合わせを頂いた方から抽選で、
 野村総合研究所著「ITロードマップ プレビュー2017」(非売品)を進呈
 https://www.nri-secure.co.jp/service/targeted_attacks/?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃新コーナー「Insights」          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 Insightsでは、セキュリティ担当、システム担当はもちろんのこと、経営者
 の方にも、情報セキュリティに関するトピックや解説、コラムなど様々な
 情報を紹介していきます。
 第一回は、「CSIRTの次なる一手~プロアクティブなセキュリティ機能構築
 の必要性~」です。
 https://www.nri-secure.co.jp/security/insights/index.html?xmid=300&xlinkid=14


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。