NRI Secure SANS NewsBites 日本版

Vol.5 No.37 2010年9月22日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.38 2010年9月30日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
STUXNETのワームは深刻だ(冒頭の記事と編集者メモを参照してほしい)。電力
産業とそのコントロールシステムのベンダーが、大きく変化していく脅威にど
のように対応していくのだろうか? それが、数週間後にロンドンで開かれる
SCADAセキュリティサミット(多数の国が参加)の中心的トピックになる。
( http://www.sans.org/eu-scada-security-summit-2010/ )
高度なアタック技術や重要インフラのサイバーセキュリティの保護に関わって
いる方は、ロンドンに出張する価値もあるだろう。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込みはお早めに!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~ 20日(土)■
!!世界中で最も受講されている2コースを実施!!

     SANSトップインストラクター Mike Poorの講義は必見!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.74-75
(原版:2010年9月17日、9月21日配信)

◆Stuxnetは「画期的」なマルウェア (2010.9.14-16)
Siemen製の特定のSCADAソフトウェアをターゲットにしているStuxnetワームが、
米国、英国、韓国、イランにおいて、少なくとも14のWindows Control Center
(WinCC)のシステムに感染しているという。SCADAシステムに対する初のルート
キットと称されるこのマルウェアは、Programmable Logic Controller(PLC)コ
ードのブロックを取り換えることができるようだ。このため、Stuxnetは画期的
だと言われている。Stuxnetは、2010年6月に初めて検知された。
Windowsにショートカットファイルを管理する方法に欠陥があり(この欠陥に
は、8月に定期外でMicrosoftがパッチを発行している)、それが悪用されてい
た。また、このStuxnetは、Windowsにある4つのゼロデイの脆弱性を悪用して
いることが、研究者の調べでわかった。ターゲットとなっているのは、Print
Spooler Serviceにある脆弱性(今週Microsoftがパッチを適用)や、EoP
(Elecation of Priviledges)の欠陥2つ(この欠陥は後日修正される予定)な
どの脆弱性である。Stuxnetは、Microsoftが2008年にパッチを発行した既存の
脆弱性も悪用しているという。この欠陥は、Conflickerが悪用していた欠陥と
同じものだ。研究者らによると、Stuxnetは今年始めに検知されたものの、2009
年7月からシステムに感染していたという。このマルウェアは高度であるため、
国レベルでのバックアップを受けた専門家が作成したのではないかと考えられ
ている。
http://krebsonsecurity.com/2010/09/stuxnet-worm-far-more-sophisticated-than-previously-thought/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+KrebsOnSecurity+%28Krebs+on+Security%29
http://www.computerworld.com/s/article/9185919/Is_Stuxnet_the_best_malware_ever_?taxonomyId=82
http://www.h-online.com/security/news/item/Stuxnet-worm-can-control-industrial-systems-1080751.html
http://www.csoonline.com/article/614064/siemens-stuxnet-worm-hit-industrial-systemss
http://www.zdnet.co.uk/news/security-threats/2010/09/16/siemens-stuxnet-infected-14-industrial-plants-40090140/
【編集者メモ1】(Pescatore)
暗号分野の観点で見ても、政府が暗号における有能な人材を全て抱え込んでい
るわけではないことが数年前にわかっている。それは、マルウェア開発につい
ても同様だ。高度なマルウェアだからといって、それがどこかの政府が支援し
ているものだと考えるのは間違っている。営利目的で、ターゲテッドアタック
を使用してサイバー犯罪を敢行する高度なスキルの人材の集団が編成されてい
くのだ。それが、長い間主流となってきたに過ぎない。
【編集者メモ2】(Northcutt)
1996年に、私は初めてSCADAシステムにウィルスを見つけたが、そのときは、
単にホストシステムにNortonをインストールしてそれを発見しただけだった。
ここで大きな問題となっているのは、Stuxnetがかなり高度なものだというこ
とではない。もちろん、Stuxnetには悪用方法が多数あり、ゼロデイ攻撃で感
染するマルウェアを複数搭載していることは認めるべきだが。大いに問題なの
は、これらのワームの生存期間が、数年にわたって持続することである。
Stuxnetは、何度もやって来ては感染拡大を試み、継続的に制御システムに潜
り込もうとするのだ。以下に、Mandiantの話が掲載されたリンクを掲載した。
これは数年前のものだが、ここには「初期段階の感染」、「対フォレンジクス」、
「マルウェアの一貫性」、「コマンドチャネルおよびコントロールチャネルの
設置と維持」など、問題の深刻度を測る上で必要な土台となる情報が書かれて
いる。
http://files.sans.org/summit/forensics08/PDFs/Mandiant.TacticalPanel.pdf
────────────────

◆米国のサイバー戦略 まだ若干もろい (2010.9.17)
大統領がコンピュータネットワークの保護を国家の優先事項と称して一年以上
経過したものの、幹部らは、政府や民間のコンピュータおよびネットワークの
安全化を図るために何をしたらいいのか、まだ把握できていないようだ。米国
戦略・国際問題研究所のJim Lewisはこの問題について、「何が問題なのかに
ついては多数で合意しているが、その解決策については、政府と外部の間で、
ほとんど合意できている部分がない状態」だと説明した。一方で、前進してい
る動きもある。サイバー上の自主的な身元情報証明書をホワイトハウスが提案
し、それが支援を集めている。また、官民が共同で新基準S-CAP(セキュリティ
設定共通化手順)の適用を大幅に進めているようだ。国土安全保障省・国家保
護プログラム総局の副次官Philip Reitingerによると、S-CAPは、政府やそれ
以外の組織も適用すべき連続的なモニタリングであるという。これは、
Reitingerの言う「民間セクターにも、基本的により一層安全なエコシステム
を構築する」という目的に、必要不可欠な最初の一歩だ。
http://www.washingtonpost.com/wp-dyn/content/article/2010/09/16/AR2010091606745.html
────────────────

◆アタックの新しいパターン ますます高度に (2010.9.16)
実際のアタックや、数万社の企業でパッチが適用されていない脆弱性を利用し
て、新しくデータ分析が行われた。この分析結果が、Tipping Point (HP)、
Qualys、および、SANS Internet Strom Centerから共同で公表されている。分
析の報告書によると、AdobeのPDFの脆弱性に対するアタックでは、アンチウィ
ルスやIPSなどのツールから隠れるために、10の相互参照のストリームが使用
されていたという。また、この報告書には、企業においても一般消費者向けの
サービスが利用されるようになってきていること、Webアプリをターゲットに
する動きが長く持続していること、レガシーに対する脅威が弱まる様子がない
ことを挙げ、それらが悪用される可能性が説明されている。
http://www.networkworld.com/community/node/66361
報告書の全容はこちら:
http://dvlabs.tippingpoint.com/toprisks2010
────────────────

◆Microsoft談:ASP.netベースのWebサイト数百万が主要なアタックに脆弱
(2010.9.20-21)
Microsoftは、Buenos Airesのハッカー・カンファレンスで公表された脆弱性が、
ASP.Netフレームワークを基盤としたWebサイト数百万に存在していることを
認めた。研究者らによって、アタッカーは、ASP.Netの暗号化にあるエラーを
悪用して、リモートのサーバのデータの解読し、同フレームワークに依存して
いるサイトやWebアプリからファイルを読み取ったり、コピーしたりすること
ができることが示された。特に、ユーザー名やパスワードが、窃盗に脆弱だと
いう。この脆弱性は、Webサイト数百万に存在しているようだ。Microsoftは、
脆弱なASP.Netのアプリを検知するツールを発行し、Webサイトやアプリを構築
している人の質問に答えられるように専用のサポート・フォーラム
(http://forums.asp.net/1233.aspx)を設置した。
http://www.computerworld.com/s/article/9186842/Microsoft_sounds_alert_on_massive_Web_bug

【編集者メモ】(Pescatore)
運転を覚えるときに、運転は危険であるため、教官らは常に「控え目な運転」
という言葉で生徒を染めようとするだろう!? ソフトウェアエンジニアリング
という言葉自体は、まだ矛盾した表現であり、Webサイトは「ロサンジェルス
高速道路」のように、かなりの無法地帯であることから、防御的なWebサイト
の技術が、顧客情報や事業情報を保護するために必要不可欠なのは明白だ。
────────────────

◆司法省が著作権侵害用のサイトの閉鎖を命ずる裁判所命令を許可する法案を
提案 (2010.9.20)
米国司法省(DoJ)が、世界中の海賊版の販売を支援しているWebサイトを閉鎖す
る裁判所命令を許可する法案が、米国で提案されている。現在、オンラインで
の侵害および偽造対策法でDoJが許可しているのは、米国のドメイン登録者や
登録を取り消し、著作権侵害サイトのドメイン名を抹消することである。
http://news.cnet.com/8301-31001_3-20016995-261.html
http://www.wired.com/threatlevel/2010/09/justice-department-piracy/
http://www.wired.com/images_blogs/threatlevel/2010/09/CombatingOnlineInfringementAndCounterfeitsAct1.pdf

【編集者メモ】(Schultz)
このアプローチは、過去に使用されたアプローチよりずっとわかりやすいよう
に思える。しかし、もしこの法案が可決されたとしても、このような著作権侵
害者は、ただサイトからサイトに移動していくだけだろう。
────────────────

◆Intel談:HDCPのマスターキー 漏洩 (2010.9.17)
Intelは、インターネット上で漏洩したマスターキーが、ブルーレイ広帯域デ
ジタルコンテンツ保護を解くキーであることを認めた。この技術は、
High-Definition(高解像度)のビデオコンテンツを保護するために設計された
ものだ。問題のキーは、HDの衛星テレビ放送やDVRの暗号化を解くために用い
られる。Intelは、ハッキングするのは難しいが、このキーを使ってHDCP技術
を打破するハードウェアを開発した者に対して、法的措置をとる意向を示して
いる。
http://www.wired.com/threatlevel/2010/09/intel-threatens-consumers/
http://www.theregister.co.uk/2010/09/17/hdcp_copy_protection_crack/
────────────────

◆IEのクッキーの設定を回避するするWebサイトが存在 (2010.9.17)
カーネギーメロン大学のSchool of Engineering's CyLabの研究者らによると、
コンピュータがプライバシーコントロールでクッキーをブロックする設定になっ
ていたとしても、ユーザーのコンピュータにクッキーをインストールできるよ
うにしてしまうセキュリティホールがInternet Explorer(IE)にあり、それを
悪用するWebサイトが存在するという。Facebook、AOL、Amazon、Huluなど、最
もよく訪問されるWebサイト100件のうち21件において、ユーザーがIEプリファ
レンスでクッキーを許可していなかったとしても、クッキーのインストールが
できてしまうことがわかった。なかには、Webサイトの設定自体がエラーになっ
ている場合もあるという。これらのエラーのあるサイトにおいては、IEのプラ
イバシーコントロールを回避する意図はなかったようだ。しかし、検査したサ
イトのうち、少なくとも半分においては、クッキーのブロックを回避するため
に何らかの取り組みが行われていたようだ。サイトのプライバシーポリシーが
ブラウザの設定に合意しているかどうかを判断するための、ブラウザやWebサ
イトが情報を交換する方法に問題があるという。
http://bits.blogs.nytimes.com/2010/09/17/a-loophole-big-enough-for-a-cookie-to-fit-through/
【編集者メモ1】(Skoudis)
このストーリーは、技術そのものを実際に分析し、慎重な侵入テストで設定を
誠実に実装できるかどうかを確かめることが、極めて重要である理由を示すよ
い事例である。何かが「正しく」設定されているからといって、そのシステム
が実際に安全かどうかはわからない。このような問題が数年前にもあった。そ
れは、WindowsのUSBの自動再生機能を無効にする設定がConflickerに利用され
ていたという問題だった。同じようなことを、他の技術で目にするとは……。
━AD━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
---セキュリティで差がつくクラウド導入・活用の勘所---
クラウドコンピューティングが企業規模を問わず、システムを検討する上で
欠かせない選択肢になった今、顕在化しようとしている新たなセキュリティ
課題にどう立ち向かうか。

 ▼クラウド時代に必要な情報セキュリティのポイントと対策を総括
▼社内システムとの並行運用や運用上の統合等導入・活用法を紹介

     「クラウド導入最適化セミナー」10/18 大阪開催!
http://www.nri-secure.co.jp/seminar/2010/0927.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
~ログ管理から始まるIT統制~
統合ログセキュリティセミナー(参加無料)
日時:2010年10月20日(水)14:00~17:30 @ 東京城山会場
主催: パナソニック電工インフォメーションシステムズ
協催: 網屋、日本電気、ソリトンシステムズ
特別講演: NRIセキュアテクノロジーズ
>>お申し込み・セミナー内容の詳細はこちらをご参照ください。
https://event.panasonic-denkois.co.jp/public/seminar/view/123
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━AD━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年9月16日 Vol.9 No.38)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    8
Third Party Windows Apps            2
Linux                     2
BSD                      1
Aix                      1
Cross Platform                17 (#1,#2,#3,#4)
Web Application - Cross Site Scripting     6
Web Application - SQL Injection        1
Web Application                2
Network Device                 2
======================================================================
1.危険度【高】:Adobeのさまざまな製品にコード実行の脆弱性

<影響を受ける製品>
Adobe Acrobat 9.x
Adobe Reader 9.x
Adobe Flash Player 10.x

<詳細>
さまざまなAdobe製品に、コード実行に至ってしまうという詳細不明のゼロデイ
の脆弱性が複数ある。攻撃者がこの脆弱性を悪用するには、悪意のある文書を
閲覧するようにターゲットを誘い込まなくてはならい。Adobeには、この問題
が広く活発に悪用されているという報告が届いている。

<現状>
ベンダーはこの問題を認めているが、更新をリリースしていない。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/advisories/apsa10-03.html
────────────────

2.危険度【高】:Mozilla Firefoxにさまざまな脆弱性

<影響を受ける製品>
Mozilla Firefox 3.6.x

<詳細>
Mozillaは、このほど、Firefoxに影響を及ぼすさまざまな脆弱性に対してパッ
チをリリースした。この欠陥としては、boundary-checkingのエラー、
use-after-freeのエラー、XULのツリーオブジェクトをサポートするコードに
あるメモリ破壊の脆弱性、XULネームスペースの特定のエレメントの実装にあ
るメモリ破壊の脆弱性などがあげられる。これらの欠陥は全ておいて、アタッ
カーが悪用するには、悪意のあるWebサイトにターゲットを誘い込まなくては
ならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2010/mfsa2010-54.html
http://www.mozilla.org/security/announce/2010/mfsa2010-55.html
http://www.mozilla.org/security/announce/2010/mfsa2010-56.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-171/
http://www.zerodayinitiative.com/advisories/ZDI-10-172/
http://www.zerodayinitiative.com/advisories/ZDI-10-173/
http://www.zerodayinitiative.com/advisories/ZDI-10-176/
────────────────

3.危険度【高】:Apple SafariのWebkitにコード実行の脆弱性

<影響のある製品>
Apple WebKit

<詳細>
Appleはこのほど、Apple WebKitにある脆弱性に対処できるパッチをリリース
した。この脆弱性は、run-in stylingを処理するコードにある
use-after-freeの状態が関連している。この脆弱性を悪用するには、アタッカー
は、悪意のあるサイトに行くようにターゲットを誘い込まなくてはならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT4333
Zero Dayイニシアチブ
http://www.zerodayinitiative.com/advisories/ZDI-10-170/
────────────────

4.危険度【高】: Google Chromeにさまざまな脆弱性

<影響を受ける製品>
Google Chrome 6.0.472.59より前のバージョン

<詳細>
Google Chromeは、コード実行に悪用できるような脆弱性など、さまざまな脆
弱性に対してパッチをリリースした。Googleのアドバイザリには、
use-after-freeの脆弱性が3つあり、そのうち2つはSVGに関連しているという。
このほかにも、メモリ破壊の脆弱性が2つある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Stable Beta Channelのアップデート
http://googlechromereleases.blogspot.com/2010/09/stable-beta-channel-updates_14.html
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。