NRI Secure SANS NewsBites 日本版

Vol.6 No.10 2011年3月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.10 2011年3月8日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
サイバー分野のスキルをお持ちの大学生の皆さん:
米国サイバーチャレンジ主催の栄えある第1回全米サイバークエスト競技会に
参加申し込みをするなら今がそのときである。このオンライン競技会では、脆
弱性が多数あるターゲット用のWebサイトが設けられており、参加者はそのサ
イトで脆弱性やアプリケーションの設定・実装の欠陥などを特定していく。最
高得点を記録した参加者には賞金が与えられる。第1戦には無料で参加できる
ほか、4月末に開催予定のサイバークエストの練習もできる。このサイバーク
エストで好成績を収めた人は、米国サイバーキャンプへの参加権を獲得できる
ようだ。参加申し込みは、3月1日火曜日の午前8時から受け付けている。この
競技会は3月16日から23日にかけて開催される予定だが、直前の参加申し込み
は避けていただきたい。
参加申し込みはこちら:
http://uscc.cyberquests.org/

最新情報:
ワシントンで開催されるナショナルサイバーセキュリティイノベーションカン
ファレンス(NCIC)では、現在最も厄介とされているサイバーセキュリティ上の
3つの課題に対し、驚くほど有効な解決策を見出したユーザーの話を聞くこと
ができる。
(1)主要なネットワーク内で発生した高度で危険な感染を迅速に隔離するには
どうしたらよいか。
(2)社内クラウドの安全性を確立するにはどうしたらよいか。
(3)継続的な監視に伴うサイバー上のリスクを測定し、軽減するにはどうした
らよいか。
詳細はこちら:
http://www.sans.org/cyber-security-innovations-2011/
■■SANS NewsBites Vol.13 No.16-17
(原版:2011年2月25日、3月1日配信)

◆ハッキングされた石油会社が判明 (2011.2.24)
新しい報告書によると、国際的な石油化学会社のコンピュータネットワークに
対する攻撃は、ShellやExxon Mobil、BP、Marathon Oil、ConocoPhillips、
Baker Hughesなどがターゲットになっていたようだ。問題の攻撃は、2010年
1月に、Christian Science Monitorによってはじめて報告され、今月始めに
McAfeeの報告書で言及された。攻撃者らは、法的データや財務データを狙って
いたようだ。この一連の攻撃は、「ナイトドラゴン」と称され、すでに4年間
も横行しているという。McAfeeの報告書によると、攻撃は中国のIPアドレスに
端を発していると説明されている。
http://www.v3.co.uk/v3/news/2274971/shell-bp-exxon-mobil
http://www.bloomberg.com/news/2011-02-24/exxon-shell-bp-said-to-have-been-hacked-through-chinese-internet-servers.html

【編集者メモ】(Schultz & Paller)
米国の石油会社のコンピュータが一定期間乗っ取られていたことなど、驚くよ
うなことではない。この件で恥ずべきなのは、情報セキュリティを「ベストプ
ラクティス」の状態に持っていくことができている企業はほんの一握りだとい
うことだ。
────────────────

◆BINDの欠陥 (2011.2.24)
インターネットシステム・コンソーシアム(ISC)のアドバイザリによると、
BINDドメインネームサービス(DNS)のソフトウェアには重大な欠陥があり、これ
を悪用されると脆弱なシステムがクラッシュしてしまうという。問題の脆弱性
は、BINDの9.7.1から9.7.2-P3のバージョンに影響を及ぼす。そのためユーザー
は脆弱でないバージョンのBINDへ更新を行うべきである。この脆弱性はリモー
トでの悪用が可能だが、今のところ攻撃が発生したという報告はない。
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=229219353&subSection=Security
http://www.theregister.co.uk/2011/02/24/dns_bind_vuln/
http://www.h-online.com/security/news/item/The-unintended-kill-switch-in-Bind-1196567.html
https://www.isc.org/software/bind/advisories/cve-2011-0414
────────────────

◆オランダの銀行 DDoS攻撃を受ける (2011.2.23)
オランダの銀行Rabobankは重大なDDos攻撃を受け、同社のWebサイトとeバンキ
ングサービスを停止に追いやられた。問題の攻撃によって巻き添え被害も生じ
ている。このサービス停止によって、オランダのPayPalの代替であるiDealサー
ビスに「取引不可能」メッセージが大量に送信されたため、iDealのシステムも
一部停止してしまった。攻撃者が何者なのかは、いまだに定かではない。
http://news.idg.no/cw/art.cfm?id=3F6822FF-1A64-6A71-CE67724BB606D61C

【編集者メモ】(Pescatore)
オランダの銀行が停電で機能停止になったというニュースを、誰も目にしてい
ないことにお気づきになっただろうかか? それは何年も前に、「電力のない
データセンターなんて、単なる静かなコンピュータ博物館でしかない」という
ことを学んだからである。そして現在は、「インターネットに接続していない
データセンターなんて、音がうるさいコンピュータ博物館にすぎない」と解釈
されている。つまり、インターネットへの接続に依存しなくてはならないなら、
DoS攻撃の防御対策を施すことも事業継続計画に含めるべきである。
────────────────

◆モルガン・スタンレー オーロラ攻撃の犠牲に (2011.2.28)
グーグルのコンピュータシステムに侵入した攻撃者と同じグループによって、
モルガン・スタンレーのシステムも攻撃を受けていた。この攻撃は「オーロラ
攻撃」として知られるようになったものだが、攻撃は2009年6月から始まり、
その後6カ月間ほど続いた。この攻撃で200社以上の企業がターゲットとなって
いたという。問題の攻撃は、中国をベースにしたサーバを介して実行された。
この攻撃に関する情報は、コンピュータセキュリティ会社のHBGaryから盗まれ
た電子メールのメッセージに発見され、その後インターネット上で漏えいされ
ている。モルガン・スタンレーは、社内の機密情報を盗み出す目的でサイバー
セキュリティ上の侵害が発生した疑いがあったため、その件での支援を求めて
HBGaryを雇い入れていた。HB Garyはこれらの攻撃を調査するうちに、モルガン・
スタンレーがオーロラ攻撃の犠牲になっていたことを発見したようだ。
http://www.businessweek.com/news/2011-02-28/morgan-stanley-attacked-by-china-based-hackers-who-hit-google.html
────────────────

◆ロンドン証券取引所のサイトにマルウェア (2011.2.28)
ロンドン証券取引所(LSE)のWebサイトが、サードパーティの広告から来たと思
われるマルウェアに感染していた。問題のマルウェアはサイトの訪問者に対し、
役に立たないセキュリティソフトウェア製品をダウンロードするように求めて
いた。中には、ユーザーがただサイトに訪問するだけでコンピュータを侵害す
るには十分だというケースもあった。このサイトのうち360ページ以上が、こ
れまでの3カ月間、マルウェアをホスティングしていたという。この問題に対
しLSEは、マルウェアの原因となった広告を無効にする措置をとった。
http://www.bbc.co.uk/news/technology-12597819
http://www.scmagazineuk.com/london-stock-exchange-website-hit-by-malware-scare/article/197150/
────────────────

◆議員ら ホームページの安全性確保を求める (2011.2.28)
米国上院議員Charles Schumer(ニューヨーク州民主党)はオンライン企業に対
し、企業のホームページをHTTPからHTTPSに変えるように求めた。これによっ
て、公共のWi-Fiホットスポットを介してインターネットに接続するユーザー
を保護しようという狙いだ。Firesheepのようなプログラムの到来で、技術や
スキルがほとんどない人も、ログイン証明書や財務口座情報などの機密情報を
盗み出しやすくなってしまっているのが悲しい現状である。
http://news.cnet.com/8301-1009_3-20037253-83.html

【編集者メモ】(Pescatore)
よき政治家の力で素晴らしいセキュリティシステムのエンジニアが生まれるわ
けではない理由がここにある。SSLをデフォルトにすることは必ずしも悪いこ
とではないが、Webセキュリティの改善資金として最初に費やされるお金の行
き先は、実際にWebサイトの改善に向けて積極的に取り組みを行っているオン
ライン企業であるべきだ。Wi-Fiスヌーピングを行うには、物理的に近い場所
にいることが必要で、直接攻撃を行ったり、ボットネット感染拡大用サイトを
設置したりするためには、かなり大きなリスクが伴う。
────────────────

◆米国保険福祉省 HIPAAのプライバシールールを強化 (2011.2.23-25)
米国保険社会福祉省(HHS)は、医療保険の携行性と責任に対する法律(HIPAA)の
プライバシールールの施行に本気で取り組もうとしているようだ。HHSは、
HIPAAのプライバシー違反を行った2つの組織に対し、そのルールを強制する行
動に出た。これに関連して、Cignet Healthは、「患者に対して、患者自身の
医療記録に対するアクセスを提供しなかったこと」、「この件について、HHS
の捜査に協力しなかったこと」から、430万ドルの民事制裁金を科せられるこ
ととなった。Cignetは、最終的に米国司法省に記録を送付したものの、そこに
は、記録をリクエストした41人の記録のほか、4,500人もの記録が含まれてい
たという。ほか、マサチューセッツ総合病院は、2009年3月に地下鉄に書類を
忘れてくるという事件があり、その書類から患者192人の個人情報が漏えいさ
れたため、HHSに100万ドルを支払うことになった。このようなことからも、
HHSがHIPAA法のプライバシールールの施行に真剣に乗り出すようになったこと
がうかがえる。どちらの事件も、技術的な怠慢というよりは、業務手順の怠慢
が原因であるようだ。
http://www.computerworld.com/s/article/9211359/HIPAA_privacy_actions_seen_as_warning?taxonomyId=84
http://www.washingtonpost.com/wp-dyn/content/article/2011/02/22/AR2011022207094.html

【編集者メモ1】(Pescatore)
2011年8月に、HIPAA法は15周年(15歳)を迎える。インターネットの年齢で考え
れば105歳くらいだ。HHSがこの法の施行に真剣になろうとしていると願いたい
ものの、それとは反対の方向に向かう動きも、同じくらいあるようだ。電子医
療記録への変換を実行しやすくする目的で、セキュリティを緩くしようとして
いることから、このような反対方向の動きが生じていると言える。しかし、
Cignetが医療記録へのアクセスを「与えなかった」ために多額の罰金が科せら
れたのは、何とも興味深い!
【編集者メモ2】(Northcutt)
今日は4月1日(エイプリルフール)か? うーむ、どうやら私には専門家の助
けが必要なようだ。私の計算では、1996年に法が成立して以来、組織的に法の
施行行動に乗り出したのは、これが4回目か5回目だと思うのだが…。知ってい
る人はいるのだろうか? どなたか、これに関して権威筋の情報をお持ちの方
は、ぜひstephen@sans.eduまでご一報いただきたい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃近日開催予定のセミナー         NRIセキュアテクノロジーズ
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月15日(火)<東京汐留>
事例から学ぶ特権ID管理実践セミナー
~特権ID管理と監査ログ管理を短期・安価で実現する
エージェントレスソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/ac01.html?xmid=38&xlinkid=10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年2月25日 Vol.10 No.9)

<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            1
Linux                      4
Cross Platform                 13 (#1)
Web Application                 6
======================================================================
1.危険度【中】:IcedTeaのMultiple Signers Privilege Escalation

<影響のある製品>
IcedTea-Web 1.0.1以前のバージョン

<詳細>
Fedoraは、自由に販売できるSun製Open JDKのパック、IcedTea用にパッチをリ
リースした。このパッチを適用すれは、IcedTea-Webコンポーネントの脆弱性
が修正できる。問題のコンポーネントは、Webブラウザ内のJavaアプレットを
実行するときに用いられ、アプレットコードのサンドボックスを担う。アプレッ
トは通常、適切な証明書に署名されていないかぎり、限定的な権限か、サンド
ボックスされた権限で実行されるようになっている。JNLPClassLoaderのクラ
スにある脆弱性においては、1つのアプレットに対して複数の署名者が関連し
てしまっているため、適切な署名のないアプレットでも、現在ログインしてい
るユーザーの関連で任意の許可を取って実行できるようになってしまう。攻撃
者はこの脆弱性を悪用するにあたって、悪意のあるページをターゲットに閲覧
させなければならない。

<現状>
ベンダーは問題を認めており、更新をリリースしている。

<参考>
今回リリースされたIcedTea-Web 1.0.1
http://dbhole.wordpress.com/2011/02/15/icedtea-web-1-0-1-released/
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/46439
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。