NRI Secure SANS NewsBites 日本版

Vol.7 No.27 2012年7月18日発行 

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.27 2012年7月18日発行 
**********************************************************************

■■SANS NewsBites Vol.13 No.54-55
(原版:2012年7月6日、7月10日)

■はじめに(Alan Paller:SANS Director of Research)
NSA(国家安全保障局)長官 サイバーセキュリティの合意基準について一言: 昨日のThe Washington Postの記事によれば、Keith Alexander陸軍大将が「基 準は必要だが、『難しい』のは、その設定方法を考え出すこところにある」と 述べたという。彼は手本になりうる事例として、基本方策のセットである、 SANS Instituteの「20の重大なセキュリティコントロール」を挙げている。 http://www.washingtonpost.com/blogs/2chambers/post/cybersecurity-chief-urges-action-by-congress/2012/07/09/gJQAP4gMZW_blog.html


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□         Direction 2012 内特別コース
―――――――――――――――――――――――――――――――――――
        仮想化技術のセキュリティを学ぶ2日間
  >>> Special Training Course in Direction 2012 !  <<<
         http://direction.jpn.com/sans.html

  【SEC577】Virtualization Security Fundamentals
          2012年8月7日(火)~8日(水)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆控訴裁判所 銀行のオンラインセキュリティ対策は不十分と判断 (2012.7.4-5)
ボストンの第1巡回控訴裁判所は、Ocean Bank(現在は、People's United Bank) で実施されているオンラインセキュリティ対策は、「商業的に妥当」ではない と判断した。この件に関する訴えは、メーン州サンフォードを拠点としている Patco Construction Companyから、ACH:Automated Clearinghouse(自動決済機 関)で、58万8,000ドルの不正送金が相次いで発生したために起こされた。盗み 出された24万3,000ドルは回収されたが、Patcoは、34万5,000ドルの損失を被っ たこととなる。この判決によって、「銀行側を支持」した下級裁判所の判決は 覆された。今回の判決によって、Patcoの損失の払い戻しを行うように銀行が 強制されるわけではないが、このような損失に対する法的責任を銀行に負わせ る方向へ動きが転換していることがうかがえる。

http://www.computerworld.com/s/article/9228796/Federal_appeals_court_raps_bank_over_shoddy_online_security?taxonomyId=17
http://www.bankinfosecurity.com/patco-ach-fraud-ruling-reversed-a-4919
http://docs.ismgcorp.com/files/external/First_Circuit_Order_070312.PDF

【編集者メモ】(Murray)
これは、重要な判決である。下級裁判所の判事は、FFIEC(貧弱な機関)が出し た不完全なガイダンス(新しいガイダンスは、大した改善になっていない)の 不備のある実装(ユーザーIDとパスワードに、チャレンジ・レスポンスの認証 を加えたもの)を承認していたことになる。しかしながら、幸いにも、我々の ほとんどは承認せず、控訴裁判所もそうしなかった。銀行は、再現できない認 証、かつ、強力な「バックオフィス」のコントロール可能な認証を使用し、取 引内容が当該顧客にとって妥当であると保証しなければならない。

────────────────

◆米国DOD(国防総省)サイバー司令部司令官 明確なサイバーセキュリティ法案を求める (2012.7.9)
米国DODサイバー司令部司令官、および、NSA(国家安全保障局)長官のKeith Alexander陸軍大将は議員らに対し、同国のコンピュータシステムを攻撃から 守るうえで、誰が何を担当するのかを明確にするように求めた。Alexander大 将は、米国が大規模なサイバー攻撃の標的となる前に、この問題を整理するこ とが重要だと述べている。また、彼は、組織がシステムを保護するために行う べきことを示す手本の規範として、SANSの「20 Critical Security Controls」 を挙げている。現在、同国のコンピュータシステムの防御責任は、DOD、FBI、 DHS(国土安全保障省)など、複数の政府局にかけられている。Alexander大将 は、「危機が起きる可能性が高まっている」と述べた。動画はこちら:
http://www.c-spanvideo.org/program/ThreatstotheU
http://www.washingtonpost.com/blogs/2chambers/post/cybersecurity-chief-urges-action-by-congress/2012/07/09/gJQAP4gMZW_blog.html
http://thehill.com/blogs/hillicon-valley/technology/236813-cyber-command-chief-urges-action-on-information-sharing-legislation
http://security.blogs.cnn.com/2012/07/09/cyber-chief-warns-of-rising-danger-from-cyber-attacks/?hpt=hp_t2

【編集者メモ】(Pescatore)
実際には、「米国のコンピュータシステム」を防御する責任は、個々のコン ピュータシステムを所有している各組織にかかっている。「事業を守ることが その企業の責任である」ことと同じように…。

────────────────

◆窃盗犯 BMWを盗み出す際にOBD(搭載の自己故障診断システム)にある脆弱性を悪用 (2012.7.7-9)
窃盗犯は、キーレスエントリ技術を使ってBMWを盗み出す方法を考えついた。 警報システムも回避できるようだ。窃盗犯らは、車のOBD: On-Board Diagnostic (自己故障診断)システムへのアクセスを獲得し、新しいキーフォ ブ(訳注:キーホルダーサイズのリモコンや無線ICタグ)をプログラムしたと考 えられている。車のエンジンがかかっていなくても、OBDポートには常に電力 が供給されるようになっているため、パスワードは求められない。

http://www.zdnet.com/hackers-steal-keyless-bmw-in-under-3-minutes-video-7000000507/
http://www.technolog.msnbc.msn.com/technology/technolog/hackers-steal-bmws-3-minutes-using-security-loophole-868400

【編集者メモ】(Pescatore)
窃盗犯が古いやり方で車を盗むしかない状態にする、「物理的なキーを物理的 なイグニション・スイッチに挿入する必要がある車」から離れられないもう1 つの理由はこれである。

────────────────

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□        早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<< 
          http://sans-japan.jp/training/event.html

  【SEC542】SANS Web App Penetration Testing and Ethical Hacking
          2012年11月5日(月)~10日(土)

  【FOR558】SANS Network Forensics
          2012年11月5日(月)~9日(金)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月19日(木)<名古屋>・7月20日(金)<大阪>
 事例から見る!!標的型攻撃・スマートデバイスへのセキュリティセミナー
 ~複雑化する環境の中、今後求められる管理体制のポイントを事例を交えてご紹介~
http://www.nri-secure.co.jp/seminar/2012/0719_20.html?xmid=300&xlinkid=18

○7月20日(金)・8月24日(金)・9月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○7月24日(火)・8月29日(水)・9月27日(木)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○7月26日(木)・8月31日(金)・9月21日(金)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html=300&xlinkid=19

○8月28日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○9月11日(火)~12日(水)・12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃出展予定のイベント                 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年8月7日(火) Direction 2012  http://direction.jpn.com/
【講演】13:30~14:15<Session D-1>
      「サイバーセキュリティ傾向分析レポート
       ~グローバル企業のもつ海外Webサイトのセキュリティ管理~」
    13:30~14:15<Session E-23>
      「相次ぐ従業員による情報漏洩へ、どう対処するか
       ~製造業における事件を中心に考える~」

【展示】Direction EXPO 2012 http://direction.jpn.com/expo.html
      セキュリティソリューションについて、デモ・展示

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2012年7月6日 Vol.12 No.27)

信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Cross Platform
4 (#2,#3,)Web Application - Cross Site Scripting
1
Web Application - SQL Injection
1 (#4)Mac OS X
1 (#1)Denial of Service
1
======================================================================
□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□
■今週のトップの脆弱性

CVE-2012-2695: Ruby on RailsにSQLインジェクション
この問題は6月にパッチが適用されているが、非常に多くのWebアプリに影響を 与えるため、広範での悪用が進んでいると思われる。とりわけ、開発者は、プ ログラムの作成に使用する言語にパッチをしばしば適用していないことが、そ の背景にあると言える。
□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□

■SOURCEFIRE脆弱性研究チームが選んだ注目すべき最新のセキュリティ問題

1. 新たなバックドアを使ったMacに対する標的型攻撃

<詳細>
先日、Macに特化したバックドアを落とす、標的型電子メールの波が検知され た。この悪意のあるバイナリは、ユーザーがソーシャルエンジニアリングテク ニックの餌食となりインストールされるバイナリで、以前にも観測された、 Javaエクスプロイトを介して分散するMacのバックドアに関連性がある。Macへ の攻撃が引き続き流行っているため、ユーザーは頻繁にパッチを適用し、信頼 されていないソースからのバイナリを実行する際には注意すべきである。

<参考>
http://www.securelist.com/en/blog/208193616/New_MacOS_X_backdoor_variant_used_in_APT_attacks
http://labs.alienvault.com/labs/index.php/2012/ms-office-exploit-that-targets-macos-x-seen-in-the-wild-delivers-mac-control-rat/

<ClamAV>
Trojan.MAC.Backdoor
────────────────

2. トロイの木馬 新しいC&C(指令管制サーバ)難読化テクニックを使用

<詳細>
ポーランドのCERTは、新しいトロイの木馬がいくつもの異なるソーシャルメディ アの手法を介して、世間で感染を拡大していることを観測した。手法に関して は特に目新しさはないが、このマルウェアが興味深い点は、C&Cに連絡をとる 方法にある。このマルウェアは、DNSクエリのレスポンスで提供されたアドレ スを使用する代わりに、その値をとり、とった値を違うIPアドレスに変換する。 そして、その後、C&Cに接触する際には、変換したアドレスが用いられる。こ のテクニックが広範に広がれば、ネットワークレベルで行うマルウェアの検知 に、興味深い影響を及ぼす。

<参考>
http://www.cert.pl/news/5587/langswitch_lang/en

<Snort SID>
23261

<ClamAV>
Worm.Agent-394
────────────────

3. バンキングのトロイの木馬 フィッシング攻撃で感染拡大

<詳細>
Sourcefire VRTは、UPSを題材にした大規模なフィッシング攻撃を介して、ユー ザーにトロイの木馬が落とされていることをつきとめた。このトロイの木馬は、 複数の大手金融機関の信用証明書を盗み出すために企てられたもので、他の悪 意のあるバイナリも、感染したシステムに落としていく。このトロイの木馬の C&C通信の特に興味深いところは、作成者が16進数文字列の「0xDEADBEEF」を 採用していることにある。この16進数文字列は、攻撃者、研究者ともに、シス テムメモリを介してユーザーのインプットの後を追う方法として(つまりは、 ある種のプロトコルマーカーのように)よく使うものである。

<参考>
http://vrt-blog.snort.org/2012/07/banking-trojan-spread-via-ups-phish.html

<Snort SID>
23262

<ClamAV>
Trojan.Banker-8376
────────────────

4. CVE-2012-2695: Ruby on RailsにSQLインジェクション

<詳細>
Ruby on RailsのActive Recordのコンポーネントは、ネストされたインプット の特定の種類を正しくサニタイジングしないため、開発者が「インプットのサ ニタイジングは完了した」と考えていたとしても、このコンポーネントを使用 したアプリにSQLインジェクションが発生する。このコンポーネントは広範に 使用されているため、世間で攻撃が発生する可能性は、もしまだ発生していな ければ、極めて高い。

<参考>
https://groups.google.com/forum/?fromgroups#!msg/rubyonrails-security/l4L0TEVAz1k/Vr84sD9B464J

<Snort SID>
23213

<ClamAV>
該当なし
────────────────

======
Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。