NRI Secure SANS NewsBites 日本版

Vol.6 No.8 2011年2月22日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.8 2011年2月22日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
NCIC 2011 4月18-19日 ワシントンDCにて開催!
セキュアクラウドコンピューティングや新しいFISMAの継続的モニタリングに
ついて、ケーススタディなどが盛り込まれたナショナルサイバーセキュリティ
イノベーションカンファレンス(NCIC)が開催される。NCIC 2011は、セッショ
ンのほとんどが全てのユーザーで構成されるユニークなカンファレンスである。
今回は、組織がFISMAの報告書作成業務から継続的なモニタリング業務へとど
のように移行していったか、また、クラウドコンピューティングの安全性をど
のように高めていったかを学習することができる。セッションに組み込むのに
値するようなケーススタディをお持ちの方は、 apaller@sans.org までご一報
を。詳細はこちら:
http://www.sans.org/cyber-security-innovations-2011/

■■SANS NewsBites Vol.13 No.12-13
(原版:2011年2月11日、2月15日配信)

◆サイバー攻撃 石油・ガスの多国籍企業をターゲットに (2011.2.10)
McAfeeの報告書によると、少なくとも大規模な石油・ガスの企業5社が、「ナ
イトドラゴン」と称される一連のサイバー攻撃のターゲットになっている。攻
撃の動機は産業スパイ活動にあるようで、2009年にGoogleに対しての攻撃ほど
高度なものではないもののそれに類似している。サイバー侵入者は、中国から
その活動を行っているようだ。彼らは、米国やオランダにコントロールサーバ
を設置し、それらを使って、カザフスタン、台湾、ギリシャ、米国にあるコン
ピュータシステムへのアクセス遂行を支援していた。問題の攻撃で、ガスや石
油の現場生産システムや現場調査に関連した財務文書、石油やガスのリースの
入札、産業コントロールシステムなどに関する情報を収集しようとしていたよ
うだ。McAfeeは、企業内でその脆弱性を修正したが、業務に取りかかる前に交
わした機密保持契約にのっとり、その脆弱性の詳細は明かさない見込みである。
問題の攻撃は、少なくとも2009年末まで確認されており、4年も前から始まっ
ていた可能性もあるという。ほか、エネルギー企業7社が攻撃のターゲットに
なっているという証拠も出てきた。The Christian Science Monitorが行った
1年前の報告によると、Marathon Oil、ExxonMobil、および、ConocoPhillips
が、入札データの侵害を受けていたという。つまり、サイバー攻撃自体は2008
年に発生していたものの、FBIが2008年と2009年に「企業の機密情報がシステ
ムから流出している」と知らせるまで、企業はその事実を知らなかったことに
なる。
http://www.nytimes.com/2011/02/10/business/global/10hack.html
http://www.scmagazineuk.com/mcafee-cto-warns-of-new-combined-threat-named-night-dragon/article/196043/
http://latimesblogs.latimes.com/technology/2011/02/chinese-hackers-targeted-oil-companies-in-cyberattack-mcafee-says.html
http://news.cnet.com/8301-30685_3-20031291-264.html
http://www.theregister.co.uk/2011/02/10/night_dragon_cyberespionage/
2010年1月のChristian Science Monitorのストーリー:
http://www.csmonitor.com/USA/2010/0125/US-oil-industry-hit-by-cyberattacks-Was-China-involved

【編集者メモ】(Schultz)
「ベストプラクティス」を導入したと宣言しているような組織などを含め、多
くの場合、組織は大規模かつ持続的な攻撃に脆弱である。この事実には、決し
て驚かない。
────────────────

◆電子フロンティア財団(EFF)と米国自由人権協会(ACLU) ウィキリークスに
関するTwitterのデータを求める (2011.2.8-9)
Birgitta Jonsdottirに成り代わって活動している2つの公民権擁護団体は、米
国政府が、ソーシャルネットワーキングサイト(Twitter)上で、Birgitta
Jonsdottirが誰とやりとりを行ったかに関する情報を提出するようにTwitter
に要求している件に対し、異議を唱えている。Birgitta Jonsdottirは、アイ
スランド議会の議員であるほか、元ウィキリークスの共同経営者でもある。ま
た、電子フロンティア財団(EEF)と米国自由人権協会(ACLU)は、ウィキリー
クスに関係のあるJacob Appelbaumと Rop Gonggrijpの2人についての、同様な
情報の開示を阻止する意向でもあるようだ。
http://www.wired.com/threatlevel/2011/02/groups-challenge-twitter-probe/
http://www.msnbc.msn.com/id/41491606/ns/technology_and_science-security/
────────────────

◆英国報道苦情処理委員会の決定:ツイッター利用者にプライベートはない
(2011.2.8-9)
英国報道苦情処理委員会(PCC)の決定によれば、ツイッターのメッセージはプ
ライベートなものではないという。このケースは、運輸省職員のSarah
Bskervilleのつぶやきが2つの全国紙に引用されたことに焦点があてられてい
る。これに対しBaskervilleは、自身のつぶやきは700人のフォロワーだけがア
クセスできるようになっていると想定することが妥当であるとして異議を申し
立てているが、PCCは、つぶやきの公共性を考えると潜在的に存在する彼女の
聴衆の人数は、フォロワーの一団よりも大幅に多いだけでなく、彼女はツイッ
ターのプライバシー設定には一切オプトインしていなかった。と言及している。
公民権擁護監視団体のメンバー、Big Brother Watchは、インターネットに掲
示されているものは誰でも読めるし、それを再掲示することもできることなど、
ほとんどの人間にとってわかりきったことであるため、ケースの審理がここま
で進んだこと自体に驚いているという。
http://www.itpro.co.uk/630856/twitter-posts-not-private-pcc-says
http://thefrontline.v3.co.uk/2011/02/twitter-posts-pcc-tweets-privacy-work-department-of-transport-ruling-n.html
http://www.wired.com/epicenter/2011/02/uk-tweets-are-public-info/
【編集者メモ】(Northcutt)
賢明な決定が下ったのは喜ばしいことだ! 何かひっかかることがあるなら、
www.google.com/realtimeをチェックしよう。
────────────────

◆Stuxnetには5つのターゲット (2011.2.11-14)
Symantecの報告によると、Stuxnetワームは、イラクの5つの産業施設を攻撃す
るように設計されていたという。問題の攻撃は、感染した10台のマシンから仕
掛けられ、その後1万2,000件の感染をもたらし、10カ月という期間をかけて実
行された。研究者らによると、Stuxnetは感染したマシンの種類やその位置情
報を保存する構造になっていたという。
http://www.theregister.co.uk/2011/02/14/stuxnet_targeted_5_factories/
http://www.nytimes.com/2011/02/13/science/13stuxnet.html?ref=science
http://www.computerworld.com/s/article/9209160/Stuxnet_struck_five_targets_in_Iran_say_researchers?taxonomyId=82
http://www.wired.com/threatlevel/2011/02/stuxnet-five-main-target/
http://www.wired.com/images_blogs/threatlevel/2011/02/Symantec-Stuxnet-Update-Feb-2011.pdf
http://www.informationweek.com/news/security/attacks/showArticle.jhtml?articleID=229218562&subSection=Security

【編集者メモ】(Northcutt)
実際には、Symantecの記事から直接このトピックを読んだ方がよいだろう。
http://www.symantec.com/connect/blogs/updated-w32stuxnet-dossier-availablehttp://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf
────────────────

◆Bank of America ウィキリークスの口封じ計画への関与を否定 (2011.2.11)
Bank of America(BofA)の広報は、「不利な立場に陥る可能性がある米国の大
手銀行についての文書を、ウィキリークスやJulinan Assnageが公開するのを
食い止めるための積極的な方策については知らないだけでなく、そのような提
案には全く興味はない」と述べた。問題となっている提案および関連のあるメー
ルが、先日インターネットに掲示されたが、ハッカー集団、Anonymousによっ
てHBGaryから盗み出されてしまったようだ。その文書には、米国のある法律事
務所と情報機関3社が、Assangeやウィキリークスに不利な情報を公表させない
ようにしようという、BofAの活動を支援していたことが示されている。
http://content.usatoday.com/communities/technologylive/post/2011/02/bofa-denies-connection-to-proactive-tactics-to-silence-wikileaks/1
────────────────

◆Firefox 4のベータに 「追跡禁止」技術が組み込まれる (2011.2.10)
Mozillaは、Firefox 4の11番目のベータ版をリリースした。これには、先月発
表された「追跡禁止」機能が含まれている。この機能を有効にすれば、HTTPペー
ジリクエストはそれぞれ、「ユーザーが追跡されたくない」ことをサイトに知
らせる情報を受け取ることになる。Mozillaは、Firefoxのベータ版をもう1つ
計画しており、最終版は今月末までにリリースする見込みだ。
http://www.computerworld.com/s/article/9208944/Mozilla_adds_Do_Not_Track_to_newest_Firefox_4_beta?taxonomyId=84

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他の近日開催予定のセミナー
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月23日(水)・3月2日(水)<東京汐留>
情報資産識別・管理ソリューションミーティング
~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label01.html?xmid=37&xlinkid=05
------------------------------------------------------------------------
○2011年2月24日(木)・3月15日(火)<東京汐留>
事例から学ぶ特権ID管理実践セミナー
~特権ID管理と監査ログ管理を短期・安価で実現する
エージェントレスソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/ac01.html?xmid=37&xlinkid=06
------------------------------------------------------------------------
○2011年3月3日(木)<東京丸の内>
今できるeディスカバリの為の情報管理セミナー
~情報システム視点での事前対策の提言~
http://www.nri-secure.co.jp/seminar/2011/0303.html?xmid=37&xlinkid=07
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年2月11日 Vol.10 No.7)

<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    6 (#2)
Microsoft Office                1
Other Microsoft Products            3
Third Party Windows Apps            1
HP-UX                     1
Novell                     1
Cross Platform                21 (#1,#3)
Web Application - Cross Site Scripting     3
Network Device                 2
======================================================================
1.危険度【高】:Adobe Reader、Acrobat、および、Flash Playerにさまざま
な脆弱性

<影響のある製品>
Flash Player 10.2.152.21より前のバージョン
Adobe ReaderおよびAcrobat 9.4.2より前のバージョンと10.0.1

<詳細>
Adobeは、同社製のReader、Acrobat、および、Flash Player製品にあるさまざ
まなセキュリティの脆弱性を修正できるパッチをリリースした。これらの製品
全てが広範で使用されており、Webでマルチメディアを閲覧するのに使われて
いる。詳細不明の脆弱性がいくつかあるほか、脆弱性の多くは、画像や3D画像
を解析するAdobeのコードに関係があるようだ。これらのプログラムの特性を
踏まえると、攻撃者がこれらの脆弱性を悪用してターゲットのマシンにある任
意のコードを実行するためには、ターゲットを、悪意のある文書を閲覧するよ
うに仕向けなければならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/bulletins/apsb11-03.html
http://www.adobe.com/support/security/bulletins/apsb11-02.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-065/
http://www.zerodayinitiative.com/advisories/ZDI-11-066/
http://www.zerodayinitiative.com/advisories/ZDI-11-067/
http://www.zerodayinitiative.com/advisories/ZDI-11-068/
http://www.zerodayinitiative.com/advisories/ZDI-11-069/
http://www.zerodayinitiative.com/advisories/ZDI-11-070/
http://www.zerodayinitiative.com/advisories/ZDI-11-071/
http://www.zerodayinitiative.com/advisories/ZDI-11-072/
http://www.zerodayinitiative.com/advisories/ZDI-11-073/
http://www.zerodayinitiative.com/advisories/ZDI-11-074/
http://www.zerodayinitiative.com/advisories/ZDI-11-075/
http://www.zerodayinitiative.com/advisories/ZDI-11-077/
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/46186
http://www.securityfocus.com/bid/46187
http://www.securityfocus.com/bid/46188
http://www.securityfocus.com/bid/46189
http://www.securityfocus.com/bid/46190
http://www.securityfocus.com/bid/46191
http://www.securityfocus.com/bid/46192
http://www.securityfocus.com/bid/46193
http://www.securityfocus.com/bid/46194
http://www.securityfocus.com/bid/46195
http://www.securityfocus.com/bid/46196
http://www.securityfocus.com/bid/46197
http://www.securityfocus.com/bid/46198
http://www.securityfocus.com/bid/46199
http://www.securityfocus.com/bid/46200
http://www.securityfocus.com/bid/46201
http://www.securityfocus.com/bid/46202
http://www.securityfocus.com/bid/46204
http://www.securityfocus.com/bid/46206
http://www.securityfocus.com/bid/46207
http://www.securityfocus.com/bid/46208
http://www.securityfocus.com/bid/46209
http://www.securityfocus.com/bid/46210
http://www.securityfocus.com/bid/46211
http://www.securityfocus.com/bid/46212
http://www.securityfocus.com/bid/46213
http://www.securityfocus.com/bid/46214
http://www.securityfocus.com/bid/46216
http://www.securityfocus.com/bid/46217
http://www.securityfocus.com/bid/46218
http://www.securityfocus.com/bid/46219
http://www.securityfocus.com/bid/46220
http://www.securityfocus.com/bid/46221
http://www.securityfocus.com/bid/46222
http://www.securityfocus.com/bid/46251
http://www.securityfocus.com/bid/46252
http://www.securityfocus.com/bid/46254
http://www.securityfocus.com/bid/46255
http://www.securityfocus.com/bid/46257
http://www.securityfocus.com/bid/46282
http://www.securityfocus.com/bid/46283
────────────────

2.危険度【高】:Microsoft Officeにさまざまな脆弱性

<影響のある製品>
Microsoft Excel 2007
Microsoft PowerPoint 2007

<詳細>
Microsoftは、Microsoft Officeにあるさまざまな脆弱性の情報を開示した。
これらの脆弱性は、Microsoftによって秘密裏にパッチが適用されていた可能
性が高いが、これに関しての情報は今のところ入手できていない。これらの脆
弱性は全て、Microsoft Officeのファイルを正しく解析できないことが原因で
引き起こされる。また、これらの脆弱性を攻撃者が悪用するには、悪意のある
ファイルを閲覧するようにターゲットを仕向けなければならない。これができ
れば、攻撃者はターゲットのマシンに任意のコードを実行できる。1つ目の欠
陥は、Excelがユーザーの提供するファンクションポインタを信頼しているた
めに引き起こされる。2つ目の欠陥は、不正形式のOffice Artの記録に関する
エラーを表示しようとする最中に、Excelが不正形式の記録にアクセスしよう
とするために発生する。3つ目の欠陥はバッファオーバーフローの脆弱性であ
り、これは固定長のバッファにデータ(アタッカーがコントロールするデータ)
をコピーするコードにエラーが生じることが原因で引き起こされる。4つ目の
欠陥は、use-after-freeの脆弱性で、Officeの描画の解析を行うコードにある。
最後の欠陥は、Office Artのcontainerにあるオブジェクトを削除するときに
PowerPointが存在しないメソッドにアクセスすることが原因で生じる。

<現状>
ベンダーはこの問題を認めているが、更新をリリースしていない。

<参考>
ベンダーのサイト
http://www.microsoft.com
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-040/
http://www.zerodayinitiative.com/advisories/ZDI-11-041/
http://www.zerodayinitiative.com/advisories/ZDI-11-042/
http://www.zerodayinitiative.com/advisories/ZDI-11-043/
http://www.zerodayinitiative.com/advisories/ZDI-11-044/
────────────────

3.危険度【高】:RealNetworks Real Playerの予測可能な名前の一時ファイル
にリモートのコード実行の脆弱性

<影響のある製品>
Real Networks RealPlayer 1.0 - 1.1.5
Real Networks RealPlayer 11.0 - 11.1
Real Networks RealPlayer Enterprise 2.0 - 2.1.4
Real Networks RealPlayer 14.0.0 - 14.0.1

<詳細>
Real Networksは、同社製のクロスプラットフォームのマルチメディアプレー
ヤー、Real Playerにパッチをリリースした。Real Playerは一時ファイルを利
用して、再生しているメディアファイルの内部情報を記憶するようになってい
る。しかし、これらのファイルは予測可能なファイル名で保存されているため、
攻撃者はその名前を予想してReal Playerにあるファイルを解析し、コントロ
ールしているコードを実行できるようになってしまう。攻撃者がこの脆弱性を
悪用するには、悪意のあるファイルを閲覧するようにターゲットを仕向けなけ
ればならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.real.com
RealNetworksのセキュリティアップデート
http://service.real.com/realplayer/security/02082011_player/en/
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-076/
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/46285
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。