NRI Secure SANS NewsBites 日本版

Vol.7 No.26 2012年7月10日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.26 2012年7月10日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
金曜日の東部夏時間午後10時は、サイバーセキュリティで最も誉れ高い賞「米 国サイバーセキュリティ革新賞」のノミネート期限になる。2011年、ホワイト ハウス・サイバーコーディネータのHoward Schmidtによって提示された、これ らの国家的・国際的な賞は、「受賞者が、サイバーセキュリティのリスクが実 際に改善されたこと示し、広範に渡る採用の手本となりうる」唯一の評価プロ グラムである。これらの賞で挙げられた製品や技術については、急速に、広い 規模での採用が進んでいる。これに関する情報はこちら: http://www.sans.org/cyber-innovation-awards


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□         Direction 2012 内特別コース
―――――――――――――――――――――――――――――――――――
        仮想化技術のセキュリティを学ぶ2日間
  >>> Special Training Course in Direction 2012 !  <<<
         http://direction.jpn.com/sans.html

  【SEC577】Virtualization Security Fundamentals
          2012年8月7日(火)~8日(水)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■SANS NewsBites Vol.13 No.52-53
(原版:2012年6月29日、7月3日)

◆FTC データセキュリティに関してWyndham Hotelを提訴 (2012.6.26-28)
FTC(米連邦取引委員会)は、Wyndham Hotelチェーンとその子会社を、顧客の財 務データを保護できなかったとし、提訴している。この訴えは、侵害が相次い だ後、顧客の決済カード60万件がセキュリティ侵害を被ったために起こされた。 顧客の財務データは平文で保存されていたという。この侵害によって、1,000 万ドル以上の不正取引が行われるに至った。今回の訴訟では、「被告企業は、 顧客にセキュリティに対する姿勢を正確に伝えず、ソフトウェアのパッチをイ ンストールすることや、既知の脆弱性を修正するなど、周知のセキュリティ予 防措置を講じていなかった」と申し立てられている。Wyndhamは、この訴えに 不服を申し立てる意向だ。

http://news.cnet.com/8301-1009_3-57460551-83/ftc-sues-wyndham-hotels-over-data-breaches/
http://www.latimes.com/business/la-fi-wyndham-breach-20120626,0,3822917.story
http://tech.fortune.cnn.com/2012/06/28/ftc-hackers/
http://www.h-online.com/security/news/item/FTC-sues-Wyndham-Worldwide-over-data-breaches-1627721.html
http://www.informationweek.com/news/security/privacy/240002829
http://www.darkreading.com/database-security/167901020/security/news/240002876/ftc-takes-on-wyndham-for-security-lapses.html
http://ftc.gov/os/caselist/1023142/120626wyndamhotelscmpt.pdf

【編集者メモ1】(Pescatore)
FTCはまたもや、DoD(国防総省)や諜報組織による新法や新規制、コミュニティ の専門知識を命じもせずに、消費者に影響を及ぼす企業による、いいかげんな セキュリティプラクティスを効果的に実施するために、先導的な役割を担って いる。
【編集者メモ2】(Ullrich)
ニュース記事には、非常に多くの大手小売企業に侵害が発生していると書かれ ている。ハッカーは、小売店の軟弱なデバイスを見つけ出して侵入し、ネット ワーク全体へのアクセスを獲得する。大規模な分散型ネットワークは、境界だ けでなく、内部にコントロールを導入する必要がある。そして、境界デバイス は、監視や設定が正しく行われなければならない。
【編集者メモ】(Northcutt)
両者とも弁護士に多額のお金を費やすことになるため、損失額が1,000万ドル から1,400万円ほどにまで膨れ上がってしまい、これはまさに悲劇である。 【編集者メモ】(Murray)
FTCは明らかに、顧客の利益を願って行動しており、何らかの影響を与えてい る。ひょっとしたら、今は、FTCのための予算を増やすべき時ではなかろうか。

────────────────

◆米国エネルギー省の新CIOから、サイバー上の脅威への対応について斬新な視点 (2012.6.26)
6月初めに開かれた米国政府技術研究同盟のフォ―ラムにおいて、新しく任命 された米国DOE:Department of Energy(エネルギー省)のCIO、Robert Breseが、 サイバー上の脅威に対応できるスキルのあるサイバーセキュリティ要員を育成 する必要性について語った。Breseは、法や外交の限界を超えずに、「阻止し て回復させるという考え方」を、阻止・回復・対処の体制に変えていく重要性 を指摘している。また、Breseは、医療関係機関が医師の訓練を行うシステム とよく似た、サイバーセキュリティのインターンシステムの設置に関する話も した。Breseは、7月1日から正式に新しいポストに就任する。

http://gov.aol.com/2012/06/26/new-energy-cio-stresses-need-for-stronger-cyber-response/

────────────────

◆SWATチーム Wi-Fiネットワークが非保護のために間違った家を襲撃 (2012.6.28)
インディアナ州エバンズビルの警察は、インターネットフォーラムに関する警 察への脅迫の発信源となったと思われる家に、SWATチームを送り込んだ。ドア と窓を壊し、閃光手榴弾を投げ込んだ後、警察は間違った家を標的にしていた ことに気付いた。問題の脅迫は、その家のWi-Fiネットワークに関係のあるIP アドレスに端を発していたことから、警察は、それだけで容疑者を特定できた と思ってしまった。しかしながら、そのWi-Fi接続にはセキュリティ対策が施 されていなかったため、実際には、脅迫は、オープンネットワークを利用して いた他の家の何者かから発せられたものだった。

http://arstechnica.com/tech-policy/2012/06/swat-team-throws-flashbangs-raids-wrong-home-due-to-open-wifi-network/

【編集者メモ1】(Pescatore)
ううむ、エバンズビルの警察には、正確な地理位置情報をつかむ場合の「IPア ドレスの情報に頼るタイミング、方法」を学ぶ、何らかの教育が必要だと思わ れる。
【編集者メモ2】(Murray)
これは、脅迫の発信源に関して警察が持っていた証拠が浅薄だったというだけ でなく、釣り合いのとれた対処方法とは何かという問題である。インターネッ ト上の「脅迫」は、ほとんどの場合が誇張表現であるため、このような対処方 法が妥当だとは言えない。
【編集者メモ3】(Ullrich)
保護されたワイヤレスのアクセスポイントを持つことはよい考えである。サイ バー犯罪の要因を特定する上で気をつけるべきポイントを把握している地元警 察がいれば、なおさらよい。

────────────────

◆Mac OS X Mountain Lion 自動セキュリティアップデートを毎日実行する方式へ移行 (2012.6.26-27)
開発者やテスター向けにリリースされたMac OS X Mountain Lionのプレビュー では、暗号化接続を介したソフトウェアアップデートの確認が毎日行われ、確 認されたアップデートは、自動的にインストールされるようになっている。こ の機能は、Apple社製品のアップデートのみに適用されるが、App Storeを介し てサードパーティのアップデートを配信する際にも用いることができる可能性 もある。今回の自動アップデートへの転換を、Appleがセキュリティをより深 刻に考え始めた兆候だと見なす人もいる。OS Xの以前のバージョンでは、アッ プデートの確認は週に一度行われていた。Mountain Lionは、7月末にリリース される予定である。

http://news.cnet.com/8301-1009_3-57460527-83/mountain-lion-gets-daily-automatic-updates/
http://www.itworld.com/security/282576/do-automatic-os-x-security-updates-signal-sea-change-apple
http://www.computerworld.com/s/article/9228516/Apple_steals_from_Windows_Update_playbook_for_OS_X_Mountain_Lion?taxonomyId=85

【編集者メモ】(Ullrich)
今のところ詳細のほどは不明だが、Appleはアップデートの検証を改善してい るようだ。また、Appleは、他のOSに勝る、OS Xのセキュリティ上の利点に関 する説明文の表現を修正したり、和らげたりしている。きっと、Appleはよう やく、Apple製品も攻撃の対象であるということを理解し始めたのだろう。

────────────────

◆重大なインフラに対する攻撃の報告件数 急増 (2012.6.29)
米国ICS-CERT:Industrial Control System Cyber Emergency Response Team( 産業用制御システム・サイバー緊急事態対策チーム)によると、2009年から 2011年までの間で、サイバーセキュリティ上のインシデントの報告件数が大幅 に増えたという。2009年においては、ICS-CERTに報告されたサイバーセキュリ ティインシデントはたったの9件だった。2010年は41件だったが、2011年には、 198件もあったと報告されている。昨年は、このようなインシデントの報告を 受けて、オンサイトでのインシデントレスポンスチームが、7回配備された。 さらに、その他21件のインシデントについては、Advanced Analytics Labによ るリモートでの分析を通じて対処が行われた。報告の全てがサイバー攻撃では なかったものの、件数を見れば、脅威の度合いは「予想以上に深刻」であるこ とが伺える。これまで3年間にわたってオンサイトの評価を行う原因となった、 17件のインシデントのうち12件については、セキュリティのベストプラクティ スの導入を行っていれば、攻撃検知にかかった時間や攻撃の影響を減らす、あ るいは、攻撃を全て食い止めることすら出来た可能性がある。ICS-CERTは先日、 「インターネットに接続している産業用制御システムの多くで、未だに、デフォ ルトのユーザー名とパスワードが使われている」と指摘した。

http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/240003029/u-s-critical-infrastructure-cyberattack-reports-jump-dramatically.html
【編集者メモ】(Honan)
我々の産業界は、相も変わらず、APT攻撃や、このような潜在的にゼロデイ攻 撃になりうる攻撃の報告件数に関してヒステリックになっている一方で、その 他企業の実際に発生したインシデントの分析についての産業報告を見ると、多 くの組織において、まだまだ基本的なセキュリティ措置が効果的に導入されて いない状況が、再三浮かび上がってくる。「SANS20の重大なセキュリティコン トロール」の概要にあるような行動をとれば、インシデント発生の可能性は、 飛躍的に減るだろう。

http://www.sans.org/critical-security-controls/
────────────────

◆DNSChangerに感染したコンピュータ 時間切れ迫る (2012.6.28-29)
調査によると、フォーチュン500社の12%にあたる企業と、米国政府局の4%の コンピュータシステムが、DNSChangerに感染しているという。つまり、これら の組織は、感染したコンピュータのマルウェアを除去しなければ、7月9日付で インターネットに接続ができなくなる。FBIは昨年、これに関連して、 DNSChangerの指令管制用インフラを掌握するに至った。裁判所命令が相次いで 発行され、感染したマシンのインターネット接続の手助けをしているサーバの 操作が許可されたが、これらの命令の有効期限が刻々と迫っている。

http://www.theregister.co.uk/2012/06/29/dnschanger_rife_as_deadline_looms/
http://krebsonsecurity.com/2012/06/dnschanger-trojan-still-in-12-of-fortune-500/
http://www.technolog.msnbc.msn.com/technology/technolog/last-call-wipe-dnschanger-internet-doomsday-854340
【編集者メモ】(Hinan)
DNS Changerワーキンググループのサイトには、トロイの木馬が感染している かどうかの判断の方法、および、感染していた場合の対処法に関する素晴らし い情報がある。 http://www.dcwg.org/

────────────────

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□        早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<< 
          http://sans-japan.jp/training/event.html

  【SEC542】SANS Web App Penetration Testing and Ethical Hacking
          2012年11月5日(月)~10日(土)

  【FOR558】SANS Network Forensics
          2012年11月5日(月)~9日(金)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月18日(水)・8月28日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

○7月19日(木)<名古屋>・7月20日(金)<大阪>
 事例から見る!!標的型攻撃・スマートデバイスへのセキュリティセミナー
 ~複雑化する環境の中、今後求められる管理体制のポイントを事例を交えてご紹介~
http://www.nri-secure.co.jp/seminar/2012/0719_20.html?xmid=300&xlinkid=18

○7月20日(金)・8月24日(金)・9月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○7月24日(火)・8月29日(水)・9月27日(木)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○7月26日(木)・8月31日(金)・9月21日(金)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○9月11日(火)~12日(水)・12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃出展予定のイベント                 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年8月7日(火) Direction 2012  http://direction.jpn.com/
【講演】13:30~14:15<Session D-1>
      「サイバーセキュリティ傾向分析レポート
       ~グローバル企業のもつ海外Webサイトのセキュリティ管理~」
    13:30~14:15<Session E-23>
      「相次ぐ従業員による情報漏洩へ、どう対処するか
       ~製造業における事件を中心に考える~」

【展示】Direction EXPO 2012 http://direction.jpn.com/expo.html
      セキュリティソリューションについて、デモ・展示

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年6月28日 Vol.12 No.26)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

======================================================================
■今週のトップの脆弱性

Mozilla Firefox、Thunderbird、SeaMonkeyのCVE-2012-0469:2012年4月にパッ チが適用された。しかし最近、この脆弱性の利用方法やDEP/ASLRの回避方法に 関する情報が公表されている。そのため、近い将来、世間で攻撃が行われる可 能性がある。

======================================================================
■SOURCEFIRE脆弱性研究チームが選んだ注目すべき最新のセキュリティ問題

◆CVE-2012-0469:"IDBKeyRange"インタフェースに解放済みのメモリを使ってしまう脆弱性(Mozilla Firefox、Thunderbird、および、SeaMonkeyに影響)

<詳細>
この脆弱性は、2012年4月にパッチが適用されている。しかし、最近、セキュ リティ会社のVUPENが新しく情報を公表し、この脆弱性を利用してDEPやASLRを 回避する方法が明らかになった。Firefox、Thunderbird、および、SeaMonkey のパッチがまだ適用されていないバージョンが標的になるのは、時間の問題だ と思われる。

<参考>
http://www.mozilla.org/security/announce/2012/mfsa2012-22.html
http://www.vupen.com/blog/20120625.Advanced_Exploitation_of_Mozilla_Firefox_UaF_CVE-2012-0469.php

<Snort SID>
23212

<ClamAV>
該当なし

────────────────

◆CVE-2010-0188:Adobe Readerの不正形式TIFFにリモートのコード実行の脆弱性

<詳細>
世間で見つかった悪意のあるPDF文書の中には、WindowsやMacintoshのシステ ムにマルウェアを落とすためにこの脆弱性を利用しているものがいくつかある。 これらのPDFは、「ドライブバイのエクスプロイト内のBlackholeのエクスプロ イトキットで用いられている。みなさんも、USAirwaysの予約や、Amazon.com の注文、その他の偽メールなど、生活環境にあるeメールで、この事例を目に しているかもしれない。この脆弱性は、特別に細工されたPDF文書の解析時に、 'Libtiff'ライブラリに生じる境界チェックのエラーである。悪用が実現すれ ば、スタックベースのバッファオーバーフローを引き起こし、ログインした ユーザーのセキュリティのコンテキストで任意のコードを実行するか、もしく は、プリケーションを異常終了させることができるようになる。
<参考>
www.adobe.com/support/security/bulletins/apsb10-07.html

<Snort SID>
23089

<ClamAV>
Exploit.PDF-13527、Exploit.PDF.Dropped-17

────────────────

◆AutoCADを標的にしたワーム

<詳細>
AutoCADファイルを盗み出すように細工されたワームが、世間で発見された。 このワームの起源は不明だが、盗み出されたAutoCADのファイルは、163.comと qq.com(2社とも中国企業)が提供している電子メールのアカウントに送信され るようになっている。このマルウェアは、AutoCADのスクリプト言語、 AutoLISPで作成されている。

<参考>
http://securityaffairs.co/wordpress/6677/cyber-crime/a-virus-specialized-for-autocad-a-perfect-cyber-espionage-tool.html

<Snort SID>
(テスト中)

<ClamAV>
Worm.ACAD、Worm.ACAD-1

────────────────

◆CVE-2010-2729とStuxnet

<詳細>
2012年6月24日は、StuxnetのCVE-2010-2729を利用した複製機能が動作を停止 するようにプログラムされている日である。つまり、Stuxnetがこの脆弱性を 利用してUSBキーに感染を広げることは、もはやなくなる。この複製機能の停 止は、このワームが最初に発生してから2年経った今も感染拡大との戦いが続 いているという現状の中、ありがたい息抜きになる。ユーザーは、「Stuxnet が、今までずっと、Windowsプリントスプーラーサービスの脆弱性を利用して いたわけではない」ことを知っておくべきである。2010年2月までは、Stuxnet は、自動実行機能にある習性を用いて感染を拡大していた。したがって、この テクニックをまだ用いることができる可能性がある。

<参考> http://technet.microsoft.com/en-us/security/bulletin/MS10-061
http://www.symantec.com/connect/blogs/stuxnet-lnk-file-vulnerability
https://www.securelist.com/en/blog/208193609/The_Day_The_Stuxnet_Died

<Snort SID>
17044、20523、20524

<ClamAV>
Worm.Stuxnet -> Worm.Stuxnet-9

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。 組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。