NRI Secure SANS NewsBites 日本版

Vol.7 No.1 2012年1月10日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.1 2012年1月10日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
Siemenシステムの脆弱性が米国国土安全保障省より先日発表され、SCADAセキュ リティ関連のニュースが再び出現している。ここで重要視されるべき課題とは、 どのような脆弱性があるかではなく、電力システムや重大なインフラを防御可 能な状態にするには、最初に何をすべきかである。実質上、すべての産業界や 政府の重要人物が1月末にオーランドに集結し、この課題の進捗状況を見直し、 電力業界や重大なインフラを構成する要素のサイバーセキュリティを再形成で きる重要な新構想を、少なくとも1つ、可能であれば2つ始動する予定だ。興味 のある方は、こちらで宿泊施設や参加申し込みに関する情報を入手していただ きたい。 http://www.sans.org/north-american-scada-2012/

■■SANS NewsBites Vol.13 No.101-103、Vol.14 No.1
(原版:2011年12月24日、12月28日、12月30日、2012年1月4日)

◆ハッカー 米国商工会議所から電子メールを盗み出す (2011.12.21)
匿名の情報によるウォールストリートジャーナル誌の報道によると、中国政 府に何らかの関わりのあるハッカーが、米国商工会議所の職員4人から電子 メールを盗み出したという。4人の職員は皆、対アジアの方針を担当してい る。2010年5月に検知・ブロックされるまで、攻撃者らは1年以上もの間に渡 りネットワークにアクセスできる状況だった。影響を受けた電子メールアド レスは300以上にのぼり、通商政策文書や出張スケジュールなども含む6週間 分相当の電子メールメッセージが盗み出された。問題のネットワークから中 国のサーバへデータが流れていたことから、FBIがこの侵害を検知した。 商工会議所は、影響を受けたコンピュータの接続を外し、そのうちのいくつ かのコンピュータは破壊した模様。その後、早期検知や今後の攻撃の阻止を 図る技術を実装したと述べている。

【編集者メモ1】(Murray)
もう、「匿名の情報筋」による「中国政府に何らかの関わりがあるハッカー」 話にいい加減うんざりしてきた。この手の「(脅威を大げさに取り上げて)恐 怖の利用」を行っても、何の足しにもならない。

【編集者メモ2】(Paller)
Bill Murrayの懸念(Marcus Ranumが同調することも多い)は、一般的に見れ ば正当である。しかし、今回のケースにおいては、米国司法警察と軍のセンター の連携により大変に特徴的な性質をとらえている。この特徴を追うと、中国の 広東州のサーバに辿り着くが、広東州は最初のTitan Rain攻撃が発せられた場 所である。米国は、これらの中国のサーバ(軍職員や、同等に訓練された人員 によって運用されている)にすでに潜入しており、中国のサーバが米国の重要 サイトから盗み出した情報を受信している時に、盗まれた情報を捕捉する米国 要員に対して警告が発せられるようになっていた。しかしながら、米国商工会 議所がハッキングされたというスキャンダルは、私にとっては、「商工会議所 は米国産業の利益を象徴している組織だと豪語しながらも、1年以上も攻撃が あったことを公表しなかった」ことを示しているようにとれる。これらの攻撃 を隠ぺいすれば、セキュリティに対する誤った意識を他の企業の役員らに与え、 攻撃阻止のための必要対策実施が大幅に遅れることになる。我々は、攻撃の大 部分を阻止する方法を知っているのに…。

────────────────

◆2008年のカンタス航空での非常事態の一因はソフトウェア欠陥(2011.12.21)
2008年10月、カンタス航空の航空機に搭載している飛行監視コンピュータのコ ンポーネントに障害が発生し、同航空機は飛行中に2回急降下し、100人以上が 負傷した。障害による自動操縦の解除をもたらしたこの事件は、機体の位置や 高度、迎え角の経過を追う特定の監視機器に障害が生じたことが原因とされた。 しかし、この事件に関する最終報告では、飛行制御コンピュータにプログラミ ング上のエラーがあり、障害が生じたモジュールのデータ出力の不正を補正で きなかったため、問題が悪化したと説明されている。飛行制御コンピュータは、 機体の迎え角を正そうとしたが、(結果的に)急降下に転じた。そのため、 パイロットらは手動操縦に切り替え、近くの空軍基地に緊急着陸した。今回の 件を受けて、問題の機体のメーカーは同じような障害が発生した場合に補正で きるように、迎え角のアルゴリズムの修正が行われている。

http://www.informationweek.com/news/security/app-security/232300919

【編集者メモ1】(Muray)
我々は、ソフトウェア開発者らに対し、工学技術をしっかりと教える必要があ る。開発者らは、容認できない故障の状況や代替手段を特定する(例えば、漏 えいする前に停止する、安全運行範囲の逸脱前に解除する、など)方法をしっ かりと習得しなければならない。

【編集者メモ2】(Paller)
悲しいかな、コンピュータ科学研究全てに対し、研究資金の80%以上を提供し ている米国国立科学財団(NSF)のコンピュータ、情報科学およびエンジニアリ ング(CISE: Computer & Information Science & Engineering)部門は、ソフト ウェア開発者がセキュリティ技術を学ぶ必要があるとは考えていない。CISEの リーダーは、議会職員や軍組織の「ソフトウェアに焦点をあてたNSF支援のプ ログラムを卒業した人は必ず、安全なコードの作成方法や防御可能なシステム の設計方法を知っている状態でるべきである」という要請を、かたくなに無視 し、かわしてきた。NSFのマネージャが熱心に取り組むことといえば、大学関 係者が難解な研究論文の発表を行えるような研究に資金を提供することだけの ように思える。出身大学に残っている自分の取り巻きらがこのような難解な研 究論文を発表すれば、彼らは大学の終身地位保障を得られ、あるいは、その見 返りに大学院生を非常に安い給料で使える労働力として提供してもらえる。

────────────────

◆米国控訴裁判所 FISAの合憲性を認める判決を維持 (2011.12.29)
米国第9巡回区控訴裁判所によると、米国国家安全保障局(NSA)の通信傍受を支 援した電気通信会社への免責を認める、2008年外国諜報活動偵察法(FISA)が、 合憲であると述べた。これにより、3人の裁判官で構成される審査員団は、下 級裁判所の判決を支持することとなった。今回の控訴は、電気通信会社に対し てその顧客の代表者らがそれぞれ起こした33件の訴訟が統合されたものである。 同審査員団は、別の判決で、令状なしの監視プログラムに関する裁判を復活さ せている。

http://www.businessweek.com/news/2011-12-29/surveillance-law-upheld-while-lawsuit-allowed-to-proceed.html
http://www.washingtonpost.com/national/appeals-court-revives-telecom-customers-lawsuit-accusing-feds-over-warrantless-wiretapping/2011/12/29/gIQATds5OP_story.html
http://www.wired.com/threatlevel/2011/12/dragnet-surveillance-case/

────────────────

◆Kasperskyのアナリスト談:DuquとStuxnetは同じチームが開発 (2011.12.29)
Kasperky Labsの新しい研究によれば、StuxnetとDuquのマルウェアは同じチー ムによって開発されており、その時期は2007年にまで遡るという。研究者らは、 ファイル名の多くが「~d」で始まっていることから、この2つが作成された (もしくは、その他のマルウェアが作成された可能性もある)共通のマルウェ アのプラットフォームを、「Tilded」と称している。Stuxnetは、2010年6月に イランの原子力プログラムの一部である機器に検知され、世間の関心を浴びる ようになった。2011年9月に検知されたDuquは、産業統制用の設計文書を盗み 出すようにあつらえてあるようだ。

http://www.informationweek.com/news/security/vulnerabilities/232301131
http://www.zdnet.co.uk/blogs/mapping-babel-10017967/kaspersky-stuxnet-and-duqu-built-by-same-team-10025107/

【編集者メモ】(Northcutt)
偶然は、次から次へとやってくる。

http://www.pbs.org/wgbh/pages/frontline/tehranbureau/2011/07/iranian-scientist-assassinated-in-tehran-nature-of-his-work-unclear.html
http://www.bbc.co.uk/news/world-middle-east-15960456
http://articles.cnn.com/2011-02-26/world/iran.nuclear_1_bushehr-reactor-bushehr-plant-russian-built-plant?_s=PM:WORLD

────────────────

◆電力企業 有価証券報告書でサイバー攻撃の脅威を認める (2011.12.31)
Con Edison of New Yorkは、スタンドアロンのリスクカテゴリとして、サイバー 攻撃を有価証券報告書(10Q)に記述した、初めての公共事業所となった。また、 デラウェア州、コロンビア地区、メリーランド州、ニュージャージー州で電力 ・ガスを消費者に供給している大手公共事業企業のPepco Holdingsも、サイバー 攻撃を「国内で発生するテロやサイバー攻撃の脅威など、地理政治的な出来事 の影響に関連して起こる多数のリスク」の1つとして説明に含めている。

http://www.forbes.com/sites/williampentland/2011/12/27/cyber-threat-to-power-grid-puts-utility-investors-at-risk/
────────────────

◆盗まれたStratforのデータ さらに追加掲示される (2011.12.30)
Stratfor Global Intelligenceのコンピュータシステムに侵入し、データを盗 み出したグループが、更なる情報をインターネットに掲示した。問題の掲示さ れたデータは、Stratforから調査情報を購入した人の氏名やクレジットカード 番号、および、StratforのWebサイトに登録した人のユーザー名や電子メール アドレスだと報告されている。今回のデータ窃盗・漏えいには、緩やかに組織 されているハッカー集団、自称「アノニマス」のメンバーが関与していると考 えられている。

http://www.computerworld.com/s/article/9223082/Hacking_group_releases_more_Stratfor_subscriber_data?taxonomyId=17
【編集者メモ】(Honan):
The Tech Heraldには、漏えいされたパスワードについて興味深い分析が掲載 されている。StratforのWebサイトを使用している人々の職業プロフィールを 踏まえると、彼らの多くがシンプルで推測しやすいパスワードを使用している ことに失望してしまう。

http://www.thetechherald.com/articles/Report-Analysis-of-the-Stratfor-Password-List
────────────────



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1/20(金)・2/15(水)・3/7(水)       <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=300&xlinkid=02

○1/25(水)・2/24(金)           <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=300&xlinkid=04

○2/10(金)                <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=300&xlinkid=03


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中の調査資料(閲覧無料)           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「企業における情報セキュリティ実態調査2011」を無償公開中
http://www.nri-secure.co.jp/news/2011/1213_report.html?xmid=300&xlinkid=05
※閲覧にはID、PASSが必要となります。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中の試用版(ダウンロード・試用無料)     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○メール誤送信防止ソリューション「SecureCube / Mail Adviser」
 30日間評価版【無料】
http://www.nri-secure.co.jp/service/cube/mailadviser_dl.html?xmid=300&xlinkid=06

○情報資産の識別・管理ソリューション「SecureCube / Labeling Personal」
 Version1.3.2.7【無料】
http://www.nri-secure.co.jp/service/cube/labeling_dl.html?xmid=300&xlinkid=07
※SecureCube / Labeling Standardのクライアントをベースとした、フル機能ご利用可能な60日評価版別途お問い合わせ下さい。

────────────────


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年12月23日 Vol.10 No.52)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
0 (#1)Third Party Windows Apps
4
Linux
2
Aix
1
Cross Platform
8 (#2,#3)Web Application - Cross Site Scripting
2
Web Application - SQL Injection
1
Web Application
8
======================================================================
               
1.危険度【高】:Microsoft Windows 7 win32k.sysのメモリ崩壊の脆弱性

<影響を受ける製品>
Microsoft Windows 7 64-bit (および、それ以前のバージョンも脆弱な可能性あり)
<詳細>
Windows 7は、詳細不明でパッチ未適用の脆弱性に対して脆弱性であると報告 されている。この脆弱性は、カーネルモードの権限で任意のコードを実行する 目的で悪用することができる。攻撃手法としては、Windows 7のマシン上の Apple Safariで悪意のあるページを閲覧するようにターゲットを仕向ける方法 が公表されている。この脆弱性は、ページのIFRAMEエレメントにある、エレメ ントの高さが過剰に長い場合に生じると報告されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com

JC3-CIRCのセキュリティ警告
http://circ.jc3.doe.gov/bulletins/u-065.shtml

SecurityFocus BugTraq ID http://www.securityfocus.com/bid/51122
────────────────

2.危険度【高】:Adobe Readerのメモリ崩壊の脆弱性

<影響を受ける製品>
Adobe Reader 9.4.6 までの製品
Adobe Reader X

<詳細>
Adobeによれば、Adobe ReaderのPDFビューワーにある詳細不明なメモリ崩壊の 脆弱性が、世間で頻繁に悪用されている。Adobeは、この脆弱性に対処できる パッチをReader 9.x用にリリースしたが、Reader X用のパッチについては、1 月10日までリリースしない意向である。Adobeは、Adobe Reader Xのプロテク トモード(悪意のある文書の活動を制限するためのセキュリティ機能)を使えば、 任意のコード実行による攻撃を阻止できると述べている。脆弱なバージョンの Readerにある、悪意のある文書を閲覧するようにターゲットを仕向けることが できれば、攻撃者は、この脆弱性を悪用してターゲットのマシン上で任意のコー ドを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com

Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb11-30.html

SecurityFocus BugTraq ID http://www.securityfocus.com/bid/51092
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

3.危険度【高】:Mozilla Firefoxにさまざまなセキュリティの脆弱性

<影響を受ける製品>
Firefox 8.x

<詳細>
Mozillaは、WebブラウザのFireFoxに影響を及ぼす複数のセキュリティの脆弱 性にパッチをリリースした。問題となっている脆弱性には、詳細不明なメモリ 崩壊、YARRライブラリの正規表現の処理で生じる詳細不明なクラッシュ、 MozillaのSVG実装にあるメモリ崩壊の脆弱性(DOMAttrModifiedのイベント処 理の中で生じる場合がある)などがある。これらの脆弱性の中には、悪用すれ ば、ターゲットのマシン上でコードを実行できるものもあるようだ。悪用を実 現するには、攻撃者は、ターゲットを悪意のあるWebページを閲覧するように 仕向けなければならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org

Mozilla Firefoxのセキュリティ警告
http://www.mozilla.org/security/announce/2011/mfsa2011-53.html
http://www.mozilla.org/security/announce/2011/mfsa2011-54.html
http://www.mozilla.org/security/announce/2011/mfsa2011-55.html
http://www.mozilla.org/security/announce/2011/mfsa2011-56.html
http://www.mozilla.org/security/announce/2011/mfsa2011-57.html
http://www.mozilla.org/security/announce/2011/mfsa2011-58.html

SecurityFocus BugTraq ID
http://www.securityfocus.com/bid/51138
http://www.securityfocus.com/bid/51133
http://www.securityfocus.com/bid/51134
http://www.securityfocus.com/bid/51135
http://www.securityfocus.com/bid/51136
http://www.securityfocus.com/bid/51137
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年12月30日 Vol.11 No.53)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
1
Third Party Windows Apps
7
Linux
1
BSD
1
Novell
1
Cross Platform
5
Web Application - Cross Site Scripting
2
Web Application
4
Network Device
3
Hardware
1
======================================================================
本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。