NRI Secure SANS NewsBites 日本版

Vol.6 No.34 2011年8月23日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.34 2011年8月23日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
最新情報:連邦政府局は、サイバーセキュリティ分野において、大幅な予算削 減という問題に向き合うことになる。すでに予算を削減された政府局もある一 方で、削減が予定されている政府局もある。連邦政府のCISO2人が今週、「年 末用予算の一部を、今、使うことによって、来年一年を通じて確実に局の職員 がトレーニングに参加できるようにする方法はないだろうか」と私に尋ねてき た。そこで検討してみたところ、連邦政府がそうできる方法が2つ見つかった ので驚いている。
GIACからCISSP、上級フォレンジック、インシデントハンドリング(incident handling)までのコースのどれかでトレーニングを受ける必要のある人を25人 以上集められたら、Brian Correia (bcorreia@sans.org)に一筆書いて送ら れたい。書類が9月15日までに提出されれば、それが可能になる。
今週、米国国立標準技術研究所(NIST)が公表したサイバーセキュリティ教育の 新戦略において、「米国では、世界に通用するサイバー分野の専門的な人材が 大幅に不足している」ことが認識された。同時に、2つの全米競技会の開催が 発表された。1つは高校生向け、もう1つは大学生向けの競技会である。大学生 が参加できる競技会については、5番目のニュースに説明がある。高校生向け の競技会の詳細は、以下のリンクに記載がある。
http://www.uscyberchallenge.org/competitions-camps/cyber-foundations/registration/index.cfm

追伸:セキュリティが新しいシステムとアプリすべてにくまなく作り込まれる 手法のうち、私が見たなかでもっとも優れており、実際に機能しているものが、 ワシントンDCでのセキュリティ・アーキテクチャ・ワークショップにて、 Ciscoによって紹介される。
http://www.sans.org/baking-security-applications-networks-2011/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!最新攻撃手法の詳細とインシデントハンドリングを習得!!

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
        http://sans-japan.jp/courses/sec504.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆Operation Shady RATのアタッカー 検知回避にステルス技術を使用
(2011.8.11)
Symantecの分析によると、Operation Shady RATの背後にいる人間は、攻撃を 行う際に度々ステガノグラフィを使用しているという。感染したマシンに対し て指令管制(command-and-control)サーバからの指示を受けるように命令する 特定のコードが、画像に隠されていることが明らかになった。 このステガノグラフィを使用した通信(steganographic communication)は、 アタッカーが自分の位置を隠す際に用いるHTranというツールと同様に、攻撃 が検知から免れるようにする際に一役買っていたようだ。Operation Shady RATの詳細は、McAfeeの報告書で説明されている。この報告書には、政府局や 世界中のその他の組織に5年にわたって仕掛けられた攻撃についての情報が掲 載されている。

http://www.darkreading.com/security/attacks-breaches/231400084/operation-shady-rat-attackers-employed-steganography.html
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
────────────────

◆シティグループ  またもやデータ侵害を被る (2011.8.11)
攻撃者がシティグループのシティカードジャパン(CCJ)の顧客の決済カード9万 2,000件以上の詳細情報を盗み出し、それを売っていたという。侵害されたデー タには、氏名、生年月日、口座番号などがあったが、個人識別番号(PIN)やCVV セキュリティコードはなかった。このデータ侵害は、どうやらオンラインの侵 入によるものではないようである。 これに関して関係当局は通知を受けてお り、捜査も進行中である。顧客にも通知が行われており、CCJは必要に応じて カードを再発行する方針だ。今年はじめ、シティグループは36万口座のカード 情報が侵害される被害を被っている。

http://www.scmagazine.com.au/News/266471,hackers-steal-sell-92000-citigroup-accounts.aspx
http://www.eweek.com/c/a/Security/Citigroup-Hit-Again-by-Security-Breach-505812/
http://www.theregister.co.uk/2011/08/09/citigroup_data_breach_again/

────────────────

◆Visa チップとPINを導入する意向(2011.8.11)
Visaは、磁気ストライプからチップアンドピン(chip-and-PIN)技術に認証を移 行し、来店購入に関しては、認証レイヤーをもう1層追加で導入する計画であ ると発表した。この計画では、ユーザーは購入の際、新技術に対応した端末で 個人識別番号(PIN)を入力することを義務付けられる。この端末は、すでに欧 州で広く利用されているものだ。2012年10月より、Visaは、米国の店舗に関し て、決済の75%以上が新端末で行われる場合、クレジットカード業界のセキュ リティ基準PCI DSSへの準拠を免除する意向だ。2013年4月までに、米国の店舗 と決済カード処理業者は、チップアンドピン(chip-and-PIN)技術に対応できる ようにしなければならない。

http://www.informationweek.com/news/security/vulnerabilities/231400073
【編集者メモ1】(Schultz)
Visaが、チップアンドピン技術を導入した米国の店舗でPCI-DSS遵守を免除す るということは、非常に大きな影響力のあることだ。PCI-DSSは、商店側であ まり評判のよいものではない。それは、準拠を達成するために多くの店舗が多 額のお金を費やさなければならないからだ。したがって、今回、多くの店舗が この技術を導入するために取り組みを加速することになるのではないかと私は 思う。

【編集者メモ2】(Paller)
このニュースから、セキュリティ分野においては、欧州における革新(欧州で は、ずっと前からチップアンドピンが標準になっている)で、オンライン決済 の安全性に効果がもたらされていることがうかがえる。

────────────────

◆英国政府 暴動鎮圧のためにソーシャルネットワークの妨害を検討
(2011.8.9-11)
英国議会の議員の一人が、暴徒がロンドンでの攻撃を計画する際に用いた複数 のサービスの1つに、BlackBerry Messenger (BBM) サービスがあったため、こ のサービスの停止を求めている。木曜日に、英国のデービッド・キャメロン首 相は、「暴動が続いている間については、政府はオンラインのソーシャルネッ トワークの妨害を検討している」と述べた。このような措置を講じた国は、英 国が初めてではない。1月にエジプト政府は、元大統領のホスニ・ムバラク追 放の発端となった抗議行動があった時分に、モバイルサービスおよびインター ネットサービスの停止措置を取っている。

http://www.washingtonpost.com/blogs/faster-forward/post/tottenham-mp-calls-for-suspension-of-blackberry-messenger/2011/08/09/gIQAOBkS4I_blog.html?wprss=faster-forward
http://www.bbc.co.uk/news/technology-14493497

────────────────

◆米国サイバーチャレンジ(US Cyber Challenge)のサイバークエストの参加申し込み受付開始(2011.8.15)
第3回米国サイバーチャレンジ(US Cyber Challenge)のサイバークエスト(Cyber Quest)競技会の参加申し込みの受付が始まった。このサイバークエストの成 績優秀者は、SANS NetWarsと、秋のサイバーキャンプに招かれる見込みだ。 参加申し込みは2011年9月8日までで、米国民であれば誰でも参加できる。サイ バークエストは、ネットワーク・パケット・キャプチャ・ファイルに基づいた オンラインの小テスト形式になっている。この競技会は、2011年8月29日から9 月9日まで開催される。

http://www.digitaljournal.com/pr/391510
http://www.allvoices.com/news/9975320-us-cyber-challenge-launches-third-cyber-quest-contest
http://www.uscyberchallenge.org/
http://www.gsnmagazine.com/node/24216?c=cyber_security

────────────────

◆米国国立標準技術研究所(NIST) 欠陥のあるサイバーセキュリティ教育の国家戦略を発行 (2011.8.12-15)
米国国立標準技術研究所(NIST: The National Institute of Standards and Technology)は、同国のサイバーセキュリティ分野の労働力の強化のための工 程表を発表した。この「サイバーセキュリティ教育のための国家構想(NICE: National Initiative for Cybersecurity Education)」では、「人口全区分に おけるサイバー上の行動、スキル、知識を向上するための教育用・訓練用リソ ースが得られる時期を早め、米国のサイバーセキュリティに対する全体的な姿 勢を強化する」ことを狙いとして定めている。しかしながら、その内容が大幅 に変更されないかぎり、この戦略における致命的な欠陥ゆえに国家の要求に応 えられないことはほぼ確実といえる。

http://wiredworkplace.nextgov.com/2011/08/expert_flags_flaw_in_cyber_workforce_plan.php
http://www.nextgov.com/nextgov/ng_20110812_1335.php
http://www.infosecurity-us.com/view/20108/nist-proposes-national-cybersecurity-education-and-training-plan/s
http://csrc.nist.gov/nice/documents/nicestratplan/Draft_NICE-Strategic-Plan_Aug2011.pdf

────────────────

◆オンライン上の情報を用いて銀行口座を空にした男に15か月の懲役(2011.8.15)
Iain Woodは、同人のFacebookの友人がオンラインに掲示している情報を用い て彼らの銀行口座からお金を盗み出したため、15か月の懲役に科せられること となった。Woodは、2008年6月から2010年6月にかけて同人の隣人から3万5,000 ポンド(57,000ドル)を盗み出した時点で捕まった。同人は、生年月日や母方の 旧姓など、オンラインで見つけた情報を用いてセキュリティ上の質問に答え、 他人の銀行口座へのアクセスを獲得していた。

http://www.v3.co.uk/v3-uk/news/2101874/geordie-facebook-fraudster-months-stealing-gbp35
http://www.zdnet.com/blog/facebook/fraudster-jailed-for-stealing-57000-by-leveraging-facebook/2652

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年8月13日 Vol.10 No.33)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
8 (#1)Other Microsoft Products
5
Third Party Windows Apps
3
Cross Platform
6 (#2,#3,#4)Web Application - Cross Site Scripting
2
Web Application - SQL Injection
1
Hardware
1
======================================================================
1.危険度【高】: Microsoftにさまざまな脆弱性

<影響を受ける製品>
Microsoft Internet Explorer
Microsoft Visio
Microsoft DNS Server

<詳細>
火曜パッチプログラムの一環として、Microsoftは、さまざまな製品にある脆 弱性に対処するパッチをリリースした。

脆弱性としては、Internet Explorer (IE)に存在する以下の複数の脆弱性など がある。DOMオブジェクトの処理時に発生する競合状態(race condition)、IE がtelnet URIを処理する際に生じる詳細不明のエラー、 IEのXSLTエンジンと スタイルオブジェクトの処理を行うコードにある解放後使用(use-after-free) の脆弱性などである。また、Internet Explorerに対するpwn2ownエクスプロイ トがリリースされている。このエクスプロイトは、Internet Explorerのサン ドボックス・コード(sandboxing code)に依存しており、攻撃者は、昇格した 権限(Medium Integrity)でファイル内のコードを実行できるようになる。攻撃 者は、悪意のあるページを閲覧するようにターゲットを仕向けられれば、これ らの脆弱性を悪用してターゲットのマシンに任意のコードを実行できるように なる。

Microsoft Visioにはインプット検証の脆弱性が2つあるが、これらは、攻撃者 がターゲットに対し、悪意のあるファイルを開くように仕向けなければならな いという点以外は,同じような方法で悪用可能だ。

DNSにあるメモリ崩壊の脆弱性は、悪意のあるクエリを脆弱なサーバに送信す ることによって悪用できる。これによって、攻撃者は、SYSTEMレベルの権限で 任意のコードをターゲットのマシンに実行できるようになる。Microsoftによ れば、攻撃者が悪用を実現するには、悪意のあるリクエストを送信する前に、 ドメインを登録し、Name Authority Pointer (NAPTR) のDNSリソースレコード を作成しなければならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms11-057.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-058.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-060.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-247/
http://www.zerodayinitiative.com/advisories/ZDI-11-248/
http://www.zerodayinitiative.com/advisories/ZDI-11-249/
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/48994
http://www.securityfocus.com/bid/49012
http://www.securityfocus.com/bid/49024
http://www.securityfocus.com/bid/49027
http://www.securityfocus.com/bid/49037
http://www.securityfocus.com/bid/49039
────────────────

2.危険度【高】: Adobeにさまざまな脆弱性

<影響を受ける製品>
Adobe Flash Player 10.3.181.36 までのバージョン
Windows、Macintosh、Linux、および、Solaris用Adobe Shockwave Player 10.
3.181.36 までのバージョン
Android用Adobe Shockwave Player 10.3.185.25 までのバージョン

<詳細>
Adobeは、Adobe Flash PlayerとAdobe Shockwave playerにある詳細不明な脆 弱性に対してパッチをリリースした。問題としては、複数の詳細不明なメモリ 崩壊の脆弱性、バッファオーバーフロー、整数オーバーフローなどがある。攻 撃者は、ターゲットを悪意のあるサイトを閲覧するように仕向けられれば、こ れらの脆弱性を悪用してターゲットのマシンに任意のコードを実行できるよう になる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb11-19.html
http://www.adobe.com/support/security/bulletins/apsb11-21.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/49073
http://www.securityfocus.com/bid/49074
http://www.securityfocus.com/bid/49075
http://www.securityfocus.com/bid/49076
http://www.securityfocus.com/bid/49077
http://www.securityfocus.com/bid/49079
http://www.securityfocus.com/bid/49080
http://www.securityfocus.com/bid/49081
http://www.securityfocus.com/bid/49082
http://www.securityfocus.com/bid/49083
http://www.securityfocus.com/bid/49084
http://www.securityfocus.com/bid/49085
http://www.securityfocus.com/bid/49086
http://www.securityfocus.com/bid/49102
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。 組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。

http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。 今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。