NRI Secure SANS NewsBites 日本版

Vol.7 No.24 2012年6月26日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.24 2012年6月26日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
2012年度 25の最重要サイバーセキュリティ革新と、その他10の有望な革新が もうすぐやってくる。Symantecなどの企業ユーザーから、政府から、そして、 大手研究機関の研究者から、この革新リストにノミネートすべき候補がどんど ん届けられている。候補としてあげられた革新事項の中には、すでにある製品 の価値を大いに引き出す方法が示されたものや、大変革をもたらす新技術・取 り組みもある。すでに受賞を果たした革新事項のいくつかを覗いてみていただ きたい。また、広範に導入する価値のある革新が受賞事項の中に必ず含まれて いることをこのURLで確かめていただきたい。 http://www.sans.org/cyber-innovation-awards/

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□        早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<< 
          http://sans-japan.jp/training/event.html

  【SEC401】SANS Security Essentials Bootcamp Style
          2012年7月9日(月)~14日(土)

  【SEC542】SANS Web App Penetration Testing and Ethical Hacking
          2012年11月5日(月)~10日(土)

  【FOR558】SANS Network Forensics
          2012年11月5日(月)~9日(金)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□         Direction 2012 内特別コース
―――――――――――――――――――――――――――――――――――
        仮想化技術のセキュリティを学ぶ2日間
  >>> Special Training Course in Direction 2012 !  <<<
         http://direction.jpn.com/sans.html

  【SEC577】Virtualization Security Fundamentals
          2012年8月7日(火)~8日(水)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■SANS NewsBites Vol.13 No.48-49
(原版:2012年6月15日、6月19日)

◆ドイツに極秘サイバー戦争部隊 (2012.6.5)
ドイツ議会の文書によって、同国軍には極秘のサイバー戦争実戦部隊があるこ とが明らかになった。同文書には、部隊の規模や位置、「作戦当初の戦闘能力」 については言及されていない。この部隊は、2006年に設置されたという。議員 は、この新事実に驚いており、中には、「議会の許可をはじめに獲得しなくと もサイバー攻撃を仕掛ける権限が軍にあるのか」どうかを疑問視する議員もい た。

http://www.stripes.com/news/germany-confirms-existence-of-operational-cyberwarfare-unit-1.179655

【編集者メモ1】(Northcutt)
まあ、今となってはもはや秘密ではない。Slashdotが掲示している記事には、 もう少し情報がある。 http://yro.slashdot.org/story/12/06/07/1524221/germany-readying-offensive-cyberwarfare-unit-parliament-told

【編集者メモ2】(Honan)
ドイツの議員がこのような懸念を提起しているのは、まさに的確だと言える。 現実世界では、文明国の軍隊は議会の安全措置で制御され、不正な軍事行動を 行えないようになっている。サイバー空間についても、このルールが同じよう に適用されるべきである。
【編集者メモ3】(Murray)
世界にある軍隊は、「目先の利益に目がくらみ、将来の大きな利益をふいする こと」に夢中になっているようだ。サイバー空間は、軍隊が汚染するための空 間ではない。今は、「市民の権力」がそう言うべき時期に来ている。
【編集者メモ4】(Paller)
Bill Murrayのアドバイスは、「インターネットは商業界のために作られた訳 ではないのに、商業界はインターネットを商業主義で汚染している。だから、 商業界は、インターネットの使用を止めてほしい」とお願いしているのと同じ くらいもっともらしい。
【編集者メモ5】(Ullrich)
まさに経験則である。国に空軍があれば、きっとそこには、何らかのサイバー 戦争部隊(攻撃と防衛)も存在するのだ。

────────────────

◆国防総省の請負業者 悪いハッカーの求人掲載 (2012.6.15)
ForbesのAndy Greenberg記者は、政府の請負業者の雇用に著しい変化があった ことを突き止めた。認可・認定を受けた専門家を解雇していくと同時に、攻撃 姿勢のサイバー戦争やその他の非常に専門的なスキルのある人間を探し求めて いる。

http://www.forbes.com/sites/andygreenberg/2012/06/15/new-grad-looking-for-a-job-pentagon-contractors-post-openings-for-black-hat-hackers-2/

────────────────

◆米国DHS(国土安全保障省) 「クラウドプロバイダに存在する脆弱性の検知・修正を72時間以内に行う」基準を提示 (2012.6.14)
今月下旬に、米国の国土安全保障省(DHS)は、連邦政府のコンピュータ請負業 者やクラウドサービス企業に対し、72時間以内に脆弱性を検知し、その影響を 軽減するための基準を提供するという。この基準は、自動継続監視(ただ脆弱 性を把握するだけで、ネットワークのセキュリティ改善は行わない)では抜け 落ちている要素を付け足すことを目的としている。この基準は、請負業者やク ラウドプロバイダのFedRAMP認証プロセスの一部となる見込みだ。この取り組 みは、最終的には、政府局でも必須の取り組みとなる可能性がある。

http://www.nextgov.com/cloud-computing/2012/06/policy-would-require-agencies-patch-cybersecurity-holes-within-72-hours-discovery/56271/

【編集者メモ1】(Murray)
重要度順ではなく検知順にそれを修正していくのは、決して効率的ではなく、 効率的だったとしてもそれは極めてまれなことである。
【編集者メモ2】(Paller)
Bill Murrayは正しい。この記事は誤解を招く。私は、インタビューの場に出 席していた。DHSのWeatherford次官が述べたのは、「認可されているクラウド サービスプロバイダが提供するシステムのセキュリティについては、72時間毎 に測定が行われるようになる。また、影響緩和措置も監視と同じくらい重要で ある」ということだ。(国務省から国土安全保障省に移った)John Streufert がこのプログラムを運営していることを踏まえると、彼のアプローチが用いら れる可能性が高い。これは、最も重要な問題が先に修正され、運用担当者をセ キュリティ担当者と連携させる見事なシステムである。このシステムによって、 世界中にある22万のシステムのリスク緩和が迅速かつ長期的に行われ、新しい 脅威への対応も比類ないスピードで行えるようになった。

────────────────

◆AppleのJavaアップデート OracleのJavaのアップデートと同日にリリースされる (2012.6.13-14)
多くの人が望んでいたこととして、今まで前例のなかった偉業が成し遂げられ た。OracleがWindows、Linux、および、SolarisのJavaにアップデートをリリー スしたその日に、AppleがMac OS X用にJavaアップデートをリリースしたので ある。Appleは、各版にある11個の脆弱性を修正するために2つの異なるアップ デートを(1つはOS X 10.7用でもう1つはOS X 10.6用)を発行した。他のOS用に 発行されたOracleのアップデートでは、14の脆弱性に対処している。Oracleの アップデートで対処されている欠陥のうち2つは、Apple用のJavaには関連して いない。3つめの問題がAppleのアップデートで対処されていない理由は定かで はない。Appleには、OracleがJavaをアップデートして数週間経過してから Apple OS用に自社のアップデートを発行するというパターンがあったため、今 年はじめに、攻撃者が他のバージョンでパッチを適用されていたJavaの欠陥を 悪用し、Appleのマシンをマルウェア「Flashback」に感染させるという問題が 生じた。

http://www.computerworld.com/s/article/9228109/Apple_hustles_patches_Java_bugs_same_day_as_Oracle?taxonomyId=17
http://krebsonsecurity.com/2012/06/apple-oracle-ship-java-security-updates/
https://isc.sans.edu/diary.html?storyid=13456]
【編集者メモ】(Ullrich) Appleは、長く遅滞していた同社のセキュリティ対応プロセスを改善している ところである。 https://isc.sans.edu/diary.html?storyid=13456

────────────────

◆サイバー攻撃にいら立つ企業 反撃に転じる (2012.6.18)
Reutersの記事によれば、米国企業の中には、今あるセキュリティ措置に不満 を感じてサイバー攻撃者に反撃する措置に踏み切った企業もあるという。いく つかのケースでは、企業が、攻撃者のシステムを攻撃する人を雇い入れている。 サイバー侵入者の活動を遅らせる措置をとっている企業もある。報復攻撃を仕 掛けた企業には、法に違反するリスクがある。中には、「企業は偽のデータを 作成し、侵入者を煙に巻くため、種をまくという手を使うとよい」と示唆する 声もいくつかあった。

http://www.canada.com/technology/Hacked+companies+fight+cyber+criminals/6799367/story.html
http://news.cnet.com/8301-1009_3-57455030-83/post-hack-companies-fire-back-with-their-own-attacks/
【編集者メモ】(Murray) 今は、西部開拓時代ではない。まだ、法と秩序をあきらめる時期には来てない。 Robin Hoodなどは、悪党だったのだ。

────────────────

◆米国DOD(国防総省)は、モバイルデバイス戦略を発令 (2012.6.15)
米国DOD(国防総省)は、モバイルデバイス用の戦略を発表した。この戦略によっ て、「モバイルデバイスの最大限の可能性をフルに生かすための構想と目的を 明らかにし、DOD Information Technology Enterprise Strategy and Roadmap (DOD:情報技術企業戦略とロードマップ)におけるエンドユーザー・サービスに 対する取り組みを支援する」という。

http://www.nextgov.com/mobile/2012/06/pentagons-blueprint-mobile-devices-lacks-security-details/56301/?oref=ng-HPtopstory
http://www.defense.gov/news/dodmobilitystrategy.pdf
────────────────

◆Wyden米上院議員 FISA修正法再認可を阻止 (2012.6.14)
米国議会Ron Wyden上院議員(オレゴン州民主党)は、「政府が令状なしで通信 傍受を行うことを許可する」FISA修正法の再認可を阻止した。オバマ政権は、 議会で再認可に楽々とこぎつけられると考えていたようだが、Wyden議員は、 政府が「通信傍受の権力を行使する頻度」についての明言は拒否しために、法 案阻止の立場を公言した。Wyden議員はこの法案に対し、昨年PIPA: Protect IP Act(知的財産保護法案)に反対する際にとった行動と同様に、ホールドを かけている。

http://www.wired.com/threatlevel/2012/06/fisa-amendments-act-fate/
http://www.wyden.senate.gov/news/press-releases/wyden-places-hold-on-fisa-amendments-act-extension
────────────────

◆米国NSA(国家安全保障局)のデータ起源構想 (2012.6.14)
NSAの新しい構想である「データ起源」、もしくは、「データ経歴」という取 り組みでは、データのライフサイクルの追跡を行う。この構想の目的は、NSA が収集する各データの起源を特定できるようにし、そのデータに関して許可が 必要な場合には、その許可をどこに求めるべきかを明らかにすることにある。 この取り組みによって、組織側も、データが改変されているかどうかをはっき りさせることができる。

http://gcn.com/articles/2012/06/14/nsa-tracking-data-life-cycle.aspx
────────────────

◆FS-ISACの調査結果:銀行に対するサイバー攻撃 増加 (2012.6.14)
FS-ISAC: Financial Services Information Sharing and Analysis Centerが 公表した調査結果によれば、米国の大手銀行は、顧客の口座に侵入して口座か ら資金振替を行おうとする攻撃を314件受けていた。そのうち3分の1近くの攻 撃が成功している。この調査は、American Bankers Association(米国銀行協 会)が、95の金融機関と5つのサービスプロバイダからの回答をもとに行った 調査である。この調査に参加した銀行は、顧客教育、多要素認証、「変則的な 行動を検知した場合は、その顧客の商用システムへのアクセスを切断する」な どの取り組みを通じて、セキュリティの向上を図る措置を講じている過程にあ ると述べている。

http://www.computerworld.com/s/article/9228139/Banks_Hackers_more_aggressive_in_attacking_customer_accounts?taxonomyId=17
<関連記事>
◆新しい攻撃 従来よりも忍びやかに

より最近の攻撃(例えば、ZeuSやSpyEyeを用いる攻撃など)では、ターゲット がオンラインである時に、攻撃者もオンラインである必要がない攻撃方法が用 いられている。この方法は「自動振替システム」と呼ばれ、「Man in the Browser」攻撃の計画を成立させるために用いられる。同攻撃では、ターゲッ トが追加で情報を入力する必要はない。

http://www.scmagazine.com/cyber-crooks-evading-advanced-bank-security-to-transfer-funds/article/246227/

【編集者メモ】(Murray)
攻撃は銀行ではなく、銀行の顧客に対するものだ。銀行は、相も変わらず、議 会や米国連邦金融機関検査協議会を使って、「取引の許可を正しく行われるよ うにする」という基本的な責任から逃れようとしている。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月6日(金)
 運用改善事例セミナー ~各社事例から探る運用改善のヒント~
http://www.nri-secure.co.jp/seminar/2012/senju01.html?xmid=300&xlinkid=16

○7月24日(火)・8月29日(水)・9月27日(木)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○7月18日(水)・8月24日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&;xlinkid=09

○7月19日(木)<名古屋>・7月20日(金)<大阪>
 事例から見る!!標的型攻撃・スマートデバイスへのセキュリティセミナー
 ~複雑化する環境の中、今後求められる管理体制のポイントを事例を交えてご紹介~
http://www.nri-secure.co.jp/seminar/2012/0719_20.html?xmid=300vxlinkid=18

○7月20日(金)・8月28日(火)・9月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月2日(月)・9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300vxlinkid=10

○7月3日(火)~4日(水)・9月11日(火)~12日(水)・12月26日(水)~27日(木)
セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2012年6月14日 Vol.12 No.24)

信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

======================================================================
■今週のトップの脆弱性

XMLのzero dayの脆弱性が、Internet Explorer、ならびに、Office 2003 と 2007のユーザーに影響を及ぼしている。この脆弱性は、Microsoftが定期外パッ チを追加でリリースするほど重要なものだった。重要だという理由は、機密の 知的財産を追い求める標的型攻撃のほとんどが、この攻撃で用いられる手法を 使用していることにある。

======================================================================

■SOURCEFIRE脆弱性研究チームが選んだ注目すべき最新のセキュリティ問題

◆My SQL認証にブルートフォース攻撃

<詳細>
MySQLを運用している特定のプラットフォームのために、簡単に悪用できる攻 撃手法がある。この攻撃手法を使えば、攻撃者は、認証情報がなくともデータ ベースにルートアクセスができるようになる。HD Mooreは、1行のシェルスク リプトでアクセスが与えられることを実証した。つまり、この脆弱性に対する 生きた攻撃がすでに世間で行われており、その後、(まだ出ていなければ)こ の脆弱性用の自動スキャナが出現すると思われる。

<参考>
http://vrt-blog.snort.org/2012/06/mysql-authentication-brute-force-attack.html
https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql

<Snort SID>
23115
https://isc.sans.edu/port.html?port=3306

────────────────

◆GIFヘッダーの付いたWebシェル

<詳細>
オートメーションで2011年8月に公表されたWordPress・TimThumdの脆弱性を悪 用しようという企ての一部として、生きたシェルが世間で確認された。このシェ ルには、悪意のあるPHPコードの先頭に正当に作られたGIFヘッダーが追加され ているので、TimThumbに内蔵されているファイルの安全点検が回避される。( また、「シェルが有効なGIFファイルである」と宣言を行うfile(1)をもとに行 われている他のチェックも、回避される。)「このシェルは、非常に広範にわ たって世間で落とされている」と報告している監視組織もいくつかある。

<参考>
http://vrt-blog.snort.org/2012/06/web-shell-poses-as-gif.html
http://blog.spiderlabs.com/2011/11/wordpress-timthumb-attacks-rising.html

<Snort SID>
23113, 23114

<Clam AV>
PHP.Hide

────────────────

◆CVE-2012-1875: Microsoft Internet ExplorerのDOM操作にメモリ崩壊の脆弱性

<詳細>
これは、DOM:Document Object Model(文書オブジェクトモデル)のヒープ上 書きが複雑化したものであるが、世界全域で確認された標的型攻撃の中で、複 数のハッカーが、それを使用しているという。同攻撃の派生形のいくつかがす でに出回っており、暗々裏には、さらに多くの派生形が取引されている。 Internet Explorerのユーザーはこのバグに、なるべく早くパッチを適用すべ きである。

<参考>
http://technet.microsoft.com/en-us/security/bulletin/MS12-037

<Snort SID>
23125

<ClamAV>
Exploit.CVE_2012_1875
Exploit.CVE_2012_1875-1

────────────────

◆無許可のMicrosoftセキュリティ証明書でWindowsアップデートのなりすましが可能に

<詳細>
最近検知されたマルウェア「Flame」は、細工されたSSL証明書を使って、 Windowsアップデートのプロセスに対して中間者攻撃を行い、コードを挿入し ている。1組の中間署名機関によって発行されたいずれの証明書も、「Flame」 などで使われると、無許可のコンテンツがOSに信頼される事態に至るので、 Microsoftは、これらの機関によって発行された証明書は全て、明確に無効と している。

<参考>
http://technet.microsoft.com/en-us/security/advisory/2718704
<Snort SID>
23090

<ClamAV>
該当なし

────────────────

◆CVE-2011-2140:Adobe Flash PlayerのMP4にバッファオーバーフローの脆弱性

<詳細>
Adobe FlashがMP4ファイルの特定のチャンクを解析する方法に、シンプルなバッ ファオーバーフロー攻撃が存在する。公共のエクスプロイトがあり、中国の Yang Packエクスプロイトキットに組み込まれている。Sourcefire VRT: Sourcefire Vulnerability Research Teamによって、この脆弱性は、世間で活 発に悪用されていることが観察された。

<参考>
http://www.adobe.com/support/security/bulletins/apsb11-21.html

<Snort SID>
19693, 20555, 21006, 23098

<Clam AV>
Trojan.GameThief-3、Exploit.SWF-24、Trojan.Cossta-22

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。 組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。