NRI Secure SANS NewsBites 日本版

Vol.6 No.29 2011年7月20日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.29 2011年7月20日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.54-55
(原版:2011年7月8日、7月13日)

◆米国エネルギー省の研究所 「高度なサイバー攻撃」のターゲットに (2011.7.6)
米国エネルギー省(DOE)は、同省の2つの研究施設をサイバー攻撃発生を受けて オフラインにした。7月1日、ワシントン州リッチランドにあるパシフィック・ ノースウェト国立研究所(PNNL: Pacific Northwest National Laboratory)と バージニア州ニューポートニューズにあるトーマス・ジェファーソン国立加速 機施設(Thomas Jefferson Laboratory National Accelerator Facility)が攻 撃されていることを関係者らが発見し、インターネットの接続を切断するとい う措置をとった。この2つの研究所と、PNNLを運営しているバテル記念研究所 (Battelle Memorial Institute)の関係者らは、現在調査を行っている。
今年はじめ、テネシー州のオークリッジ国立研究所(Oak Ridge National Laboratory)もサイバー攻撃を被り、同所のシステムを保護するために同じ措 置をとっている。こちらのインシデントは、スピアフィッシングアタックによ るものだと考えられている。

http:news.cnet.com/8301-27080_3-20077268-245/sophisticated-attack-targets-two-energy-dept-labs/?tag=mncol;title
http:gcn.com/articles/2011/07/06/cyber-attacks-take-2-energy-labs-offline.aspx
http:fcw.com/articles/2011/07/06/pnnl-cyber-attack-shuts-down-internet-email.aspx
http:www.computerworld.com/s/article/9218208/Second_DOE_lab_is_likely_victim_of_spear_phishing_attack?taxonomyId=85
http:www.eweek.com/c/a/Security/DOE-Lab-Shuts-Down-EMail-Web-Access-After-Sophisticated-CyberAttack-161664/
http:seattletimes.nwsource.com/html/localnews/2015528333_apwanationallabcyberattack2ndldwritethru.html

【編集者メモ1】(Murray)
ここで用いられた攻撃の手法については推測するしかない。しかし、ロッキー ド、RSA、ソニーで使われた方法を考えると、狙うターゲットへの攻撃を成功 させるためのコストは、危険なほどに低下してしまっていると結論付けること もできるだろう。そろそろ真剣に取り組む時だ。電子メールにも及ぶ制限的ポ リシー、ユーザーにも及ぶ最小特権、強い認証、更に強いアプリケーション、 デフォルトでの暗号化、監視・測定・報告の向上など、できることは至る所に ある。

【編集者メモ2】(Northcutt)
DOE最上層部のセキュリティのポリシー作成者らが誰なのか、私は知らないが、 彼らの度胸は素晴らしい。海軍時代に受けた応急処置訓練の主要な格言を、私 はまだ覚えている。それは、「止血せよ」だ。検知し、切断し、浄化し、運用 を再開する……。彼らは、我々が適用を考慮すべき戦略をここに示してくれて いるように思える。

────────────────

◆Google、Web検索結果から「スパム」が多いドメインをブロック (2011.7.6)
Googleは、「.co.cc」のドメインのサイトのあまりに多くが、「スパムである 可能性が高いか、もしくは、低品質である」と見なしたため、このドメインで 終わるURLのWebサイトは、今後Googleの検索結果にはWebサイトには出てこな いようするという。これは、ユーザーを保護するための行動だ。これまでに、 検索エンジンから110万件以上のサイトが取り除かれている。「.cc.co」(訳 注;原文のこの箇所は、.co.ccの誤りと思われる)は、1,000ドルで1万5,000 件のドメインを登録することができる企業が、私的に所有しているドメインだ。

http:www.sfgate.com/cgi-bin/article.cgi?f=/g/a/2011/07/06/businessinsider-google-blasts-an-entire-domain-from-its-search-results-for-being-too-spammy-2011-7.DTL
http:www.theregister.co.uk/2011/07/06/google_cans_11m_dot_co_dot_cc_sites/

────────────────

◆米国のISP 著作権侵害者への処罰システムに合意(2011.7.7)
米国の大手インターネットサービスプロバイダ(ISP)は、著作権侵害を習慣的 に繰り返す者に対してインターネットサービスを中断することができるシステ ムに合意した。
このシステムに参加する企業には、Comcast、Time Warner、Verizonなどがあ る。ISPらはまず警告を発し、6回侵害が行われた場合はこのプランを用いてプ ロバイダにインターネットのスピードを遅くしたり、ユーザーを著作権侵害に 関する「教育用」のページにリダイレクトしたりするな どの措置をとるように求めている。このプランでは、(侵害時の)完全なアク セス切断を直接に求めているわけではないが、各社はそういう行動を採ること も可能である。今回の合意は、全米レコード協会(RIAA)や米国映画協会(MPAA) の支持を得ている。しかし、この合意に対し批評家らは、司法審査なしにユー ザーのインターネットへのアクセスが切断されるおそれがあると懸念の声をあ げている。

http:www.wired.com/threatlevel/2011/07/disrupting-internet-access/
http:news.cnet.com/8301-31001_3-20077659-261/should-you-fear-new-isp-copyright-enforcers/

【編集者メモ1】(Pescatore)
インターネットの「パイプ」は今以上にきれいであるべきという適切な社会的 根拠は多数ある。しかし、「きれい」という状態は、「見て初めてそうと分か る」という類のもので、どういう状態が「きれい」なのかを社会が定義しなけ れば分からない。このケースにおいては、「著作権侵害」の明確な定義が必要 だ。より単純明快で社会にとって有益なきれいなパイプとは、通信業者らが既 存のマルウェアやアドレス・スプーフィングその他を当たり前にブロックする ものだろう。

【編集者メモ2】(Northcutt)
(行き過ぎない)中庸の視点は好ましい。6回の警告であれば妥当だろう。

【編集者メモ3】(Murray)
論より証拠。これらの手順が、「実際に何が起きているのか」や「どれほどそ の手順が効果的に作用するか」という観点での経験をもとに形作られたもので あることを望みたい。閾値は誤検知を避け得る十分な高さだと考える。

────────────────

◆WellPoint  侵害通知遅延で10万ドルの罰金 (2011.7.6)
健康保険会社のWellPointは、3万2000人以上の個人情報が侵害された際に顧客 やデータセキュリティ侵害担当の検事当局への通知が遅れたため、インディア ナ州に対して10万ドルを支払うことになる。問題の侵害は、2009年10月23日か ら2010年3月8日までの期間で発生した。この間はずっと、個人の記録へオンラ インでアクセスが可能だったという。WellPointは、この問題が起きている状 況について、2010年2月22日に通知を受けていたが、顧客への通知は2010年6月 28日まで開始しなかった。漏えいされた情報は、社会保険番号(SSN)、健康記 録や財務データなどを含んでいる。

http:www.infosecurity-us.com/view/19221/wellpoint-dishes-out-100000-to-indiana-for-potential-data-breach/
http:www.govinfosecurity.com/articles.php?art_id=3824&search_keyword=wellpoint&search_method=exact

────────────────

◆ハッカー 米国国土安全保障省(DHS)と国防総省(DoD)の請負業者Booz Allenなどの企業をターゲットに(2011.7.10)
ハッカーは、Booz Allen HamiltonやIRC Federalにそれぞれ異なる攻撃で情報 を盗み出したと主張し、それをWeb上で漏えいした。Booz Allen Hamiltonに対 する攻撃では、軍の電子メールアドレス9万件のほか、ソースコードも含むそ の他の内部情報が漏えいされた。同社は、政府関連の業務を大量に遂行してい るコンサルティング企業である。FBIの請負業者であるIRC Federalから盗まれ たデータには、「信用のある人に関連する全ての記録を保護する一方、米国と 同盟国に重大なリスクを及ぼすおそれのある人の身元情報を公開し、テロリス トや犯罪活動を減らす」ことを目指すプロジェクトを立ち上げようというFBI 向けの提案などがあった。

http://news.cnet.com/8301-27080_3-20078498-245/hackers-claim-they-exposed-booz-allen-hamilton-data/
http://www.readwriteweb.com/archives/90000_military_emails_leaked_after_anonymous_attac.php
http://gizmodo.com/5820049/anonymous-leaks-90000-military-email-accounts-in-latest-antisec-attack
http://blogs.computerworld.com/18593/anonymous_hacks_fbi_contractor_antisec_leaks_secret_irc_federal_security_data
http://technolog.msnbc.msn.com/_news/2011/07/08/7043037-anonymous-claims-hack-on-fbi-partner-site-shares-databases

【編集者メモ1】(Pescatore)
ハッカーがMitreのモデム・バンクに侵入し、ローレンス・バークレイ国立研 究所(Lawrence Berkeley National Lab)のコンピュータシステムを狙ったのは もう25年近く前のことだ。今日の国防・政府請負企業への侵入に関する絶えな き報告の流れを見ると、このような手ぬるいセキュリティの取り組みに対して、 今もなお政府の大きな請負契約によって資金が供給され続けていることがわか る。

【編集者メモ2】(Paller)
Booz Allenだけではない。FISMA法関連の主だった請負業者のほぼ全てが、サ イバー攻撃で政府の重大な機密情報を失っている。大手IT企業は毎年、連邦政 府のサイバーセキュリティについての時代遅れの非効率的な報告書を書き出し て数十億ドルを稼いでいる。このような企業は、ただ、好都合で儲けがあるこ とに甘んじて、報告書はFISMA法によって義務付けられているものだから…と 言う。報告書を書いている人の70-80%は、システムを安全化する技術的なスキ ルを持っていない。というより、ほとんどの人に実践的な経験がない。この種 の「紙面上でのセキュリティ」がこの業界に広がってしまっている状態を考え ると、大手の請負業者はまさに侵入され続ける状況は当然と言える。FISMA法 関連の大手請負業者のどこかの企業が、「顧客である政府に嘘をつきつづける ことはできない。役に立たない報告書の作成をやめ、報告作成者を再教育して、 システムを保護して被害を引き起こす前に攻撃者を見つけ出せるようにするべ きだ。」と言いだしてくれるのを待ち続けているのだが……。先陣を切ってそ れを言い出す企業は、ITコミュニティのボルボ(初めての「安全な車」)になれ るだろう。

────────────────

◆民間企業 英国情報コミッショナー事務局による無料のセキュリティ監査の提案を断る(2011.7.11)
英国の情報コミッショナー(Information Commissioner)のChristopher Graham によると、これまで12カ月間のデータ侵害の3分の1近くは民間部門で発生して いるという。しかし、民間部門企業が情報コミッショナー事務局 (ICO: Information Commissioner's office)による無料のデータ保護監査の提案に関 して連絡を受けた際、それを受諾した企業は全体の19%のみだった。公共部門 においては、71%の組織がこの提案を受け入れている。

http://www.scmagazineuk.com/ico-reports-that-private-sector-was-responsible-for-a-third-of-data-breaches-yet-most-businesses-refuse-an-audit/article/207158/

【編集者メモ1】(Hoelzer)
思うに、(拒否の理由が)経営陣が疑いつつも隠したい事象があるためではない だろう。むしろ、情報セキュリティと監査の両コミュニティが、今日のビジネ スのための全般リスク管理の戦略のなかで、効果的なコントロール、IT、そ の他に関わる監査という重要な役割連関づけられないために、今回の提案が却 下されているようだ。

【編集者メモ2】(Ranum)
この記事の書かれ方を見ると、これは、少し「都合のよい解釈」に傾いている ように思う。多分、監査を受けないと決めた企業は忙しいだけかも知れない。 もしくは、監査結果でわかることくらいなら自分たちでも解明できるし、それ 自体が管理の埒外なのかも知れない。もし、どこかの政府局が私を監査してく れるということになって、その監査結果の内容を保護するという十分な保証が 与えられないなら、私も、断れるなら提案に「No」と言うだろう。この記事で もわかるように、情報コミッショナー事務局は、監査のプロセスに関するこの 統計結果を報道陣に対して引用したいのだろうが、冷静にセキュリティを実行 している人の多くならば、絶対に必須でない限り、この監査の提案は却下する のは言うまでもないように思える。

────────────────

◆ケースで検証:訴訟の暗号のキーに合衆国憲法修正第5条(黙秘権)が適用できるのか(2011.7.11)
コロラド州の女性の自宅の家宅捜索を行った際に、ノートパソコンが見つかっ たが、その暗号の解読に必要なキーの当局への提出を、彼女は拒んでいる。こ の訴訟事例は、当局のキー開示要求が、自らを有罪に至らしめない(訳注:自 己に不利な供述を強制されない)権利を与える合衆国憲法修正第5条に違反し ているかどうかを、米国控訴裁判所が判断する初のケースになる。問題の女性、 Ramona Fricosuには、住宅ローン詐欺を行った疑いで告訴されている。 検察 側は、彼女のキーを求めているのではなく、コンピュータにある平文バージョ ンのデータを求めているだけだと主張している。電子フロンティア財団(EFF: Electronic Frontier Foundation)が提出した法廷助言書によれば、「暗号化 のパスワードを入力するように被告に入力するように命令すれば、彼女は、修 正第5条が食い止めんとしている状況に置かれることになる。つまり、自らを 不利な証言をするか、宣誓に背いて偽証し法廷侮辱罪に問われるかを選ばなけ ればならなくなる」という。

http://news.cnet.com/8301-31921_3-20078312-281/doj-we-can-force-you-to-decrypt-that-laptop/

【編集者メモ】(Murray)
「最良の証拠」(を採用する)という歴史的な権利に対する切り札にする目的 で修正第5条を援用することを裁判所が許可すると考えるなど、考えが甘い。 誰かが何かを記録すると、裁判所にはその記録を獲得する権利が与えられるよ うになっている。その記録を金庫に入れたり暗号化したりしても、裁判所がそ の記録にアクセスする権利を拒否することは誰にもできない。裁判所が、警察 の強制力と裁判所の命令を同等と見なすことはない。また、(事実の)歪曲と、 侮辱罪(この場合、記録へのアクセスを求める裁判所の正当な要求に応じない こと)を同じと考えることもない。

────────────────

◆News of the Worldの編集者ら 電話ハッキング(phone hacking)のスキャンダルで逮捕される(2011.7.8)
News of the World (NotW)の電話ハッキング(phone hacking)のスキャンダル に関連して、元編集者のAndy Coulsonと元王室担当記者のClive Goodman が逮 捕された。この1月まで、Coulsonは英国のDavid Cameron首相の上級メディア アドバイザ(senior media advisor)だった。疑惑の電話ハッキングが発生した 当時、彼は創刊168年のタブロイド紙の編集者だった。Goodmanはすでに、英国 王室が発着信した通話を傍受したために4か月の懲役に服している。Cameron首 相は、この件に関して調査を開始するという。
http://www.csmonitor.com/World/Europe/2011/0708/Tabloid-phone-hacking-scandal-spreads-former-Cameron-aide-arrested
このニュースに関して重要な更新情報が1つ。英国の元首相Gordon Brown氏は、 新聞によってあらゆる方向からプライバシー侵害に遭っていたことを明らかに した。英国王室もターゲットになっていたと彼は述べている。

http://www.bbc.co.uk/news/uk-politics-14119225

【編集者メモ】(Honan)
これらのニュースには、システムにあるセキュリティ上の一般的な弱点を特定 するために組織が学ぶべき教訓がたくさんある。侵入の多くは、デフォルトの パスワードが変更されていなかったために、また、ユーザーが電子メールのリ ンクをクリックしてしまったか、もしくは、ソーシャルエンジニアリングの結 果として発生したものだ。

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年7月1日 Vol.10 No.28)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
5 (#1)BSD
2
Cross Platform
12
Web Application - Cross Site Scripting
1
Web Application - SQL Injection
1
Web Application
3
Hardware
2
======================================================================
1.危険度【中】: HP iNode Management Centerにスタックのバッファオーバーフローの脆弱性

<影響を受ける製品>
バージョンIMC_UAM_5.0_SP1_E0101P03以前の
  HP Intelligent Management Center User Access Manager (UAM)
バージョンIMC_EAD_5.0_SP1_E0101P03以前の
  HP Intelligent Management Center Endpoint Admission Defense (EAD)

<詳細>
HPは同社製Intelligent Management Centerのネットワーク管理ソフトウェア にパッチをリリースした。ソフトウェアのコンポーネント、iNOdeMngChecker. exeはデフォルトとして9090番ポートで待ち受けを行い、アタッカーが提供す るデータをスタック上の固定長のバッファにコピーする。悪意のあるリクエス トを送信すれば、アタッカーはこの脆弱性を悪用して、SYSTEMレベル権限で ターゲットのマシンに任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.hp.com

HPのセキュリティ警告
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02901775
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-232/

SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/48527

────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが 配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、 およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ ースソースとして活用されています。組織のセキュリティ管理に関する参考情 報としてお役立てください。掲載されている情報は、e-mailを介して自由に他 の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日 本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申 込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお 書きいただき、info@sans-japan.jp まで返信してください。