NRI Secure SANS NewsBites 日本版

Vol.6 No.52 2011年12月28日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.52 2011年12月28日発行
**********************************************************************

■編集局より

本号にて、今年最後のNRI Secure Security Informationとなります。
当メールニュースにお付き合いいただき、誠にありがとうございました。
残すところ三日となった2011年ですが、情報セキュリティに関して大きな出来 事や新たな兆候が明らかになった年でした。
2012年も、皆様のお役に立つ情報をご案内して参ります。
来年もSANS JAPAN、NRIセキュアをよろしくお願いいたします。

■■SANS NewsBites Vol.13 No.99-100
(原版:2011年12月17日、12月21日)

◆米国国防総省の2012年資金法案でサイバー攻撃が可能に (2011.12.14-15)
米国国防総省の2012年資金法案には、サイバー領域で相手に攻撃を仕掛ける権 限を軍に付与する条項が織り込まれている。この条項は、下院議会版の同法案 には含まれていたが、上院議会版には含まれていなかった。しかし、両院版を 融和して作成した最終版には、この条項が出現している。同法案は、あまり具 体的な記述はないものの、「Stuxnetのようなマルウェアのリリースを行う」 などの、行動についての説明が盛り込まれることになりそうだ。その例として は、DDoS攻撃によってWebサイトを停止させること、テロリストが情報共有の 場として活用しているオンラインフォーラムを無効にすることなどが考えられ る。同法案の文言では、「国防総省に攻撃能力があり、大統領の命令があれば、 サイバー空間で攻撃作戦を実行してもよい。と、議会は認める」とある。さら に「米国政府の役割が明確ではない場合や、その役割が一般的に広く認められ ない場合などの特定の場合においては、サイバー上で攻撃的軍事行動を始める ことが、脅威に対処し、米国や同盟国軍を守るための最も効果的な方法になり うる」と続けられている。

http://www.wired.com/threatlevel/2011/12/internet-war-2/
http://www.sdtimes.com/blog/post/2011/12/15/US-readies-itself-for-cyber-war.aspx

────────────────

◆特定の産業用制御PLCに、ハードコーディングされたパスワードの隠しアカウント (2011.12.13-14)
米国の産業用制御システムコンピューター緊急事態対策チーム(ICS-CERT)は、 チームの管理下にあるマシンが遠隔制御で悪用される可能性があると、SCADA システムのコンポーネントにある脆弱性について警告を発した。Modicon社の Quantum PLCのいくつかのバージョンは、リモートでのアクセスを可能にする 隠しアカウントが複数あり、これらのアカウントのパスワードは、ハードコー ディングされている。PLCの制作者であるSchneider Electricは、この問題の 修正を発行し始めたところだ。また、ICS-CERTも全般的な警告を作成し、発電 所や浄水場の運営者らに対し、使用しているシステムに脆弱性がないかどうか を監査するように求めていく意向だ。ハッカーらは、インターネットで簡単に 入手できるツールを使用して、脆弱なシステムを探し出すという。

http://www.informationweek.com/news/security/government/232300433
http://www.theregister.co.uk/2011/12/14/scada_bugs_threaten_criticial_infrastructure/
http://www.h-online.com/security/news/item/Backdoors-in-industrial-control-systems-1395141.html
http://gcn.com/Articles/2011/12/13/DHS-warns-US-water-power-plants-hacked.aspx?Page=2&p=1

【編集者メモ】(Pescatore)
これ以上に報道される価値のあるニュースとは、半分「隠ぺい」するセキュリ ティに依存することによって、過去20年間、ひどい脆弱性が「無かった」SCADA やプロセスコントロールソフトウェアのニュースであろう。

────────────────

◆Carrier IQの幹部 連邦取引員会および連邦通信委員会の関係者らと対談(2011.12.13-14)
Carrier IQは、同社の技術がどのようなものかを明確に説明した文書を発行し た。同社は、回線業者が顧客の携帯電話から収集できる情報(225個以上)を 示すリストも、この文書に併せて掲載している。Carrier IQは、同社のソフト ウェアが、テキストメッセージをいくつか保存していることを認めたが、その 内容は読取不可能な形式で保存されているという。携帯電話で通話中にSMSメッ セージを受信した際は、このソフトウェアにあるバグによって、そのメッセー ジが保存されるようになっていた。この問題のバグはすでに修正されている。
同社の文書では、同ソフトウェアがユーザーのキーストロークを記録していた という疑いについても言及しており、それによると、「携帯電話が顧客に販売 された際、携帯電話メーカーのソフトウェアのデバッグ機能がオンのままになっ ていた場合に限って発生していた現象だ」という。Carrier IQの幹部は、同社 製のソフトウェアが何を行うものなのかを明確に説明し、関係者らからの質問 には全て答えるため、連邦通信委員会(FCC)と連邦取引委員会(FTC)の関係者ら とも話を交わしている。連邦取引委員会がCarrier IQに対する調査を行ったと いう噂については、確認がとれていない。また、それに対する否定もない。
Carrier IQのマーケティング部長Andrew Cowardによれば、同社は、ここ数週 間で多くの貴重な教訓を学んだという。Cowardは、プライバシー問題を公開し た研究者に対して停止命令を使うべきではなかったと述べ、このような問題が 浮上した場合に、オープンで率直であることの意義についても語っている。

http://www.computerworld.com/s/article/9222637/Carrier_IQ_moves_to_allay_fears_of_its_tracking_software?taxonomyId=17
http://www.h-online.com/security/news/item/Carrier-IQ-finds-bug-that-has-been-saving-SMS-texts-1394601.html
http://www.washingtonpost.com/business/technology/carrier-iq-bug-made-some-keypresses-message-data-accessible/2011/12/13/gIQAWmPVsO_story.html
http://www.wired.com/threatlevel/2011/12/carrieriq-ftc-fcc/
http://www.washingtonpost.com/business/economy/feds-probing-carrier-iq/2011/12/14/gIQA9nCEuO_story.html?tid=pm_business_pop
http://news.cnet.com/8301-1009_3-57343272-83/carrier-iq-exec-says-company-has-learned-lessons/?tag=txt;title

────────────────

◆イランのエンジニア GPSハッキングで無人航空機を操って着陸させる(2011.12.15)
クリスチャン・サイエンス・モニター誌の記事によると、イランで先日捕捉さ れた米国軍の無人航空機は、GPSスプーフィング攻撃を介して同国内に計画外 で着陸させられた可能性があるという。この件に関し、匿名のイラン人エンジ ニアが、「ナビゲーションの弱点を利用してこの無人航空機を操り、アフガニ スタンのカンダハールにある米軍基地で着陸態勢に入ったと思い込ませてイラ ンに着陸させた」と述べたと伝えられている。問題の航空機は、RQ-170センチ ネルだ。イランの関係者らは、2011年12月8日に無人航空機の写真を公開して いる。

http://www.csmonitor.com/World/Middle-East/2011/1215/Exclusive-Iran-hijacked-US-drone-says-Iranian-engineer-Video
http://www.theregister.co.uk/2011/12/15/us_spy_drone_gps_spoofing/
http://www.computerworld.com/s/article/9222728/Iran_tricked_U.S._spy_drone_into_landing_in_country_report_says?taxonomyId=82

────────────────

◆エクスプロイトコード クロスサイトスクリプティング攻撃を「持続的な状態」に増加させる (2011.12.16)
インターネットに掲示されたコードが、クロスサイトスクリプティング(XSS) 攻撃に使用され、フィッシングを行って有益な機密情報をだまし取る際に用い られている可能性がある。このエクスプロイトコードを掲示したのは、アメリ カンエクスプレスのサイトのデバッギングツールにXSSの欠陥を見つけた人物 と同一である。彼の主張は「XXS攻撃を用いてクッキー以上のものを収穫する ことが可能であること、持続的ではないXSSを持続的な状況に変えられること」 を、自身の作成したコードが証明しているというものである。このコードは、 自己認識を行い、感染したマシンを使用しているユーザーが訪問したWebサイ トのすべてのリンクを感染させ、ユーザーがさまざまなページを進んでいく際 に、自身で情報を収集できるようにするものだ。しかし、この技術に関しては、 かなり前から知られていることから、「自分が創造した」という彼の主張を疑 う声もある。このコードによるXSS攻撃が、他のほとんどの攻撃と比べて危険 度が高いと認識していることから、このハッカーは、オンラインバンキングの Webサイトのセキュリティ改善の必要性を実証するためにこのコードを掲示し たと述べている。

http://www.theregister.co.uk/2011/12/16/potent_xss_script/

【編集者メモ】(Murray) Register(ニュース記事の掲載元)は、なぜ、この「セキュリティ研究者」を 「ハッカー」と特徴付けることにしたのだろうか。Registerはようやく、正し く用語を使うことが重要だということを理解しつつあるのだろうか?だからこ そ、私は、「ナルシストな脆弱性のポン引き」という呼び方の方が似つかわし いと思う。

────────────────




━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1/20(金)・2/15(水)・3/7(水)       <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=300&xlinkid=02

○1/25(水)・2/24(金)           <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=300&xlinkid=04

○2/10(金)                <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中の調査資料(閲覧無料)           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「企業における情報セキュリティ実態調査2011」を無償公開中
http://www.nri-secure.co.jp/news/2011/1213_report.html?xmid=300&xlinkid=05
 ※閲覧にはID、PASSが必要となります。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中の試用版(ダウンロード・試用無料)     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○メール誤送信防止ソリューション「SecureCube / Mail Adviser」
 30日間評価版【無料】
http://www.nri-secure.co.jp/service/cube/mailadviser_dl.html?xmid=300&xlinkid=06

○情報資産の識別・管理ソリューション「SecureCube / Labeling Personal」
 Version1.3.2.7【無料】
http://www.nri-secure.co.jp/service/cube/labeling_dl.html?xmid=300&xlinkid=07
※SecureCube / Labeling Standardのクライアントをベースとした、フル機能ご利用可能な60日評価版別途お問い合わせ下さい。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年12月16日 Vol.10 No.51)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
5 (#2)Microsoft Office
5
Other Microsoft Products
2
Third Party Windows Apps
3
Linux
2
Cross Platform
5 (#1)Web Application - Cross Site Scripting
2
Web Application
1
Hardware
1
======================================================================
1.危険度【高】:Adobe Readerに詳細不明な脆弱性

<影響を受ける製品>
Adobe Reader X (10.1.1) までのバージョン
Adobe Reader 9.4.6 までのバージョン

<詳細>
研究者らは、Adobe Readerに、詳細不明でパッチも未適用の脆弱性を特定した という。彼らは、このエクスプロイトを実証した動画も掲示している。悪意の あるファイルを閲覧するようにターゲットを仕向けることができれば、攻撃者 は、これらの脆弱性のどちらかを使用してターゲットのマシン上で任意のコー ドを実行できるようになる。

<現状>
ベンダーはこの問題を認めておらず、更新もリリースしていない。

<参考>
ベンダーのサイト
http://www.adobe.com

Neohapsisのアーカイブス
http://archives.neohapsis.com/archives/dailydave/2011-q4/0081.html
────────────────

2.危険度【高】:Microsoftのさまざまな製品にセキュリティの脆弱性

<影響を受ける製品>
Excel 2003 Service Pack 3
Mac用Office 2004
Office 2007 Service Pack 1、2、3
PowerPoint 2007 Service Pack 2
PowerPoint 2010
Publisher 2003 Service Pack 2と3
Windows 7 Server Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2008 Service Pack 2
Windows Vista Service Pack 2
Windows XP Media Center Edition 2005 Service Pack 3
Windows XP Service Pack 2と3

<詳細>
Microsoftは、さまざまな製品に影響を及ぼすセキュリティの脆弱性に対する パッチをリリースした。Microsoft Publisher 2003にはパッチが適用され、 Publisherのファイル解析を行うコードにある4つの脆弱性に対する対処が行わ れた。問題となっていたのは、上書き機能の脆弱性、配列添え字がその配列の 次元境界外になる脆弱性、不正形式ポインタの脆弱性、および、詳細不明なメ モリ崩壊の脆弱性である。Microsoft Wordのパッチは、Wordファイルの処理を 行うコードにあるuse-after-freeの脆弱性に対処している。また、Microsoft Timeには、詳細不明なセキュリティの脆弱性に対処するパッチが適用された。 OLEのパッチは、詳細不明な脆弱性に対するものである。Microsoft PowerPointには、特別に細工されたPowerPointファイル内のOffice Art Shapesに存在する詳細不明な脆弱性に対処するパッチが適用された。Windows 自体については、TrueTypeフォントの処理を正しく行うことができるようにす るパッチが適用された。Microsoft Excelは、その記録処理に存在する詳細不 明な脆弱性に対処するパッチが適用された。Windows Media Player DVR-MSは、 dvr-ms(Microsoft Digital Video Recording)ファイルの処理にある詳細不明 な脆弱性に対処するパッチが適用された。Microsoft Timeのコンポーネントを 除く全ての脆弱性は、悪意のあるファイルを閲覧するようにターゲットを仕向 けられれば、悪用が可能になる。Microsoft Timeのコンポーネントの脆弱性は、 悪意のあるWebサイトを閲覧するようにターゲットを仕向けられれば、悪用が 可能になる。攻撃者は、これらの脆弱性のどれかを悪用すれば、ターゲットの マシン上で任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com

Microsoftのセキュリティの脆弱性
http://technet.microsoft.com/en-us/security/bulletin/ms11-087
http://technet.microsoft.com/en-us/security/bulletin/ms11-088
http://technet.microsoft.com/en-us/security/bulletin/ms11-089
http://technet.microsoft.com/en-us/security/bulletin/ms11-091
http://technet.microsoft.com/en-us/security/bulletin/ms11-092
http://technet.microsoft.com/en-us/security/bulletin/ms11-094
http://technet.microsoft.com/en-us/security/bulletin/ms11-096
http://technet.microsoft.com/en-us/security/bulletin/ms11-097

Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-346/
http://www.zerodayinitiative.com/advisories/ZDI-11-347/

SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/50090
http://www.securityfocus.com/bid/50943
http://www.securityfocus.com/bid/50949
http://www.securityfocus.com/bid/50950
http://www.securityfocus.com/bid/50954
http://www.securityfocus.com/bid/50955
http://www.securityfocus.com/bid/50956
http://www.securityfocus.com/bid/50964
http://www.securityfocus.com/bid/50967
http://www.securityfocus.com/bid/50972
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。