NRI Secure SANS NewsBites 日本版

Vol.6 No.48 2011年11月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.48 2011年11月30日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
11月8日に沿岸地区のSCADAシステムに仕掛けられた攻撃(最近、マサチューセッ ツ工科大学に仕掛けられた攻撃と似ている)は、非常に大きな攻撃のほんの一 部に過ぎないようだ。まずはこの記事から:
http://www.wired.com/threatlevel/2011/11/hackers-destroy-water-pump/2
http://www.chicagotribune.com/news/chi-111118water-pump-facility,0,1531638.story
http://news.cnet.com/8301-27080_3-57327030-245/u.s-water-utility-reportedly-hacked-last-week-expert-says/

その他、今週の話題:
冒頭の記事の最後に、John Pescatoreによる、セキュリティプログラム障害の 特徴付けが記載されている。これは、私が今まで目にしたガートナー社のセキュ リティアナリストによる洞察の中で、最も実態を鋭く示した内容となっている。 この中で彼は、「多くの企業が、実際にインシデントを回避することよりも、 ポリシーや認識度・教育を用いることに重点を置いて、ユーザーに責任を押し 付けようとしている」と述べている。この一文の主旨が理解できないようであ れば、私(apaller@sans.org)に聞いていただきたい。ガートナー社の顧客の方 は、Johnに聞くとよいだろう。もし、この主旨を理解し、あなたのお陰(もし くは、一部ではあるがあなたの助力)で、所属組織がより有効なセキュリティ のパラダイムに移行した、もしくは移行する見込みであるという場合は、今後 あなたがセキュリティ分野でキャリアを積むにあたって、高く評価され、満足 のいくキャリアを築ける機会が非常に大きく広がったことを意味している。

また、セキュリティ侵害にばかり焦点をあてるのではなく、サイバーセキュリ ティの大成功についての記事を書いた、ワシントンポスト紙のEllen Nakashimaに賞賛を。

朗報!
先日、Mark Weatherfordが、米国国土安全保障省・サイバーセキュリティ担当 副次官の任を継いだ。ここ何年もの間ではじめて、弁護士ではなく、技術者に よってサイバーセキュリティプログラムが運営されることになる。この変革に より、米国のサイバーセキュリティのリーダーシップバランスが、国家安全保 障局(NSA)と国土安全保障省(DHS)の間でよりうまく取れる時代が到来したこと を確信する理由がいくつかある。DHSは、技術者の主導で、サイバーセキュリ ティのリーダーシップにおける非常に重要な前進を5つ達成している。その中 で最も重要な前進は、紙ベースのチェックリストを使用するセキュリティに費 やしていた年間4億ドル以上の費用を、技術主体の自動的・継続的なセキュリ ティの監視や、継続的な状況の認識にかけるように移行したことである。これ は、DHSとNSAの共通の目標であった。民間機関はDHSを通じて、また、軍関連 政府局はNSAや国防情報システム局(DISA)を通じて、それらの購買力を足し合 わせて利用すれば、連邦政府に行き渡るような形でくまなく、全体的な状況認 識度の向上や、迅速なリスク軽減を、非常に低廉に実行できる。DHSの技術者 主導によるこの変革については、ホワイトハウスのサイトに掲示されている指 示書の28段落目に記載されている。
http://www.whitehouse.gov/sites/default/files/omb/memoranda/2011/m11-33.pdf

ホワイトハウスの指示書28項には、「セキュリティの再授権は3年ごと、もし くは、情報システムが行政予算管理局(OMB)の回状A-130に述べられている、 『重大な変化』をとげたときに行う必要がまだあるのか?」という問いに対す る答えが記載されている。答えは、「いいえ。」「静的かつ3年毎の再授権プ ロセスを施行するより、政府は、継続的な監視プログラムを導入して情報シス テムに継続的に権限を与える形をとることが求められる」と続いている。また、 「それ故、継続的な監視プログラムを実行すれば、3年毎のセキュリティ再授 権の必須要件をも満たすことができるので、別途、再授権プロセスを設ける必 要はない」ということだ。

追伸:
継続的な監視によってセキュリティを大きく改善し、莫大な額のコスト削減が できる可能性がある。また、どのセキュリティ構想が優先されるかを決定する 際には、監査官(IG)らが影響力の大きな役目を果たすことから、今後数年間に わたり、IGや政府説明責任局(GAO)によるセキュリティ関連の報告書の評価を 行うにあたって、独立監視団体が設けられた。この団体は、IGが継続的な監視 プログラムをどの程度検査できているか、また、どれほど効果的に「信用を失 した3年毎に行う静的プロセス」から離れるよう政府局に圧力をかけているか を測定する。この独立団体は、元OMB・IT部門のトップ高官で情報ポリシー主 任のFranklin Reederに率いられている。(彼には、OMBでプライバシー1974年 法やコンピュータセキュティ1987年法の作成を主導した経歴がある。)

■■SANS NewsBites Vol.13 No.92-93
(原版:2011年11月19日、11月23日)

◆サイバーセキュリティの前進 (2011.11.17)
重大なサイバー攻撃についての報告や、今後の攻撃に関しての悲観的な予測が 相次ぐ中、リスク軽減に役立つ取り組みを成功させ、我々に少し楽観的な展望 を提供してくれている組織がある。セキュリティ問題の多くは、人的ミスや不 注意で発生しているものだが、そのような人為的な要素を取り除こうとして成 功したプロジェクトがいくつかある。その例として、国務省のリスク評価プロ ラム、国防産業請負業者のための国防総省のリスク情報共有プログラム、豪州 参謀本部国防信号局が多数の攻撃を阻止できる4つのセキュリティコントロー ルを特定したことなどがあげられる。

http://www.washingtonpost.com/national/national-security/government-companies-taking-steps-to-ward-off-cyberattacks/2011/11/10/gIQAdvERVN_story.html
【編集者メモ1】(Pescatore)
多くの組織には、先回りして防御できる成熟したセキュリティプログラムがあ り、事業の需要に応え、予算に関するプレッシャーと折り合いをつけながらも、 新手の脅威に遅れずについていくという仕事を非常にうまくこなしている。こ のような組織の共通項としてあげられるのは、脆弱性の回避と攻撃に脆弱な開 口部の最小限化に焦点を絞って「事業への影響を少なくする」という目標を掲 げる傾向があるということだ。報道陣にとっては、このようなことを記事にし てもあまり面白くない。侵害された企業が相次いでいることに関しての詳細を 報道する方が、よっぽど面白い。そして、このような企業の多くは、実際にイ ンシデントを回避することよりも、ポリシーや認識度の向上・教育を用いるこ とにより重点を置き、ユーザーに責任を押し付けようとしている企業である。
【編集者メモ2】(Liston)
ここ数年で私が気付いたことに、「多くの組織が、セキュリティの景観の美化 に重きを置きすぎている」ことがある。つまり、複雑で高レベルの対策により 集中してしまい、いつの間にか、基本的なことに注意をあまり払わなくなって いる。あなたの組織のセキュリティに対する姿勢を再検討する際には、何か他 のことに焦点を絞ろうとする前に「Security 101」を必ずマスターしておくよ うに留意していだたきたい。

────────────────

◆ノルウェーのエネルギー・国防企業 データ窃盗犯のターゲットに(2011.11.17-18)
サイバー窃盗犯が、ノルウェーの石油・国防産業からデータを吸いあげている。 同国史上最大の情報スパイ行為の1つと称される事件が発生し、少なくとも10 の異なる攻撃で、石油、ガス、エネルギー、および、国防に関する組織から機 密情報が盗み出された。関係者らは、この攻撃で影響を受けた組織の中には、 自身が犠牲者であることに気づいていない組織がいくつかあるため、攻撃が仕 掛けられた範囲は、現状で把握しているよりも大幅に広いと考えている。
これらの攻撃の多くは、ターゲットとなった企業が契約を交渉している期間中 に発生した。当局は、影響を受けた企業の社名は明らかにしていない。

http://www.washingtonpost.com/world/europe/security-watchdog-norwegian-energy-defense-industries-hit-by-extensive-data-theft-attack/2011/11/17/gIQAzbMKUN_story.html
http://www.theregister.co.uk/2011/11/17/noway_data_theft_attack/
http://www.theaustralian.com.au/australian-it/norway-hit-by-major-data-theft-attack/story-e6frgakx-1226198486549

【編集者メモ】(Murray) ノルウェーが特別なターゲットというわけではない。「多層防御」たるものが どのようなものか、おわかりか?
http://whmurray.blogspot.com/2011/11/on-resistiing-phishing-attacks.html

────────────────

◆水道施設に対するサイバー攻撃の詳細情報 さらに明らかに (2011.11.19-21)
アタッカーが、イリノイ州の水道施設のリモート監視・制御システム(SCADA) へのアクセスを獲得し、水道ポンプに手を加え、ポンプをオーバーヒートさせ たと報告されている。問題の攻撃には、ロシアに源を発するIPアドレスが使用 されていた。このエクスプロイトは、既知の脆弱性が多数あるphpMyAdmin・オー プンソースツールを介して実行された。この件に関して、なぜこのソフトウェ アが水道施設で使用されていたのかという疑義が生じている。連邦政府当局は 現在、この事件についての捜査を行っている。また、別の事件では「pr0f」と いうオンライン上のニックネームを使用しているアタッカーが、テキサス州ヒュー ストンにある水処理施設のSCADAシステムに対して攻撃を仕掛けたと主張して いる。そのアタッカーによると、今回の攻撃は、悪用したソフトウェアは3文 字のパスワードで保護されていただけという「言語道断の愚かさ」のお陰で可 能になったという。

http://www.zdnet.com/blog/security/scada-systems-at-the-water-utilities-in-illinois-houston-hacked/9821?tag=mantle_skin;content
http://www.informationweek.com/news/security/attacks/231903481
http://www.h-online.com/security/news/item/Hacker-destroys-pump-in-US-water-utility-1381968.html
http://www.bbc.co.uk/news/technology-15817335
http://krebsonsecurity.com/2011/11/cyber-strike-on-city-water-system/
http://www.computerworld.com/s/article/9222014/Apparent_cyberattack_destroys_pump_at_Ill._water_utility?taxonomyId=82
http://www.scmagazineus.com/water-utilities-in-illinois-houston-reportedly-hacked/article/217173/
http://news.cnet.com/8301-1009_3-57327968-83/hacker-says-he-broke-into-texas-water-plant-others/
http://www.v3.co.uk/v3-uk/news/2126382/scada-hack-blamed-breach-water-plant
────────────────

◆Anonymous コンピュータフォレンジック専門家のメーリングリストのアーカイブへのアクセスを獲得 (2011.11.19)
Anonymousとして知られているハッカー集団のメンバーらが、カリフォルニア 州南部のサイバー犯罪捜査組織の元管理職者のGoogleアカウントへのアクセス を獲得し、同アカウントから得た3万8,000件の電子メールを漏えいさせた。こ のハッキングで漏れた情報の中には、国際コンピュータ犯罪捜査専門家協会の メーリングリストのアーカイブがあった。このアーカイブには、世界中の専門 家による討論内容もあったという。

http://www.wired.com/threatlevel/2011/11/anonymous-hacks-forensics/

────────────────

◆Wyden上院議員 IP保護法が議場にたどり着いた暁には議事進行妨害を行う意向 (2011.11.21)
米国上院議員Ron Wyden(オレゴン州民主党)は、上院議会のIP保護法(PIPA)に 対し、議事の進行妨害を行う意向だ。同法案は、下院議会のインターネット上 の著作権侵害行為対策法(SOPA)に類似している法案だ。Wyden議員は今年はじ め、同法案にストップをかけたが、「感謝祭の休暇が過ぎれば、これを覆すの に十分な票が集まっているでは」という噂も出ている。

http://www.wired.com/threatlevel/2011/11/wyden-pipa-filibuster/

【編集者メモ】(Murray)
この法案は、一般受けがあまりよくない。Demand Progressは、「所属メンバー のうち2万人が、Wyden上院議員に対し、彼が実行すると脅している議事妨害の 一環として、彼らの氏名を読み上げるようにお願いした」と断言している。一 方で、この法案は、大変の気前のよい全米レコード協会(RIAA)や米国映画協会 (MPAA)が支持しているため、議員らの間では受けがよい。出版社の権利は、い かに合法的であったとしても、それを切り札に他の全ての勢力に勝ることはな い。誰かがこの権利の合法性を主張したとしても、その主張に伴って行われる 貢献の量によって、合法性が判断されるということはない。

────────────────

◆議員 中国の通信機器によるスパイ活動の可能性を捜査 (2011.11.17-21)
米国下院情報特別委員会(HPSCI)は、米国で運営されている中国の電話会社が サイバースパイ活動を行っている可能性を捜査する意向だ。同委員会は、中国 の通信機器(サーバー、ルータ、スイッチなど)を用いることによって、中国 政府が米国から機密情報を獲得している可能性を検証する予定である。

http://www.computerworld.com/s/article/9221998/House_committee_to_investigate_China_s_Huawei_ZTE
http://www.theregister.co.uk/2011/11/21/us_probe_chinese_telco_firms/
http://www.wired.com/dangerroom/2011/11/china-trojan-horse-congress/

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・出展のイベント     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12/8(木)               <東京 青山ダイヤモンドホール>
 クラウド時代の運用管理~いま取り組むべきITサービスマネジメントとは~
 セッション3[16:20~16:45]にて、講演
 「クラウド時代のIT統制」
https://itmedia.smartseminar.jp/public/seminar/view/325

○12/9(金)                   <東京 丸の内北口ビル>
 サイバーセキュリティ トレンドセミナー2011
 ~企業意識を変えた事故事例を振り返り、次の対策を提言する~
http://www.nri-secure.co.jp/seminar/2011/1209.html?xmid=300&xlinkid=01

○12/9(金)・1/20(金)・2/15(水)・3/7(水)  <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=300&xlinkid=02

○12/14(水)・1/18(水)・2/10(金)      <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=300&xlinkid=03

○12/14(水)                     <東京 文京区本郷>
 重要情報資産の棚卸しによるリスクの見える化 セミナーにてセッション講演
 「重要情報資産の識別管理ソリューションのご紹介 」
https://iim.smartseminar.jp/public/seminar/view/573

○12/16(金)・1/25(水)・2/24(金)      <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=300&xlinkid=04

※各セミナーともにそれぞれにおける競合にあたる同業他社様のお申込みはご遠慮下さい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12/5(月)                       <東京 南大井>
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=05

○12/6(火)~7(水)                    <東京 南大井>
 セキュアWebアプリケーション実習:応用編(Java/JavaEE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=06
────────────────



■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年11月18日 Vol.10 No.47)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
1
Third Party Windows Apps
3
Linux
2
Aix
1
Cross Platform
7 (#1,#2)Web Application - Cross Site Scripting
4
Web Application
6
Hardware
2
======================================================================
                                                      
1.危険度【高】:Google Chromeにさまざまなセキュリティの脆弱性

<影響を受ける製品>
Google Chromeの15.0.874.120より前のバージョン

<詳細>
Googleは、ChromeのWebブラウザにあるさまざまな脆弱性に対処するパッチを リリースした。問題の脆弱性には、Googleのtheoraデコーダのダブルフリー、 VP8の復号処理にあるメモリ崩壊、Vorbisデコーダとshader変数のマッピング のバッファオーバーフロー、編集において解放済みメモリ領域を使ってしまう use-after-freeなどがある。これらの脆弱性に関する技術的詳細は公表されて いないが、攻撃者は、悪意のあるページを閲覧するようにターゲットを仕向け られれば、これらの脆弱性を悪用して、ターゲットのマシン上で任意のコード を実行できるようになる可能性がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Chrome Stable Channel Updates
http://googlechromereleases.blogspot.com/2011/11/stable-channel-update.html
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/50618
http://www.securityfocus.com/bid/50619
http://www.securityfocus.com/bid/50620
http://www.securityfocus.com/bid/50621
http://www.securityfocus.com/bid/50622
http://www.securityfocus.com/bid/50623
http://www.securityfocus.com/bid/50624
http://www.securityfocus.com/bid/50625
http://www.securityfocus.com/bid/50626
http://www.securityfocus.com/bid/50627
http://www.securityfocus.com/bid/50628
http://www.securityfocus.com/bid/50629
http://www.securityfocus.com/bid/50642
────────────────

2.危険度【高】:Apple iOSのFreeType Fontのライブラリにメモリ崩壊

<影響を受ける製品>
Apple iOS 5.0.1より前のバージョン

<詳細>
Appleは、同社製iOS・携帯OSにあるさまざまなセキュリティの脆弱性を修正す るパッチをリリースした。問題の脆弱性には、FreeTypeフォントライブラリに あるメモリ崩壊などがある。攻撃者は、細工されているファイルを閲覧するよ うにターゲットを仕向けることができれば、この脆弱性を悪用して、ターゲッ トのマシン上で任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースいている。

<参考>
ベンダーのサイト
http://www.apple.com
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT5052
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/50115
http://www.securityfocus.com/bid/50575
http://www.securityfocus.com/bid/50640
http://www.securityfocus.com/bid/50641
http://www.securityfocus.com/bid/50643

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。