NRI Secure SANS NewsBites 日本版

Vol.6 No.51 2011年12月21日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.6 No.51 2011年12月21日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
Ed Skoudisは9年前からずっと、情報セキュリティの専門家が楽しみながら自 己スキルを向上できることを念頭において、クリスマスホリデーのハッキング 課題を作成している。楽曲「おばあさんはトナカイに踏みつけられてしまった」 をもじった、「おばあさんはすっかりトナカイにハッキングされてしまった。 それとも?」という題名をつけた今年の課題には、2011年のトップニュースを 飾った主要な攻撃技術がいくつか含まれている。
この課題は、http://is.gd/zKsQu6で見つけることができる。参加希望者は、 パケットキャプチャをダウンロードして攻撃者の辿った手順を分析し、2012年 1月9日までに回答を送信していただきたい。

■■SANS NewsBites Vol.13 No.97-98
(原版:2011年12月10日、12月14日)

◆スキミングの犯罪組織に関係していた4人を起訴 (2011.12.8)
米国の多数の商店にあるPOSシステムからリモートで決済カードの情報を盗み 出す陰謀に関与した疑いで4人が起訴された。問題の4人は全員ルーマニア出身 で、コンピュータ不正行為、有線通信不正行為、アクセス装置不正行為の陰謀 を企てたとして起訴されている。4人のうちの2人は、2011年8月に米国へ入国 する際に逮捕、1人はルーマニアで拘留されたが、残る1人はまだ捕まっていな い。この陰謀により、8万人を超える決済カードのユーザーが影響を被り、無 断購入の合計金額は数百万ドルにのぼると報告されている。問題のグループは、 インターネットをスキャンして脆弱なPOSシステムを探し出し、パスワードを 破り、キーストロークロギングのソフトウェアをシステムにインストールして いたという。

http://www.computerworld.com/s/article/9222520/Four_charged_with_hacking_point_of_sale_computers?taxonomyId=17

────────────────

◆クレジットカードデータ読取装置 チェーン店Luckyスーパーマーケットで見つかる (2011.12.7)
Luckyスーパーマーケットは、カリフォルニア州の20以上の店舗で、セルフレ ジの決済カード読取装置がハッカーによって改ざんされていたことを認めた。 どれほどの顧客が影響を被ったかは定かではないが、Luckyスーパーマーケッ トとその親会社であるSave Martスーパーマーケットは顧客に対し、自分のク レジットカードやデビットカードの口座に不正な支払いが生じていないかどう かを調べるように促している。また、200を超える店舗に設置しているカード 読取装置についても、改ざんが行われているかどうか点検が行われている。

http://www.wired.com/threatlevel/2011/12/hackers-skim-lucky-supermarket/
http://news.cnet.com/8301-1009_3-57338480-83/lucky-supermarkets-credit-card-scam-getting-worse/
http://www.mercurynews.com/breaking-news/ci_19480051

【編集者メモ】(Murray)
50年もの間、磁気ストライプや暗証番号は、現金を下ろす我々の役に立ってく れていたが、小売店での支払いに使用するのは安全ではない。我々のようなセ キュリティ分野の人間にとっては、もう10年以上前からわかっていたことだ。 そして一般市民は、POSで暗証番号を使用することは安全ではないということ を知らなくてもよいはずなのだ。そのうち、決済カード産業にこの問題を修正 させる立法行為が求められるようになるのだろうか?EMVカードはどこに行っ てしまったのだ?

────────────────

◆米国連邦政府のクラウドコンピューティングセキュリティ基準が公表される(2011.12.8)
連邦リスク・許可管理プログラム(FedRAMP)によって、セキュリティとプライ バシーに関する基本的な基準が一式設けられることになる。政府局に自社製品 を販売する際には、全てのクラウドサービスの提供事業社がこの基準の要件を 満たす必要がある。FedRAMPによって、政府局には基準となる調達ルールが与え られることになり、クラウドサービスの提供業者にサービスプランを提案する ように求める際には、このルールを使えるようになる。

http://www.computerworld.com/s/article/9222525/Feds_launch_cloud_security_standards_program?taxonomyId=17
http://www.federaltimes.com/article/20111208/IT03/112080302/

【編集者メモ1】(Murray)
契約で条件が明確に規定されていなければ、その契約内容など分からない可能 性が高い。悪魔は細部に宿るうえに、必要な要件を我々自身で特定し、それを 表現するのは難しいため、この基準は非常に役に立つと思われる。

【編集者メモ2】(Paller)
この基準はきっと役に立つだろう。しかし、大量にある設定上のセキュリティ の弱点を、FedRAMPを用いて取り繕い、自動的な測定と緩和措置を行う代わり に紙面上で継続的な監視を行っていこうと構えているクラウド・ベンダーや連 邦政府局もある。(このような組織は、安全な設定というよりも、むしろ、品 質的に「お買い得」な設定を供給することだろう。FedRAMPの作成者らは、こ れら双方のリスクを明確に把握している。作成者らがとことんまで基準の内容 を追求し、ベンダーらがFedRAMPを悪用して感染しやすいシステムを供給する ことがないようにするのであれば、政府全体から感謝を得られることになった だろうに。作成者らの仕事内容が賞賛に値するものになるかどうかは、90日ほ どでわかるだろう。

【編集者メモ3】(Honan)
クラウドサービスをお考えの欧州の方には、欧州ネットワーク情報セキュリティ 庁(ENISA)の「クラウドコンピューティングのリスク評価」ガイドが役に立つ だろう。

────────────────

◆2008年のマルウェア感染で米国国防総省のサイバーセキュリティ改革が促される (2011.12.8)
ワシントンポスト紙のEllen Nakashimaが、2008年に米国軍のコンピュータを 感染させたワームに関する詳細な記事を書いた。これによれば、サイバーセキュ リティの専門家らは2008年の10月に、機密用軍システムが無線標識の機能を果 たし、暗号化したメッセージを送信しようとしていることを発見し、それがきっ かけではじめて、何かが本来あるべきとおりに動作していないことに気付いた という。影響を被ったネットワークには、イラクやアフガニスタンにいる司令 官が使う戦闘計画などの極めて機密な情報も含まれていた。分析を行った結果、 マルウェアは、USBドライブを介してシステムに侵入したことがわかった。こ のインシデントは、政府がサイバーセキュリティの改革アプローチの推進を支 える原動力としての役割を果たしてきた。問題のマルウェアを食い止め、これ 以上の損害を防ぐために行っている取り組みは、「Buckshot Yankee」作戦と いう名で知られている。Nakashimaの記事には、この作戦について知識のある 人間にインタビューを行って収集された未公表の情報も掲載されている。この マルウェアは「Agent.btz」と称されるもので、これは、2008年6月に、とある NATO加盟国の政府の軍用コンピュータシステムで発見された。そしてその後、 それは、2008年10月に、国務省や国防総省が機密情報の転送に使用している米 国・機密IPルータネットワーク(SIPRNet)に出現している。一度システムが感 染すると、それ以降に差し込まれたUSBドライブも感染してしまう。これを修 正するには、骨が折れるし時間もかかる。なぜなら、感染したコンピュータを まず特定し、それをオフラインにし、中の不純物を取り除いて再フォーマット しなくてはならないからだ。この感染によって、2008年11月には、国防総省の コンピュータについては、USBドライブの使用が禁止されることとなった。し かし、現在は他のセキュリティ措置が設けられているので、この禁止令は、部 分的に解除されている。このインシデントが、サイバー指令部設立の大きな推 進力となった。さらに、このインシデントは、人間こそが弱点であるという注 意喚起にもなっただけでなく、サイバー戦争のためのパラメータやルールに関 して疑問も提起している。

http://www.washingtonpost.com/national/national-security/cyber-intruder-sparks-response-debate/2011/12/06/gIQAxLuFgO_print.html
────────────────

◆グーグル アンドロイドマーケットから悪意のあるアプリを取り除く(2011.12.12)
グーグルは、20個以上の悪意のあるアプリをアンドロイドマーケットから回収 した。これによって、今年除去されたアプリの総数は、100を超えることにな る。問題のマルウェアは、今回除去されたアプリに同梱されていたもので、 「RuFraud」と称されている。このマルウェアは、プレミアム料金で契約して いる電話番号に対してテキストメッセージを送信し、その電話番号のユーザー に課金する。そして、結果としてその番号による収益を得ている人間に利益が 生じる仕組みとなっている。このマルウェアは、米国内のユーザーに影響を及 ぼすようには作成されていないが、欧州のいくつかの国とアジア諸国にいるユー ザーが、その影響を受けている。

http://www.computerworld.com/s/article/9222595/Google_pulls_22_more_malicious_Android_apps_from_Market?taxonomyId=17
【編集者メモ1】(Pescatore)
「Droid Does」の販促キャンペーンでは、グーグルの無防備に開け放ったマー ケットを、制限的なアップルのApp Storeに勝る利点として表現している。 しかしながら消費者市場では、アプリをリリースする「前に」セキュリティテ ストを行い、悪意のあるアプリが損害を与えてしまった「後に」にそれを除去 する必要性が「減る」ことが、より一層求められるようになっている。
「Droid Does Have Malware(=ドロイドには、まさに、マルウェアがある)」 というフレーズは、あまりよい売り込みトークとは言えない…。

【編集者メモ2】(Murray) Androidがとっている「基本的にオープン」な戦略は、危険である。「早期予 防」は「後追いの修正」に勝る。

────────────────

◆ジョージア州の医療センター マルウェア感染が原因で患者の受け入れ拒否(2011.12.9-10)
先日、ジョージア州のGwinnett Medical Centerのコンピュータシステムがマ ルウェアに感染し、そのマルウェアが原因で、患者の受付登録機能やその他の 業務処理機能の速度が落ちてしまった。そのため、その病院は、救急車で搬送 されてきた患者を地域内の他の病院に搬送するように要請しなければならない 事態に陥った。問題のサイバー攻撃は12月7日に発見された。これによって、 病院の職員は古めかしい事務作業に逆戻りせざるをえなかったという。問題の マルウェアによって、患者の受付登録にかかる時間や調剤業務に影響が生じた ほか、放射線科を利用できない、検査結果の閲覧ができないという事態が生じ た。このため、外傷センターであるGwinnett Medical Centerは、呼吸困難や、 心臓疾患、その他の外傷を抱えている患者などの重症患者は受け入れたものの、 それ以外の患者は地域内の他の病院に搬送する措置を取ることとなった。同セ ンターは、12月10日の夕方には全ての患者を受け入れられる状態に戻ったとい う。

http://www.ajc.com/news/gwinnett/ambulances-turned-away-as-1255750.html
http://www.examiner.com/headlines-in-atlanta/gwinnett-medical-no-longer-on-diversion-status
http://www.cbsatlanta.com/story/16231305/virus-infects-gwinnett-medical-center-forces-ambulances-away
【編集者メモ】(Northcutt)
ううむ、このマルウェアは、Silly FDCだと考えられているが、主にUSBを介し て感染するようだ。極めて害が少ないマルウェアだと述べているサイトもある。

http://www.symantec.com/security_response/writeup.jsp?docid=2006-071111-0646-99
http://www.2-spyware.com/remove-sillyfdc.html
────────────────



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1/18(水)・2/10(金)            <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=300&xlinkid=03

○1/20(金)・2/15(水)・3/7(水)       <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=300&xlinkid=02

○1/25(水)・2/24(金)            <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=300&xlinkid=04

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「企業における情報セキュリティ実態調査2011」を無償公開中
http://www.nri-secure.co.jp/news/2011/1213_report.html?xmid=300&xlinkid=05
 ※閲覧にはID、PASSが必要となります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年12月9日 Vol.10 No.50)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Other Microsoft Products
1
Third Party Windows Apps
5
Linux
1
Cross Platform
8 (#1)Web Application - Cross Site Scripting
3
Web Application - SQL Injection
2
Web Application
5
Hardware
2
======================================================================
1.危険度【高】:Adobe U3Dにメモリ崩壊の脆弱性

<影響を受ける製品>
WindowsとMacintosh用Adobe Reader X (10.1.1) とそれ以前の10.xのバージョン Windows、Macintosh、および、UNIX用Adobe Reader 9.4.6 とそれ以前の9.x のバージョン Windowsと Macintosh用Adobe Acrobat X (10.1.1)とそれ以前の10.xのバージョン WindowsとMacintosh用Adobe Acrobat 9.4.6とそれ以前の9.xのバージョン

<詳細>
Adobe Acrobatは、Adobeシステムが開発したアプリケーションソフトウェアス イートで、一般に広く用いられているものだ。ユーザーがこのアプリを使えば、 同じく一般に広く用いられているPDF(Portable Document Format)のファイル を閲覧、作成、および、操作できるようになる。このほど、Adobe Readerと Adobe Acrobatに、同アプリがU3Dデータを処理する方法にある詳細不明なエラー が原因で生じるメモリ崩壊の脆弱性が確認された。攻撃者は、悪意のあるファ イルを開くようにターゲットを仕向けることができれば、この脆弱性を悪用し、 ターゲットのマシン上で任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのアドバイザリ
http://www.adobe.com/support/security/advisories/apsa11-04.html
Adobe ReaderについてのWikipediaの説明
http://en.wikipedia.org/wiki/Adobe_reader
ベンダーのサイト http://www.adobe.com/
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。