NRI Secure SANS NewsBites 日本版

Vol.7 No.28 2012年7月24日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.28 2012年7月24日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.56-57
(原版:2012年7月13日、7月17日)

■はじめに(Alan Paller:SANS Director of Research)
我々が「トップニュース」にMicrosoftのアップデートを挙げることは珍しい が、John Pescotoreは、「今週のアップデートは、非常に優先度が高い」とア ドバイスしている。彼は、信頼できる情報源である。

「セキュリティマネージャに実戦的な技術手腕が必要かどうか」という問いに 対する最良の答えを、さきほど耳にしたところだ。とある空軍少佐が、「自分 は、空軍組織内の集中コースで教えてもらうようなネットワーキングやセキュ リティを、学ぶ必要がない」と、空軍のコース主任に不満を訴えていた。「私 の部下がネットワーキングやセキュリティに関する業務を行うので、マネージャ の私が行うことはない。」と。そこで、コース主任は、「ルータアクセスコン トロールリストとは何か、わかるか?」と少佐に聞いた。
少佐:「はい」
コース主任:「端末の前に座って、ACLを作成したことはあるか?」
少佐:「いいえ」
コース主任:「それでは、1つのラインにたった1つのエラーがあるだけで君の ネットワーク上の全通信が停止してしまうという状況で、ネットワーク管理者 が正しいことを行っているかどうかを、君はどのように判断するのかね?」 少佐:目を見開く。
コース主任:「それに、君のところのネットワーク管理者が、大口をたたいて いる訳ではないと、君はどのように判断するのだね?」
少佐:「そのコースに参加登録させてください。」
■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ┏━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ┃■┃SANSの仮想化技術のセキュリティを学ぶ2日間
 ┗━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

      Direction 2012の特別コースとしてSANSトレーニング開催!
       【SEC577】Virtualization Security Fundamentals

            2012年8月7日(火)~8日(水)開催
            <通常料金20万円相当→8万円>

           http://direction.jpn.com/sans.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■


◆専門家 議員にサイバーセキュリティ法案の可決を求める (2012.7.11)
セキュリティ専門家は上院国土安全保障政府問題委員会に対し、「どのような サイバーセキュリティ法案であれ、無いよりはある方がよい。法の施行後、必 要に応じて微調整を行っていけばよい」と述べた。ジョージ・ワシントン大学 の国家安全保障政策機関のFrank Cilluffo理事は同委員会に対し、「今、行動 を起こさないならば、何か良くないことが発生してからとる行動の方がより過 酷な内容になり、本来ならば建設的であるはずのものがそうではなくなってし まう。」と述べている。

http://www.nextgov.com/cybersecurity/2012/07/any-cybersecurity-bill-better-no-bill-senate-panel-told/56730/?oref=ng-HPriver
【編集者メモ1】(Pescatore)
「どのようなサイバーセキュリティ法であれ、無いよりはある方がよい」と述 べる人は、粗悪な法がもたらした損傷効果についての長い歴史を、首尾よく無 視してしまっていると言えよう。
【編集者メモ2】(Paller)
John Pesactoreのコメントをさらに強めてみよう。サイバー法案の可決が、最 も切実に必要とされている。しかし、断固とした主張があるにもかかわらず、 重大なインフラのサイバーセキュリティの改善については提案されていない。 DHSがサイバー分野でリーダーシップを取る上で異例の行動を行っており、 A130の書き直しが行われていることを踏まえると、法を制定してFISMAを修正 する必要性はほとんどない。
【編集者メモ3】(Murray)
議会に同情する。いかに劣悪な法であろうと、彼らが持っている手段は、法だ けなのである。

─────────────
◆Microsoft 7月の火曜パッチでXMLコアサービスの欠陥に対処 (2012.7.10-11)
7月のMicrosoftの火曜パッチで対処されたセキュリティ問題の中には、攻撃で 盛んに利用されているXMLコアサービスのゼロデイの欠陥がある。また、修正 プログラム群には、IE(Internet Explorer)用の追加アップデートや、 Microsoftデータアクセスコンポーネントにあるリモート実行の脆弱性のパッ チも含まれている。

http://www.computerworld.com/s/article/9228979/Microsoft_patches_critical_drive_by_IE9_bug_Windows_zero_day?taxonomyId=17
http://www.theregister.co.uk/2012/07/11/ms_july_patch_tuesday/
http://krebsonsecurity.com/2012/07/microsoft-patches-zero-day-bug-15-other-flaws/
http://technet.microsoft.com/en-us/security/bulletin/ms12-jul
インターネットストームセンター:
https://isc.sans.edu/diary.html?storyid=13642
【編集者メモ】(Pescatore)
今月の「Microsoftの脆弱性の月例火曜パッチ」については、優先処理を行う べきである。

─────────────
◆米国FDA(食品医薬品局) 機密文書漏えい事故を捜査 (2012.7.16)
米国FDA(食品医薬品局)は、同局の医療機器承認プロセスに関する機密ファイ ル7万5,000ページ分が不注意で漏洩してしまった事件について、捜査を行って いる。文書管理会社が、これらのファイルをうっかり公表してしまったようだ。 これらのファイルは、訴訟の資料請求プロセスの一環として、文書管理会社に 提出されていた。今回漏洩した文書のほとんどは、2008年の医療機器承認プロ セスについて不満を述べていたFDAの5人の科学者に対する「監視」に関連のあ る内容である。この5人の監視を行うにあたって、FDAは、キーストロークロガー を用いたほか、eメールの傍受、個人のUSBフラッシュメモリから文書をコピー する、実際にメッセージが書かれた手順どおりにメッセージ文を追跡するなど の作業を行っていた。これらの行為に関して、5人の科学者は、FDAに対して訴 訟を起こしている。

http://www.nextgov.com/cio-briefing/2012/07/fda-investigates-how-confidential-files-went-public/56812/?oref=ng-channelriver
【編集者メモ】(Northcutt)
FDAのスタッフのほとんどは、重要かつ比類ないスキルを持つ博士や科学者た ちである。このような信頼を裏切る行為があれば、FDAは非友好的な職場になっ てしまうだけでなく、職場で得られるはずの最高の成果が失われかねない。ま た、ここでは、法も犯されてしまっているようだ。5名の科学者の通信につい て、少なくとも今までに公表された記事によれば、FDAは、私的なGmailのアカ ウントなど、法的に陳述を拒否できる通信についてもこっそり調べていたこと がうかがえる。また、これは、内部告発者を保護できなかった場合に生じる危 険な先行きを示すもう1つの事例である。

http://arstechnica.com/tech-policy/2012/02/fda-whistleblowers-say-government-intercepted-gmail-yahoo-messages/
http://www.naturalnews.com/034824_FDA_scientists_hacking_whistleblowers.html
─────────────
◆米国DHS(国土安全保障省)のCERT ナイアガラフレームワーク産業制御ソフトウェアにあるセキュリティ問題を警告 (2012.7.13)
米国DHS(国土安全保障省)のCERT(コンピュータ緊急対応チーム)は、「攻撃者 が、ナイアガラフレームワーク産業制御システムソフトウェアにある脆弱性を 悪用している」と警告を発した。このソフトウェアは世界中で使われている。 DHS CERTは、「ユーザーは、ゲストユーザーを禁止し、パスワードを強化し、 インターネットへの直接的なアクセスを遮断するほか、その他の予防策を講じ て攻撃者からシステムを保護する」ように推奨している。問題の脆弱性が悪用 されると、ディレクトリトラバーサル攻撃が可能になる。ソフトウェア「ナイ アガラ」の製造企業であるTridiumは、顧客に対して、先週この問題を警告し ている。DHS CERTは、修正プログラムを開発する猶予を同社に与えるために、 この警告の発行を数日間控えていた。

http://www.washingtonpost.com/investigations/homeland-security-warns-of-hackers-targeting-popular-niagara-software/2012/07/13/gJQA0l7NiW_story.html
http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-12-195-01.pdf
【編集者メモ】(Paller)
これは、The Washington Postに驚くべき記事がいくつか掲載されたために直 接生じた影響であろう。「ジャーナリストの力で何かが変わる」ことを示す素 晴らしい事例である。

─────────────
◆アノニマス 石油会社を標的に (2012.7.16)
「アノニマス」ハッカー団は多国籍石油会社を標的として、eメールアドレス やハッシュ化されたパスワード、暗号化されていないパスワードを盗み出し、 それらを掲示している。標的となっている企業には、Shell、Exxon、BP、 Gazprom、および、Rosneftである。今回の攻撃は、北極で採掘を行うことに抗 議して仕掛けられたと考えられている。

http://www.wired.com/threatlevel/2012/07/oil-companies-hacked/

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□        早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
        世界最高レベルの情報セキュリティトレーニング
           >>> SANS Tokyo 2012 <<<

          http://sans-japan.jp/training/event.html

    【SEC542】SANS Web App Penetration Testing and Ethical Hacking
            2012年11月5日(月)~10日(土)

    【FOR558】SANS Network Forensics
            2012年11月5日(月)~9日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月26日(木)・8月31日(金)・9月21日(金)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=19

○8月10日(金)
 企業活動を脅かすサイバーアタック最新動向2012
 ~2012年傾向分析と最新セキュリティ事情から、企業の対策判断を支援~
http://www.nri-secure.co.jp/seminar/2012/0810.html?xmid=300&xlinkid=20

○8月24日(金)・9月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○8月28日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

○8月29日(水)・9月27日(木)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○9月11日(火)~12日(水)・12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃出展予定のイベント                 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年8月7日(火) Direction 2012  http://direction.jpn.com/
【講演】13:30~14:15<Session D-1>
      「サイバーセキュリティ傾向分析レポート
       ~グローバル企業のもつ海外Webサイトのセキュリティ管理~」
    13:30~14:15<Session E-23>
      「相次ぐ従業員による情報漏洩へ、どう対処するか
       ~製造業における事件を中心に考える~」

【展示】Direction EXPO 2012 http://direction.jpn.com/expo.html
      セキュリティソリューションについて、デモ・展示

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2012年7月13日 Vol.12 No.28)

信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Cross Platform
4 (#1,#3,#4)Microsoft Windows
1 (#2)Android
1
Web Application
2
Cryptography
1
======================================================================
□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□
■今週のトップの脆弱性
CVE-2012-1723:Java実行時の脆弱性
このクライアント側の脆弱性は、6月にパッチが適用されているが、Blackhole エクスプロイトキットに組み込まれているという。公知のエクスプロイトが公 表されており、世間で行われている悪用の報告件数は増加の一途を辿っている。

□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□


■SOURCEFIRE脆弱性研究チームが選んだ注目すべき最新のセキュリティ問題

1. Blackholeの新しいJavaの脆弱性

<詳細>
最近公表されたJavaの脆弱性であるCVE-2012-1723は、Blackholeエクスプロイ トキットに組み込まれている。そのため、比較的最新のシステムでも攻撃に餌 食となる可能性が著しく高まっている。このバグは複雑なオブジェクト・タイ ピングの問題であり、この環境では確実に悪用可能となっている。また、この 脆弱性の本質が詳説された概念実証型が公表されている。

<参考>
http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html
http://schierlm.users.sourceforge.net/CVE-2012-1723.html
http://vrt-blog.snort.org/2012/07/cve-2012-1723-new-java-attack-added-to.html

<Snort SID>
23273 - 23277

<ClamAV>
Exploit.CVE_2012_1723

─────────────
2. 古いエクスプロイトに新派生形

<詳細>
CVE-2012-0158は、脆弱なWindowsコモンコントロールのActive X コンポーネ ントを悪用するもので、今年4月にパッチがリリースされるまでは、このフィー ルドで盛んに悪用されていた。これまで、攻撃は的を絞って行われる性質が強 かったが、時間の経過とともに攻撃は高度化している。この環境で最近観測さ れたこの攻撃の新派生形は、RTF、DOC、もしくは、XLSファイルにしばしばド ロップされ、元のエクスプロイトよりも余分な装備を取り除いた形態をとり、 以前はこのバグのトリガーを行うために必要だと考えられていた手順を回避し ている。

<参考>
http://vrt-blog.snort.org/2012/07/its-not-dalai-lamas-birthday-oh-and-you.html

<Snort SID>
21896 - 21093, 21905, 21937, 23305

<ClamAV>
Exploit.CVE_2012_0158

─────────────
3. トロイの木馬「Kuluoz」 世の中で感染拡大

<詳細>
Sourcefire VRTの脅威監視ネットワークの情報によれば、「Kuluoz」というト ロイの木馬が、世の中で急激に感染を拡大しているという。このマルウェア は、さまざまな方法で落とされ、インストールされるとロシアなどにあるC&C サーバに連絡をとるほか、さらに広範囲に及ぶボットネットの一部を形成する。

<参考>
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2FKuluoz

<Snort SID>
23244

<ClamAV>
Trojan-Kuluoz-4 through Trojan-Kuluoz-2311

─────────────
4. CVE-2012-0677:iTunes M3Uプレイリストにバッファオーバーフローの脆弱性

<詳細>
最近では、古典的なバッファオーバーフロー攻撃は、一般的に珍しいものとなっ ているが、6月末に、Apple iTunesプレイリストを形成するM3Uファイルを攻撃 する、新手の攻撃が公表された。すでに公表された攻撃コードが存在しており、 この脆弱性はMatasploitに組み込まれている。このバグがクロスプラットフォー ムであることを踏まえると、しばらくは、これをたやすく悪用できる状態が続 き、世間でも、攻撃が継続的に行われることだろう。

<参考>
http://zeroscience.mk/en/vulnerabilities/ZSL-2012-5093.php

<Snort SID>
23271 23272

<ClamAV>
該当なし

────────────────

======
Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。