NRI Secure SANS NewsBites 日本版

Vol.6 No.47 2011年11月22日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.47 2011年11月22日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.90-91
(原版:2011年11月12日、11月16日)

◆米国国防研究計画局(DARPA) サイバーセキュリティの研究資金を大幅増:サイバー分野の研究者に迅速な資金提供も(2011.11.7-9)
米国国防総省国防高等研究事業局(DARPA: Defense Advanced Projects Research Agency)は、今後5年間でサイバーセキュリティ研究に対する支出を50%増加す る見込みである。DARPAは、サイバー戦に対する能力を強化する意向だ。また、 DARPAのプログラムマネージャのMudge (Peiter Zatko)が管理している新しい プログラムでは、「Cyber Fast Track」を始動し、小規模な研究機関に対し、 官僚からの干渉はほとんどなしに2週間以内に資金を提供するという。このプ ログラムにおいては、最初の2カ月間に8件の助成金がすでに提供されている。

http://www.informationweek.com/news/government/security/231902495
http://www.wired.com/dangerroom/2011/11/darpa-hackers-cybersecurity/
http://www.computerworld.com/s/article/9221643/DARPA_gets_serious_with_Internet_security?taxonomyId=83
http://www.networkworld.com/community/node/79135

────────────────

◆米国上院議会 ネットの中立性維持ルールを否決(2011.11.10)
米国上院議会では、党の路線に沿った投票(party line vote)が行われ、米国 連邦通信委員会(FCC)の「ネットの中立性維持ルール」を覆すはずだった決議 案を52対46が否決された。この決議案については、オバマ大統領も「もし可決 されればこの解決策を否認するだろう」と述べていた。連邦通信委員会(FCC) のネットの中立性維持ルールは、現在も、テレコム企業が起こした訴訟で課題 に直面している。

http://arstechnica.com/tech-policy/news/2011/11/senate-votes-down-anti-net-neutrality-resolution.ars
http://latimesblogs.latimes.com/technology/2011/11/senate-net-neutrality-vote-.html
http://www.wired.com/threatlevel/2011/11/senate-net-neutrality/

【編集者メモ1】(Murray) 連邦通信委員会のルールは、重要視されていない有線通信についてルールを施 行する見返りとして、重要視される無線通信についてはAT&TおよびVerizonに 屈することとなった。私は何かを見過ごしているのだろうか?

【編集者メモ2】(Paller)
Billの質問にお答えしよう。多分、AT&TやVerizonのロビイストは、現在IT企 業を代表するその他複数のロビイストとともに、公益を無視して連邦政府の行 動を方向付ける権力があるエンロンのロビイストに接近しようとしているのだ。

────────────────

◆クリックジャッキングの策動に関与していた6人を逮捕(2011.11.9-10)
FBIは、世界各国で400万台以上のコンピュータを感染させたクリック詐欺の策 動に関連して6人を逮捕したと発表した。今回の逮捕は、Ghost Click作戦とい う2年にわたる捜査の成果である。6人は全員エストニアで逮捕された。7人目 の被告人はロシア人で、まだ逃亡中である。米国検察局は、身柄が確保されて いる被告人の引き渡しを求める意向だ。問題のマルウェアは、「DNS Changer」 として知られている策動に用いられた。DNSChangerウィルスは、感染したコン ピュータのDNS設定を変更し、それらを犯罪者の支配下にあるDNSサーバに向け させるようにしていた。それによって、彼らは合法的なサイト(iTunesなど) からの被害者の通信を他のサイトにリダイレクトできるようにし、そこで、オ ンライン広告への紹介手数料として1400万ドル以上を稼ぎだした。被告人らは、 有線通信およびコンピュータ侵入の容疑をかけられている。1人はすでに資金 洗浄の罪で告発されている。FBIは、この件について、エストニアやオランダ の警察と共同で捜査を行ってきた。問題のアタックは、WindowsとMac OS X両 方のマシンをターゲットにしている。この件に関連して、FBIは、自分のコン ピュータが感染しているかどうかを皆がチェックできるWebサイトを設置した。

https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS
インターネットストームセンター:
https://isc.sans.edu/diary.html?storyid=11986
http://www.scmagazineus.com/fbi-arrests-six-in-click-fraud-cyber-scam-that-netted-14m/article/216399/
http://www.informationweek.com/news/security/attacks/231902762
http://www.v3.co.uk/v3-uk/news/2124002/trend-micro-fbi-claim-landmark-cybercrime-bust
http://www.theregister.co.uk/2011/11/09/dns_malware_scam/
http://www.h-online.com/security/news/item/Operation-Ghost-Click-FBI-busts-DNSChanger-botnet-1376746.html
http://www.wired.com/threatlevel/2011/11/14-million-clickjack-scheme/
http://www.computerworld.com/s/article/9221699/Feds_lead_biggest_botnet_takedown_ever_end_massive_clickjack_fraud

【編集者メモ】(Honan)
この件に関わった全員に、大きな賞賛を与えたい。感染したコンピュータを守 りながら、それらのコンピュータのインターネット接続の中断を最小限に抑え るためには、犯罪者の制御化にあるDNSサーバを、本物のDNSサーバに入れ替え なければならなかった。本件は、各国の警察と官民両団体が国際的に協力して オンライン犯罪者による惨害に対策を講じる方法を示す典型例である。このよ うな積極的な行動を目にすることができるのは心強い。そして、これを口火と して、同様のケースが多数出てくることを願いたい。また、できれば本件にお いて、感染したコンピュータがApple Macだったというパーセンテージを示す 統計値を見たいものである。それがあれば、Appleのユーザーも、オンライン 犯罪者と彼らが商売に使うツールに対して免疫があるわけではないという認識 が高まるだろう。

────────────────

◆権原保険会社 不正取引で銀行を訴える(2011.11.14)
バージニア州の権原保険会社、Global Title Servicesは、サイバー上の窃盗 被害で20万ドルを損失したとして、当時の主要取引銀行(its bank)を訴える意 向だ。Global Title ServicesのコンピュータがZeuSマルウェアに感染後、東 欧の中心で活動しているサイバー窃盗犯らがオンラインバンキング口座のアク セス認証情報を盗み出し、それを利用して同社の口座(当時はChevy Chase Bankだったが、現在はCapital Oneになっている。)から未承認の電信送金を 行った。問題の窃盗犯は、総計200万ドルに及ぶ不正取引を行った。しかし、 当の銀行側は、盗まれた資金のうち20万ドル以外について回収できたという。 Global Titleは、この訴訟でCapital Oneを訴えており、同行が不作為から 「誠実に振舞わなかった」、および、「オンラインバンキングにおいて十分な セキュリティ手順を導入できていなかった」と申し立てている。

http://krebsonsecurity.com/2011/11/title-firm-sues-bank-over-207k-cyberheist/

【編集者メモ】(MurrayとPaller)
銀行にとって、この問題を修正するよりもこの訴訟で自身を弁護する方が容易 だなど、信じがたいことだ。トークンをベースにした認証や帯域外の認証を導 入しても、それほどコストは高くないのだが…。それに、このような認証サー ビスについては、別途課金してもよい。
当然ながら、取り締まり機関である米米国連邦金融機関検査協議会(FFIEC: Federal Financial Institutions Examination Council) は何の手助けにもなっ ていない。銀行に「リスク評価」という免責条項を設けさせるよりはむしろ、 前述の認証サービスの必須化という選択肢もあったはずだ。銀行には、指導要 綱なしに、このようなリスクを評価したり、評価方法を選択したりする態勢が 整っているわけではない。実際、銀行は、FFIECの指導要綱(FFIEC Guidance) で許可されているものは何でも安全だと信じている。

────────────────

◆韓国 スパム阻止への協力をISPに求める(2011.11.14)
韓国は、同国内のインターネットサービスプロバイダ(ISP)に対し、国家的な アンチスパム計画に同意するように要請している。「Block 25」と称されるこ のプランでは、ISPに対し、正式なゲートウェイ(official gateway)に向かう 電子メールを制限するか、もしくは、正式なサーバ(official server)から送 信された電子メール以外は全て阻止するように求めている。しかしながら、 このプランの内容では十分ではないという批判の声もある。

http://www.bbc.co.uk/news/technology-15720599
http://www.zdnet.com/blog/networking/south-korea-proposes-restricting-all-e-mail-sending-to-official-e-mail-servers/1647
http://securitywatch.pcmag.com/spam/290525-radical-korean-spam-block-can-it-work

────────────────

◆Facebook  プライバシーの問題で連邦取引委員会(FTC)と和解の意向(2011.11.11)
Facebookは、「プライバシー慣行に対する変更を全てオプトイン扱いにする」 ように求めてきている米国連邦取引委員会(FTC: Federal Trade Commission) と、もう少しで和解に達するようだ。Facebookは、デフォルトでユーザーの個 人情報を公表するようになっていることから、多くの苦情の標的となっている。 過去には、Facebookが同社の情報共有を円滑に行うための経路を変更するたび に、ユーザーはサイトのプライバシー設定の深部まで進めなければ、新しい設 定に変更できなかったこともあったようだ。今回の和解で、Facebookは、今後 20年間はプライバシーに関する監査報告を提出することを義務付けられる。

http://arstechnica.com/tech-policy/news/2011/11/facebook-settlement-will-make-all-future-privacy-changes-opt-in.ars
http://www.latimes.com/business/la-fi-1112-facebook-privacy-20111112,0,4467952.story

【編集者メモ】(Murray)
Facebookの商売道具は、我々の交友関係に関する情報、つまり、「ソーシャル グラフである。「オプトイン」扱いにしなければならないという義務は、 Facebookにとって大きな代償となるが、それによって、ソーシャルグラフを貨 幣化する権利を維持し続けられるのであれば、それくらいの代償は支払うだろ う。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・出展のイベント
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月25日・12月16日            <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=63&xlinkid=21

○11月30日                 <東京 ベルサール八重洲3F>
 最先端ネットワーク・セキュリティと将来ビジョン
 (クロスビームプライベートセミナー)セッション[16:45-17:05]にて講演
 「クラウド時代の戦略的セキュリティ対策と最新テクノロジー動向」
http://www.crossbeam.jp/event11-30/

○12月8日               <東京 青山ダイヤモンドホール>
 クラウド時代の運用管理~いま取り組むべきITサービスマネジメントとは~
 セッション3[16:20~16:45]にて、講演
 「クラウド時代のIT統制」
https://itmedia.smartseminar.jp/public/seminar/view/325

○12月9日                   <東京 丸の内北口ビル>
 サイバーセキュリティ トレンドセミナー2011
 ~企業意識を変えた事故事例を振り返り、次の対策を提言する~
http://www.nri-secure.co.jp/seminar/2011/1209.html?xmid=63&xlinkid=22

○12月9日                 <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=63&xlinkid=23

○12月14日                 <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=63&xlinkid=24

○12月14日                     <東京 文京区本郷>
 重要情報資産の棚卸しによるリスクの見える化 セミナーにてセッション講演
 「重要情報資産の識別管理ソリューションのご紹介 」
https://iim.smartseminar.jp/public/seminar/view/573

  ※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月5日                       <東京 南大井>
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=63&xlinkid=25

○12月6日~7日                     <東京 南大井>
 セキュアWebアプリケーション実習:応用編(Java/JavaEE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=63&xlinkid=26

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年11月11日 Vol.10 No.41)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
3 (#1,#2)Other Microsoft Products
1
Third Party Windows Apps
3 (#3,)Linux
1
Cross Platform
(#4,#5)Web Application - Cross Site Scripting
3
Web Application - SQL Injection
2
Web Application
4
Network Device
1
Hardware
3
======================================================================
1.危険度【高】:Microsoft WindowsのKernelにTrueType Fontの解析の脆弱性

<影響を受ける製品>
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7

<詳細>
Microsoft WindowsのKernelは、TrueTypeフォントの処理を正しく行えないた めに生じる脆弱性に対して脆弱である。この脆弱性は、世間で、Duquワームに よって盛んに悪用されている。悪意のあるフォントがある文書を閲覧するよう にターゲットを仕向けることができれば、アタッカーは、この脆弱性を悪用し てSYSTEMレベルの許可でターゲットのマシン上にて任意のコードを実行できる ようになる。

<現状>
ベンダーはこの問題を認めているものの、更新はリリースしていない。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftのセキュイティのアドバイザリ
http://technet.microsoft.com/en-us/security/advisory/2639658
共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3402
────────────────

2.危険度【高】:Microsoft Windows Kernelにネットワーキングの脆弱性

<影響を受ける製品>
Windows Vista
Windows Server 2008
Windows 7

<詳細>
Microsoftは、Windows kernelにあるUDPパケットの処理に関連する脆弱性に パッチをリリースした。問題の脆弱性は、UDPパケットがメモリ内で管理され る方法にある。細工されたUDPパケットを送信すれば、アタッカーはこの脆弱 性を悪用して、SYSTEMレベルの許可でターゲットのマシン上にて任意のコード を実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftのセキュリティ警告
http://technet.microsoft.com/en-us/security/bulletin/ms11-083
Common Vulnerabilities and Exposures
共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2013
────────────────

3.危険度【高】:HP Data Protector Media Operationの'DBServer.exe'にバッファオーバーフローの脆弱性

<影響を受ける製品>
HP Data Protector Media Operations Version 6.20までのバージョン

<詳細>
Luigi Auriemmaは、HPの集約型バックアップソフトウェアのData Protectorに 影響を及ぼす脆弱性のエクプロイトを公表した。問題の脆弱性は、大きなTCP セグメント(large TCP segment)を正しく処理できないために発生する。
記事からは、この脆弱性が制御サーバにあるのか、クライアント上で動作する コンポーネントにあるのかどうかはすぐに判断できない。悪意のあるリクエス トを送信すれば、アタッカーはこの脆弱性を悪用し、ターゲットのマシン上に て任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めておらず、更新もリリースしていない。

<参考>
ベンダーのサイト
http://www.hp.com
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/50558
────────────────

4.危険度【高】:Mozilla Firefoxにさまざまなセキュリティの脆弱性

<影響を受ける製品>
Mozilla Firefox 8.0以前のバージョン

<詳細>
Mozillaは、同社製のFirefox Webブラウザにあるさまざまな脆弱性にパッチを 適用した。問題には、SVG タグ処理に関するエラー、詳細不明なメモリ 崩壊の脆弱性などがある。悪意のあるサイトを閲覧するようにターゲットを仕 向けることができれば、アタッカーはこれらの脆弱性を悪用してターゲットの マシン上に任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2011/mfsa2011-47.html
http://www.mozilla.org/security/announce/2011/mfsa2011-48.html
http://www.mozilla.org/security/announce/2011/mfsa2011-49.html
http://www.mozilla.org/security/announce/2011/mfsa2011-50.html
http://www.mozilla.org/security/announce/2011/mfsa2011-51.html
http://www.mozilla.org/security/announce/2011/mfsa2011-52.html
共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3649
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3650
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3651
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3652
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3653
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3654
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3655
────────────────

5.危険度【高】:Adobe Shockwave Playerにさまざまな脆弱性

<影響を受ける製品>
WindowsおよびMacintosh用Adobe Shockwave Player 11.6.1.629までのバージョン

<詳細>
Adobeは、同社製Shockwaveのマルチメディアプレーヤに影響を及ぼすさまざま な脆弱性にパッチをリリースした。
問題の脆弱性は、DIRAPI.dllとTextXtra.x32に存在しており、Directorファイ ルの解析にある問題が原因で生じる。Directorファイルは、Flashファイルに 類似しているファイルだ。悪意のあるサイトを閲覧するようにターゲットを誘 導することができれば、アタッカーは、この脆弱性を悪用してターゲットのマ シン上で任意のコードを実行することができるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb11-27.html
共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2446
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2447
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2448
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2449
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。