NRI Secure SANS NewsBites 日本版

Vol.5 No.30 2010年8月5日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.30 2010年8月5日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
SiemensへのアタックやStuxnet/Windowsショートカット/SCADAについての概要
を知りたい方は、CNETでElinor Millsの記事を読んでほしい。Windowsの一時
修正プログラム(Windows Temporary Fix)についてのストーリーの末尾にある
URLリンクの一番上がその記事である。これとは別に、MITREでは、重大なプロ
グミングエラーの首位にくる25のエラーのリストの6番目にあたる、アタック
を招くプログラミングエラーがレポートされている。ついに、ABB、GE、
Siemens、Rockwellのコントロールシステムのユーザーがロンドンに会し、こ
れらのシステムのセキュリティについて集中的に議論する予定だ。この会合は、
参加者らがその後に行われる実戦的なSCADAのセキュリティトレーニングに参
加できるように、年次開催のSCADAセキュリティサミットに統合される見込み
だ。
詳細はこちら: http://www.sans.org/eu-scada-security-summit-2010/
まだ席がある今のうちに登録いただきたい。このシステムのユーザーであれば、
会合に参加しているコントロールシステムのベンダーから割引コードをもらえ
るようになっている。詳細をお求めの方は、apaller@sans.orgまでメールでご
一報を。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~20日(土)■
!!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.58-59
(原版:2010年7月23日、7月27日配信)

◆米国 熟練のサイバーセキュリティ専門家不足に悩む:現在ある認定資格で
は誤解を招くおそれも(2010.7.19-21)
米国では、認定を有する有能なサイバーセキュリティ専門家が絶望的に不足し
ているため、サイバーアタックに脆弱な状態になっている。既存のシステムを
保護できる熟練のサイバーセキュリティ専門家が十分にいない上に、新しいシ
ステムを開発し、安全なコードや新しいツールを作成できるスキルを持つ者の
必要性がますます高まっている。米国には、3万人以上の専門家が必要だと思
われるが、この難局に挑める人数といえば、1,000人から2,000人がいいところ
という現状だ。また、サイバーセキュリティ関連職者の認定が、今日の時代の
変遷に追い付いていないことも、この問題を複雑化させている。戦略国際問題
研究所 (CSIS:Center for Strategic and International Studies)の調査によ
ると、「現在の専門職者の認定制度では、この状態に適切に対応できていると
はいえない。現在の認定制度では、実際のサイバーリスクの削減よりも遵守文
書の作成に注力せざるを得ない状態に陥るため、大いに間違ったセキュリティ
感を生みだしかねない」という。
http://www.informationweek.com/news/smb/security/showArticle.jhtml?articleID=226100078
http://www.abc.net.au/news/stories/2010/07/22/2961755.htm?section=world
http://www.npr.org/templates/story/story.php?storyId=128574055
http://csis.org/publication/prepublication-a-human-capital-crisis-in-cybersecurity

【編集者メモ】(Schultz)
まったくCSISは正しい。認定を持っているということは、何もないよりはマシ
だろう。しかし、こういった認定を持っていても、そのほとんどは十分と言う
にはほど遠い。CiscoのCCIE認定は、認定プロセスに必要とされている厳密な
レベルについて、その素晴らしいモデルとなっている。
────────────────

◆Dell 交換用サーバのマザーボードにマルウェア (2010.7.21-22)
Dellは、PowerEdgeサーバのマザーボードの交換品として販売したものの中に、
W32.Spybotのワームに感染したものがあると警告している。問題のワームは、
ボードのフラッシュストレージの中に発見された。コンピュータのコンポーネ
ントの製造は外注で行われることが多いため、この問題によって、メーカー企
業の知らないところでマルウェアが埋め込まれてしまう可能性があることが浮
き彫りになった。
http://gcn.com/articles/2010/07/22/dell-ships-motherboards-infected-with-worm.aspx?admgarea=TC_SECURITY
http://www.h-online.com/security/news/item/Dell-replacement-motherboards-contained-malware-1043840.html
http://www.theregister.co.uk/2010/07/21/dell_server_warning/
http://www.zdnet.co.uk/news/security-threats/2010/07/22/dell-poweredge-motherboards-ship-with-malware-40089615/
【編集者メモ1】(Pescatore)
おいおい…。製造を外注していたからといって、その製品を売るメーカー企業
が、それを作る企業に責任転嫁できるわけがない。ネズミがシリアルの箱に入
ってしまったために、箱に名前のある企業が非難を浴びるのと同様である。
【編集者メモ2】(Ranum)
供給プロセスのセキュリティにおいても、信頼をどこに置くかという問題が生
じてきた。人のせいにする輩であふれた"素晴らしい"未来の幕開けだ!
────────────────

◆GMのハイブリッドカー技術を盗み出した夫婦 告発される (2010.7.22)
元ゼネラルモーターズ(GM)の社員、Shanshan Duとその夫Yu Qinは、GMからハ
イブリッドカーの技術情報を盗み出した疑いで、ミシガン州にて起訴された。
彼らは、同社の承諾を得ることなしに企業秘密を獲得、持ち出しと有線通信不
正行為の嫌疑で告発されている。夫婦の1人は、このほかに司法妨害でも告発
されている。DuはGMに勤務していた際、2003年12月と2006年5月に、GMのハイ
ブリッドカーの企業秘密を彼女の夫と共有した疑いがある。また、DuはGMから
退職条件の申し出を受けた直後に、多数の文書を外部のハードディスクドライ
ブにコピーしたもよう。その数ヶ月後、夫のQinは、新しい事業を立ち上げ、
中国のある会社にハイブリッドカーの技術提供を試みている。GMは、盗み出さ
れた文書には4億ドルの価値があると述べている。
http://www.networkworld.com/community/node/64031
────────────────

◆Microsoft Stuxnetで悪用される欠陥に一時修正プログラム (2010.7.21-22)
Windows Shellには、活発に悪用されている重大な脆弱性があるが、Microsoft
は、一時的にそれを回避できる修正プログラムを発行した。問題の脆弱性は、
Stuxnetと呼ばれるマルウェアに関連しており、USBデバイスを介してマシンに
感染していく。Microsoftの最初のアドバイザリでは、Windowsレジストリを編
集するように推奨しているが、間違えるとコンピュータが使えない状態になる
ので、ユーザーはこの推奨策をあまり遂行したがらないようだ。新しい回避策
(一時修正プログラム)では、このプロセスが自動化されているが、修正プログ
ラムをかけると、コンピュータの操作が難しくなる。Stuxnetは、公共事業や
重要インフラのSCADA(Supervisory Control and Data Acquisition)システム
を介して、情報を盗み出す際に利用されている。この脆弱性と、それを悪用す
るアタックの存在が浮上したことで、SANSインターネットストームセンターは、
その脅威警告レベルを「黄色」に引き上げた。Stuxnetは現在、ターゲットを
しぼった攻撃に使用されている。しかし専門家らは、エクスプロイトが蔓延す
るのは時間の問題だと指摘。Elinor MillsのFAQには、この問題についての明
確かつ包括的な概要が掲載されている。
Elinor MillsのFAQ:
http://news.cnet.com/8301-27080_3-20011159-245.html
http://gcn.com/articles/2010/07/22/ecg-automated-workaround-for-windows-shell-flaw-released.aspx?admgarea=TC_SECURITY
http://www.theregister.co.uk/2010/07/21/microsoft_fix_it/
http://www.computerworld.com/s/article/9179479/Microsoft_issues_tool_to_repel_Windows_shortcut_attacks?taxonomyId=82s
http://threatpost.com/en_us/blogs/stuxnet-may-be-new-new-thing-malware-072210?utm_source=Threatpost&utm_medium=Tabs&utm_campaign=Today%27s+Most+Popular
http://krebsonsecurity.com/2010/07/tool-blunts-threat-from-windows-shortcut-flaw/
http://www.scmagazineus.com/stuxnet-malware-threat-continues-targets-control-systems/article/175092/
────────────────

◆Google クラウドサービスで政府のセキュリティ認可を獲得 (2010.7.26-27)
Googleは、米国連邦政府用に同社のクラウドコンピューティングサービスを販
売するためのセキュリティ認可を獲得した。この許可は、政府用のGoogleアプ
リに与えられたもので、政府の機密情報の取扱いに対しての認可ではない。
Googleは、連邦政府が同社製品を使用するための認可を受けたということで、
州の政府局や市町村も同社製品の使用を考慮するようになるのではないかと期
待を寄せている。今回の認可は、米国政府がオンラインソフトウェアの使用を
承認した初めてのケースになる。
http://www.latimes.com/business/la-fi-google-apps-20100727,0,5765918.story
http://www.msnbc.msn.com/id/38416304/ns/technology_and_science-security/
http://www.theregister.co.uk/2010/07/26/google_apps_for_government/
────────────────

◆英国 サイバーセキュリティチャレンジを始動 (2010.7.26)
英国は、サイバーセキュリティにおける次世代の有能な人材を見出すために、
サイバーセキュリティチャレンジの開催を始めた。このチャレンジによって、
有能な人員の増員が嘱望される分野に注目を集めることができるようになる。
このチャレンジイベントは、複数のコンペで構成されている。そのうち1つは、
参加者が細工されたWebサイトの脆弱性を見つけるというバーチャルな宝探し
になっている。このコンペは、2010年の9月と12月のいくつかの指定日に開催
される予定だ。2つ目のチャレンジでは、コンペの参加者がチームを組んで、
模擬ネットワークを乗っ取ったり、専門家によるアタックを防御したりすると
いう。3つ目のコンペは、チーム制のデジタルフォレンジックが課題となる。
最強と見なされたコンペ参加者には、大学進学のバウチャーチケットや特別な
サイバーセキュリティトレーニングコースの受講、企業でのインターンシップ
の機会が与えられることとなる。このコンペへの参加申込みは、7月26日に開
始される。
サイバーセキュリティチャレンジのWebサイト:
https://cybersecuritychallenge.org.uk/
http://www.pcworld.com/businesscenter/article/201846/uk_launches_computer_security_training_exercises.html
http://www.bbc.co.uk/news/technology-10742588
http://www.zdnet.co.uk/news/security/2010/07/26/cyber-security-challenge-kicks-off-40089645/
【編集者メモ】(Honan)
この難しいチャレンジイベントは、すでに始まっているようだ。
http://www.theregister.co.uk/2010/07/27/uk_challenge_cipher_cracked/?utm_source=twitterfeed&utm_medium=twitter
────────────────

◆技術者ら 死のブルースクリーンに悩まされている絶望的な採油場のPCにつ
いて証言 (2010.7.23)
Deepwater Horizon採油場の主任電子機器技術者が、湾岸の原油漏れを引き起
こした採油現場の爆発が起きる前に、採掘業務を監視制御する採油現場のコン
ピュータがフリーズし、死のブルースクリーンを経験していたことを証言した。
問題のコンピュータがフリーズしていたということは、その際、採掘担当者が
油井の必要な情報にアクセスできなかったことを示している。元海兵のMichael
Williamsによると、Deepwater Horizonの安全警告装置は、寝ているクルーメ
ンバーを起こさないように回避モードに変えられていたという。この安全警告
装置は、可燃ガスが危険な量に達した場合にクルーに警告を発するものだった。
http://www.washingtonpost.com/wp-dyn/content/article/2010/07/23/AR2010072305419.html?hpid=topnews
http://www.computerworld.com/s/article/9179595/Tech_worker_testifies_of_blue_screen_of_death_on_oil_rig_s_computer?taxonomyId=83

【編集者メモ】(Shultz)
またもや、こんな嘆かわしいストーリーによって、重大なOSの回復力と信頼性
の重要性が示された。
────────────────

◆イランのSCADAシステム Stuxnetワームで最もひどい打撃を受ける
(2010.7.23)
Stuxnetワームが関連しているアタックの詳細情報が続々と明らかになってい
る。このワームは、SCADAシステムをターゲットにしている。このマルウェア
は、感染したシステムがある企業の機密情報を盗み出せるように設計されてい
るようだ。また、USBドライブを介して感染を拡大していく。このワームは、
パッチが適用されていない脆弱性を悪用し、本物のデジタル証明書を使用する
ほか、特定のSCADAシステムを検索し、システムの作動履歴をダウンロードし
てしまう。イラン、インドネシア、エクアドル、米国、パキスタン、台湾に問
題のマルウェアに感染したシステムがあるようだ。中でも、イランのシステム
が最もひどい打撃を受けているという。
http://www.csmonitor.com/USA/2010/0723/Stuxnet-spyware-targets-industrial-facilities-via-USB-memory-stick
http://www.computerworld.com/s/article/9179618/Iran_was_prime_target_of_SCADA_worm?source=rss_newss
────────────────

◆Siemens Stuxnet除去ツールを提供したものの障害の可能性を警告
(2010.7.22)
StuxnetワームがターゲットにしているSCADAソフトウェアの製造企業である
Siemensは、問題のマルウェアを検知・除去できるSyscleanというプログラム
をリリースした。しかし、各施設はそれぞれ独自に設定を行っているため、こ
のマルウェア除去プログラムによって予期せぬ問題が発生する可能性もある。
Siemensは、問題の存在を初めて開示した2年前に、問題のマルウェアが悪用し
ているデフォルトのパスワード関連の欠陥を修正しなかったため、最近ずいぶ
んと非難を浴びた。
http://www.theregister.co.uk/2010/07/22/siemens_scada_worm/
http://www.computerworld.com/s/article/9179551/Siemens_Removing_SCADA_worm_may_harm_industrial_systems?taxonomyId=145

【編集者メモ】(Northcutt)
SCADAのシステムを強化する必要性を証明した実世界のストーリーが明らかに
なったのはさほど昔のことではない。Vitek Bodenが、同様のストーリーを
公表したセキュリティのプレゼンテーションに参加したあの頃が懐かしい。
http://ddanchev.blogspot.com/2006/10/scada-security-incidents-and-critical.html
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年7月23日 Vol.9 No.30)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1 (#1)
Third Party Windows Apps            4
Aix                      1
Novell                     3
Cross Platform                12 (#2)
Web Application - Cross Site Scripting    10
Web Application - SQL Injection        7
Web Application                12
Network Device                 4
======================================================================
1.危険度【高】:Microsoft Windows Shellショートカット解析に脆弱性

<影響のある製品>
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Itaniumベースのシステム用SP2付きWindows Server 2003
Windows Vista Service Pack 1およびWindows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1およびWindows Vista x64 Edition Service Pack 2
32-bitシステムService Pack 2用Windows Server 2008 for 32-bit SystemsおよびWindows Server 2008
x64-basedシステム用Windows Server 2008 および x64ベースのシステムのService Pack2用Windows Server 2008
Itaniumベースのシステム用Windows Server 2008 および Itaniumベースのシステムの Service Pack 2用
Windows Server 2008
32-bitシステム用Windows 7
x64ベースのシステム用Windows 7
x64ベースのシステム用Windows Server 2008 R2
Itaniumベースのシステム用Windows Server 2008 R2

<詳細>
LNKファイルの解析に使われるWindowsコードに設計エラーがある。Windows
LNKファイルには、ターゲットタイプ、ロケーション、ファイル名など、ショー
トカットに関連する情報が含まれている。しかし、アタッカーがこの脆弱性を
悪用すると、現在ログインしているユーザーの権限で任意のコードを実行でき
るようになってしまう。ユーザーが悪意のあるLNKファイルを含むフォルダを
開くだけで、悪用にいたってしまう。この脆弱性は、現在ちまたで活発に悪用
されている。現在使用されているアタック手法の1つとして、USBディスクに悪
意のあるLNKファイルをロードするという方法がある。このほか、ネットワー
クドライブからもこの脆弱性の悪用が可能だ。

<現状>
ベンダーはこの問題を認めているものの、更新をリリースしていない。

<参考>
ベンダーのホームページ
http://www.microsoft.com
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/2286198.mspx
Securityfocus BID
http://www.securityfocus.com/bid/41732
────────────────

2.危険度【高】:Mozilla製品にさまざまな脆弱性

<影響のある製品>
Mozilla Firefox 3.5.x および 3.6.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 3.0.x および 3.1.x

<詳細>
Mozillaは最近、複数の脆弱性に対してパッチを適用した。これらの脆弱性に
は、アタッカーがクライアントマシン上で任意のコードを実行可能なものが含
まれる。具体的に、これらの脆弱性には、任意のコード実行に悪用可能なブラ
ウザエンジンの複数のMemory Safety Bug、chrome特権で任意のJavaScriptを
実行可能なコンテンツスクリプト実行に関する問題、CSSスクリプトおよび
XUL要素処理での整数オーバーフロー、画像処理コードに含まれるバッ
ファオーバーフロー、Firefoxの再帰属性ノード処理に関する問題、Firefoxが
特定のタグの子要素を解析する方法にある問題、FirefoxのNodeIteratorイン
タフェースに存在するメモリ破損が含まれる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.mozilla.org
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2010/mfsa2010-34.html
http://www.mozilla.org/security/announce/2010/mfsa2010-38.html
http://www.mozilla.org/security/announce/2010/mfsa2010-39.html
http://www.mozilla.org/security/announce/2010/mfsa2010-40.html
http://www.mozilla.org/security/announce/2010/mfsa2010-41.html
http://www.mozilla.org/security/announce/2010/mfsa2010-42.html
http://www.mozilla.org/security/announce/2010/mfsa2010-43.html
http://www.mozilla.org/security/announce/2010/mfsa2010-44.html
http://www.mozilla.org/security/announce/2010/mfsa2010-46.html
http://www.mozilla.org/security/announce/2010/mfsa2010-47.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-130
http://www.zerodayinitiative.com/advisories/ZDI-10-131
http://www.zerodayinitiative.com/advisories/ZDI-10-132
http://www.zerodayinitiative.com/advisories/ZDI-10-133
http://www.zerodayinitiative.com/advisories/ZDI-10-134
共通の脆弱性と脅威
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0654
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1205
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1207
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1208
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1209
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1210
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1211
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1212
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1213
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1214
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1215
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2752
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2753
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2754

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。