NRI Secure SANS NewsBites 日本版

Vol.6 No.49 2011年12月7日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.49 2011年12月7日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.94
(原版:2011年11月30日)

◆米国連邦政府 イリノイ州の水道ポンプ障害とハッキングの関連を否定 (2011.11.23)
米国国土安全保障省(DHS)の産業制御システム・サイバー緊急事態対策チーム とFBIの共同声明によると、連邦政府組織は「イリノイ州の水道施設に、外国 のハッカーがリモート監視・制御(SCADA)システムへアクセスした形跡がある」 という同州のテロリズム・情報センター(STIC)の主張について、その正当性を 立証できなかったという。以前の報告書には、攻撃者が同施設のシステムへア クセスし、水道ポンプを焼損させたと説明されていた。

http://krebsonsecurity.com/2011/11/dhs-blasts-reports-of-illinois-water-station-hack/
http://www.wired.com/threatlevel/2011/11/scada-hack-report-wrong/
http://www.theregister.co.uk/2011/11/23/water_utility_hack_update/
http://www.bbc.co.uk/news/technology-15854327
http://www.informationweek.com/news/security/attacks/232200199
http://www.computerworld.com/s/article/9222144/DHS_sees_no_evidence_of_cyberattack_on_Ill._water_facility?taxonomyId=82
http://www.techspot.com/news/46407-fbi-says-hackers-not-responsible-for-illinois-water-pump-failure.html
http://techland.time.com/2011/11/28/hackers-blow-up-illinois-water-utility-or-not/

【編集者メモ1】(Pescatore)
今回の過剰反応の大部分は、「攻撃」がロシアのIPアドレスから発せされてい たことに端を発している。しかし、ワシントンポスト紙はこれに関し、「請負 業者が、ロシアを旅行中にシステムにアクセスした」と報じている。「攻撃が どこから来たと考えられるか」という問題に過剰に焦点が当てられてしまうと、 この「全ての攻撃を可能にしてしまう脆弱性」という真の問題から、注意が大 きくそれてしまう。

【編集者メモ2】(Liston)
私は、この「インシデント」が明るみに出た当初からずっと、必死にこれに関 する議論を避けるようにしてきた。このような「早合点」には驚いてしまう。 私たちの業界は、目を引く見出しを付けたセンセーショナルな報道を適切に鎮 圧し、事実に基づいた情報をしっかりと見据えなければならない。さもないと、 狼少年と同じ一途をたどることになってしまうであろう。

【編集者メモ3】(Murray)
インフラの制御システムを公衆の通信回線につなぐことで、その制御システム は脆弱になってしまうが、現在のところ攻撃されていない。そして、今後も攻 撃されないかもしれない。しかしながら、脆弱性の修正にかかる時間は、この 脆弱性を利用した攻撃が今後発生するまでにかかる時間よりも、大幅に長い時 間を要するものだ。したがって、今、修正する必要がある。私が思うに、政府 は「修正しなければ痛い目に遭うぞ」と言っているのであって、水道施設は、 ただ、その「痛い目」を待っているだけのようだ。とは言うものの、過去に政 府が同じことを専門大学や大学に対して述べた際、ほとんどの大学は、学内ネッ トワークを数カ月から数年で閉鎖している。

────────────────

◆NIST BIOSの特別出版でサイバーセキュリティに大きな影響力

米国国立標準技術研究所(NIST)が、サイバーセキュリティにプラス効果を大い にもたらす機関だと以前から認識していた人々にとって、ここに今、素晴らし い実例があり、さらにもう1つも、まもなく報告されようとしている。サプラ イチェーン問題の核心と言える課題は、各要素を「信頼できる」ものにするこ とである。PCやノートパソコンのほとんどにおいてBIOSは、「信頼」を立証す べき最も基本的な要素だ。NISTは、「この業界がBIOSにUnified Extensible Firmware Interfaceを採用するという過渡期に入り、それが次世代のシステム に対し、即座に影響をもたらす機会になった」と考えた。そして実際に、その 規模でそれを実行したのである。NISTの特別出版物800-147のお陰で、全ての HPコンピュータや、その他のコンピュータも現在、安全なBIOSを実装して供給 されている。ほんの1年前には、ありえなかったことである。間もなくNISTは、 これに関連のある特別出版物をリリースする予定だ。同出版物には、供給プロ セスの問題におけるもう1つの重要なステップ、インテグリティの測定方法が 説明されている。

http://gcn.com/articles/2011/04/29/nist-bios-cyber-target.aspx

【編集者メモ】(Paller)
Andrew Regenscheid、William Polk、Murugiah Souppaya、および、NISTの彼 らのチームに賞賛を。

────────────────

◆少額の訴訟和解金で示談成立:サイバー分野の訴訟が続々と発生する可能性 (2011.11.23)
RockYou侵害事件の犠牲者の1人が起こした訴訟で2,000ドルの和解金が支払わ れることとなり、それによって、原告側の弁護士が29万ドルの報酬を得ること となった。これは、法で他人を食い物にする人にとって、恰好の餌になりえる。 また、今回の和解は先例にもなる。2009年12月に発生したRockYouのハッキン グで自分のデータが侵害された3200万人のユーザーのうち、現在どれだけの人 が、弁護士を雇い入れているのだろう?Data Privacy Monitorのコメントには、 今回の和解が重要になりえる理由が説明されている。

http://www.dataprivacymonitor.com/data-breaches/rockyou-proposed-settlement-would-leave-decision-standing/

話は変わるが、この攻撃では、SQLインジェクションの脆弱性が利用されたという。
http://www.darkreading.com/security/privacy/232200192/rockyou-lawsuit-settlement-leaves-question-marks-on-breach-liability.html

────────────────

◆英国 サイバー突撃部隊を準備 (2011.11.23)
英国の国防サイバー作戦グループの2つの独立部門が、国家の重要インフラに 電子攻撃を仕掛けようとしている敵対者への反撃能力の強化に取り組んでいる。 その中の1つは、すでに英国の政府通信本部(GCHQ)が使用し、オンライン爆弾 作成マニュアルをカップケーキのレシピに入れ替えるウィルスを仕掛けたとい う。

http://www.telegraph.co.uk/news/uknews/defence/8916960/Britain-prepares-cyber-attacks-on-rogue-states.html

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・出展のイベント     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12/8(木)               <東京 青山ダイヤモンドホール>
 クラウド時代の運用管理~いま取り組むべきITサービスマネジメントとは~
 セッション3[16:20~16:45]にて、講演
 「クラウド時代のIT統制」
https://itmedia.smartseminar.jp/public/seminar/view/325

○12/9(金) 【ユーザ企業様限定】        <東京 丸の内北口ビル>
 サイバーセキュリティ トレンドセミナー2011
 ~企業意識を変えた事故事例を振り返り、次の対策を提言する~
http://www.nri-secure.co.jp/seminar/2011/1209.html?xmid=300&xlinkid=01

○12/9(金)・1/20(金)・2/15(水)・3/7(水)  <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=300&xlinkid=02

○12/14(水)                     <東京 文京区本郷>
 重要情報資産の棚卸しによるリスクの見える化 セミナーにてセッション講演
 「重要情報資産の識別管理ソリューションのご紹介 」
https://iim.smartseminar.jp/public/seminar/view/573

○12/16(金)・1/25(水)・2/24(金)      <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=300&xlinkid=04

○1/18(水)・2/10(金)            <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=300&xlinkid=03

 ※各セミナーともにそれぞれにおける競合にあたる同業他社様のお申込みはご遠慮下さい。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年11月24日 Vol.10 No.48)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
1
Third Party Windows Apps
4
Linux
2
HP-UX
1
Cross Platform
9
Web Application - Cross Site Scripting
1
Web Application - SQL Injection
1
Web Application
6
Network Device
1
======================================================================
Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。