NRI Secure SANS NewsBites 日本版

Vol.6 No.24 2011年6月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.24 2011年6月14日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
速報: 今朝早く、ホワイトハウスと国土安全保障省(DHS)から、連邦政府のサイバー セキュリティで大きな改善策となりうる(と私が考えている)ものについて発 表があった。これによって、リスク削減が迅速に進み、サイバーセキュリティ の効果的な運営方法の模範を政府が示して先導していくようになる。
新しく公表された文書、「2011会計年度・最高情報責任者のFISMA法(訳注:連 邦情報セキュリティマネジメント法)報告における測定基準(“FY2011 Chief Information Officer FISMA Reporting Metrics”」では、最も重大なセキュ リティリスクの継続的な(毎日の)測定の自動化の進捗について、政府各局の 報告を義務付けている。「測定できるものならば、実行できる」("What gets measured gets done." ) という考え方だ。
これらの新判定基準は、継続的監視のために必要な検知装置やシステムを各部 局が実行に移していく進捗状況を評価する。監視の重要コントロール事項は少 なく、攻撃がどう行われ、それをどう防ぎ被害を緩和するにはどんなコントロー ルが必要かを熟知している国家安全保障局(NSA)、DHSとその他の政府部局、企 業によってこのコントロール項目が定義された。 この文書そのものは、http://www.sans.org/critical-security-controls/ の 画面右上から入手されたい。

DHSのMatt Coose、および、ホワイトハウスのチームに賛辞を。

継続的な監視に興味のある方にとっては、まさにちょうどういい情報がある: NSAは、DHSが要求している測定基準に説明されている重大コントロールの継続 的な改善方法について、補足文書を公表するようだ。また、SANSは、今月後半 に20の重大なコントロールの更新版をリリースする。いずれについても、来週、 詳細情報をお伝えしたい。

サイバーセキュリティの測定という観点で、米国連邦の本格的な変化が今まさ に始まった。重要なことである。本号の4番目を読まれたい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.44-45
(原版:2011年6月3日、6月8日)

◆新たにほかの国防関連企業 RSAのSecurID攻撃の標的に(2011.5.31-6.2)
また新たに、別の米国国防請負企業が、3月にRSAから盗み出された情報を使用 した攻撃の標的になっていた可能性が浮上した。
問題の企業であるL-3 Communicationsの社員へ送信された社内メッセージでは、 「(当社は)侵害された情報を活用した侵入攻撃で、盛んに標的になっている」 となっていた。攻撃者が攻撃に成功したのかどうかは不明である。L-3社は、 非機密の企業用ネットワークのアクセスを許可する際に、RSAのSecurIDを使用 しているようだ。別の国防請負企業であるLockheed Martinも、最近RSAのデー タ侵害に関連するサイバー攻撃を被ったことを認めている。ほか、3つ目とし て、さらに他の国防関連企業、Northrup Grummanもターゲットになった可能性 がある。同社は先週、同社のネットワークへのリモートのアクセスを停止し、 社全体にわたってドメイン名とパスワードのリセットを開始したとの報告が表 面化しつつある。

http://www.wired.com/threatlevel/2011/05/l-3/
http://www.eweek.com/c/a/Security/Northrop-Grumman-L3-Communications-Hacked-via-Cloned-RSA-SecurID-Tokens-841662/
http://www.scmagazineus.com/lockheed-admits-to-hack-that-may-portend-more-breaches/article/204205/
http://www.foxnews.com/scitech/2011/05/31/northrop-grumman-hit-cyber-attack-source-says/
http://news.cnet.com/8301-27080_3-20068051-245.html

────────────────

◆国防総省のサイバー戦争戦略 (2011.5.31)
国防総省が現在作成しているサイバー戦争戦略では、サイバー攻撃は、「戦争 行為である可能性」として見直すことになる。これによって、米国は、重大な システムに対する特定の攻撃に対し、武力をもって対応できるようになる。米 国政府と軍のシステムは、少なくとも8年以上もの間、外国からのサイバー攻 撃に立ち向かってきた。攻撃者らによって機密情報が盗まれており、その中に はF35戦闘機のそれも含まれる。

http://www.guardian.co.uk/world/2011/may/31/washington-moves-to-classify-cyber-attacks
http://www.computerworld.com/s/article/9217161/Cyberattacks_can_justify_armed_response_Pentagon_says?taxonomyId=17
http://www.theregister.co.uk/2011/05/31/hacking_as_act_of_war/
http://www.bbc.co.uk/news/world-us-canada-13614125
http://www.informationweek.com/news/government/security/229700205
http://www.nextgov.com/nextgov/ng_20110531_5712.php?oref=topnews

【編集者メモ1】(Paller)
ウォールストリートジャーナルが国防総省のサイバー戦略について行った報道 で生じたざわめきの中で、皆が見逃しているものがあるかもしれない。それは、 ワシントンポストのEllen Nakashimaが書いた記事を読めばよくわかる。この 記事では、敵対国の重要ネットワークを妨害できるウイルスなど、米国のコン ピュータ戦争での交戦を効率的に遂行するための国防総省のサイバー兵器やツ ールのリストについて説明されている。

http://www.washingtonpost.com/national/list-of-cyber-weapons-developed-by-pentagon-to-streamline-computer-warfare/2011/05/31/AGSublFH_story.html
【編集者メモ2】(Schultz)
攻撃者が悪意のあるコードを兵器として利用できること、国家のインフラを成 すシステムに侵入して制御してしまうこともできることを踏まえると、国防総 省の戦略は完全に筋が通っている。

────────────────

◆テネシー州法 ログイン認証情報の共有を禁ず (2011.6.2)
テネシー州知事は、家族なども含め、誰かとログイン情報(ユーザー名やパス ワード)を共有することを違法とする法案に署名し、法律として成立させた。 この法は、7月1日に有効となるが、適用範囲は同州内のみにとどまる。同法案 は、ケーブル(TV放送)サービスを盗んだり、無銭飲食を行ったりした人間の起 訴を許可する法の拡大である。500米ドル相当の娯楽物を盗み出した場合に使 われる法律にもとづいて起訴された場合、1年の懲役、および、最高で2,500ド ルの罰金を科せられる可能性がある。500ドル以上のコンテンツを盗み出した 場合は、その懲罰はより厳しいものになる。

http://news.cnet.com/8301-13506_3-20068233-17.html?tag=mncol;title

────────────────

◆FISMA法の遵守測定基準 継続的な監視に重点(2011.6.6)
米国国土安全保障省(DHS)が公表した新・米国連邦情報セキュリティマネジメ ント法(FISMA)の遵守測定基準では、政府局に対し、重大なセキュリティリス クの自動継続測定(方法)の導入状況についての報告を義務付けている。今回の このメモは、政府局に継続的なセキュリティ監視への移行を開始するように求 める「2010年ガイダンス」に端を発している。

http://www.informationweek.com/news/government/security/230100013
http://www.govinfosecurity.com/articles.php?art_id=3707
http://www.nextgov.com/nextgov/ng_20110606_5245.php?oref=topstory
http://gcn.com/articles/2011/06/06/fisma-reporting-metrics.aspx
http://www.sans.org/critical-security-controls/fisma.pdf
【編集者メモ1】(Hoelzer)
これは極めて重要なステップだ。「成績表」的な方法では特定の政府局が直面 している実際のリスクに対処することがまったくできないため、連邦政府の CIOなどは、これまで長らくの間、この方法ではうまくいかないと知っていた。 継続的な監視が中心となれば、FISMA法の遵守も、「政府局は的確な監視シス テムを実施しなければならない」、「政府局は的確なものを監視し、意味のあ る情報を提供し、発生事項や傾向について防御者に知らせなければならない」 など、同法の支援層が言っている多くのことに協調できるようなってくるだろ う。FISMA法の遵守行動が20の重大なセキュリティコントロール(20 Critical Security Controls)に沿える段階に向けて近づいてきている状況を目の当た りにできるのは、心強い。

【編集者メモ2】(Pescatore)
ほとんどの連邦政府局において、セキュリティ予算が増える速度よりも速い速 度で報告要件の数が増えている。

【編集者メモ3】(Paller)
政府局は、昔の報告業務にもはや無駄なお金を費やす必要はなくなった。もし、 ひき続きそうするとすれば、それは、単にFISMA関連の請負業者らが儲けられ るようにするためにとる行動か、もしくは、ストックホルム症候群が原因だろ う。(犠牲者であるCIOとCISOはあまりにも長い間、書面による法遵守行動の 熱狂的ファンたちの人質になっていたために、継続的・自動的な監視を日々行 うといった正しいことを行うために自由にお金を使えるようになったことが信 じられないのである。)

────────────────

◆世界IPv6の日(2011.6.3)
6月8日水曜日に、最終的にはIPv4より大幅に数の多いIPアドレスとより高速の 接続を可能にする、IPv6基準が世界中のWebサイトでテストされる。このWorld IPv6 Dayに参加している組織には、Microsoft、Google、Yahoo、Facebookな どがある。テストは、6月7日の東部標準時午後8時から6月8日の午後7時59分ま で行われる。このイベントは、ネットワークの設計者らが、新しいプロトコル が大規模レベルでどれほど円滑に機能するのかを確かめ、システムの設定ミス などの技術的な問題を特定できるように計画されたものだ。
また、インターネットではIPv4のアドレス空間が足りなくなってきているため に必要となったIPv6の実施について、認識を高める狙いもある。IPv6は、IPv4 と互換性がないため、Webサイトではネットワーク機器とソフトウェアをアッ プグレードする必要がある。

http://www.networkworld.com/news/2011/060311-ipv6-day.htmls

【編集者メモ1】(Pescatore)
多分長くかかるだろうと思われる移行期間に、企業や通信業者が、v4とv6の双 方を運用する方法はたくさんある。メカニズムの間や中にある弱点を特定する 際には、こういった種類のテストを必ず行うべきである。

【編集者メモ2】(Ullrich)
これは、IPv6統合をまだ計画していない全ての人に対する警鐘となるだろう。 自分の組織のネットワークには十分にIPスペースがあるから必要ないとお考え の方は、現在、もしくは、今後の顧客に対し、IPv6を使う計画(←IPv6プラン のままの方がよい?)があるかどうかを聞いてみるとよい。月次のISC脅威アッ プデート情報は、ちょうどIPv6の日に発表されるが、IPv6のセキュリティにつ いてもカバーしている。

【編集者メモ3】(Honan)
IPv6を導入していないユーザーについては、World IPv6 Day当日、接続が、 IPv6からIPv4に落とされてしまうため、一部のサイトからのレスポンスが遅く なるという現象に見舞われるだろう。サポートデスクやインシデントレスポン スチームに事前に警告し、電話での問い合わせの増加が見込まれるので、それ に対応できるようにしておくとよい。インターネットや特定のWebサイトにア クセスしたときに「おかしな」結果が表示されてしまったユーザーが、問い合 わせの電話をしてくる可能性があるからだ。これに関してユーザーに教えてあ げられるような有益な情報として、RIPE IPv6 Eye Chart  (http://ipv6eyechart.ripe.net/) がある。
IPv6の接続性をテストするにはこちら: (http://www.test-ipv6.com/

────────────────

◆ソニーピクチャーズのデータベース ハッキングされる(2011.6.3)
アタッカーがまたもやソニーを標的にしており、今回は、SQLインジェクショ ン攻撃によって、パスワードや楽曲コードなど、ユーザーの記録や管理詳細を ソニーピクチャーズから盗み出した。この攻撃の実施を認めているアタッカー は、偽のニュースを全米ネット公共放送網(PBS)のWebサイトに掲示するとい う攻撃を最近行ったアタッカーと同じだという。問題のグループは、持ち出し た情報はどれも暗号化されていなかったと述べている。この侵害によって、 SonyPictures.comのユーザー100万人以上に影響が生じるという。

Internet Storm Center: https://isc.sans.edu/diary.html?storyid=10996
http://www.informationweek.com/news/security/attacks/229900111
http://www.scmagazineus.com/hacker-group-raids-sony-pictures-in-latest-breach/article/204379/

────────────────

◆ルートキットに自己増殖の仕組みも (2011.6.3-6)
研究者によると、AlureonとTDL4として知られているTDSSルートキットは、今 や、2つの異なる方法を使用して、他のコンピュータに自分を感染させていく という自己増殖の仕組みまで備えているという。現在、問題のマルウェアは、 取り外し可能なメディアドライブとローカルエリアネットワーク(LAN)を介 して感染可能だ。

http://www.theregister.co.uk/2011/06/03/tdss_self_propagation_powers/
http://www.infosecurity-magazine.com/view/18439/advanced-worm-uses-builtin-dhcp-server-to-propagate-/

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年6月3日 Vol.10 No.23)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Other Microsoft Products
1
Third Party Windows Apps
3(#1)BSD
1
Cross Platform
11 (#2)Web Application - SQL Injection
1
Web Application
4
Network Device
5
======================================================================
1.危険度【高】: HP 3COM/H3C Intelligent Management Centerのimg recvにバッファオーバーフローの脆弱性

<影響を受ける製品>
H3C Intelligent Management Centerの現行バージョン

<詳細>
180日の経過の期限に達したことに基づき、Zero-Dayイニシアチブは、HPのネッ トワーク管理用プラットフォームであるH3C Intelligent Management Center の現行バージョンに影響を及ぼすゼロデイの脆弱性情報を公表した。脆弱なコ ンポーネントであるimg.exeは、デフォルトでTCP808番ポートで情報を待ち受 け(listen)している。ユーザーがコントロールするデータの処理時に、整数型 オーバーフローが発生すると、ヒープ上の固定長のバッファにデータが過剰に コピーされてしまう。 悪意のあるリクエストを送信すれば、未承認のアタッ カーでもこの脆弱性を悪用して、ターゲットのマシンに任意のコードを実行で きるようになってしまう。

<現状>
ベンダーはこの問題を認めているものの、更新はリリースしていない。

<参考>
ベンダーのサイト
http://www.hp.com
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-170/
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/48065

────────────────

2.危険度【高】: IBM Tivoliのエンドポイントのlcfd.exeのopts引数にリモートのコード実行の脆弱性

<影響を受ける製品>
IBM Tivoli Management Framework 3.7.1、4.1、4.1.1、4.3.1

<詳細>
IBMは、このTivoli Management Framework用にセキュリティの脆弱性に対処で きるパッチをリリースした。IBM Tivoli Management Frameworkは、ネットワー ク管理用に設計されている。脆弱なプロセス、lfcd.exe は、エンドポイント (endpoint)で運用されているWebサーバである。Tivoli用仮想「エンドポイン ト」には、ノートパソコン、サーバ、このフレームワークで管理されている POS(point of sales)デバイスなどがある。デフォルトで9495番ポートにて待 ち受けを行っている脆弱なプロセスに、過剰に長い「opts」パラメータを送信 すれば、アタッカーはこの脆弱性を悪用して、SYSTEMレベルの権限でターゲッ トのマシンに任意のコードを実行できるようになる。この脆弱性を悪用するに は認証が必要だが、内蔵のユーザー名を使えば、認証ができてしまうことは自 明だ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.ibm.com
IBMのセキュリティアラート
https://www-304.ibm.com/support/docview.wss?uid=swg21499146
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-169
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/48049

────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。