NRI Secure SANS NewsBites 日本版

Vol.6 No.38-39合併号 2011年9月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                  Vol.6 No.38-39合併号 2011年9月30日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
速報(flash notice):
Microsoftは、同社の9月パッチを通常よりも4日早く発表した。この動きを考 えると、今回のパッチ一式は、通常とは違う重要なものであることを示してい ると推測できよう。URLの掲載は省略させていただく (皆さんの標準のアップデート処理をお使いいただきたい)。

16日金曜日に、無料で行われるオンラインブリーフィングにて、セキュリティ の優先順位付けにおける最重要な二つのガイドが説明される。(米国の)20の 重大なコントロール(20 Critical Controls)、豪州の35のリスク軽減策とスイー ト・スポット(Australian 35 Mitigation and “Sweet Spot”)の二つである。 これらは、米国、豪州、そして更にカナダにおいて、既知の攻撃による被害を 軽減できるセキュリティにおけるスマートで費用効果の高い投資方法として、 広範に採用されている。 あなたの組織が無限のセキュリティ予算を確保して いる場合を除いては、最も重要なことに対して重点的に支出を行うことがいか に大事かは既にご存じであろう。したがって、これら2つのガイドが、「何を 行うべきか、それにはいくらあれば十分か」という問いに対する権威筋からの 唯一の答えになる。標的型攻撃(APT)の拡大を徹底的に軽減に大きな効果をも たらすために必要なコントロールがほとんどないこと(たった4つで良い)に、 きっと驚かれることだろう。

サイバーセキュリティ革新の受賞者の皆さま:ご招待いたします。
2011年度米国サイバーセキュリティ革新賞(NCIC: National Cybersecurity Innovation Awards)の受賞者が選出された。彼らは表彰され、10月のNCICで学 んだ教訓を紹介する見込みだ。今回の受賞者らは、APT攻撃とクラウドセキュ リティ、モバイルセキュリティ、そしてセキュリティスキルの向上に目的を 定めていた。彼らは、注目に値することを行っている類まれな方々であり、 NCICは、彼らが行ったこととその過程で彼らが学んだ教訓について知り得る おそらく唯一の機会になるだろう。
米国国家安全保障局・情報保証局(NSA-IAD)および国土安全保障省(DHS)両方 の最高峰のサイバー分野関係者らには、プログラムについての主眼点を話して くれると同意していただいた。(この会は)費用を削減しつつも、革新的な対 策を貴組織に導入する援護となる、セキュリティ改善手法の模索にかかる時間 を数か月短縮することになる。セキュリティ・マネージャやセキュリティ設計 者がこの秋を最も有意義に過ごせる機会となろう。連邦政府のCIOの仕事ぶり を測定する方法を示した行政予算管理局(OMB)の新しい覚書を踏まえると、こ のような革新が、CIOの成功の中核と言える。

セキュリティ監査人や査定人は、過誤を訴えられるべきか?
10月11日から12日にかけて、連邦政府局7局および大規模なユーザー組織が、 すでにそれぞれで配備済みの革新的対策を示してみせる予定だ。これらは、標 的型攻撃で生じる損害の制限やクラウドセキュリティの向上において、そのレ ベルを高められるほか驚くほど有効である。費用も少額で済む。セキュリティ 監査人や査定人、もしくは証明者が、自分の行った実施をチェックしていない のであれば、おそらくミスで訴えられても仕方がない。政府局や企業のシステ ムが侵害された場合は、特にそうだ。
ワシントンで開催されるNational Cybersecurity Innovationでは、これらの 革新的な政府局が表彰されるほか、対策を導入していく過程で学んだことに関 しての質疑応答を行う予定である。

参加申し込みはこちら:
http://www.sans.org/ncic-2011

ニュース速報:
SSL/TLSが侵害された。BEAST(Browser Exploit Against SSL/TLS)については、 今週後半にアルゼンチンで最大限に詳しく説明される予定だ。
http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

あなたの家が、DCやメリーランド州、バージニア州にありながら、今朝送信し た電子メール(木曜日の朝食会への招待情報が含まれている。この会では、国 防総省の高官4人が、標的型攻撃やAPTに立ち向かうための大変革を導入した際 に学んだ教訓について話を聞くことができる。)をまだ受け取っていないとな ると、SANSデータベースにあるあなたの郵送用住所は間違っていることになる。 SANSデータベースにある郵送用住所が間違っている会員はみな、どの場所にい ようと、居住地域でのクールな催しへの招待を見逃すことになってしまうので、 住所を更新していただきたい。現在、米国や欧州周辺にいらっしゃる方々には、 住所を更新するためのもっとよい理由がある。
75日以内に発表される新しいSANSのポスターは、APTに対する防御や新しいセ キュリティ職種に関する情報が掲載されており、過去4年で最も重要なものに なる。この新ポスターは、米国や欧州にいらっしゃる方々に郵便で配達される。 したがって、 https://portal.sans.orgであなたの住所情報を今日にでも更 新していただきたい。

追伸
木曜日の朝食会の席はもう埋まってしまったが、国防総省(Pentagon)の向い側 で10月11日から12日にかけて開催される米国サイバーセキュリティ革新会議 (National Cybersecurity Innovation Conference)において、3つの大革新に ついての詳しい話が聞ける。
http://www.sans.org/ncic-2011/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!最新攻撃手法の詳細とインシデントハンドリングを習得!!

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
        http://sans-japan.jp/courses/sec504.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.72-73-74-75
(原版:2011年9月10日、9月14日、9月17日、9月21日)

◆Mozilla セキュリティの確保を認証局に要求 (2011.9.8)
Mozillaは認証局に対し、8日以内に、機関のシステムがDigiNotarに影響を及 ぼした類の攻撃に対して安全であることを保証する措置をとるように求めた。 MozillaのFirefoxブラウザやThunderbirdの電子メールクライアント用の認証 局を監督しているKathleen Wilsonは、メモにて、Mozillaのルート・プログラ ムに参加している企業は、その証明書の安全性を保証するために五つの措置を 執るよう求めている。 そのなかには、システムの監査を行って侵害の証拠を チェックすること、「Mozillaプログラムの証明書で、それぞれの自社のルー ト認証のうちで他のルート認証でもサインされた証明書があれば、その証明書 の完全なリスト表を作成して送付すること」などが含まれている。

http://www.pcmag.com/article2/0,2817,2392674,00.asp
http://www.theregister.co.uk/2011/09/08/mozilla_certificate_authority_audit/
https://groups.google.com/group/mozilla.dev.security.policy/browse_thread/thread/bf2deb09824418fb?pli=1

【編集者メモ1】(Pescatore)
CA/Browserフォーラムのメンバーはみな、SSLの発行および使用の両方に関し てより高い水準のセキュリティを推進するために投資を行うべきである。ブラ ウザからサーバに向けてのSSLは、かなり前から、各側における各パーティの 身元証明を行う上で、セキュリティ上の有意義性を失ってしまっている。それ だけでなく、手ぬるいCAのプラクティスのために、伝送上のセキュリティとし ての真の利益も無くなってきているのが現状である。

【編集者メモ2】(Ranum)
そもそも、安全性こそが、証明書の大前提であったはずだ。しかし、言うまで もないが、証明書はインターネット商取引における税金のように見なされてお り、今やそれがセキュリティに関係あるものだということを皆が忘れてしまっ ている。

【編集者メモ3】(Murray)
(このコメントは、次のニュースにもあてはまる): 遅くても何もしないよりは マシ。MSとMozillaが、プログラム実施時に、600を超えるルート認証局を予期 していたかどうかは疑わしい。600を超えている現状では、不正証明書の存在 は回避できないだろう。これは不正証明書に対処する手段としては規模に対し てついていけない。今こそ、証明書失効リスト(CRL: Certificate Revocation Lists)を導入する時だ。これによって、規模に見合い、効果があるようにする には費用が高すぎる」という(過去の)判断よりは、安く簡単に実行することが できる。(OCSP:Online Certificate Status Protocolもご参照いただきたい。) 証明書に頼る前に、ユーザは証明書のブラックリストをチェックするとよい。 歴史的に見て、アプリケーションを使うほとんどのユーザは、は、性能や可用 性の観点から、このようなサービスを使わないように選択している。最近まで はこの選択が問題をもたらすことはなかった。詳しくは、こちら:
http://en.wikipedia.org/wiki/OCSP
セキュリティのインフラの一部を成している企業に粗悪なセキュリティがあっ た場合、その企業が生き残るのは不可能だ。きっと、DigiNotarの清算につい てのニュースを耳にすることになるだろう。同社のブランドは、修復できない ほどに損なわれた。(もっとも、)DigiNotarだけが、セキュリティのないCA だなどと、誰が信じようか?

────────────────

◆Microsoft  DigiNotar証明書のブロックでMozillaとGoogleに追随 (2011.9.6-8)
Microsoftは、DigiNotarが発行するデジタル証明書を全てブロックするために Windowsの定期外更新をリリースした。問題のオランダの証明機関は、7月の セキュリティ侵害の結果、500以上の証明書を攻撃者が入手する至りとなった と認めた。オランダでは、影響を受けた証明書を政府が交換できるようにアッ プデートが1週間延期となった。GoogleとMozillaは、先週ブラウザを更新し、 DigiNotarの証明書をブロックしている。

Internet Storm Center:
https://isc.sans.edu/diary.html?storyid=11515
http://www.computerworld.com/s/article/9219746/Microsoft_flips_kill_switch_on_all_DigiNotar_certificates?taxonomyId=85

http://www.itwire.com/business-it-news/security/49637-microsoft-out-of-cycle-patch-to-fix-diginotar-bogus-certificates

────────────────

◆ホワイトハウス サイバー犯罪の罰則強化を望む (2011.9.7)
オバマ政権は、コンピュータ詐欺及び不正利用防止法(CFFA)を更新して、サイ バー犯罪で有罪となった人により厳しい罰を科せられるように努めている。こ の法制に関する立案では、CFFAに対する違反行為を威力脅迫および腐敗組織に 関する連邦法(訳注;通称RICO法)下に設けられた刑罰の対象にするという。 司法副次官James Bakerと担当のシークレットサービス副特別捜査官Pablo Martinezが、上院司法委員会に出席し、現政権の方針について論拠を示した。 彼らが特に懸念している内容として「ネットワークで動作する複雑かつ高度な 電子犯罪では、参加者が、商業用データを盗み出して営利目的で売ることに専 念しており、明確な役割(分担)を持っている場合も多々ある」と表明した。

http://thehill.com/blogs/hillicon-valley/technology/179897
【編集者メモ1】 (Schultz)
このオバマの構想は必要不可欠であり、とうに実現しているべきものであった。 嘆かわしいことに、今やコンピュータ犯罪は、それに対抗するには措置を大幅 に強化しなくてはならないほど高いリスクが生じるような段階にまで進化して しまったのだ。

【編集者メモ2】(Northcutt)
一人の犯罪者によって企業が倒産し、多くの個人をなりすまし犯罪の被害に遭 わせながらも、獄中でたった2年の刑期を務めればそれで済んでしまうのであ れば、効果的な抑止力がないということであり、それには私も同感だ。この犯 罪に見合う刑罰を設ける必要がある。とはいえ、このニュースの関連記事は全 くもって正しいが、学校のシステムネットワークにある自分の成績記録を書き 換える少年ではなく、金銭に関わる犯罪を侵した人に厳しい罰を与えるように する必要がある。(次のニュースをご覧あれ)
────────────────

◆上院議員ら サイバー犯罪法案は、深刻なサイバー犯罪に重点を置くことを明確にする意向(2011.9.7)
上院司法員会の委員の中には、ホワイトハウスがコンピュータ詐欺及び不正利 用防止法(CFFA)に変更を提案していることに懸念を表明している者もある。現 在のサイバー上の脅威に遅れを取らずについていくためには、同法を改正しな ければならないことには同意しているものの、今回提案されている同法への変 更の適用が、(不当に)厳しい刑罰のミスマッチを引き起こすかもしれないと考 えている。上院議員のPatrick Leahy (バーモント州民主党)とAl Franken(ミ ネソタ州民主党)は、司法省が「深刻でないものに対してではなく、真のサイ バー犯罪に集中できる」ように、違法なコンピュータアクセスの定義をより現 過密化するよう望んでいる。

http://gcn.com/articles/2011/09/07/cyber-crime-senate-hearing-cffa.aspx
http://www.computerworld.com/s/article/9219799/Senators_push_for_changes_in_cybercrime_law?taxonomyId=82

────────────────

◆上院議員 データ保護法案を提案 (2011.9.12)
上院議員Richard Blumenthal (コネチカット州民主党)は、1万人以上の顧客が いる組織に対し、必ず顧客データを安全に保管させるようにする指導要綱の採 用を義務付ける法案を提案した。この、個人情報保護および不履行責任法では、 組織に対し、個人情報が侵害された場合には、「不合理に遅延することなく」 顧客に通知を行うように義務付けている。違反すれば、多額の罰金が課せられ る可能性もある。この法案が成立すれば、顧客は、顧客情報保護のために十分 な措置を取っていない企業を訴えることができるようになる。

http://www.scmagazineus.com/new-senate-bill-aims-to-prevent-deter-data-breaches/article/211858/
http://www.msnbc.msn.com/id/44491737/ns/technology_and_science-security/#.Tm6bmezQp8E

【編集者メモ1】(Hoelzer)
この法案は、消費者側にとって重大な法案であることが分かるだろう。グラム・ リーチ・ブライリー法(GLBA)のプライバシー規則、医療保険の携行性と責任に 関する法律(HIPAA)、家庭教育の権利とプライバシーに関する法律(FERPA: Family Educational Rights and Privacy Act)が適用される組織以外について は、いくつかの産業がPCI DSSのような基準を採用している。しかし、個人的 な消費者データの取り扱いとなると、監督はほとんどなされていないのが現状 である。消費者が、注意義務を怠ったとして過失を申し立てる訴訟を、個人も しくは集団で起こさない限り、企業に説明責任は生じない。企業に対する教訓 としては、「問題を自社で修正しなれば、その問題に関する法律が制定される」 ということが言えるだろう。そして、それは、概して誰にとってもよいことで はない。

【編集者メモ2】(Schultz)
ここで提案されている法案が成立する可能性はあまりないのではないかと私は 思う。このような法案が成立すれば、企業にとって過度の費用を迫るというよ うな強い反対意見が浮上してくるのは目に見えている。
【編集者メモ3】(Ranum)

あなたが、私と同じようにSANS NewsBiteを読み取っていらっしゃるのであれば、 データ漏えいの根本原因は、「安全に保存する」ことではなく、データが複製 されて多数の人間の手に渡っていることにあるとお気づきになったているだろ う。……データをUSB(thumb drive)かノートパソコンに複製することを続けて いれば、それらのデバイスは(いずれ)紛失ということになる。問題は、デー タの複製を守ることにあるのではない。データの複製が作られないように保護 することにあるのだ。

【編集者メモ4】(Murray)
MJRの言うとおりだ。揺れ動くこの状況を踏まえれば、「知る必要の原則」と 「最小権限の原則」に基づく方向に引き戻す必要があるだろう。複製を作るこ とが非常に簡単にできるようになった理由と同じく、実際にはそれは必要ではない。

────────────────

◆GlobalSign 新しいSSL証明書の発行を再開 (2011.9.12)
ベルギーの証明機関GlobalSignは、9月13日火曜日に証明書の発行を再開する 見込みである。GlobalSignは、攻撃者が同社のシステムに侵入したと主張して きたため、一時的に新しいSSL証明書の発行を中止していた。先に、オランダの 証明書機関DigiNotarに対する攻撃が成功したことにより、不正の証明書が少な くとも531件発行されるという事態に発展している。GlobalSignは、現在も、攻 撃者による主張の真偽の調査を続行している。同社は内部の監査を行っており、 第三者のコンサルタントを迎え入れて社用システムの点検も行っている。 GlobalSignは、「隔離された」サーバが侵害されたことを認めている。

http://www.bbc.co.uk/news/technology-14879998
http://www.computerworld.com/s/article/9219914/GlobalSign_set_to_reopen_Tuesday_despite_web_server_hack?taxonomyId=17
http://www.theregister.co.uk/2011/09/12/globalsign_security_breach/
http://www.globalsign.com/company/press/090611-security-response.html

────────────────

◆Linux Foundationの侵害、8月のKernel.orgの侵害と関連がある可能性(2011.9.12)
The Linux Foundationは、データセキュリティ侵害発生後、全てのユーザーに 対しパスワードを変更するように忠告している。
この件で、LinuxFoundation.orgとLinux.com、および、関連のあるサブドメイ ンがオフラインとなった。 サイトへの訪問者は、代わりに、「9月8日に発生 した侵害は、8月末に発生したkernel.org.の侵害に関連性がある可能性がある」 というメッセージを目にすることになる。影響を受けるシステムについては、 現在監査を行っている。The Linux Foundationのメッセージによれば、同社は 「安全な方法で、かつ、できるだけ早急にサービス回復に向けて作業中である」 という。ユーザーは、サイトで使用した全てのパスワードとSHHキーは、侵害 されたと考えるように忠告されている。

http://www.informationweek.com/news/security/attacks/231601225
http://www.eweek.com/c/a/Security/Linux-Foundation-Linuxcom-Hacked-in-Kernelcom-Breach-504793/
http://www.v3.co.uk/v3-uk/news/2108450/linux-sites-security-breach
http://www.theregister.co.uk/2011/09/12/more_linux_sites_down/

────────────────

◆Windows 8 アンチウィルスを組み込んで出荷する見込み(2011.9.14-15)
Microsoftは、今年の遅い時期にWindows 8をリリースする計画である。このOS の最新のリリースにおいては、Windows DefenderにMicrosoft Security Essentials (MSE) 保護の要素が内蔵されているようだ。MSEは、ユーザーをマ ルウェアから守れるように、現在、無料でダウンロードできるようになってい る。Windows Defenderは、Windowsの最新バージョンにすでに組み込まれてい るが、Microsoft Security Essentialsの威力には欠けている。

http://news.cnet.com/8301-1009_3-20106681-83/windows-8-to-offer-built-in-malware-protection/?tag=mncol;title
http://www.scmagazineus.com/microsoft-windows-8-will-ship-with-built-in-anti-virus/article/212025/

【編集者メモ】(Honan)
Microsoftは、勝ち目のない状況の置かれているようだ。Microsoftは過去に、 製品のセキュリティのお粗末さで批判されていたが、ひとたび望ましい方法で セキュリティを内包しようと積極的な措置を取れば、反トラスト(法)の問題に 直面してしまう。Microsoftには、セキュリティについてまだやるべきことが たくさんあるが、その一方で、他のベンダーにセキュリティを自社製品のもっ と中核に据えようとするMicrosoftの先例に続こうという姿勢が見られないの は残念だ。

────────────────

◆Mebromiルートキット BIOSをターゲットにする(2011.9.14)
研究者らは、PCのBIOS、マスターブートレコード(MBR)、カーネル、および、 ファイルをターゲットにするルートキットを検知した。BIOSに焦点を絞ったマ ルウェアが見つかるのは、少なくとも、4年ぶりである。Trojan. Mebromiは、 マスターブートレコードの感染を除去した後にマシンを起動した場合でも、マ シンを再感染させようとする悪意のある指示をBIOSに加える。Mebromiが影響 を及ぼすのは1種類のBIOSだけなので、これが広範に拡大することはありそう もない。しかし、これによって損害を被る危険なしにBIOSをきれいにするユー ティリティを作成する方法について問題が提起された。

http://www.scmagazineus.com/researchers-uncover-first-active-bios-rootkit-attack/article/212035/
http://www.theregister.co.uk/2011/09/14/bios_rootkit_discovered/

【編集者メモ】(Schultz)
これは悪いニュースだ。現世代のアンチウィルスソフトには、BIOSをターゲッ トにするルートキットを検知して撲滅するすべはない。しかしm幸運にもこの ルートキットは、少なくとも今のところ、ターゲットにしているのは特定の BIOS実装1種類のみである。

────────────────

◆Google ユーザーがWi-Fiアクセスポイントレジストリをオプトアウトできるようにする意向 (2011.9.14)
Googleは、Wi-Fiアクセスポイントのオーナーが同社のデータ収集プログラム をオプトアウトできるようにする意向だと述べた。Googleは、携帯電話のユー ザーの位置を正確に示す際に、Wi-Fiのホットスポットを用いている。Google Street View用の画像を収集するために近所を走り回っている車と同じ車で、 ワイヤレスアクセスポイントの情報も収集されてきた。この情報収集行為への 関与をユーザーがオプトアウトできるようにするという決定は、欧州のデータ 保護当局のリクエストによって促された。

http://news.cnet.com/8301-1009_3-20106029-83/google-to-let-users-opt-out-of-location-data-collection/?tag=mncol;title
http://www.zdnet.com/blog/networking/youll-soon-able-to-opt-out-of-google-wi-fi-snooping/1461
http://www.theregister.co.uk/2011/09/15/google_allows_people_to_opt_out_of_the_location_data_that_they_harvest_from_residential_wifi_networks/

【編集者メモ】(Pescatore)
Googleの社の基本指針リストには、1番として「まずユーザーに焦点を合わせ よ、そうすれば他はついてくる」、そして、6番として「悪事をはたらかなく てもお金は稼げる」がある。これらの2つの指針を、「Googleは『“オプトイ ン”しないかぎり、我々はあなたをこそこそ詮索したりしない。』というアプ ローチをとっている」と解釈できたなら、それは素晴らしいと思わないか?

────────────────

◆米国連邦通信委員会(FCC)のネットの中立性維持ルール、法的異議に直面(2011.9.12-13)
米国行政予算管理局(OMB)は、米国連邦通信員会(FCC)のネットの中立性維持 ルールを承認した。これによって立法府あるいは裁判所を通じて、賛否両論の このルールに対する異議申し立てできるようになった。問題のルールでは、イ ンターネットサービスプロバイダ(ISP)が自社のネットワークの通信をブロッ ク、調整、もしくは、特定の通信を優遇できないようにしている。このルール は、有線のネットワークのみに適用されており、FCCがワイヤレスネットワー クに課している制約は、「ISPは音声・動画の電話通信をブロックできない」 ことだけにとどまっている。懸案の異議申し立てでは、このようなルールを作 るFCCの権限の有無についての問題に焦点が合わせられている。テレコム企業 は、FCCにこのような権限があるとは考えていない。このルールは、今後3週間 以内に連邦公報に公表され、その後、異議申し立てが開始される見込みだ。連 邦公報に公表後60日間は、このルールに法的強制力は生じない。

http://www.washingtonpost.com/blogs/post-tech/post/fccs-net-neutrality-rules-to-trigger-legal-hill-challenge/2011/09/13/gIQALFzlPK_blog.html
http://news.cnet.com/8301-30686_3-20105136-266/net-neutrality-rules-move-closer-to-implementation/

────────────────

◆DigiNotar 正規の証明書発行を禁じられる:既存の署名も無効に(2011.9.15-16)
オランダの証明機関DigiNotarは、資格要件を満たした証明書を今後発行でき なくなり、既に発行済みの証明書の取り消しも行わなくてはならない。オラン ダのテレコム監督機関、OPTAは指示を発行し、今夏にセキュリティ侵害を被っ た機関であるDigiNotarが発行した証明書は、「信頼できるものと保証されな い」と説明している。 攻撃者らは、すでに、500件以上の不正証明書を発行し、 そのうちのほとんどが、サーバ用証明書(server certificate)だという。この 禁止令によって、デジタル署名に使われている正規の証明書4,200件が影響を 被ることになる。

インターネットストームセンター:
インターネットストームセンター: https://isc.sans.edu/diary.html?storyid=11590
http://www.h-online.com/security/news/item/Telecommunications-regulator-bars-DigiNotar-from-issuing-certificates-1344786.html
http://www.net-security.org/secworld.php?id=11629

【編集者メモ】(Honan)
DigiNotarは、今や、破産申請を行った。粗悪なセキュリティがどのような代 償に陥るかを示す最高の事例である。 http://www.net-security.org/secworld.php?id=11652

────────────────

◆SCADAの欠陥公表 増加 (2011.9.16-19)
イタリアの研究者が、さまざまな監視・制御システム(SCADA)製品にある13個 の脆弱性を公表した。これを公表したLuigi Auriemmaは、3月にもSCADA製品に ある34個の欠陥を公表している。米国国土安全保障省(DHS)は最新の欠陥への 対応として、概念実証エクスプロイトコードとともに、セキュリティアドバイ ザリをリリースした。

http://www.computerworld.com/s/article/9220099/Researcher_discloses_zero_day_flaws_in_SCADA_systems?taxonomyId=17
http://www.h-online.com/security/news/item/More-vulnerabilities-found-in-SCADA-systems-1345820.html
http://www.v3.co.uk/v3-uk/security-watchdog-blog/2110153/zero-day-scada-flaws-discovery-raises-spectre-stuxnet
http://www.darkreading.com/blog/231601549/0-day-scada-exploits-released-publicly-exposed-servers-at-risk.html

────────────────

◆米国国立研究所のCIO、ゼロデイ攻撃で学んだ教訓を語る(2011.9.19)
米国パシフィックノースウェスト国立研究所(PNNL)は7月、2つのサイバー攻撃 のターゲットになったため、さらなる損害を回避するために同研究所のネット ワークをインターネットから切り離した。PNNLのCIOのJerry Johnsonは、今月 はじめにカリフォルニア州で開催されたカンファレンスにて、問題の攻撃につ いて語り、自身の経験から学んだ教訓についての7つのリストを以下の通り共 有した:

1.複数のレベルで構成されたセキュリティ環境は危険。
2.レガシー技術は取り除くこと。
3.サイバーセキュリティ関連事象は24時間7日間態勢で監視すること。
4.中核的なフォレンジックス機能を維持すること。
5.レスポンスチームに上級プロジェクトマネージャを含めること。
6.助けを求めるべき人間を知り、助けを求めるのを先延ばしにしないこと。
7.緊急時の通信継続計画を設けること。

http://www.informationweek.com/news/security/attacks/231601692

────────────────

◆控訴裁判所 ファイル共有に関するJoel Tenenbaumへの重い判決を復活(2011.9.16-18)
第1巡回控訴裁判所は、Joel Tenenbaumに対する、違法なファイル共有に対す る罰金675,000ドルの判決を復活した。最初のケースでは、陪審が重い評決を 下したものの、判事が罰金額を「憲法に違反して過剰である」と判断し、その 額を67,500ドルにまで減額している。この判決は、ピアツーピアのファイル共 有ネットワークで30曲の楽曲を入手可能な状態に置いていたことに対するもの である。控訴裁判所は、米国地方判事Nancy Gertnerは、「損害額縮減決定」 をもとに評決を減刑すべきであったと述べている。原告側は、損害額縮減決定 に応じるか、再審理を申し立てるかのどちらかが可能なはずだった。控訴裁判 所は、今回の判決は手続き上は適切なものであったとしているが、「この訴訟 によって、著作権法の適用方法に懸念が生じたため、議会が今後の検討課題と することが好ましいかも知れない」と加えた。

http://www.wired.com/threatlevel/2011/09/file-sharing-verdict-reinstated/
http://arstechnica.com/tech-policy/news/2011/09/joel-tenenbaum-owes-the-riaa-675000again.ars

【編集者メモ】(Schultz)
この決定の文言をご理解されている方がいらっしゃれば、大いなる賛嘆をお送 りする。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日                      <東京 汐留本社>
事例から学ぶ特権ID管理実践セミナー
~特権ID管理と監査ログ管理を短期・安価で実現する
          エージェントレスソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/ac02.html?xmid=56&xlinkid=23


○10月12日~10月14日               <東京ビッグサイト>
ITproEXPO 弊社ブースにて、ソリューションを展示&ミニセミナー
http://exponet.nikkeibp.co.jp/itse2011/exhibitor/itpro/ja/company/150.html
http://itpro.nikkeibp.co.jp/expo/index.html


○10月14日14:40~15:30              <東京ビッグサイト>
eドキュメントジャパン2011内で講演
 3つの事例から見る、重要な情報資産管理のベストプラクティス
 ~法対応、制度対応、BCPの観点で~
http://expo.nikkeibp.co.jp/e-doc/2011/forum/index.html#14


○10月18日:広島、10月20日:福岡
 11月11日:仙台、11月17日:名古屋、11月18日:札幌
今後求められる、IT資産管理の新基準!!
~クラウド活用によって実現する次世代IT管理とは~ にてセッション講演
http://www.motex.co.jp/seminar/2011_asset-seminar.html


○10月27日                      <東京 汐留本社>
メールセキュリティ対策実践セミナー
~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=56&xlinkid=24


○11月9日               <ニューヨーク The Nippon Club>
クラウド時代の情報セキュリティリスク
~クラウド利用が進む中、
    新たなリスクの対処に向けて海外オフィスは今、何をすべきか~
http://nikkeibp-america.com/NRI/

※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月14日~19日 SANS Tokyo 2011【SEC504】
Hacker Techniques, Exploits and Incident Handling
http://sans-japan.jp/courses/sec504.html


○12月5日
セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=56&xlinkid=25


○12月6日~7日
セキュアWebアプリケーション実習:応用編(Java/JavaEE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=56&xlinkid=26
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年9月10日 Vol.10 No.37)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Other Microsoft Products
1
Third Party Windows Apps
8 (#1,#2)Mac Os
1
Cross Platform
10
Web Application - Cross Site Scripting
2
Web Application
2
Network Device
1
Hardware
1
======================================================================
1.危険度【高】: Siemens SIMATIC WinCCにクライアント側のエクスプロイト

<影響を受ける製品>
SIMATIC WinCC flexible(2004、2005、2005 SP1、2007、2008、2008 SP1、2008 SP2のバージョン)
<詳細>
Siemensは、同社製SIMANTIC WinCCソフトウェアに影響を及ぼす脆弱性にパッ チをリリースした。
WinCCは工場プロセスを可視化する際に用いられ、それのみで使用するか、比 較的大きなSCADAシステムのコンポーネントとしても使用できる。同製品は、 種々の産業で広範に稼働している。この脆弱性に関しての情報は大変少ない。 Simensによれば、この脆弱性は「WinCC flexible」の「タグ・シュミレータ」 にあるという。アタッカーは、悪意のあるWinCCファイルを開くようにターゲッ トを仕向けられれば、この脆弱性を悪用してターゲットのマシン上で任意のコー ドを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.siemens.com
Siemensのセキュリティ警告 http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=50182361
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/49405
────────────────

2.危険度【高】: BroadWin WebAccessにさまざまな脆弱性

<影響を受ける製品>
BroadWin WebAccess bwocxrun.ocx 1.0.0.10以下 (別称バージョン7.0)
<詳細>
Luigi Auriemmaによると、BroadWin WebAccessには、書式文字列とメモリ崩壊 の脆弱性があるという。WebベースのヒューマンマシンインタフェイスとSCADA ソフトであるWebAccessは、工業環境で自動化システムを監視、制御、設定する 際に用いられる。書式文字列の脆弱性は、このアプリがOcxSpoolメソッドへの callから、vsrintifに文字列を直接引き渡すために生じる。これによって、ア タッカーは、この関数に対して任意の書式文字列を引き渡すことができるよう になる。メモリ崩壊は、WriteTextDataメソッドとCloseFileメソッドにおいて、 アタッカーが制御するストリーム識別子を信頼するコードがあるために引き起 こされる。アタッカーは、悪意のあるページを閲覧するようにターゲットを仕 向けることができれば、これらの脆弱性を悪用してターゲットのマシン上で任 意のコードを実行できるようになる。

<現状>
ベンダーはまだこの問題を確認していないため、更新はリリースされていない。

<参考>
ベンダーのサイト
http://broadwin.com/
Luigi Auriemmaのアドバイザリ
http://aluigi.altervista.org/adv/bwocxrun_1-adv.txt
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年9月17日 Vol.10 No.38)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
3 (#1)Microsoft Office
3
Third Party Windows Apps
8 (#3)Cross Platform
8 (#2)Web Application - Cross Site Scripting
2
Web Application
2
Hardware
1
======================================================================
1.危険度【高】:MIcrosoftの火曜のパッチでさまざまな脆弱性に対応

<影響を受ける製品>
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Microsoft Office
Microsoft Office Excel

<詳細>
Microsoftの火曜パッチプログラムの一環として、Microsoftは、さまざまな脆 弱性にパッチをリリースした。脆弱性には、WindowsコンポーネントがDLLファ イルをロードする方法にある問題1つ、Microsoft Excelにあるメモリ崩壊の脆 弱性5つ、OfficeコンポーネントがDLLファイルをロードする方法にある問題1 つ、Microsoft OfficeがWordファイルを処理する際に用いるコードにあるメモ リ崩壊の脆弱性1つがある。悪意のあるファイルを開く、もしくは、悪意のあ るDLLファイルを開くようにターゲットを仕向けられれば、アタッカーは、こ れらの脆弱性を悪用して、ターゲットのマシン上で任意のコードを実行できる ようになる。

<現状>
ベンダーは問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftセキュリティ警告
http://technet.microsoft.com/en-us/security/bulletin/ms11-070
http://technet.microsoft.com/en-us/security/bulletin/ms11-071
http://technet.microsoft.com/en-us/security/bulletin/ms11-072
http://technet.microsoft.com/en-us/security/bulletin/ms11-073
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/47741
http://www.securityfocus.com/bid/49476
http://www.securityfocus.com/bid/49477
http://www.securityfocus.com/bid/49478
http://www.securityfocus.com/bid/49513
http://www.securityfocus.com/bid/49518
http://www.securityfocus.com/bid/49517
http://www.securityfocus.com/bid/49519
────────────────

2.危険度【高】: Adobe Flash Playerにさまざまなセキュリティの脆弱性

<影響を受ける製品>
Windows、 Linux、Macintosh、および、Solaris用の 10.3.181.36 までのバージョン
Android 用の10.3.185.25までのバージョン

<詳細>
Adobeは、同社製Flash Playerソフトウェアに影響を及ぼすさまざまなセキュ リティの脆弱性にパッチをリリースした。脆弱性には、メモリ崩壊およびバッ ファオーバーフローの脆弱性などがある。 アタッカーは、悪意のあるサイト を閲覧するようにターゲットを仕向けられれば、これらの脆弱性を悪用して、 ターゲットのマシンに任意のコードを実行できるようになる。

<現状>
ベンダーは問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb11-24.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-253/
http://www.zerodayinitiative.com/advisories/ZDI-11-276/
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/49073
http://www.securityfocus.com/bid/49074
http://www.securityfocus.com/bid/49075
http://www.securityfocus.com/bid/49076
http://www.securityfocus.com/bid/49077
http://www.securityfocus.com/bid/49079
http://www.securityfocus.com/bid/49080
http://www.securityfocus.com/bid/49081
http://www.securityfocus.com/bid/49082
http://www.securityfocus.com/bid/49083
http://www.securityfocus.com/bid/49084
http://www.securityfocus.com/bid/49085
http://www.securityfocus.com/bid/49086
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html
本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。