NRI Secure SANS NewsBites 日本版

Vol.7 No.25 2012年7月5日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.25 2012年7月5日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
Team Cymruのアナリストが数日前に、「Windowsのフォレンジックを行う上で 素晴らしい簡易参照ポスター」についてツイッターでつぶやいている。そのポ スターはSANSが出したものだとのことだったが、私はそのポスターのことをよ く知らなかった。とういうことで、チェックしてみた。そのポスターには、デ ジタルフォレンジックを行うための手引としては、私が今まで見たものの中で 最も綿密な段階的指導が書かれていたほか、具体的なアドバイスやツールも記 載されていた。(しかも、私が目にした内容は全て、無料で提供されていた。) SANSのフォレンジックトレーニングコースに参加すれば、そのポスターをもら うことができる。また、この電子版ポスターについては、こちらから両面をダ ウンロードできる。 http://blogs.sans.org/computer-forensics/files/2012/06/SANS-Digital-Forensics-and-Incident-Response-Poster-2012.pdf

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□        早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<< 
          http://sans-japan.jp/training/event.html

  【SEC542】SANS Web App Penetration Testing and Ethical Hacking
          2012年11月5日(月)~10日(土)

  【FOR558】SANS Network Forensics
          2012年11月5日(月)~9日(金)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□         Direction 2012 内特別コース
―――――――――――――――――――――――――――――――――――
        仮想化技術のセキュリティを学ぶ2日間
  >>> Special Training Course in Direction 2012 !  <<<
         http://direction.jpn.com/sans.html

  【SEC577】Virtualization Security Fundamentals
          2012年8月7日(火)~8日(水)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■SANS NewsBites Vol.13 No.50-51
(原版:2012年6月22日、6月26日)

◆AVメーカーのMcAfee談:ホワイトリスティングはアンチウィルスよりも有効(2012.6.21)
パシフィックノースウェスト国立研究所とMcAfeeの報告書によると、重大なイ ンフラにおけるコンピュータの安全性を守るには、ホワイトリストの作成や、 それに関連のある技術導入が最善の解決策だという。ゼロデイの脆弱性を用い た新しいタイプの攻撃は、従来のアンチウィルス技術では阻止できない。研究 者は、「悪いコードを阻止する」方法から「よいコードのみを許可する」方法 へ方向転換する時期に来ていると結論を下している。

http://www.infosecurity-magazine.com/view/26475/whitelisting-is-the-solution-for-the-national-infrastructure/

【編集者メモ】(Paller) これらの研究結果は、「標的型侵入(APT)の防御にホワイトリストは欠かせな いが、アンチウィルスには、それほど出来ることはない」という豪州・参謀本 部国防信号局の画期的な発見と全く一致している。
詳しくはこちら:
http://www.dsd.gov.au/publications/Implementing_Top_4_for_Windows.pdf
PNNLとMcAfeeの研究結果は産業制御システムに適用できるようだ。しかし、こ れらの研究結果は、軍事・民間上の知的財産、もしくは、財務に関する重要な データの窃盗の対象となる組織の一般的なシステムにとっても、全く同様に重 要な研究結果である。

────────────────

◆XMLの脆弱性 盛んに悪用される (2012.6.20-21)
攻撃者は、Microsoft XMLコアサービス(MSXML) 3.0、4.0、6.0にある脆弱性を 盛んに悪用している。この欠陥は6月はじめ、Microsoftが定期セキュリティアッ プデートを発行した際に公表された。同社はパッチを提供していないが、ユー ザーのコンピュータ上で同欠陥が悪用されないように、「Fix It」ソリューショ ンなどの回避策を提案している。IE(Internet Explorer)を介して悪用される この欠陥は、ユーザーが感染したWebサイトに訪問するだけで感染するため、 とりわけ危険である。侵害されているサイトが、少なくとも2件検知された。1 つは、航空機用パーツの販売業者のサイトで、もう1つは医療会社のサイトで ある。これら2つの企業は、いずれも欧州の企業である。

http://www.csoonline.com/article/708838/hackers-exploit-windows-xml-core-services-flaw
http://www.computerworld.com/s/article/9228301/Unpatched_Microsoft_XML_Core_Services_flaw_increasingly_targeted_in_attacks_researchers_say?taxonomyId=17
Microsoftのアドバイザリ:
http://technet.microsoft.com/en-us/security/advisory/2719615

────────────────

◆米国DHS(国土安全保障省) 継続監視およびクラウド境界保護のオートメーションのためのソフトウェア・ツールに関する詳細な仕様を公表 (2012.6.25)
ワシントンDCのウィルバーコーエンホールで開かれた会合で、DHS当局者は、 「連邦政府継続監視およびクラウド境界防御の製品とサービスの新仕様」を発 表し、それに関して説明を行った。この会場には、多数の中小ベンダーはもと より、あらゆる大手のセキュリティベンダーやインテグレータが出席していた。 (連邦政府機関は、その後同じ説明を受けている。)ベンダーは、「これほどま でに綿密な内容で、かつ、よく考え抜かれてた仕様をDHSが出したのはこれが 初めてだ」と、この新仕様を大いに賞賛している。一方で、「これらの仕様を 満たすために、社内のエンジニアが片付けなければならない仕事が山ほどある」 と懸念の声をひそかに上げているベンダーもいくつかもある。このDHSの仕様 によって、継続監視や影響軽減措置をオートメーション化するツールに関して 世界的なベンチマークが定められることになるだろう。とりわけ、大統領自ら が継続監視用オートメーションツールの購入のために2億ドルを2014年度米国 予算に計上したことを踏まえると、ソフトウェアのセキュリティベンダーの製 品がこれらの仕様条件を満たせなければ、その製品の販売は非常に難しくなる。

https://www.fbo.gov/utils/view?id=ae650dd0661deab13c6805f94a542a25

【編集者メモ】(Paller)
何らかのセキュリティのソフトウェアやサービスを入手しようと考えている方 は、その製品の提供企業の幹部職の署名の入った、かつ、「わが社の製品は、 特定の日付(できれば、2012年12月31日)までにDHSの仕様に従う」と書かれ た書面の誓約を取り付けよう。買い手側が「主張」と「現実」を区別できるよ うに、SANSは、これらの仕様に従っているソフトウェア・ツール、ならびに、 期日を指定して公約を行ったベンダーのベンチマークとなるリストを発表する 予定だ。また、我々は、10月に開催される米国サイバーセキュリティ革新カン ファレンスにて、20の重大なセキュリティコントロールをオートメーション化 するツールの中で今まで以上に革新的な部分を浮き彫りにする。

────────────────

◆欧州委員会:全ブラウザに対し、ユーザーが「追跡拒否」設定を選択できるようにすることを求める (2012.6.25)
欧州委員会は、IE 10(Internet Explorer 10)においてはデフォルトで「追跡 拒否(Do Not Track)」設定を有効にするというMicrosoftの計画を支援してい る。Microsoftがこの計画を発表してほどなく、WC3: Worldwide Web Consortiumの「追跡拒否」ワーキンググループは、「ブラウザ側は、ユーザー のために、この選択を行うべきではない。Microsoftが事前にオプションを選 択してIE 10をリリースすると決めたとしても、IE 10が追跡拒否の基準を満た していると主張することはできない」と述べている。また、欧州委員会も、全 てのブラウザに対し、ブラウザのインストール時や初回運用時にユーザーに対 して「追跡拒否」設定のオプションを提示し、いずれにせよ、ユーザーがデフォ ルト設定を変更できるようにしてほしいと述べている。

http://www.computerworld.com/s/article/9228436/EU_regulators_side_with_Microsoft_in_IE10_s_Do_Not_Track_controversy?taxonomyId=17

────────────────

◆提案中の法案 国の侵害通知基準を規定 (2012.6.22-25)
現在米国上院議会では、個人情報侵害通知に関する国の基準が規定される法案 が提案されている。データセキュリティおよび侵害通知2012年法では、個人情 報を保持している組織は、「個人情報を含む電子形式のデータを保護するため に妥当な措置を講じる」ことを要求される。これらの組織は、侵害発生時には、 影響を受ける個人に早急に通知を行う義務がある。また、同組織は、いかにし てデータが盗み出されたか、盗まれたデータの正確な種類を公表し、影響を受 ける個人がさらなる情報を望む場合は、組織と連絡がとれる方法を教えなけれ ばならない。

http://www.informationweek.com/news/security/attacks/240002651
http://thehill.com/blogs/floor-action/senate/234311-gop-senators-introduce-legislation-for-disclosing-data-breach
http://arstechnica.com/tech-policy/2012/06/five-us-senators-propose-latest-data-breach-notification-bill/

【編集者メモ】(Murray)
ISPやそのユーザーが、ここでは犠牲者となっている。皮肉にも、正しいこと をすれば、費用は嵩んでいく。著作権に関しても、「政府の強制力を利用して 他人にコストを負わせることを著作権所有者に許可する」よりももっとよい方 法で、権利を行使するやり方があるはずだ。

────────────────



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月6日(金)
 運用改善事例セミナー ~各社事例から探る運用改善のヒント~
http://www.nri-secure.co.jp/seminar/2012/senju01.html?xmid=300&xlinkid=16

○7月18日(水)・8月24日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

○7月19日(木)<名古屋>・7月20日(金)<大阪>
 事例から見る!!標的型攻撃・スマートデバイスへのセキュリティセミナー
 ~複雑化する環境の中、今後求められる管理体制のポイントを事例を交えてご紹介~
http://www.nri-secure.co.jp/seminar/2012/0719_20.html?xmid=300&xlinkid=18

○7月20日(金)・8月28日(火)・9月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○7月24日(火)・8月29日(水)・9月27日(木)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○7月26日(木)・8月31日(金)・9月21日(金)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html=300&xlinkid=19


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○9月11日(火)~12日(水)・12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

────────────────



■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年6月21日 Vol.12 No.25)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

===============================================================
■今週のトップの脆弱性

Internet ExplorerのCVE-2012-1875:6月12日にパッチが適用されてはいるも のの、Microsoftは、この脆弱性に対する標的型攻撃の存在について、最初の アドバイザリで、すでに警告を発していた。その後、Metasploitのモジュール がリリースされため、このエクスプロイトはアクセスしやすくなり、今後、か なり大きな攻撃者の基地になると推測される。

================================================================
■SOURCEFIRE脆弱性研究チームが選んだ注目すべき最新のセキュリティ問題

◆侵害されたWordPressのブログ フィッシング攻撃作戦に盛んに用いられる

<詳細>
WordPressは、PHPで作成されたブログ用プラットフォームであり、広範に使用 されている。このソフトウェアについては、特に、サードパーティの団体が保 守するシステムで利用できる無数のプラグインに、多数のセキュリティ問題が ある。「感染したWordPressのインストレーションを利用して、エクスプロイ トキットをホスティングする」という盛んに用いられているフィッシング攻撃 作戦が、最近、複数件観測されている。

<参考>
http://vrt-blog.snort.org/2012/06/compromised-wordpress-blogs-phishers.html
http://blog.trendmicro.com/compromised-wordpress-sites-drive-users-to-blackhole-exploit-kit

<Snort SID>
21941、23171
────────────────

◆CVE-2012-1889:パッチ未適用のMicrosoft XMLコアサービスの脆弱性

<詳細>
Microsoft XMLコアサービスに対するゼロデイ攻撃が、6月の火曜パッチの直後 に公表された。世間では、6月15日金曜日に公表されたMetasploitモジュール など、盛んな悪用が観測されているInternet ExplorerやOfficeなどの Microsoft製品のユーザーは、MicrosoftのFix-Itツールを使用して、パッチ未 適用の脆弱性の影響を軽減するように強く求められている。

<参考>
http://technet.microsoft.com/en-us/security/advisory/2719615

<Snort SID>
23142、23143、23144、23145、231426

<Clam AV>
Exploit.CVE_2012_1889-1 -> Exploit.CVE_2012_1889-10
────────────────

◆XDPを使った悪意のあるPDF AV回避

<詳細>
先週末にセキュリティ研究者のBrandon Dixonが実証したあるアンチウィルス 回避技術について、「責任ある情報開示」に関する議論が生じている。この技 術では、「PDFファイルをXMLにラップする」というXDPの仕様が用いられてい る。これを使えば、ファイル形式のチェックを回避するほか、複数のアンチウィ ルス・ベンダを回避できるようになる。Dixonは、この分野の生きたサンプル を分析中にその技術を発見した。そのため、現在、その技術を使ったエクスプ ロイトが、明らかにハッカーに用いられるようになった。

<参考>
http://blog.9bplus.com/av-bypass-for-malicious-pdfs-using-xdp

<Snort SID>
23166

<Clam AV>
PUA.Script.XDPBypass、PUA.Script.XDPBypass-1、
PUA.Script.XDPBypass-2、PUA.Script.XDPBypass-3
────────────────

◆偽のアンドロイド・セキュリティアプリの正体はZeusだった

<詳細>
Kaspersky Labsの研究者によって、「アンドロイド・セキュリティスイート・ プレミアム」という名前のアンドロイド用アプリが、マルウェア「Zeus」ファ ミリーと関係があることが明らかになった。このマルウェアには、「電話で受 信された全てのSMSメッセージをC&Cサーバや、その他の情報窃盗技術に向けて 転送する」などの機能がある。このアプリが正規のアンドロイドマーケットで はない場所で発見されたことから、ユーザーは、信頼されているソースのみか らアプリをインストールするように推奨される。

<参考>
http://www.securelist.com/en/blog/208193604/Android_Security_Suite_Premium_New_ZitMo

<Snort SID>
23173

<ClamAV>
Android.Zitmo
────────────────

◆「Nuclear Pack」のエクスプロイトキット

<詳細>
「Nuclear Pack」として知られる東欧のエクスプロイトキットが、世間で盛ん に用いられていることが最近明らかになった。このキットは3月に、オランダ のWebサイトに対する大規模な攻撃に使用されており、Sourcefireが監視して いる他のネットワークにも検知されている。

<参考>
http://blog.fox-it.com/2012/03/16/post-mortem-report-on-the-sinowallnu-nl-incident/

<Snort SID>
23157
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。 組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。