Home > Security NewsLetter(NRI Secure Information) > Vol.7 No.4 2012年2月1日発行

Security NewsLetter(NRI Secure Information)

Vol.7 No.4 2012年2月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.7 No.4 2012年2月1日発行
**********************************************************************

■■SANS NewsBites Vol.14 No.6-7
(原版:2012年1月20日、24日)

◆アノニマス 政府や音楽業界のWebサイトを停止させる (2012.1.19)

緩やかに組織されているハッカー集団、アノニマスは、米国司法省、FBI、米 国映画協会(MPAA)、全米レコード協会(RIAA)、また、その他複数のサイトを停 止させたと主張している。この攻撃は明らかに、政府がMegaupload.comを閉鎖 したことへの報復である。米国連邦機関は2つの企業を起訴し、Magaupload.com を閉鎖している。

http://www.mercurynews.com/nation-world/ci_19777444?
http://technolog.msnbc.msn.com/_news/2012/01/19/10193724-anonymous-says-it-takes-down-fbi-doj-entertainment-sites?chromedomain=usnews
http://www.washingtonpost.com/business/economy/federal-indictment-claims-popular-web-site-shared-pirated-material/2012/01/19/gIQA4rDwBQ_story.html

【編集者メモ】(Pescatore) このような攻撃のほとんどが成功してしまったことにより、影響を受けたWeb サイトには、適正評価レベルのセキュリティさえもないことが明らかになった。 事業にとって有益なWebサイトであれば、バックアップサーバや、無停電電力 装置などのために、かなりの投資をしていたはずである。しかしながら、多く の企業が、DoS攻撃からの防御策や、セキュアなコード開発、もしくは、Webア プリのファイヤウォールを設けていない。近頃は、Webサーバの環境的な不足 よりも、Webへの攻撃の方が発生する可能性の方が高いというのに。

────────────────

◆Koobfaceの黒幕が判明:ボットネットは活動停止に (2012.1.17-19)

Koobfaceのボットネットの黒幕として、5人の身元が明らかになった。問題の5 人は全員ロシア人である。容疑者の名前があがった直後、Koobfaceのネットワー クは活動を停止した。容疑者らの氏名は、Anton Korotchenko、Alexander Koltyshev、Roman Koturbach、Syvatoslav Polinchuk、Stanislav Avdeikoだ と確認されている。

http://www.theregister.co.uk/2012/01/18/koobface_prime_suspect_outed/
http://www.h-online.com/security/news/item/Koobface-C-C-goes-silent-after-alleged-controllers-exposed-1416869.html
http://www.v3.co.uk/v3-uk/news/2139429/alleged-koobface-gang-exposed
http://www.eweek.com/c/a/Security/Facebook-Security-Investigators-Unmask-Five-Men-Behind-Koobface-Crime-Ring-476256/
http://www.zdnet.com/blog/facebook/koobface-gang-pulls-server-after-facebook-exposes-hackers/7705

【編集者メモ】(Northcutt)
興味深いニュース。数日前、Facebookのセキュリティチームが、Koobface (Facebookのアルファベット文字のアナグラムになっている)ギャング団の身元 を公表すると述べていたが、彼らは明確にそれを実行した。

http://betanews.com/2012/01/17/koobface-hackers-are-easily-found-on-facebook-elsewhere/

────────────────

◆議会 知的財産保護法案(PIPA)とオンライン海賊行為防止法案(SOPA)の支持をやめる (2012.1.18)

下院のオンライン海賊行為防止法案(SOPA)と、上院の知的財産保護法案(PIPA) の支持の取り下げを表明する米国の議員らが増えている。両院における共和民 主の議員らは両陣営とも、法案の可決を行うスピードが速かったことや、法案 の条項があまりに広義で、圧政的であることを引き合いに出し、論争の法案の 支持をやめる意向である。支持をやめた議員らの中には、当初これらの措置の 共同提案者だった議員もいる。WikipediaなどのWebサイトは、同法案に対する 抗議として、1月18日に英語版サイトを白黒の画面にするという行動に出た。

http://www.scmagazine.com/senators-change-sides-on-sopapipa-issue/article/223719/
http://arstechnica.com/tech-policy/news/2012/01/pipa-support-collapses-with-13-new-opponents-in-senate.ars

【編集者メモ】(Murray)
読むよりも耳にする方が、話の内容がマシに感じられる。昨晩のニュースによ れば、多数の議員が、ごたごたに巻き込まれてしまったことに関して、職員を 非難しているということだった。残念ながら、この不愉快な提案に対し、新た に反対を表明した議員らは、提案を支持していた当時よりも今の方が提案につ いて理解が深まっているとは言えないだろう。反対派は、大衆主義者なのであ る。法案の支持は、数億ドルの基金によって成り立つようになっている。今日 も、TVの至るところで、この提案の支持をうたう主戦論者的な広告を目にした。 競争は、足が速いものが勝つわけでもなく、法案に関しても、米国映画協会、 全米レコード協会、K通り(ワシントンDCの大通りの名前で、ロビイスト、シン クタンク、圧力団体などが集中している場所)の望むとおりに、ことが運ぶわ けではない。しかし、「彼らの望むとおりにはことが運ばないだろう」という 予想をもとにお金を賭けるのが、情報通の投資家らのやり方である。

────────────────

◆EUデータ保護条令改正案:24時間以内に侵害の情報公開を義務付け(2012.1.22-23)

すでに成立後15年経過しているEUデータ保護条令に変更が提案されており、そ の変更内容が今週発表される見込みである。新ルールによって、組織は、侵害 の影響を受ける個人や情報保護関連機関に対し、不当な遅れが生じないように (24時間以内になる可能性が高い)セキュリティ侵害について報告を行うことが 義務付けられるようになる。また、新ルールでは、個人に対し「忘れ去られる 権利」を与え、彼らが自分の個人情報を削除するように要求できるようにもす る。「データ可搬性の権利」によって、個人は、ある会社から他の会社に自分 の情報を移動しやすくなる。このルールは1月25日に発表される見込みだが、 成立までには、まだたどらなければならない立法化の過程が残っている。 新 ルールに違反した企業は、最高で、その企業の世界収益の1%の罰金が科せら れる可能性がある。

http://www.bbc.co.uk/news/technology-16677370
http://news.cnet.com/8301-1009_3-57363585-83/new-eu-data-protection-rules-due-this-week/
http://www.siliconrepublic.com/new-media/item/25447-major-changes-to-eu-data/

【編集者メモ1】(Murray)
Verizonの「Verizon Data Breach Incident Report」によれば、ほとんどの侵 害は、発生後数週間から数か月経過するまで気づかれず、実際にどのようなこ とが起きたのかを理解するためにはさらに数日から数週間を要するという。世 界に存在する全ての規制をもってしても、この事実は変わらないのだ。
【編集者メモ2】(Honan)
あなたの所属企業が欧州の外で事業を行っているが、オフィスや子会社が欧州 をベースにしている場合、これらの予定されている変更によって、顧客や従業 員のデータの管理や保護の方法に影響があるだろう。

────────────────

◆米国最高裁の判決:車両のGPS追跡には令状が必要 (2012.1.23)

米国最高裁判所は、「米国の警察・法執行機関は、容疑者をGPSデバイスで追 跡する際には、事前に裁判所承認の令状を獲得する必要がある」という全会一 致の判決で述べている。この判決では、「4週間にわたった容疑者の車のGPS追 跡は法の範囲内である」という司法省の論拠が棄却された。この判決によって、 Antoine Jonesの有罪判決を覆すという米国控訴裁判所の判決が維持された。 Scalia判事は、「政府がGPSデバイスをターゲットの車両に取り付け、そのデ バイスを使って車両の動きを監視する行為は、『調査』に相当する」と記して いる。以前、この件で司法省は、Jonesは「自身のプライバシーの確保を正当 に期待することができない状況にあった」と主張していた経緯がある。

http://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
http://www.computerworld.com/s/article/9223634/Supreme_Court_GPS_tracking_needs_court_warrant?taxonomyId=17

────────────────

◆アノニマス CBS.comにDNSポイズニング攻撃を仕掛ける (2012.1.23)

「アノニマス」として知られる緩やかに組織されたハッカー集団が、CBS.com に対し、DNSポイズニング攻撃と思われる攻撃を仕掛け、ユーザーを他のサー バにリダイレクトしている。CBS.comのサイトを訪問すると、訪問者らはメイ ンページの代わりに、1ページのディレクトリ構造で迎えられ、CBSのサブサイ トを訪問しようとすると、「404 Not Found」というエラーメッセージが生成 される。初期段階の報告の中には、攻撃者らはCBS.comのサーバを一掃したと 伝えているものもあったが、この場合それはあてはまらないようだ。この影響 でサイトが停止していた時間は、20分と推定されている。

http://www.pcmag.com/article2/0,2817,2399185,00.asp
http://www.it-networks.org/2012/01/22/anonymous-deletes-cbs-and-universal-music-websites-backups-prevail/
http://www.itproportal.com/2012/01/23/anonymous-takes-down-cbscom-over-megaupload-takedown/
http://www.abc57.com/home/top-stories/Hacker-group-Anonymous-takes-down-major-website-137861073.html
http://www.nextgov.com/nextgov/ng_20120123_7859.php?oref=topnews

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のセミナー(参加費無料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2/15・3/7・4/20・5/24・6/13       <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー  〜情報漏えい・誤送信対策ソリューションのご紹介〜
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=02

○2/24・4/26・5/16・6/15         <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 〜実効力ある情報漏えい防止、いますべき対策とは〜
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=04

○4/18・5/18・6/21            <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 〜IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは〜
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=03


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中のオンラインセミナー(視聴無料)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1/17(火)〜3/16(金)                  <オンライン>
 NRIセキュアテクノロジーズ Virtual Showroom 2012
 〜標的型攻撃に対抗するための次世代情報セキュリティ〜
http://www.nri-secure.co.jp/seminar/2012/0117.html?xmid=300&xlinkid=08

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年1月19日 Vol.11 No.3)

今週報告された脆弱性情報のサマリー

======================================================================
カテゴリー
件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps
7 (#1,#2,#3)
Solaris
1
Cross Platform
9
Web Application - Cross Site Scripting
2
Web Application
6
Hardware
1
======================================================================

1.危険度【高】:HP Insight Diagnosticsにバッファオーバーフロー

<影響を受ける製品>
HP Insight Diagnostics

<詳細>
HPのInsight Diagnosticサーバは、バッファオーバーフローの脆弱性に脆弱で ある。HP Insight Diagnosticsは、Microsoft WindowsとLinux上で動作する Webベースのサーバ管理ツールである。この脆弱性は、アプリケーションが、 クライアントが提供するサイズ値を信頼して、データをスタックにコピーする ために生じる。攻撃者は、悪意のあるリクエストをmagentservice.exe(デフォ ルトで、23472番ポートからの問い合わせを待つ設定になっている)に送信すれ ば、この脆弱性を悪用して、ターゲットのマシン上で任意のコードを実行でき る。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
ベンダーのサイト
http://www.hp.com
Zero-Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-12-016
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/51398

────────────────

2.危険度【高】:McAfee Security-as-a-ServiceのActiveXコントロールにコマンド・インジェクションの脆弱性

<影響を受ける製品>
McAfee SaaS Endpoint Protectionの現行バージョン

<詳細>
McAfeeのSecurity-as-a-Service Endpoint Protectionは、コマンド・インジェ クションの脆弱性に脆弱である。McAfeeのEndpoint Protectionは、Windowsマ シンをウィルスやマルウェアから守るように設計されている。myCIOScn.dllと いうクライアントにインストールされているActiveXコントロールには、サー バが制御するコマンドを受け取って実行するMyCioScan.Scan.ShowReport()と いう脆弱な機能がある。McAfeeは、この欠陥を認めており、この欠陥の対処用 に更新をリリースする予定である。しかし、McAfeeは、この脆弱性の悪影響は、 8月にリリースしたパッチで完全に緩和できると報告している。公表情報によ れば、このパッチ(同じdllにあるファイル・アップロードの脆弱性に対処す るためにリリースされた)によって、どうしてアタック手法が使えないように なるのかは不明だという。この脆弱性の悪用を実現するには、ターゲットを悪 意のあるWebサイトを閲覧するように仕向けなければならない。8月のパッチに ついては、<参考>にあるリンクをご覧いただきたい。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
ベンダーのサイト
http://www.mcafee.com
McAfeeのセキュリティ・アップデート
https://kc.mcafee.com/corporate/index?page=content&id=SB10016
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-12-012
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/49087
http://www.securityfocus.com/bid/51397

────────────────

3.危険度【高】:HPのEasy Printer CareにさまざまなActiveXの脆弱性

<影響を受ける製品>
HP Easy Printer Careの現行バージョン

<詳細>
管理プリンタ用のWebベースのシステム、HP製Easy Printer Careは、内在する ActiveXコントロールにあるさまざまな脆弱性に脆弱である。1つ目の問題は、 XMLSimpleAccessorのActiveXの脆弱性の問題が関係している。これに関しては、 攻撃者は、過剰に長い文字列をLoadXMLメソッドに送信すれば、ヒープバッファ ・オーバーフローの脆弱性を悪用して、ターゲットのマシン上に任意のコード を実行できるようになる。同様に、XMLCacheMgrクラスの CacheDocumentXMLWithId()メソッドにある任意のファイルを書き込みしてしま う脆弱性についても、クライアントのブラウザの関係で、任意のコードの悪用 に用いられるおそれがある。攻撃者は、これらの脆弱性を悪用するには、悪意 のあるリンクを閲覧するようにターゲットを仕向けなければならない。HPは、 HP Easy Printer Careのサポートを終了しているので、キルビットを設定する か、もしくは、このソフトウェアのアンインストールを推奨している。 ActiveXコントロールのキルビット設定についての詳細は、<参考>のリンク をご覧いただきたい。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
ベンダーのサイト
http://www.hp.com
Microsoftのサポートページ
http://support.microsoft.com/kb/240797
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-12-013/
http://www.zerodayinitiative.com/advisories/ZDI-12-014/
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/51396
http://www.securityfocus.com/bid/51400

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。

PAGE TOP
お問い合わせ / 資料請求

ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。

お問い合わせ 資料請求


このページを印刷