NRI Secure SANS NewsBites 日本版

Vol.7 No.40 2012年10月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.40 2012年10月16日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.80-81
(原版:2012年10月5日、10月9日)

■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□■          いまなら、早期割引料金にて、申込受付中!
■――――――――――――――――――――――――――――――――――
            世界最高レベルの情報セキュリティトレーニングを東京で!

               >>> SANS Tokyo 2012 <<<

              http://sans-japan.jp/training/event.html

      ▼11/5(水)~11/10(土)≪Webアプリケーションペンテスター必須コース≫
        【SEC542】SANS Web App Penetration Testing and Ethical Hacking

      ▼11/5(水)~11/9(金)≪ネットワークフォレンジックの最上位コース≫
        【FOR558】SANS Network Forensics

        ※当コースお申し込みの方は、もれなくボーナスセッション
          「Attacking and Defending the Smart Grid」も受講可能!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆銀行に対するDDos攻撃 さまざまなテクニックが用いられる (2012.10.3)
少なくとも米国の銀行6行のWebサイトを最近標的にしていたDDOS攻撃では、い くぶん高度なテクニックが用いられている。しかし、Stuxnetと同じような脅 威を与えているわけではない。以前、DDos攻撃では、過剰な通信をしかけて標 的を圧倒するという手法のみが用いられていたが、今回の、銀行のWebサイト に対する攻撃では、トラフィックデータの送信にさまざまな手法がとられてい るため、防御が難しくなっている。この記事に関連してインタビューを受けた セキュリティの専門家の中には、いくつかの報告書で「これらの攻撃にイラン が関係している」と指摘されている件に関し、「確かな証拠はない」と述べて いる。

http://arstechnica.com/security/2012/10/DDos-attacks-against-major-us-banks-no-stuxnet/
http://arstechnica.com/security/2012/10/DDos-attacks-against-major-us-banks-no-stuxnet/
【編集者メモ】(Pescatore)
ここ数年で、深刻なDDos攻撃では、さまざまな技術が組み合わされて用いられ るようになった。中小規模のISPやホスティング業者の多くは、この進歩につ いていくことができない。しかし一方で、大手ISPや、DDos攻撃の影響軽減に 専門特化したサービスでは、素晴らしい効果があがっているようだ。
【編集者メモ】(Murray)
オープンなDDos攻撃を、国家支援のもとで内密で行われた悪意のあるコードを 実行する攻撃と比較すれば、攻撃の精巧度、攻撃者がアマチュアかプロか、悪 党によるものか国家によるものかを間接的に尋ねることになる。このニュース でより重要な要素と言えるのは、侵害されたエンドユーザーのシステムという よりは、むしろ、侵害されたサーバーに依存して攻撃が行われていることであ る。
【編集者メモ】(Northcutt)
2005年頃は、恐喝を伴うDDos攻撃の事例が続発していた。実際今は、どうなっ ているのだろう。
http://features.techworld.com/security/1452/extortion-via-DDos-on-the-rise/

────────────────

◆米国FTC(連邦取引委員会) 技術サポート詐欺のスキームを厳しく取り締まる (2012.10.3-4)
米国FTC(連邦取引委員会)は、技術サポート詐欺のスキームに関わっていたと みられる企業14社を告訴した。この詐欺では、技術サポートセンターの職員を 装う者が、コンピュータのユーザーに電話をかけて「技術サポートセンターで、 あなたのコンピュータがウィルスに感染していると検知した」と告げ、実際に は存在していないウィルスやマルウェアを駆除するという名目でアンチウィル スを売りつけるなどの詐欺活動が行われていた。また、他のケースでは、「あ なたのコンピュータは感染している」という警告をユーザーに発する広告を通 じて、ユーザーを誘い込むという手法がとられている。ユーザーは罠に嵌って しまった後、電話をかけた人間に自分のマシンのリモートアクセスを与えるよ うに指示され、この一連のプロセスに対して課金されていた。米国地方裁判所 判事は、このスキームに関連した企業の資産を凍結している。FTCは、6つのス キームに関わっていた問題の被告企業14社、および個人の被告17人に対し、苦 情申し立ての訴えを起こしている。


http://www.informationweek.com/security/privacy/ftc-disconnects-tech-support-telemarketi/240008480
http://www.computerworld.com/s/article/9231996/FTC_hits_scary_tech_support_scammers_that_make_virtual_mayhem_?taxonomyId=82
http://arstechnica.com/tech-policy/2012/10/hello-im-definitely-not-calling-from-india-can-i-take-control-of-your-pc/

────────────────

◆裁判所判事 スケアウェアスキームの首謀者に1億6,300万ドルの罰金を科す(2012.10.2-3)
連邦裁判所は、「大規模なスケアウェアスキーム」の首謀者であるKristy Rossに、1億6,300万ドルの罰金を課した。米国地方裁判所判事のRichard D. Bennettは、FTC(連邦取引委員会)の苦情申し立ての訴えを受けて、今回、この 判決を下すこととなった。この判決によって、Rossは、「消費者のコンピュー タ利用を妨げる」セキュリティソフトウェアやその他のソフトウェアのマーケ ティング・販売への関与を永久に禁じられることとなる。Ross、および、その 他4人の被告は、「広告を用いて、セキュリティソフトウェアだとうたってい るものを購入させる」という2つの事業を営んでいた。前述の4人の被告は、す でに、FTCと和解している。

http://www.informationweek.com/security/vulnerabilities/fake-antivirus-ringleader-must-pay-163-m/240008388
http://www.bbc.co.uk/news/technology-19816710
http://www.computerworld.com/s/article/9231968/Scareware_defendant_fined_163M_in_FTC_suit?taxonomyId=203

【編集者メモ】(Murray)
FTCが、先導的役割を担っている。不正なビジネス手法は、どこで行われよう が、不正なビジネス手法である。FTCは、「このような不正ビジネスはインター ネットを悪用してユーザーを餌食にしている。したがって、対策を講じるため に特別法や特別な政府局は必要ない」ことをわかっている。

────────────────

◆米国議員 HuaweiおよびZTEと取引を行わないよう企業らに警告 (2012.10.8)
米国下院情報委員会の報告書原案で、米国の企業は、中国に技術会社、Huawei とZTEとの取引を控えるように推奨されている。原案によれば、これらの2社は 双方とも、「米国で引き続き事業拡大を行うことでセキュリティに大きな懸念 が生じる」と委員会が考えていることに対し、その懸念を和らげることはでき なかったという。アナリストらは、「これらの推奨事項は、セキュリティ上の 懸念を盾にして動機付けするのではなく、むしろ、政治を使って動機付けを行 う方がうまくいく場合がある」と述べている。これに対し、問題の2社は、 「わが社の製品はセキュリティ上の脅威をもたらすわけではない。また、私達 の製品によって、国家のセキュリティに対して脅威がもたらされると実証でき る確かな証拠はないように思える」と主張している。また、同報告書では、 「問題の2社が、米国市場での合併や買収を行うことを禁じる」ように推奨さ れている。一方で、なぜこの2社だけがこのような指摘を受け、他の外国企業 が同じ監視の対象にならないのかを疑問視する声もある。英国政府は、 「Huaweiのサイバーセキュリティ評価センターを通じて行われているテスト手 順は、十分に適正な内容である」と述べ、Huaweiを支持している。

http://www.wired.com/threatlevel/2012/10/chinese-telecoms-suspicious/
http://www.latimes.com/news/politics/la-na-pn-chinese-firms-20121007,0,2837618.story
http://www.h-online.com/security/news/item/US-law-makers-against-Huawei-and-ZTE-Update-1725144.html
http://www.computerworld.com/s/article/9232157/Politics_not_security_behind_Huawei_ZTE_allegations_say_analysts?taxonomyId=17
http://www.v3.co.uk/v3-uk/news/2215297/us-intelligence-committee-warns-of-threat-from-zte-and-huawei/page/1
http://www.zdnet.com/dont-trust-huawei-and-zte-us-congressional-committee-warns-7000005378/
http://www.bbc.co.uk/news/business-19867399
http://www.v3.co.uk/v3-uk/news/2215492/uk-government-stands-by-huawei-security-vetting-process-despite-us-concerns

【編集者メモ】(McBride)
世界各地の産業制御システムの資産所有者らは、Huaweiの足跡を感じとってい る。(必ずしも、ICSが同じように感じていたわけではないが。)その事例が、 ここに紹介されている:
www.energynusantara.com/wp-content/uploads/2012/02/Huawei-Smart-Energy-Solution.pdf
【編集者メモ】(Pescatore)
サプライチェーンが整合性を懸念するのは、もっともである。しかしながら、 グローバル経済を踏まえた長期的視野で見れば、「その企業に、出身国の政府 と結びつきがある」というデタラメな報告書に準じてこの問題に対処すべきで はないだろう。どの国も、外国のベンダーについて、同じ、もしくは反対の内 容の報告書を作成できる立場にある。長期的戦略としては、英国が現在取り入 れているテスト方法を、「企業の透明性」に関する明確な条件を設けて補強し、 それを始点としてスタートすることが必要だ。

────────────────

◆米国DHS(国土安全保障省) 「危険区域」で使えるサイバースキルを持つ職員を600人雇い入れる見込み (2012.10.5)
DHSのサイバースキルに関するタスクフォースが、概して米国内、そして特に DHS内に見られる、サイバースキルの重大な隔たりを埋めようと、11の手順で 構成されたロードマップを公表した。これに関連して、DHSのリーダーらは、 各手順を導入する目的で「タイガーチーム(訳注:特定の項目を検討する専門 家チーム)」を設けた。権威筋の報告書で、サイバースキルの不足が見られる 「危険区域」における職務内容が定義されたのは、これが初めてである。この 報告書には、タスクフォースの定義とともに、「システムを守るための実践的 なスキルがないにも関わらず、そのような人間をサイバーセキュリティ関連の 職務に就かせ続けた場合に、取らなければならない責任」についてのリストも 記載されている。また、タスクフォースは、「危険区域」で使えるスキルを持っ ている人間の供給を増やしていくための重要な措置として、「大学のサイバー セキュリティプログラムを通じて取り組みを積み重ねる」、「地域短期大学に、 新しい、かつ、集中的なファストトラックのプログラムを設ける」などの対策 を推奨事項としてあげ、その概観の説明も行った。タスクフォースの報告書は こちら:

https://www.dhs.gov/sites/default/files/publications/HSAC%20CyberSkills%20Report%20-%20Final.pdf
http://www.nextgov.com/cio-briefing/wired-workplace/2012/10/eleven-tips-building-stronger-cybersecurity-workforce/58564/?oref=ng-HPriver
http://www.federalnewsradio.com/473/3066466/DHS-urged-to-hire-600-cyber-ninjas
────────────────

◆研究者談:ハッカーら 大規模なオンラインバンキングでの窃盗(2012.10.5-8)
RSAの研究者らによると、「裏の情報」から、ハッカーらが、米国の30ほどの 金融機関のオンライン銀行口座に影響を及ぼすサイバー攻撃を計画しているこ とがうかがえるという。 この計画は、とある「サイバーシンジゲート」が、 ユーザーのコンピュータをトロイの木馬プログラムに感染させることを目的に 行うようだ。このトロイの木馬プログラムを使えば、攻撃者は、ライブのオン ラインバンキングのセッションを乗っ取り、未承認の電信送金を行えるように なる。伝えられるところによれば、この策略の黒幕らは、計画を手助けできる ボットマスターを100人募集しようと企んでいるという。

http://krebsonsecurity.com/2012/10/project-blitzkrieg-promises-more-aggressive-cyberheists-against-u-s-banks/
http://www.scmagazine.com/us-banks-could-be-bracing-for-wave-of-account-takeovers/article/262493/
http://www.computerworld.com/s/article/9232117/Cybercriminals_plot_massive_banking_Trojan_attack?taxonomyId=17
【編集者メモ】(Northcutt)
非常に恐ろしい話だ。同時に、株式取引で使われる全帯域の10%をも消費でき るほど十分に資金が宛がわれている株式取引用アルゴリズムに対し、警告を出 していることになる。eコマースでは、根本的な改革をいくつか行い、隠れ資 金を貯めようという考え方ができないようにする必要がある。
http://www.cnbc.com/id/49333454/

────────────────

■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□■            平成24年度経済産業省委託事業
■              『CTFチャレンジジャパン2012』

               参加申込受付中(10月19日〆)

             http://www.ctf-challenge.jp/index.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中の無料セミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月23日(火)・11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=01

○10月25日(木)・12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=02

○10月26日(金)・11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=03

○10月30日(火)・11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○10月30日(火)
 近時の企業不祥事のトレンドとその対応策
 ~スマートフォン&クラウドコンピューティング時代の不正対応~
http://www.nri-secure.co.jp/seminar/2012/pwc.html?xmid=300&xlinkid=05

○10月30日(火)
 ID管理のエキスパートが解説するIDアクセス管理事例紹介セミナー
http://www.nri-secure.co.jp/seminar/2012/1102.html?xmid=300&xlinkid=06

○11月2日(金)
 ID管理のエキスパートが解説するIDアクセス管理事例紹介セミナー
http://www.nri-secure.co.jp/seminar/2012/1102.html?xmid=300&xlinkid=07

○11月7日(水)
 従業員によるソーシャルメディアの炎上リスク 対策セミナー
 ~炎上事件の起こる理由と対策のポイント~
 ※近日、ホームページにて告知予定。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃出展予定のイベント                 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年10月24日(水)~26日(金)
 スマートフォン&モバイルEXPO【秋】 サイバートラストブース(9-31)
 端末認証サービス、端末管理サービスを紹介
https://www.cybertrust.ne.jp/news/121003.html

<紹介製品>
http://www.nri-secure.co.jp/service/mss/remotedeviceid.html?xmid=300&xlinkid=08
http://www.nri-secure.co.jp/service/mss/mdm.html?xmid=300&xlinkid=09


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修                <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=12

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年10月4日 Vol.12 No.40)

信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

==================================================================
■今週のトップの脆弱性
Adobeのコードサイニングのインフラが侵害され、有効なAdobe証明書を使って 署名されているように見えるマルウェアが世間で見つかっている。ユーザーが 「信頼できるソースから来たファイル」だと信じて実行してしまいかねない悪 意のあるファイルが、数千個存在していると考えられている。

==================================================================
◆Adobeのコードサイニング証明書 盗み出される

<詳細>
典型的な脆弱性ではないが、脆弱性には違いない。Adobeのコードサイニング のインフラが侵害され、有効なAdobeの証明書を使って署名されているように 見えるマルウェアが世間で見つかっている。ユーザーが「信頼できるソースか ら来たファイル」だと信じて実行してしまいかねない悪意のあるファイルが、 数千個存在していると考えられている。Adobeは2012年10月4日に、2012年7月 10日以降に署名されたコードを全て破棄する予定だ。本物のAdobeソフトウェ アには、影響はほとんどない、あるいは、一切ないとされている。

<参考>
http://blogs.adobe.com/asset/2012/09/inappropriate-use-of-adobe-code-signing-certificate.html
http://helpx.adobe.com/x-productkb/global/certificate-updates.html

<Snort SID>
64700、64702、64704

<ClamAV>
WIN.Trojan.Geeksmail、WIN.Trojan.Lanman2

────────────────

◆米国の銀行に対するDDos攻撃

この2週間で、サイバー攻撃によって、Wells Fargo、U.S. Bank、PNC Bank、 Bank of America、およびJPMorgan Chaseなどの米国の銀行のWebサイトが混乱 に生じた。「Izz ad-din Al qassamのサイバー戦士団」というグループが犯人 を名乗り、アラブ世界に暴動を巻き起こした問題の映画に対し、抗議を行う意 をあらわにしている。一方で、Joe Lieberman上院議員などの米国関係者は、 「実際には、イランがこの攻撃を支援している」とほのめかしており、「活動 グループに、Bank of AmericaやChaseなどの大手企業を停止に追いやる能力が あるとは思えない」とグループの能力を疑問視している。Sourcefire VRTには、 この攻撃の出所がどこであれ、攻撃に「itsoknoproblembro」というスクリプ ト(ステータスメッセージの表示がきっかけで、このように称されている)が使 用されていることを示す情報がある。この情報ははじめ、今年1月にPasteBin の掲示で明らかになった。

<参考>
http://betabeat.com/2012/09/iran-possibly-behind-operation-ababil-cyber-attacks-against-financial-institutions/
http://pastebin.com/yftgau9w
http://pastebin.com/5qHMEX5y

<Snort SID>
レートベースのプリプロセッサ

<ClamAV>
該当なし

────────────────

◆アンドロイドのダイアラーUSSDにコード実行の脆弱性

<詳細>
以下のアンドロイドを運用している携帯電話には脆弱性があり、この脆弱性に よって、攻撃者は、ユーザーの許可なしに自動的にUSSDコードを実行できるよ うになってしまう。USSD攻撃に脆弱なのは、アンドロイド2.3.x、3.x、4.0.x、 4.1.xを用いている携帯電話である。ユーザーは、これらの携帯電話を通じて、 悪意のあるコードが含まれているWebページを訪問してしまう可能性がある。 このコードの手にかかると、SIMカードは永久に葬り去られるか、あるいは、 リモートからデバイスのデータが消されてしまう。しかし、このリモートのデー タ消去は、Samsungのデバイスだけに影響を及ぼしている。GoogleとSamsungは 両社とも、すでにパッチを作成しており、ベンダーやネットワークオペレータ と共同で、パッチを適用するようにユーザーに働きかけている。

<参考>
http://www.isk.kth.se/~rbbo/ussdvul.html

<Snort SID>
24250

<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。