NRI Secure SANS NewsBites 日本版

Vol.5 No.5 2010年2月9日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.5 2010年2月9日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
今年もOrlandoで開催されるSANS2010が開催される。27の6日間コース、11の短
期コース、セキュリティを理解しているベンダーによる大規模な展示会などを
通じて、他のセキュリティ従事者とネットワークを作る絶好の機会だ。
SANS受講者は述べている。「これこそが本物の勉強法だ。本気で取り組み、基
本と本質的な技術詳細を掘り下げ、学んだことを実践し、強化する」
                     (国防総省(DoD) Joseph Price)
詳細:
http://www.sans.org/sans-2010/event.php

東京での開催もいよいよ来週から始まる。万が一まだ申込んでない方は、今す
ぐお申込みを!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.8-9
   (原版:2010年1月29日、2月2日配信)

◆中国 攻撃の実態(2010.1.27)
Mandiantのレポートは、サイバー犯罪者がどのように巧妙な攻撃を仕掛け、政
府や企業のコンピュータネットワークに侵入し、長期間探知されずに情報を盗
み、活動を監視するか詳述している。そのレポートに記載されたAdvanced
Persistent Threat(APT)モデルは、Mandiantが過去7年間に調査した実際の攻
撃に基づいて描かれている。MandiantはGoogle、Adobe、その他の米国企業に
対する最近の攻撃の調査に関わったかどうか明らかにしていないが、ほとんど
のAPT攻撃は中国が関与していると述べている。セキュリティソフトは攻撃に
使用されたマルウェアの24%しか探知できなかった。本レポートでは、APT攻
撃の7段階(偵察、ネットワークへの侵入、バックドアの設置、ユーザークレ
デンシャルの取得、複数のユティリティのインストール、権限昇格・横展開、
データの引き出しおよび持続性の維持)が説明されている。
http://www.darkreading.com/database_security/security/attacks/showArticle.jhtml?articleID=222600139
────────────────

◆感染Webページのマルウェア より巧妙に(2010.1.26)
Dasientがまとめたデータによると、2009年第4四半期には56万件のWebサイト
上の550万Webページがマルウェアに感染していた。第3四半期には、64万件の
Webサイト上の580万Webページがウィルスに感染していた。攻撃はより効率的
になっているようだ。2年前、感染Webページからユーザーのコンピュータへの
感染には、少なくとも平均12個のマルウェアが使用されていた。最新のデータ
では、その数はたった2.8個に減少している。悪意のあるプログラム数の減少
は、ユーザーが攻撃に気づきにくくなることを示唆している。
http://www.darkreading.com/database_security/security/attacks/showArticle.jhtml?articleID=222500206
────────────────

◆隠密なサイバー戦争からのハイステークス(2010.1.26)
クリスチャンサイエンスモニター誌のJohn Yemma編集者は、最近明らかにされ
た米国石油会社に対する長期のサイバー攻撃は、「雇用の喪失とエネルギー価
格の高騰」を招く可能性があると指摘した。攻撃者は企業のネットワークに潜
入し、内部にとどまりながら貴重な入札データをひそかに盗むことによって、
通常企業が費す多額の調査費用に投資することなく、潜在的価値のある石油や
ガス埋蔵地に入札することができた。証拠から、攻撃は中国で発生したことが
示唆されている。
http://www.csmonitor.com/Commentary/editors-blog/2010/0126/Why-the-China-virus-hack-at-US-energy-companies-is-worrisome

【編集者メモ】(Pescatore)
中国のNational Computer Network Emergency Response Technical Team運用
部副長官は、証拠から実際には中国がサイバー攻撃の最大の「標的」であるこ
とが示されていると主張した。実際にはどこから雨が降ろうと関係ない。要は、
屋根の雨漏りを防ぎ、防げない場合は修繕することだ。

【編集者メモ】(Northcutt)
賢明な取り組みは、とても簡単だ。税関を通過するためには、人々に長い列を
作って並ばせる。パケットについても同じことすればよい。愚かだと批難され
る前に言っておくが、すべてのパケットと言っているのではない。SMTPから始
めよう。メールのメッセージが、悪意のあるトラフィックの主な発信源である
と知られているサイトまたは国から来る場合、またはそのような場所にリンク
されている場合、一連のゲートウェイを通させる。誰がその費用を支払うのか?
それは米国との取引を望んでいる企業だ。パケットビザと呼んでいいだろう。
反論1:「両者の間には百万もの経路があるのだから、そんなものは決して機能
しない」-はい、その通り。しかし、標的の数は有限だ。国防総省(DoD)を含
む米国政府、軍事産業、フォーチュン500社、重要な社会基盤、それに石油会
社などの資源ブローカーだ。
────────────────

◆重要な社会基盤のコンピュータシステム 絶え間ない攻撃にさらされる
  (2010.1.28 & 29)
戦略国際問題研究所(Center for Strategic and International
Studies)の報告によると、公益法人および他の重要な社会基盤のコンピュータ
システムは、常に世界中の攻撃にさらされている。その報告は、McAfeeから委
託され、世界中の企業のITおよびセキュリティエグゼクティブ600人から収集
した情報を編集したものである。回答者の半数以上が「自国の法律はサイバー
攻撃の抑止に効果はない」と認識しており、約半数の人が「自分の国はサイバー
攻撃を防ぐ能力がない」と確信している。
http://darkreading.com/security/attacks/showArticle.jhtml?articleID=222600355&subSection=Attacks/breaches
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=222600462
http://www.nytimes.com/2010/02/02/us/29cyber.html
http://www.dailytech.com/Power+Plants+Report+Increase+of+ForeignBased+Attacks/article17550.htm
http://www.smh.com.au/technology/enterprise/computers-under-constant-attack-20100128-n1s0.html

【編集者メモ】(Pescatore)
すべての家が、常に嵐、シロアリ、強盗などの攻撃にさらされているのと同様、
インターネットに接続されたものはすべて、常に攻撃にさらされている。重要
な社会基盤システムのほとんどは、他のすべての接続されたシステムと同様、
攻撃の対象となる。

【編集者メモ】(Schultz)
国によっては、財政資金が投入され、サイバー攻撃に対処できると雄弁に語ら
れていても、懐疑論者が自国にはサイバー攻撃を防ぐ能力がないと言うのは正
しい。
やっかいなのは、世界の国々は次から次へと深刻なインシデントを経験してい
るにもかかわらず、直面するサイバーセキュリティのリスクを効果的に軽減す
るために必要な変革をしようとしないことだ。
────────────────

◆MI5 1年以上前から中国のサイバースパイ活動を警告(2010.1.31 & 2.1)
英国のセキュリティサービスMI5は、1年以上前に、中国と取引をしている企業
に対し、中国の諜報機関は英国中の企業のコンピュータに侵入しようとしてい
ると警告した。警告は2008年に準備され、英国の金融機関、その他の会社に配
信された。伝えられところによると、人民解放軍および公安部の中国職員は、
展示会に参加した英国のビジネスマンに近寄り、標的とするコンピュータにリ
モートからアクセスできるマルウェアが内蔵されたカメラとメモリースティッ
クを提供したという。
http://www.nytimes.com/2010/02/01/world/europe/01spy.html?partner=rss&emc=rss
http://www.theregister.co.uk/2010/02/01/chinese_honey_trap_attacks/
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年1月28日 Vol.9 No.5)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品             7 (#1)
Third Party Windows Apps            3
Linux                     2
Cross Platform                26 (#2, #3)
Web Application - Cross Site Scripting     3
Web Application - SQL Injection        15
Web Application                13
Network Device                 3
======================================================================
1.危険度【重大】:Microsoft Internet Explorerに複数の脆弱性(MS10-002)
<影響を受ける製品>
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2**
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2**
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2**
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2**
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems**
Windows Server 2008 R2 for Itanium-based Systems
Microsoft Internet Explorer 5.x
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x
Microsoft Internet Explorer 8.x

<詳細>
Microsoft Internet Explorerには、HTMLオブジェクトとキャッシュコンテン
ツを処理する方法に複数の脆弱性がある。細工したWebページで、細工された
HTMLまたはスクリプトを使用して、これらの脆弱性の1つが引き起こされる可
能性がある。最初の不具合は、Internet Explorer 8が、フィルタリングされ
ているHTTP応答データ内のHTML属性を無効にするエラーによって引き起こされ
る、XSSフィルターバイパスの脆弱性である。悪用が実現すると情報漏洩につ
ながる可能性がある。2番目の欠陥は、Internet Explorerが細工されたURLを
処理する際のエラーにより引き起こされる。Internet Explorerに4つの初期化
されていないメモリー破損の脆弱性があり、Internet Explorerが初期化され
ていない、または削除されたオブジェクトに不適切にアクセスすることにより
引き起こされる。Internet Explorerが、不正に初期化されたメモリーにアク
セスすることにより、さらに2つのHTMLオブジェクトメモリ破損の脆弱性が引
き起こされる。これらの脆弱性の悪用が実現すると、攻撃者はログオンユーザー
権限で任意のコードを実行できるようになる。これらの脆弱性の一部に関する
技術的詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Day Initiative Advisories
http://www.zerodayinitiative.com/advisories/ZDI-10-011
http://www.zerodayinitiative.com/advisories/ZDI-10-012
http://www.zerodayinitiative.com/advisories/ZDI-10-013
http://www.zerodayinitiative.com/advisories/ZDI-10-014
Microsoft Security Bulletin
http://www.microsoft.com/technet/security/Bulletin/MS10-002.mspx
製品ホームページ
http://www.microsoft.com/windows/ie/default.mspx
SecurityFocus BID's
http://www.securityfocus.com/bid/37135
http://www.securityfocus.com/bid/37815
http://www.securityfocus.com/bid/37891
http://www.securityfocus.com/bid/37892
http://www.securityfocus.com/bid/37893
http://www.securityfocus.com/bid/37894
http://www.securityfocus.com/bid/37895
http://www.securityfocus.com/bid/37884
────────────────

2.危険度【高】:Google Chromeに複数の脆弱性

<影響を受ける製品>
Google Chrome versions 4.0.249.78以前

<詳細>
Google Chrome(GoogleのWebブラウザ)は、すべてのWebブラウザで4.63%のシェ
アを持つ4番目に人気のあるブラウザである。Google Chromeがさまざまなイン
プットを処理する際の複数の脆弱性が報告されている。報告された脆弱性は、
情報漏洩、クロスドメインスクリプティング、メモリー破損のエラー、クロス
ドメインアクセス、およびセキュリティの回避である。一部のそれらの脆弱性
の悪用が実現すると、攻撃者は任意のコードを実行できるようになる。これら
の脆弱性に関する完全な技術的詳細は、ソースコード分析により公開されてい
る。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Google Chrome Stable Channel Update
http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html
Google Chromeに関するWikipediaの記事
http://en.wikipedia.org/wiki/Google_Chrome
製品ホームページ
http://www.google.com/chrome
SecurityFocus BID
http://www.securityfocus.com/bid/37948
────────────────

3.危険度【高】:CiscoWorks Internetwork Performance Monitorにバッファオー
  バーフローの脆弱性

<影響を受ける製品>
CiscoWorks IPM versions 2.6

<詳細>
CiscoWorks Internetwork Performance Monitor(IPM)は、主にネットワーク応
答時間と可用性を評価するために使用するトラブルシューティングアプリケー
ションである。CiscoWorks IPMにバッファオーバーフローの脆弱性が報告され
ている。その欠陥はCommon Object Request Broker Architecture (CORBA)
GIOPリクエストを処理する際のバウンダリエラーにより引き起こされる。細工
されたgetProcessName GIOPリクエストを使用して、この脆弱性が引き起こさ
れる可能性がある。この攻撃を実行するために認証は必要ない。悪用が実現す
ると、攻撃者は影響を受けたアプリケーションを利用して任意のコードを実行
できるようになる。脆弱性に関する一部の技術的詳細が公開されている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースされていない。

<参考>
Cisco Security Advisory
http://www.cisco.com/warp/public/707/cisco-sa-20100120-ipm.shtml
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-10-004/
Product Home Page
http://www.cisco.com/en/US/products/sw/cscowork/ps1008/
SecurityFocus BID
http://www.securityfocus.com/bid/37879

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。