NRI Secure SANS NewsBites 日本版

Vol.7 No.29 2012年8月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.29 2012年8月1日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.58-59
(原版:2012年7月20日、7月24日)

■はじめに(Alan Paller:SANS Director of Research)
クラウドセキュリティに関する、非常にクールな新ブログ (http://www.sans.org/cloud)がある。これは、私が今まで見てきた中で初 めての、ベンダーお抱えのコンサルタントや、従業員があたかも「単独で書い ている」ふりをして書いた記事を集めたものではないブログである。
このサイトは、http://computer-forensics.sans.org/の下部にある、世界ク ラスのフォレンジックのブログに匹敵する勢いのようだ。どちらも、信頼でき るブログである。企業が、これらのWebをマーケティングに活用する方法を見 出していることを踏まえると、「信頼できる」という特性は、ますます珍しく なっていると言えよう。


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□            早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<<

      【SEC542】SANS Web App Penetration Testing and Ethical Hacking
              2012年11月5日(月)~10日(土)
            http://sans-japan.jp/courses/sec542.html

      【FOR558】SANS Network Forensics
              2012年11月5日(月)~9日(金)
            http://sans-japan.jp/courses/for558.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆米国大統領 サイバーセキュリティ法案の可決を議員に求める (2012.7.19)
The Wall Street Journalの今朝の記事に、オバマ大統領による「米国に新し いサイバー関連法案が必要である」理由の説明が掲載されている。一部抜粋: 「米国民には、我々の重大なインフラを運営している企業が、他のセキュリティ 要件をすでに満たしていることと同様に、基本的な、かつ、常識的なサイバー セキュリティ基準を満たしていることを当然知る権利がある。原子力施設には、 テロリストの攻撃を阻止できるフェンスや防衛措置がなければならない。水処 理工場では、定期的に水をテストし、汚染物が混入していないかどうかを調べ なければならない。飛行機には、堅牢なコックピットのドアがなければならな い。我々はみな、このような物理的なセキュリティ措置の必要性については、 理解している。サイバー上の敵対者に対して、デジタルのバックドアを大きく 開け放ったままにしておくのは、無責任の極みである。」

http://online.wsj.com/article/SB10000872396390444330904577535492693044650.html?KEYWORDS=Obama+cybersecurity#printMode
────────────────

◆カリフォルニア州司法長官(AG)、プライバシー施行部門を設置 (2012.7.19)
カリフォルニア州司法長官Kamala Harrisは、プライバシー慣行に重点的に取 り組み、州法や連邦法に違反して他人のプライバシーを侵害する組織に対し、 その責任を取らせる目的で、プライバシー施行・保護部門を組織した。

http://www.wired.com/threatlevel/2012/07/california-privacy-unit/
http://news.cnet.com/8301-1009_3-57476045-83/california-beefing-up-privacy-protection-enforcement/
────────────────

◆米国DOJ(司法省)、NSLに異議を申し立てたテレコム企業を起訴 (2012.7.18)
米国DOJ(司法省)は、FBIのNSL(National Security Letter)、および、付随す る口外禁止令に異議を申し立てたテレコム企業を訴える見込みである。NSLに 関する連邦法によれば、いずれの命令に対しても、異議申し立てが許可されて いる。しかし、これに対しDOJは、「この企業は、NSLを渡すというDOJの権限 に異議を申し立てることによって、法を犯している」と主張している。NSLと は、政府に、個人の財務情報や通信データを裁判官の監督なしに取得できるよ うにするものである。FBI局を任されている特別捜査官の署名さえあれば、NSL は有効となる。この場合、FBIは、求められている情報が、国際テロか、もし くは、内密の諜報活動の捜査に関連性があると強く主張しなければならない。

http://www.wired.com/threatlevel/2012/07/doj-sues-telecom-over-nsl/
────────────────

◆専門家 ボットネット「Grum」を解体 (2012.7.18-19)
複数のサイバーセキュリティ組織が共同で、調剤関連のスパムメッセージを何 度となく送信することで知られているボットネットの「Grum」を解体した。解 体プロセスは、パナマとロシアのC&C(指令管制)サーバを停止に追い込んだ ところで完了した。この取り組みに関わった団体には、Spamhaus、FireEye、 ロシアのCERTがある。「Grum」は、絶頂期には世界中のスパムの17%以上を占 めていた。オランダのC&Cサーバは、今週はじめに停止されたものの、このボッ トネットを制御していた者によって、ロシアに新サーバが設置されていた。

http://www.darkreading.com/insider-threat/167801100/security/attacks-breaches/240003982/final-blow-kills-remainder-of-grum-botnet.html
http://news.cnet.com/8301-1009_3-57475328-83/experts-take-down-grum-spam-botnet-worlds-third-largest/
http://www.bbc.co.uk/news/technology-18898971
────────────────

◆DOD(国防総省)の「安全なネットワークアクセスのプログラム」 他局にも広がる (2012.7.20)
DOD(国防総省)は、同省のネットワーク保護プログラムを文民側機関に広げて いる。このプログラムでは、新トークンを持っていないユーザーは、連邦政府 の機密ネットワークにアクセスすることができない仕組みになっている。この 取り組みは、機密データの漏洩阻止を図るために行われている。国防長官Leon Panettaによってこのプランが発表され、これにより国防省内のネットワーク に導入されたセキュリティを他局に広げる動きがあることが示された。

http://www.nextgov.com/cybersecurity/2012/07/agencies-dole-out-new-hardware-keys-secret-networks/56907/?oref=ng-channelriver
【編集者メモ】(Murray) 米国政府内で堅牢な認証を使用するという動きは、少なくとも10年は遅れてい る。最先端の機器や過剰なインフラを必要とする読み取り装置の技術を選んで しまったために、遅れてしまったのだ。

────────────────

◆上院議員 サイバーセキュリティ法案の改正版を提案 (2012.7.19-23)
米国議員は、サイバーセキュリティ2012年法の改正版を公表した。この最新版 では、組織は、既存のサイバーセキュリティ基準を満たす必要はないが、健全 なセキュリティ慣行を導入すれば、いくつかの責任の免除など、インセンティ ブが与えられる。また、同法案の最新版においても、組織が警察との情報共有 を求められる状況が規定・制限されているほか、共有情報の内容も制限さるな ど、プライバシーの保護についても明記されている。

http://www.scmagazine.com/senate-intros-revised-security-bill-to-appease-privacy-woes/article/251404/
http://www.computerworld.com/s/article/9229417/Civil_liberties_groups_praise_revised_cybersecurity_bill?taxonomyId=17
http://news.cnet.com/8301-1009_3-57476215-83/senators-soften-latest-cyber-security-measure/
http://thehill.com/blogs/hillicon-valley/technology/239115-overnight-tech-senators-make-final-push-for-cybersecurity-bill
────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月10日(金)
 企業活動を脅かすサイバーアタック最新動向2012
 ~2012年傾向分析と最新セキュリティ事情から、企業の対策判断を支援~
http://www.nri-secure.co.jp/seminar/2012/0810.html?xmid=300&xlinkid=20

○8月24日(金)・9月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○8月28日(火)・9月19日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

○8月29日(水)・9月27日(木)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○8月31日(金)・9月21日(金)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=19


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○9月11日(火)~12日(水)・12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃出展予定のイベント                 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年8月7日(火) Direction 2012  http://direction.jpn.com/
【講演】13:30~14:15<Session D-1>
      「サイバーセキュリティ傾向分析レポート
       ~グローバル企業のもつ海外Webサイトのセキュリティ管理~」
    13:30~14:15<Session E-23>
      「相次ぐ従業員による情報漏洩へ、どう対処するか
       ~製造業における事件を中心に考える~」

【展示】Direction EXPO 2012 http://direction.jpn.com/expo.html
      セキュリティソリューションについて、デモ・展示


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2012年7月20日 Vol.12 No.29)

信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

============================================================
■今週のトップの脆弱性

Sourcefireのとある顧客が、自身の環境で脅威を見つけたため、それについて 報告を返してくれたおかげで、Sourcefire VRTは今週、悪意のある新たなJava スクリプトキットと見られるものを発見した。このキットは、エクスプロイト キットや通信管理システムに向けてリダイレクトを行っている。通常どおり、 ユーザーは、eメールにあるリンクをクリックする際、または、疑わしいWebサ イトを訪問する際は慎重に行うべきである。
============================================================
■SOURCEFIRE脆弱性研究チームが選んだ注目すべき最新のセキュリティ問題

◆Microsoft IISにファイル開示、および、DoSの脆弱性

<詳細>
独立系のセキュリティ研究者Soroush Daliliは、最近、Windows内蔵のファイ ル名短縮アルゴリズムを使って、保護ディレクトリ内にあるファイルなど、特 定のファイルがWebサーバに存在するかどうかを判定するメカニズムを発見し た。これと同じメカニズムをワイルドカードの特定の一式とともに使えば、 DoS状態を引き起こし、ファイルシステムに異常なほど大量のリクエストを発 信させることができるようになる。公的に入手可能なスキャンツールがあるた め、今のところ、パッチは出ていない。しかし一方で、最初のアドバイザリで は、Microsoftから出ている適用可能なベストプラクティスなど、修正手順が 詳説されている。

<参考>
http://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf
http://support.microsoft.com/kb/121007

<Snort SID>
23360 - 23362

<ClamAV>
該当なし

────────────────

◆悪意のある新たなリダイレクションキット 世間に出まわる

<詳細>
Sourcefire VRTは、悪意のあるリダイレクトを難読化するために用いられる新 しいキットの存在を把握した。Sourcefireの顧客によって発見・報告されたこ のキットは、ユーザーをTDS Sutra リダイレクトシステムに送り、そこからさ らに、エクスプロイトキット、もしくは、広告詐欺スキームのいずれかに送る ようになっている。これがリリースされた当時は、アンチウィルス検出率は、 非常に低かった(VirusTotalごとに計算して、ベンダー42社のうち3社)。
いつもどおり、セキュリティアナリストらは、著しいほどに難読化された JavaScriptや、長連鎖になっているリダイレクションについては疑いを抱くべ きである。

<参考>
http://vrt-blog.snort.org/2012/07/power-of-open-source-intelligence.html

<Snort SID>
23841、23842

<ClamAV>
JS.Obfus-218

────────────────

◆CVE-2012-0663: Apple Quicktime TeXMLにバッファオーバーフローの脆弱性

<詳細>
Apple QuickTimeがTeXMLファイルを解析する方法に、複数のスタックベースの オーバーフローがある。これに対するパッチは、5月中旬にリリースされたが、 その一方で、公知の概念実証型やMetasploitのモジュールが、最近リリースさ れた。ASCIIファイル形式にあるスタックベースのオーバーフロー用のエクス プロイトの開発は単純であり、標的となっているソフトウェアが広範に実装さ れていることから、世間ではすでに、悪用が広範に広がっている過程にあると 考えられる。

<参考>
http://support.apple.com/kb/HT5261
http://0x1byte.blogspot.com/2012/06/cve-2012-0663-and-cve-2012-0664-samples.html

<Snort SID>
23461 - 23465

<ClamAV>
BC.Exploit.CVE_2012_0663

────────────────

◆さまざまなアンチウィルスエンジンにファイル解析回避の脆弱性

<詳細>
テキサス大学のSuman Jana教授とVitaly Shmatikov教授は、最近、さまざまな ベンダーのアンチウィルスの検知回避に用いることができるファイル形式の難 読化について詳説した研究論文を発表した。影響を受けるベンダーは、必要に 応じて、アップデートしたエンジンをリリースしているものの(ClamAVのユー ザーは、7月にリリースされた0.97.5を運用して、影響を被らないようにすべ きである)、世界各地にある数百万のクライアントは、まだ、この回避の被害 を受けやすいエンジンを運用しているようだ。これらの回避テクニックを用い た標的型攻撃が、世間で観測される可能性が高い。

<参考>
http://www.cs.utexas.edu/~shmat/shmat_oak12av.pdf

<Snort SID>
23309 - 23313、23318、23323 - 23329、23351、23357、23358

<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。 組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。 http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。