NRI Secure SANS NewsBites 日本版

Vol.6 No.37 2011年9月13日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.37 2011年9月13日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
20の重大なコントロール(20 Critical Controls)が、設置すべき防御手段と して最も重要なものであるという総意が、見識のある防御担当者の間に形成さ れつつある。そうなった現在、多数の組織が、迅速かつ費用対効果の高い方法 で各コントロールを導入するためのベストプラクティスについて、ガイダンス を求めている。 10月の米国のセキュリティ意識向上月間に、インターネット ストームセンターは、重大なコントロール1つ1つについて、そして可能ならば どう自動化するかを日記シリーズを公表する予定だ。 インターネットストームセンター長のJohannes Ullrichが、さきほど、新たに 公表されたSANS gold paperに、大きな予算がない場合に20の重大なコントロー ルを導入する方法について説明されていると教えてくれた。 詳しくはこちら: http://www.sans.org/reading_room/whitepapers/hsoffice/small-business-budget-implementation-20-security-controls_33744http://www.sans.org/reading_room/whitepapers/hsoffice/small-business-budget-implementation-20-security-controls_33744

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!最新攻撃手法の詳細とインシデントハンドリングを習得!!

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
        http://sans-japan.jp/courses/sec504.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.70-71
(原版:2011年9月3日、9月7日)

◆漏洩されたWikiLeaksのファイルに25万件の米国国務省公電(2011.9.1)
25万件を超える未編集の米国の外交公電が不注意で漏洩した責任は誰にあるの かについて疑惑が飛び交っている。問題のファイルと解読用のパスフレーズ (passphrase)がインターネット上で数ヶ月間もアクセス可能になっているとい う噂が出た後、先週になって、Cryptomeにそれら両方が出現した。これらの公 電の中には、以前に公表されたものもあったが、それぞれの祖国で身元が知れ れば身に危険が及ぶだろう米国の情報提供者の氏名は除去されている。
WikiLeaksは、The Guardianのレポーターが書籍上でパスワードを暴露したた め、問題のファイルの公表についてはThe Gardianに責任があると主張してい る。それに対し、The Guardian新聞は、「本は数ヶ月前に出版されており、問 題のパスワードについては、“一時的なもの”だと聞いていた」と反論してい る。

http://www.washingtonpost.com/blogs/checkpoint-washington/post/wikileaks-suffers-major-breach-prompting-accusations-and-a-theory-on-what-went-wrong/2011/09/01/gIQABguMuJ_blog.html
http://www.wired.com/threatlevel/2011/09/wikileaks-unredacted-cables/

────────────────

◆新カリフォルニア州法 侵害通知の追加要件を求める(2011.9.1)
カリフォルニア州知事Jerry Brownは、既存のデータ侵害通知要件を強化でき る法案に署名し、同法案を法として成立させた。カリフォルニア州はすでに、 組織に対し、住民の個人情報が侵害された場合は、その旨を通知するように義 務づけている。カリフォルニア州は、同様の法を定めた初めての州であり、法 が導入された2003年以来、米国の他州のほとんどが同様の法を定めるに至って いる。このカリフォルニア州法の強化では、侵害通知の書面で侵害情報の内容 を具体的に説明し、インシデントの内容を説明するほか、身元査証詐欺から身 を守る方法についてのアドバイスを記すように義務づけている。また、500人 以上の個人に影響を及ぼす侵害については、同州の検事当局に書面で報告を行 わなければならない。Schwarzenegger元同州知事のもとでは、この強化法案は、 2回拒否されている。

http://www.scmagazineus.com/california-blazes-trail-again-with-enhanced-breach-alert-law/article/211005/

【編集者メモ】(Murray):
選挙には結果が伴う。読者の中には何らかの影響を受ける人もいるだろう。均 一性維持の観点から、州法に先んじて連邦議会へ上り詰めようとする法案が出 ると見るのが妥当であろう。そういった法案は、今回のカリフォルニア州法に 倣うというより、もっとも規制の寛容な州の法の基準に近づけた基準を設ける 場合が多い。

────────────────

◆サイバーセキュリティのドキュメンタリー映像 中国政府のTVサイトから姿を消す (2011.8.25)
中国国営テレビ(Chinese state television)は、Webサイトに分散DoSアタック を仕掛けるために設計されたとみられるソフトウェアについての映像を放映し たという。分析者は、この映像はモックアップ(での撮影)によるものかも知 れず、10年くらい昔のものである可能性が高いと述べている。問題のクリップ は、中国の軍用チャンネルで先月放映されたサイバーセキュリティに関するド キュメンタリー番組の中にあった。これは、「中国政府の公式の情報源から出 た、目に見える直接的な証拠としてはおそらく初めてのもの」であり、「政府 の目的のために海外でハッキングを行うことはない」という北京の主張を台無 ししうるものだという声もある。問題のドキュメンタリー番組は、政府が運営 するテレビ局のWebサイトからは、すでに取り除かれている。

http://www.guardian.co.uk/world/2011/aug/25/china-cyber-attack-tv-hacking
http://www.washingtonpost.com/blogs/checkpoint-washington/post/chinese-vanish-cyberwar-video-that-caused-stir/2011/08/25/gIQAAK8edJ_blog.html
http://news.yahoo.com/chinese-state-media-shows-military-cyber-hacking-clip-045637266.html

【編集者メモ】(Murray)
この反証は「もっともらしい」かも知れないが、滅多にそれ以上のものになるわ けでもない。

────────────────

◆捏造デジタル証明書の検知が増加 (2011.8.31)
Googleデジタル証明書の捏造に関与した人間が、MozillaやYahooなど、目にす る機会の多いインターネット事業体などから発行されている200件もの証明書 を捏造していた可能性がある。オランダの証明機関であるDigiNotarは、2011 年7月にセキュリティ侵害を被った。これを受けて、FirefoxとChromeのブラウ ザの更新バージョンがリリースされ、DigiNotarへの登録を無効化、もしくは、 削除するという対応をとっている。

http://www.wired.com/threatlevel/2011/08/diginotar-breach/
http://www.h-online.com/security/news/item/Updated-Chrome-and-Firefox-for-fraudulent-Google-certificate-available-1333898.html

【編集者メモ1】(Honan)
問題の証明機関(CA)DigiNotarは、セキュア・トークン(secure token)のメー カーで、RSAと競合する、Vascoの全額出資子会社だ。Vascoは、捏造証明書は、 7月にDigiNotarで発生したセキュリティ侵害によって生じたものだと報道発表 を行った。また、Vascoは、「このセキュリティ侵害で、同社のセキュリティ・ トークン事業は侵害されていない」と述べている。

http://www.vasco.com/company/press_room/news_archive/2011/news_diginotar_reports_security_incident.aspx
http://www.scmagazineus.com/diginotar-said-attack-is-to-blame-for-certificate-compromise/article/210891/

【編集者メモ2】(Murray)
主要なソフトウェアベンダーが認めるルート証明書を発行している機関は、現 在、600を超える。証明書の強みは、申請者の認証をより適切に行えるという ことである。それに対し、弱みとしては、あまりにもたくさんの認証機関に依 存しているため、侵害がより発生しやすい状態になっていることがあげられる。

────────────────

◆行方不明のノートパソコンを追跡する会社に対する訴訟の手続き進行を許可(2011.8.30-9.1)
連邦判事は、行方不明のデバイスの特定に役立つ追跡サービスを提供している 会社、Absolute Softwareに対する訴訟の手続き進行を許可する決定を下した。 原告の1人であるSusan Clements-Jeffreyは、中古品だと信じて生徒からノー トパソコンを購入した。しかし、実は、そのデバイスは、学区内で盗まれたも のだった。追跡ソフトがその機上で稼働すると、追跡を行っている要員は、 Susan Clements-Jefferyともう1人の原告であるCarlton Smithのアダルトコン テンツのやりとりを捕えた。
警察は、問題のコンテンツを印刷してSusan Clements-Jeffreyの自宅に持参、 窃盗品を受け取った嫌疑で彼女を逮捕した。嫌疑は最終的には取り下げられた ものの、原告側は、「被告ら(Absoluteの従業員も含まれる)とオハイオ州スプ リングフィールド市、および、同市警察は、原告の通信を違法に傍受し、プラ イバシーを侵害した」と申し立てている。被告らは、「原告らは、盗まれたデバ イスを使用している最中に、プライバシーが与えられると期待することはでき ない」と強く主張し、略式判決を申し立てている。これに対し、連邦地方判事 Walter Herbert Riceはこの被告申し立てに同意せず、「盗まれたコンピュータ を追跡するために、そのコンピュータにIPアドレスと地理的位置を報告させる 行為と、盗まれたノートパソコンを使用している人の通信を傍受して、傍受に 関連する連邦法に違反することは全くの別物である」と記した。

http://www.informationweek.com/news/security/privacy/231600626
http://www.wired.com/threatlevel/2011/08/absolute-sued-for-spying/
http://digitallife.today.com/_news/2011/09/01/7554439-tracking-no-excuse-to-record-teachers-naked-chat-pics

────────────────

◆DNS攻撃 著名なWebサイトに影響を及ぼす (2011.9.4-5)
DNSのサービスプロバイダであるNetNamesとAscioは、Daily Telegraph、UPS、 および、Vodafoneなど、200件もの著名なWebサイトに後述のような影響を及ぼ している。これらのサイトを訪問しようとしたユーザーは、アタッカーが設定 したサイトにリダイレクトされるようになっている。この仕掛けを設定した犯 人グループは、8月に韓国のWebサイトに対して同様の攻撃を仕掛けたグループ と同じだと考えられている。彼らは、DNSサービスプロバイダをターゲットに して攻撃を行っている。影響を受けたサイトの多くは、問題を認識後、間もな くサービスを復帰させたたが、WebへのアクセスはDNSシステムに依存している ため、通常の状態に戻るには、最長3日かかるという。

Internet Storm Center: http://isc.sans.edu/diary/Several+Sites+Defaced/11503
http://www.theregister.co.uk/2011/09/05/dns_hijack_service_updated/
http://www.zdnet.com/blog/btl/dns-hack-hits-200-major-websites-vodafone-ups-acer-microsoft-sites-affected/57294
http://www.bbc.co.uk/news/technology-14786524
http://www.telegraph.co.uk/technology/news/8741597/Major-websites-hijacked-by-Turkish-hackers.html
http://www.computerworld.com/s/article/9219728/Turkish_hackers_strike_websites_with_DNS_hack?taxonomyId=17

【編集者メモ1】(Ullrich):
まあ驚いた。全ての問題の根底には、SQLインジェクションの脆弱性があるよ うだ。このような単純で阻止可能な脆弱性が我々に付きまとっているなんて、 嘆かわしいかぎりである。今回のケースでは、犠牲となったサイトは、自社の DNSの管理に他社の脆弱なWebアプリを使用していたという以外には、他に何も 間違ったことはしていなかった。

【編集者メモ2】(Honan)
この攻撃とDgiNotarに対する攻撃によって、我々がよく行う取引を実行する際 にインターネットを使用するということが、いかに脆弱で心もとなく不適切で あるかを明らかにしている。アドオンとしてセキュリティ・ソリューションを インフラに付けるという方法は機能していない。我々は、現在使用しているセ キュリティアーキテクチャを基本から再構築する必要がある。今すぐに!

────────────────

◆DigiNotarの証明書 侵害発生後にブロックされる (2011.9.3-5)
オランダの証明機関DigiNotarでセキュリティ侵害が発生したために新しく証 明書が発行されているが、その数が増加の一途をたどっている。最新の正式予 測では、その数は531と考えられている。
この侵害によって、Mozillaは、Firefoxブラウザを含む「Mozilla製品では、 DigiNotarの全ての証明書を信用しない扱いにする」措置をとることにした。 Google Chromeブラウザの最新バージョンでは、DigiNotar証明書を永久的なブ ロックリストに入れている。盗まれた証明書が、イランの人々(の通信を)探 るのに用いられたという証拠もある。 不正証明書が発行されたサイトには、 MI6、CIA、Facebook、および、Twitterなどが含まれる。Microsoftによれば、 「捏造された証明書では、Windowsアップデートを通じてマルウェアを強引に 送り込むことはできない」と述べている。
インターネットストームセンター:
http://isc.sans.edu/diary/DigiNotar+audit+-+intermediate+report+available/11512
http://isc.sans.edu/diary.html?storyid=11500
http://www.h-online.com/security/news/item/DigiNotar-attackers-got-over-500-certificates-1337007.html
http://www.theregister.co.uk/2011/09/03/diginotar_game_over/
http://www.bbc.co.uk/news/technology-14789763
http://www.computerworld.com/s/article/9219729/Microsoft_Stolen_SSL_certs_can_t_be_used_to_install_malware_via_Windows_Update?taxonomyId=17

【編集者メモ1】(Ullrich)
とりわけ、中間監査報告では、DigiNotarが侵害を被った深さについてだけで はなく、同社がログに注意をほとんど払っていなかった様子についても説明さ れている。

【編集者メモ2】(Honan)
このインシデントの監査を行った外部のコンサルタント、Fox ITは、監査結果 を公表したが、読むと悲しくなるような内容になっている。結果には、侵害の 要因となった問題として、アンチウィルスソフトウェアが時代遅れであること、 ソフトウェアにパッチが適用されていないこと、ログ管理がお粗末であること、 パスワードが貧弱であること、ネットワーク内の慎重に扱われるべきシステム が他の部分と分離されていいないことがあげられていた。この報告書を読めば、 安全な環境を築く上で行ってはならないことがわかるので、セキュリティ専門 家は必ず読んでいただきたい。

http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1.html

────────────────

◆英国警察に 裁判所命令なしにドメイン閉鎖の権限を獲得できる可能性(2011.9.2)
英国の警察当局は、ドメイン名が違法な目的のために使用されている疑いがあ ると当局が考えた場合、裁判所命令がなくともインターネットのドメイン名を 閉鎖する権限を獲得できる可能性がある。提案されているルールでは、「消費 者に即座に深刻な害が生じるのを防ぐために、問題のドメイン名を緊急閉鎖に する必要がある」場合、警察は権限を拡大できる。警察は、ドメインを削除す る前に、.ukのレジストリを管理しているNominetに対し、「削除する行為は妥 当で必要、かつ、緊急を要する」ものであることを申告しなければならないと 説明されているが、裁判所の承認を獲得する必要はないという。

http://www.theregister.co.uk/2011/09/02/cops_to_get_dot_uk_takedown_powers/

────────────────

◆パキスタン 命令でISPに暗号化通信のブロックを義務付け(2011.9.1-2)
パキスタン電気通信庁(Pakistan Telecommunication Authority)のメモによれ ば、同国内のインターネットサービスプロバイダは、仮想プライベートネット ワーク(VPN: virtual private networks)で送信された暗号化通信をブロック するように義務付けられるという。パキスタンのISPがこのメモの情報を漏ら したが、これはポリシーへの注意喚起であるとともに、「命令が字義通り、ま た、法理に沿って守られてはいない」(ことを知らしめる)通達と意味づけら れる。ポリシーで明記されている意図は、「監視できないチャンネルを介して、 過激派が通信を行うことを防ぐ」ことだという。しかしながら、組織などは、 特別な免除を受けられるように求めることもできる。 Entities can apply for special exemptions.
http://www.technologyreview.com/communications/38497/?p1=A3&a=f
http://news.idg.no/cw/art.cfm?id=74C34253-1A64-67EA-E4CEB90904270565
http://www.guardian.co.uk/world/2011/aug/30/pakistan-bans-encryption-software?INTCMP=SRCH



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他のセミナー(参加無料)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月15日・10月6日                    <東京 汐留>
 事例から学ぶ特権ID管理実践セミナー
 ~特権ID管理と監査ログ管理を短期・安価で実現する
          エージェントレスソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/ac02.html?xmid=55&xlinkid=21


○9月16日                        <東京 汐留>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=55&xlinkid=22


○9月22日・10月28日                   <東京 汐留>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=55&xlinkid=23


○9月27日                   <東京 丸の内北口ビル>
 スマートデバイス・モバイルソリューションセミナー
 ~BYOD時代のリモートアクセスとセキュリティ対策~
http://www.nri-secure.co.jp/seminar/2011/0927.html?xmid=55&xlinkid=24


○9月29日                <東京 丸の内トラストタワー>
 アウトソースで変える新しい契約書管理の形
 ~クラウドを利用した紙と電子の一元管理~
http://www.nri-secure.co.jp/seminar/2011/0929.html?xmid=55&xlinkid=25


○10月18日広島、10月20日福岡
 今後求められる、IT資産管理の新基準!!
 ~クラウド活用によって実現する次世代IT管理とは~
http://www.motex.co.jp/seminar/2011_asset-seminar.html

※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月26日・12月5日
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=55&xlinkid=26


○9月27日~28日・12月6日~7日
 セキュアWebアプリケーション実習:応用編(Java/JavaEE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=55&xlinkid=27


○11月14日~19日 SANS Tokyo 2011【SEC504】
 Hacker Techniques, Exploits and Incident Handling
http://sans-japan.jp/courses/sec504.html
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年5月6日 Vol.10 No.19)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
5
Cross Platform
11
Web Application - Cross Site Scripting
5
Web Application - SQL Injection
1
Web Application
1
Network Device
3
Hardware
1
======================================================================
今号では、原文には危険度【高】以上にランクされた掲載内容はありません。

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。

http://www.nri-secure.co.jp/security/news_letter/index.html
本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。