NRI Secure SANS NewsBites 日本版

Vol.6 No.36 2011年9月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.36  2011年9月8日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
サイバーセキュリティの革新について、NewsBitesから短いクイズを出題: セキュリティの脅威は増大するものの、それに対処するための資金は減る一方 という時代に突入したことを踏まえると、このクイズの答えを知っていれば、 あなたのキャリアを後押しできるだろう。

1. 安全な設定:
新しいシステムの配備にかかる時間と費用を削減し、システムの脆弱性を大幅 に減らし、パッチ(適用)にかかる時間を80%以上短縮、運営費用をも減らして ユーザーを満足させられるという米国陸軍と空軍の構想とは?

2.標的型攻撃の拡大阻止:
Microsoftの標準アプリとは全く違う形で適用できるツールであり、さらに感 染拡大を食い止められるMicrosoftの無料のセキュリティツールは何?

3. 最高の成果:
この上なく強力な防御力を提供し、ユーザーがアクセスできる全てのシステム に導入すべき「最良の」のコントロールは、(Top20の)どのセキュリティコン トロール?

4. 少ない費用で大規模なリスク削減:
(ある)米国の小規模政府局は、ツールと局内にすでにいる人間だけを活用して、 国務省と同じような迅速かつ徹底的なリスク削減をどうやって達成することが できたのか?

5. クラウドセキュリティの秘密:
クラウドのベンダーが、セキュリティにおいて為し得なかったことで(そして、 顧客にも明かしていないことで)、ユーザーに対してもっとも差し迫ったリス クを何よりも多く引き起こしてしまうこととは何か? そして、効果的なセキュ リティという点で現時点でのベンチマークをもたらしているの連邦政府のクラ ウドはどれ?

読者の多くが答えを知っていることだろう。もしわからないものがあれば、そ の答えは、ワシントンDCで10月に開催される米国サイバーセキュリティ革新会 議(National Cybersecurity Innovation Conference)で知ることができる。こ の会議では、標的型攻撃(APT)の影響の軽減、および、クラウド分野での革新、 モバイルのセキュリティについての非常に素晴らしい革新の数々に焦点があて られる。
http://www.sans.org/ncic-2011/

驚くほど効果的で革新的な、VMWareを運用している組織のための新しいセキュ リティ強化が、10月にDCで開催される米国サイバーセキュリティ革新会 議(National Cybersecurity Innovation Conference)で明らかになる。クラウ ドとモバイルのセキュリティ(Cloud and Mobile Security agenda)に関する 予定はこちら:
http://www.sans.org/ncic-2011/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!最新攻撃手法の詳細とインシデントハンドリングを習得!!

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
        http://sans-japan.jp/courses/sec504.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.68-69
(原版:2011年8月27日、8月31日)

◆メイン州の投票者登録システム 侵害される (2011.8.25)
水曜日に発表された声明で、メイン州の州務長官Charlie Summersは、「国土 安全保障省のUS-CERTチームの警告を受けて、州務長官室は、メイン州の中央 投票者登録システム(CVR: Central Voter Registration system)に発生した 可能性のある侵害について捜査を行っている」と述べた。この侵害によって、 最多で100万人のメイン州の登録投票者の個人情報が公に晒されていた可能性 がある。CVRシステムにつながれたコンピュータがデータ窃盗用マルウェアに 感染したために、問題の侵害が起きたようだ。
Summersはインタビューで、「万が一侵害が実際にあった場合、どのような情報 が侵害されたのかを調査している。問題のコンピュータを停止し、役場の書記 官に与えたユーザー名とパスワードは無効にするという措置を、即座にとった」 と述べている。また、「データにはアクセスされてしまった疑いが強いと私は 思っているが、侵害の規模や量については何もわからない」と続けた。

http://www.infosecurity-us.com/view/20335/
────────────────

◆英国政府 暴動中でもソーシャルネットワークを閉鎖しないと合意 (2011.8.25)
今月はじめにイングランドで起きた暴動を受けて、英国内務大臣Theresa May と、警察、英国警察庁協会(Association of Chief Police Officers)、フェイ スブック、ツイッター、RIMの代表者らと間で会合が開かれ、暴動発生中のソー シャルネットワーキングサイトの使用について議論が行われた。英国のデービ ッド・キャメロン首相が最近のコメントで、「市民の暴動が発生している時分 においては、英国政府はソーシャルネットワークの閉鎖に乗り出す可能性もあ る」と述べ、大きな恐れが生じた。しかしながら、この会合では、警察当局と ソーシャルネットワークの間の連携強化ついての議論に一層の重点が置かれた ようだ。内務省のスポークスパーソンによれば、「会合では、警察とネットワー クが現在の関係や協力体制を足場にとして、犯罪行為にネットワークが利用さ れるのを防ぐ方法が議論された。政府は、ソーシャルネットワークを閉鎖する ための権限を新たに獲得しようとはしなかった」と続けた。

http://www.zdnet.co.uk/blogs/from-both-sides-10005031/government-climbs-down-on-social-network-blocking-10024206/
http://www.bbc.co.uk/news/uk-14657456
http://www.guardian.co.uk/media/2011/aug/25/government-plan-shut-twitter-facebook

────────────────

◆ツイッター HTTPSをデフォルトで使用する意向(2011.8.25)
ツイッターは一部のユーザーに対し、デフォルトでSSL接続の本格展開を開始 し、ユーザーがミニブログ・サービス(micro-blogging service)に安全に接続 できるようした。ツイッターへのSSL接続は、ユーザーのオプションとして今 年はじめに導入されたが、そのオプションは、ユーザーが手動で有効にしなけ ればならないようになっていた。ツイッターは、社のブログ記事にて、一部の ユーザーに対し、デフォルトでSSLを有効にする設定を開始する意向だと述べ ている。しかし、いつその設定を開始するのか、もしくは、全てのユーザーに 対してSSLをデフォルトで展開するかどうかについては言及していない。

http://www.scmagazineuk.com/twitter-begins-moving-users-to-default-https-sessions/article/210242/
http://www.v3.co.uk/v3-uk/news/2104357/twitter-secure-connections-default
http://www.computerworld.com/s/article/9219453/Twitter_turns_on_SSL_encryption_for_some_users
http://www.h-online.com/security/news/item/Twitter-starts-enabling-HTTPS-by-default-1329653.html

────────────────

◆ComScore 広範に及ぶプライバシー違反で訴えられる(2011.8.24)
インターネット追跡および分析企業のcomScoreは大量の個人情報を内密に収集 する非常に強引な戦術を使用しているとし、シカゴの連邦裁判所で、同社に対 する集団代表訴訟が起こされた。
この訴訟では、交信保存法(Stored Communications Act)、電子通信プライバ シー法(Electronic Communications Privacy Act)、コンピュータ詐欺及び不 正利用防止法(Computer Fraud and Abuse Act)、および、イリノイ州消費者 詐欺欺瞞商慣行法(Illinois Consumer Fraud and Deceptive Practices Act) が引き合いに出されている。原告側は、「comScoreは、個人のコンピュータか ら、社会保障番号(Social Security numbers)、クレジットカード番号、パス ワードなどの情報を収集していた」と主張している。また、「comScoreのソフ トウェアは、インストールされるとコンピュータのセキュリティ設定を改変し、 バックドアを開け、インターネット通信のリダイレクト、文書や電子メールの 情報スキャンを行う」としている。comScoreのWebサイトの一つにおいて同社 は、同社のソフトウェアは、「通常行うWebのブラウジングのほか、ショッピ ング用バスケットに物を詰めたり、申し込みフォームに記入したり、オンライ ンの口座をチェックしたりするといった安全なセッションの最中に行われる活 動を含め、このアプリをインストールしたコンピュータで発生するインターネッ ト上の全ての行動を監視する」と説明している。comScore製の問題のソフトウェ アは通常、ユーザーが、スクリーンセーバや、楽曲共有ソフトなどの無料のソ フトウェア製品をダウンロードしたときにインストールされる。comScoreのス ポークスマンは、この訴訟を行っても得られるものはないと述べている。

http://www.theregister.co.uk/2011/08/24/comscore_privacy_lawsuit/
http://www.computerworld.com/s/article/9219444/Lawsuit_accuses_comScore_of_extensive_privacy_violations
http://www.eweek.com/c/a/Security/comScore-Accused-of-Aggressive-Surreptitious-Online-Data-Collection-in-Lawsuit-759357/

【編集者メモ】(Schultz)
ユーザーがWebサイトをブラウジング中に一般的に収集される個人情報の量を みると、ぞっとしてしまう。EU加盟国の市民は、特に激怒するに違いない。 しかし、その代わりにと言っては何だが、EU諸国であれどこであれ、インター ネットのユーザーが現実に対して目を覚まさないという、一種の「集団的な無 知」が存在している。

────────────────

◆米国国土安全保障省 インターネットセキュリティ意識向上キャンペーンに乗り出す(8.26)
米国国土安全保障省は、Boys & Girls Clubs of Americaと共同で国家的なキャ ンペーンを行い、インターネットセキュリティの認識を高めるための取り組み を行っている。 「立ち止まって、考えて、それから接続(Stop.Think.Connect)」 キャンペーンによって、Boys & Girls Club of Americaには、若者のインター ネットセキュリティの意識を高めるためのツールや資料が与えられることにな る。バラク・オバマ大統領はこのキャンペーンに対するコメントで、「サイバー セキュリティ自体が目的ではない。むしろ、これは目的と言うよりは、革新を 引き続き繁栄させ、市場を牽引し、生活を向上させるために、米国政府や社会 がすすんで引き受けるべき義務と言える。」と述べた。

http://www.msnbc.msn.com/id/44289394/ns/us_news/t/dhs-partners-boys-girls-clubs-america-cybersecurity/
【編集者メモ】(Paller)
この国家的なセキュリティ認識キャンペーンを支援するために、十数個の州、 主要大学の多数が、組織内の数十万人にのぼるユーザーに最新鋭の認識トレー ニングを提供できるように、共同購入プログラムを通じて結束した。購買力を 足し合わせることによって、実に、90%以上費用を削減している。この共同購 入プログラムに参加できるはずの大学や州、地方政府局でセキュリティ意識向 上を担当している方は、 jfitzgerald@sans.org にご一報ください。

────────────────

◆新しいコンピュータ・ワーム RDPを介して感染拡大中(2011.8.28)
Mortoと呼ばれるコンピュータ・ワームが、リモトーデスクトッププロトコル (RDP:Remote Desktop Protocol)を介してWindowsコンピュータシステムを感染 させ、貧弱なシステムパスワードを悪用している。標的になるシステムは、RDP サービスを有効にされていて、Windows管理者アカウントのパスワードとして、 「123」や「letmein(入れてくれ)」「password」など、貧弱なものが設定され ていると、このワームに対して脆弱となる。1度感染すると、コンピュータは ボットネットの一部になってしまう。SANSインターネットストームセンターは、 RDPスキャンのトラフィック量の急増に気づいた。 Microsoftは、このワーム の深刻度を、同社の中で最も高い警告レベルの「深刻(severe)」として、詳細 情報を公表している。

http://www.theregister.co.uk/2011/08/28/morto_worm_spreadin/
http://www.scmagazineus.com/morto-worm-spreading-via-remote-desktop-connections/article/210803/
http://www.networkworld.com/news/2011/082911-new-windows-worm-spreads-by-250194.html
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3aWin32%2fMorto.A

────────────────

◆オンラインの犯罪集団 1日で1300万ドルを盗み出す(8.26)
フロリダ州をベースにしているデビットカード決済会社のFidelity National Information Service Inc.(FIS)でセキュリティ侵害が発生したことによって、 犯罪集団が複製したプリペイドカードを使用して、24時間の間に世界中のATM から1300万ドルを盗み出すという事態に発展した。犯罪集団は事前にFidelity National Information Service Inc.のプリペイドデビットカードのデータベー スへのアクセスを獲得して22枚のカードをコピーし、さまざまな国にいる共謀 者にそれを送っていた。5月5日土曜日の営業終了時に、犯罪者らはお互いに調 整し、その後に続く24時間以内に、ギリシャ、ロシア、スペイン、スウェーデ ン、ウクライナ、および、英国などの国々のATMからお金を引き出した。各カー ドについて、プリペイドの残高の上限に達した際には、犯罪者らは、その残高 をリモートで更新していた。この攻撃の背後にいる者については明らかでない が、この侵害を詳しく調査したジャーナリストのBrian Krebsによると、攻撃 には、ロシアや東欧をベースにした犯罪集団の特徴がみられるという。

http://www.msnbc.msn.com/id/44291945/ns/technology_and_science-security/
http://www.ksl.com/index.php?nid=895&sid=17006686
http://krebsonsecurity.com/2011/08/coordinated-atm-heist-nets-thieves-13m/

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年8月27日 Vol.10 No.35)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
4
Linux
2
Cross Platform
7(#1,#2)Web Application - Cross Site Scripting
6
Web Application - SQL Injection
4
Web Application
3
======================================================================
1.危険度【高】: Google Chromeにさまざまなセキュリティの脆弱性

<影響を受ける製品>
Google Chrome 13.0.782.215以前のバージョン

<詳細>
Googleは、同社製Chrome・Webブラウザに影響を及ぼすさまざまなセキュリティ の脆弱性に対しパッチをリリースした。 脆弱性には、解放済みのメモリを使っ てしまう脆弱性(use-after-free)(4つ)と、二重解放の脆弱性(1つ)、詳 細不明のメモリ崩壊(1つ)、領域外の書き込み(out-of-bound write)(1つ)、 整数オーバーフロー(1つ)、詳細不明なmemset()へのbuggy call(1つ)など、 危険度「高」の脆弱性9つと危険度「重大」の脆弱性1つなどがある。これらの 問題は全て、悪意のあるコンテンツを取りに行こうとすると引き起こされるよ うになっている。これらの脆弱性のほとんどについて、その詳細はまだ公表さ れていない。しかし、アタッカーはこのような悪意のあるサイトを閲覧するよ うにターゲットを仕向けられれば、これらの脆弱性のいくつかを悪用してター ゲットのマシン上で任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Stable Channelの更新
http://googlechromereleases.blogspot.com/2011/08/stable-channel-update_22.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/49279
────────────────

2.危険度【高】: Adobe Flash PlayerのMP4処理にスタック・バッファ・オーバーフローの脆弱性

<影響を受ける製品>
Android用Adobe Flash Player 10.3.181.36までのバージョン
Android用Adobe Flash Player 0.3.185.25までのバージョン

<詳細>
Adobeは、同社製Flashプレーヤにあるスタック・バッファ・オーバーフローの 脆弱性に対処するパッチをリリースした。Flashプレーヤは、MP4ファイルから サイズを読みとることによって、バッファにコピーするデータ量を決定するが、 そのバッファを固定長のバッファにコピーする。バッファのサイズよりも大き なサイズを指定しているファイルを閲覧するようにターゲットを仕向けること ができれば、アタッカーは、この脆弱性を悪用して、ターゲットのマシン上で 任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb11-21.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-276/
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/49083
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。 組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。 http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。