NRI Secure SANS NewsBites 日本版

Vol.13 No.03 2018年2月20日発行

■■SANS NewsBites Vol.20 No.012-013
(原版: 2018年2月13日、16日)


◆ Equifax社から流出した個人情報に、納税者番号とクレジットカードの有効期限が含まれていた (2018.2.13)
Equifax 社によると、昨年同社が大規模な情報流出の事案において、悪用された可能性のある情報の中には、納税者番号や支払いに使用されたクレジットカードの有効期限が含まれていたことが明らかとなった。新たに悪用された可能性があることが発覚した情報は、Equifax 社が米上院銀行委員会に提出した文書の中で報告されている。

http://www.theregister.co.uk/2018/02/13/equifax_security_breach_bad/

【編集者メモ】(Honan)
昨今の情勢において、企業の価値はもはや情報漏洩が発生したか否かでは無く、情報漏洩が発生した際にどのように対処したかで判断される。個人情報流出に関する詳細な情報、特に、影響を受けた顧客に被害が及ぶ可能性のある情報の公開が遅れていることが、結果として Equifax社の評価を下げているのだ。
【編集者メモ】(Neely)
Equifax 社は、いまだに米国で利用されている3つの個人信用調査会社のうちの1つだ。次の個人情報流出の発生を待っていてはいけない。Equifax社では2018年6月30日までであれば、無料で信用状況報告を凍結できる。Experian社とTransunion社の場合、信用状況報告の凍結は1回につき 10 USドルかかる。

◆ マルウェア Olympic Destroyerは、開会式中にサーバやWi-Fiサービスの混乱を引き起こす目的で使用された可能性が高い (2018.2.11 & 2018.2.12)
平昌オリンピックで使用されている内部サーバや Wi-Fiサービスが、2月9日(金)の開会式中にクラッシュした。問題は翌朝までに解決したが、大会運営委員会の広報担当者は、このような攻撃は予想されていたことであり、委員会は IOCと協議し、クラッシュの原因を公開しないことを決定したと述べた。だが、セキュリティ関連企業各社は、このマルウェアを特定し、Olympic Destroyer と命名している。

http://threatpost.com/olympic-destroyer-malware-behind-winter-olympics-cyberattack-researchers-say/129918/
http://www.bleepingcomputer.com/news/security/destructive-malware-wreaks-havoc-at-pyeongchang-2018-winter-olympics/
http://www.scmagazine.com/2018-winter-olympic-games-hit-with-destroyer-malware-during-opening-ceremony/article/743811/
http://thehill.com/policy/cybersecurity/373493-cyber-experts-identify-destructive-malware-used-against-olympics
http://motherboard.vice.com/en_us/article/d3w7jz/olympic-destroyer-opening-ceremony-hack
http://www.reuters.com/article/us-olympics-2018-cyber/olympic-destroyer-malware-targeted-pyeongchang-games-firms-idUSKBN1FW22O
http://www.cyberscoop.com/winter-olympics-cyberattacks-olympic-destroyer-fireye-talos/?category_news=technology

【編集者メモ】(Murray)
花火、照明、音響、そして Intel社のドローンを制御していた各サーバは、問題なく動作していたようだ。

◆ 豪で改正個人情報保護法が施行 (2018.1.13)
豪州で昨年審議を通過した情報漏洩時の報告に関する法律だが、2018年 2月13日に法令が一部追加されて 22日に施行されるという。

http://www.dataprivacymonitor.com/breach-notification/australias-new-breach-notification-law-set-to-take-effect-february-2018/
http://parlinfo.aph.gov.au/parlInfo/search/display/display.w3p;query=Id%3A%22legislation%2Fems%2Fr5747_ems_ed12b5bb-d3b3-4a6a-9536-53bb459a00df%22

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「モバイル機器の安全性を確保するために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 モバイル機器は、友人とコミュニケーションを取ったり、オンライン上で買い
物や取り引きをしたり、映画を見たり、ゲームで遊んだりなど、様々なことを可
能にする素晴らしいものです。これらの機器は、生活の中で重要な役割を担うた
め、適切な設定や使いかたをしなければ、ユーザにとって不利益を生じてしまう
ことにつながります。今月は、モバイル機器の安全性を確保する方法について一
般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとしてお使いく
ださい。
https://www.sans.org/sites/default/files/2018-02/201802-OUCH-February-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Hack the Air Force 2.0において、106件の脆弱性が発見される (2018.2.15)
アメリカ空軍(USAF)で、2回目の bug bounty が開催され、イベントの参加者が100件を超えるセキュリティ上の問題を発見した。それを受けて USAFは合計 10万USドル超の報奨金を支払ったという。Hack the Air Force 2.0 は、2017年12月9日から2018年1月1日にかけて開催されたバグバウンティイベントで。今回は、外部公開されているおよそ 300の USAF関連ウェブサイトが対象となっている。

http://thehill.com/policy/cybersecurity/374038-ethical-hackers-discover-100-vulnerabilities-in-us-air-force-systems
http://www.cyberscoop.com/u-s-air-force-pays-out-103883-in-bug-bounties/
http://www.nextgov.com/cybersecurity/2018/02/international-hackers-find-106-bugs-us-air-force-websites/146019/

【編集者メモ】(Pescatore)
最大のニュースは、発見された脆弱性の数が、昨年の Hack the Air Forceから50%近く減少したことだ。今度行われる同様の Hack the Militaryイベントでは、素早く安価に発見できる問題だけではなく、運用上の脆弱性を阻止する目的で、試作段階のコードにも焦点を当てて欲しい。
【編集者メモ】(Neely)
成功を収める bug bounty プログラムには、発見された脆弱性の修正だけでなく、ウェブサイトを外部に公開する前に、安全なアプリケーションを作成し、適切なテストプロセスを導入することも含まれる。USAFは、成功を収めるプログラムに必要な成熟度を実際に示している。ペンタゴンの各部署は、USAFの先例に従うことを期待したい。

◆ 善良な人のみがアクセスできる、暗号化されたデータへのバックドアがどのように実現できるのか、あなたの意見を聞かせてください (2018.2.14)
2月13日に開かれた上院諜報特別委員会での聴聞会において、上院議員Ron Wyden氏(民主党、オレゴン州選出) はあらためて FBI長官の Christopher Wray氏に対し、暗号化された通信へのアクセスについて、IT企業から具体的にどのようなことを期待しているのかと厳しく問いただした。この聴聞会後に Wyden氏は、暗号学の専門家Martin Hellman氏、Steven Bellovin氏、Paul Kocher氏、Bruce Schneier氏から受け取ったレターを公開した。その中には、「技術に明るくない人がそのようなシステムの開発が可能だと信じていても、その開発が実際に達成されるわけではない。」と書かれていた。Wyden氏に宛てられたこのレターは、FBIが持つ暗号化に対する期待が、具体的にどのようなものなのかを FBIに問う Wyden氏の努力を称賛している。

http://www.theregister.co.uk/2018/02/14/cryptography_experts_fbi/
http://fcw.com/articles/2018/02/14/wyden-wray-encryption.aspx?admgarea=TC_Security
http://regmedia.co.uk/2018/02/14/encryption-experts-wyden.pdf

【編集者メモ】(Pescatore)
おもしろい議論だが、読者の皆さんは保存したデータを、日ごろから暗号化しているだろうか。データの暗号化が、情報漏洩やランサムウェア攻撃への最大の防御策の 1つであるのだから、やらない理由はないだろう。暗号化されたデータへのバックドアを義務化する、馬鹿げた法案の最大の障害となるのは、データを暗号化して保存する企業の数が大幅に増加することだ。 SSLの有効化を行なっただけで安堵できる問題ではない!!
【編集者メモ】(Neely)
この教訓はクリッパーチップから学んだものだ。そのようなバックドアがあったとしても、秘密を守ろうとするならば、バックドアがない場合は別の対策を施すだろう。権限のある団体に、企業内の情報を復号する許可を与え、鍵エスクローの導入と機器管理の実践を通じて暗号化プロセスを管理することが、最善の方法だろう。
【編集者メモ】(Williams)
暗号化されたデータのバックドアが有効に機能する唯一の方法は、バックドア用の秘密鍵を確実に保護した上で、適切なタイミングで使用することだ。しかしShadow BrokersやVault 7、その他の機密情報の流出が明らかにしてきたが、米国政府は秘密を守ることがひどく下手だ。今月初めに発覚した iOSブートローダのコード流出は、営利企業や団体も、そうした情報の保護を政府より上手くできるわけではないことを示している。
【編集者メモ】(Honan)
この動きと併せて、法執行機関が助言を求めたという専門家らに対し、物事が正しく評価がされ、確実な一歩を踏み出せる解決策を提示することを求めている、そういう意味では、レターにある抗議内容に称賛を贈りたい。我々のオンラインセキュリティとセーフティは極めて重要な問題であり、うわさに頼ることはできないのだから。

◆ 米英豪が、NotPetya のルーツはクレムリンであると指摘 (2018.2.15)
米英豪の各政府当局は、NotPetyaによるサイバー攻撃がロシアによるものであったとする声明を発表した。

http://www.theregister.co.uk/2018/02/15/uk_names_russian_military_as_source_of_notpetya/
http://www.zdnet.com/article/australia-also-points-finger-at-russia-for-notpetya/
http://arstechnica.com/tech-policy/2018/02/white-house-uk-blame-russian-military-for-notpetya-wiper-worm/
http://www.cyberscoop.com/uk-government-blames-russian-military-infamous-notpetya-cyberattacks/?category_news=technology

【編集者メモ】(Pescatore)
この問題は、ウクライナ製の会計ソフトウェアを対象に配布されていたことが主な原因であったことから、当初から信憑性が高かった。しかし FedEx社と Merck社の事業部門は、ロシアや中国、米国、ワトピアからのサイバー攻撃ではなく、修正パッチを適用しなかったことにより、どちらも3億 USドルの直接経費が生じたと発表している。

◆ NISTが IoTセキュリティ基準の報告書案を発表 (2018.2.15)
米標準技術研究所(NIST)は、「政策立案者、管理者、およびガイドライン等の賛同者による、IoT の構成部分やシステム、およびサービスにおけるガイドライン等のタイムリーな策定や利用を補助することを目的に作成された」報告書案「Interagency Report on Status of International Cybersecurity Standardization for the Internet of Things (IoT)」を公開した。

http://thehill.com/policy/cybersecurity/374038-ethical-hackers-discover-100-vulnerabilities-in-us-air-force-systems
http://www.cyberscoop.com/u-s-air-force-pays-out-103883-in-bug-bounties/
http://www.nextgov.com/cybersecurity/2018/02/international-hackers-find-106-bugs-us-air-force-websites/146019/

【編集者メモ】(Neely)
報告書案では、IoTデバイスの種類、セキュリティ上の懸念事項について包括的な分析を行なっており、既存の基準や新基準とのギャップのマッピング、さらには IoTアプリケーションの種類まで含まれているため、より安全なIoTデバイスの開発に向けたロードマップの作成に活用できる。 この基準が発展してギャップが解消されるに従い、契約条項にそうした事実を記載できるようになる。 これはつまり、政府および民間において、安全なデバイスの調達を促進し、IoTデバイスを生産する各社のセキュリティ基準の引き上げにつながることが期待できる。 気がかりなのは、市場を動かす要因が、こうした変化をもたらすほど大きなものであるのかという点だ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月2日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2018/ac04.html?xmid=300&xlinkid=01

○3月5日(月)大阪開催
 SANSコミュニティナイトin大阪
 最新の攻撃に対処するためのセキュリティ運用
 ~Security Operations to Resist Current Attack Trends~
https://www.nri-secure.co.jp/seminar/2018/sans03.html?xmid=300&xlinkid=09

○3月9日(金)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2018/optimization01.html?xmid=300&xlinkid=03

○3月14日(水)
 オフィスの紙文書そのままで働き方改革できますか?
 ~捨てるもの、残すもの、使うものを考える~
https://www.nri-secure.co.jp/seminar/2018/sri02.html?xmid=300&xlinkid=08

○3月15日(木)
 「ユーザーエクスペリエンス」と「セキュリティ」を両立するために
https://www.nri-secure.co.jp/seminar/2018/ciam03.html?xmid=300&xlinkid=07

○3月16日(金)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file01.html?xmid=300&xlinkid=04

○4月26日(木)、5月18日(金)、6月20日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2018/isolation02.html?xmid=300&xlinkid=02

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○エンドポイントをセキュリティの潜在リスクから守る
 「マネージドEDRサービス」を4月に提供開始
https://www.nri-secure.co.jp/service/mss/edr.html?xmid=300&xlinkid=11

○企業におけるクラウドサービス利用を安全に行う可視化・アクセス制御
 (CASB)ソリューション「Netskope」を販売開始
https://www.nri-secure.co.jp/service/casb/netskope.html?xmid=300&xlinkid=12

○「グローバルセキュリティアセスメント」サービスを提供開始
 ~グローバルに展開する企業の情報セキュリティ診断と統制を推進~
https://www.nri-secure.co.jp/news/2018/0112.html?xmid=300&xlinkid=13

○自己問診によるPCI DSS準拠を支援する「PCI DSS SAQ準拠パッケージ」を
 販売開始
https://www.nri-secure.co.jp/service/pcidss/saq.html?xmid=300&xlinkid=14


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。