NRI Secure SANS NewsBites 日本版

Vol.7 No.30 2012年8月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.30 2012年8月8日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.60-61
(原版:2012年7月27日、7月31日)

■はじめに(Alan Paller:SANS Director of Research)
こちらに、2012年のサイバーセキュリティ分野における能力のあるリーダーの 特徴を示す質問事項が3つある。あなたは、これらの3つの重要な質問のいずれ かに肯定的な答えを出せただろうか?

1.「大規模な企業ネットワークに対するAPT攻撃を、一貫して完全に阻止して いる」と明確に言えるだろうか?

2.「(以前は、継続的な監視として知られていた)継続的な診断・リスク軽減 を行うことによって、(50%以上の削減であり、その割合はオートメーション を通じて確実に測定されている)大幅なリスク削減をもたらした」ことを示す ことができるだろうか?

3.20の重大なコントロールを導入するときに皆がやりがちな主な5つのエラー について、あなたは説明できるだろうか?また、これらのエラーを回避する方 法を説明できるだろうか?

これらの質問のいずれかに「はい」と答えられたなら、我々はあなたを、追加 の解決策について討論を行う有望なパネリストとして扱わせていただきたい (その場合、こちらまでご一報を。email: ncic2012@sans.org )。そうでない としても(たとえあなたが「組織における自分の役目は、カンファレンスに は参加できないほど重要である」と考えていたとしても)、 米国サイバーセ キュリティ革新カンファレンス(10月3日~5日:バルティモアコンベンション センターにて開催)は、代表者として参加したいと思われるサイバーセキュリ ティカンファレンスであることに違いない。このカンファレンスでは、3つ全 ての質問に「はい!」と言えて、それを証明できる人間が、詳細な内容のワー クショップを開設し、その内容について概要をお伝えする予定である。今年、 これらの解決策か、これらよりも良い解決策を導入しない政府局や企業は、ど こも怠慢とみなされよう。参加申し込みに関する情報はこちら:
http://www.sans.org/ncic-2012/


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□            早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<<

      【SEC542】SANS Web App Penetration Testing and Ethical Hacking
              2012年11月5日(月)~10日(土)
            http://sans-japan.jp/courses/sec542.html

      【FOR558】SANS Network Forensics
              2012年11月5日(月)~9日(金)
            http://sans-japan.jp/courses/for558.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆米国上院議会 「サイバーセキュリティ法案を推し進める」ことを可決 (2012.7.26)
米国上院議会は、Joe Lieberman上院議員(コネチカット州無所属)によるサイ バーセキュリティ法案を前進させることを84対11の票で可決した。議員は、上 院多数党院内総務のHarry Reid(ネバダ州民主党)が修正案に関する提案を受 け付けることに合意した後、この問題に関する採決を行った。Liebermanは、 「米国の重大なインフラの要素を運営する民間企業に必須のサイバーセキュリ ティ要件を課す」ことに反対している共和党をなだめるために、当初の法案を 改正した法案を先週提案している。同法の改正版では、サイバーセキュリティ 措置を導入した組織に対し、インセンティブを与えるプログラムが設けられる こととなる。

http://thehill.com/blogs/hillicon-valley/technology/240605-senate-advances-bill-to-bolster-cybersecurity-defenses-in-84-11-vote

────────────────

◆セクエストレーションによる予算削減 サイバーセキュリティ上の取り組みに壊滅的な影響 (2012.7.26)
米国下院軍事委員会の分科委員会の聴聞会で今週はじめに証言を行った米軍の 各兵科の幹部によれば、「セクエストレーション(米国予算管理法における自 動歳出削減条項)」による予算削減を行えば、米国DOD(国防総省)のサイバー上 の脅威と戦う取り組みに「壊滅的な」影響が生じるという。同聴聞会では、 「このような予算削減が行われれば、サイバーセキュリティの取り組みを支え る計画が頓挫してしまう」だけでなく、「すでに導入されているサイバーセキュ リティ上の取り組みが振り出しに戻る恐れもある」ことが、議員に告げられた。

http://www.nextgov.com/cybersecurity/2012/07/defense-officials-sequestration-cuts-would-be-devastating-cybersecurity/57020/?oref=ng-HPtopstory

────────────────

◆中国のハッカー 機密データを大量に「吸い上げ」 (2012.7.26)
米国の諜報機関は、数年にわたって中国のハッカー団に対する監視を行ってき た。このハッカー団の作戦は「Byzantine Candor」と称されているが、「コメ ント」という隠しWebページのコンピュータコードを通じてコンピュータへの アクセスを獲得する方法を好んで使うために、「コメント団」とも呼ばれてい る。問題の攻撃が始まったのは2002年で、攻撃対象は欧州連合の金融危機に関 係のあるデータからHalliburtonのデータ、中国の輸出業者に対する貿易クレー ムを起こした弁護士のデータにまで及び、その攻撃範囲の底深さと幅広さは驚 異的である。攻撃者は、法律事務所や投資銀行、石油会社、製薬会社、および、 技術会社のコンピュータを侵害している。盗み出された情報が莫大な量である ことを考えると、米国や欧州の経済に悪影響を及ぶことは否めない。ハッカー が用いた手法や標的についての詳細情報は、米国内の機密許可証を持っている 選り抜きの捜査官数人のみが知っている。

http://www.bloomberg.com/news/2012-07-26/china-hackers-hit-eu-point-man-and-d-c-with-byzantine-candor.html

────────────────

◆米国NIST サイバーセキュリティの手引書に(不完全な)更新情報草案を発行(2012.7.30)
NIST(米国国立標準技術研究所)は、連邦政府局や民間組織が攻撃・侵入・マル ウェア感染からネットワークを保護する支援を行うことを目的とした2つの公 表文書の更新版を発行した。これら2つの文書、「侵入検知・阻止システムの 手引き」と「デスクトップ/ノートパソコンにおけるマルウェアインシデント の阻止と対応」が更新され、サイバーセキュリティにおける最新のベストプラ クティスが内容に組み込まれることになった。NISTは、2012年8月31日まで、 これらの文書ついて一般のコメントを受け付けている。侵入検知の公表文書は 最初、2007年2月に公表されたが、それ以降、内容の更新は行われていなかっ た。

http://www.informationweek.com/news/government/security/240004585
http://csrc.nist.gov/publications/drafts/800-94-rev1/draft_sp800-94-rev1.pdf
http://csrc.nist.gov/publications/drafts/800-83-rev1/draft_sp800-83-rev1.pdf

【編集者メモ】(Paller) 「デスクトップ/ノートパソコンにおけるマルウェアインシデントの阻止と対 応の手引き」には、マルウェアインシデントの阻止を行うための唯一かつ既知 の道筋(APTマルウェア感染を大規模に阻止できると証明されているオーストラ リアの4つのコントロール)に関する説明が全くなかった。つまり、この事実に よって、NISTがこれらの文書の作成を任せたコンサルタントがいかほどの者か、 雄弁に語られたことになる。どちらの文書も、有効な防御措置を導入した人間 が作成した「実際に役立つもの」に関する権威筋の手引書というよりは、むし ろ、大学の学期末レポートのような内容になっている。NIST所長のPat Gallagherとコンピュータセキュリティ部門主任のDonna Dodsonは、NIST文書 の証券価値を上げようと、熱心に務めてきた。今度という今度は、コンサルタ ントに失望したことだろう。

────────────────

◆米国NSA(国家安全保障局)長官 Defconの参加者らにサイバー空間防御上の協力を要請 (2012.7.27-29)
Defconハッカーカンファレンスにて、NSA長官・米国サイバー司令部司令官を 兼ねるKeith Alexander大将は参加者らに対し、サイバー空間の保護を行う上 での協力を求めた。Alexanderは、「この部屋に、サイバー空間を保護するた めに我々米国が必要としている有能な人材がいる」と参加者らに告げ、子供た ちをホワイトハット・ハッキングの道に導く「Defcon Kids」という“最高の” プログラムについて語った。また、Alexanderは聴衆に対し、「NSAは、米国民 の人物調査書をとりまとめることはしていない。」と述べた。しかし、このカ ンファレンスのパネルで話をしていた元NSA職員の話によれば、「NSAは、米国 民のeメールのメッセージやつぶやき、オンライン検索などについての情報を 収集している」という。パネルでNSAの情報収集について言及したWilliam Binneyは、「NSAが米国民の情報を収集していることを知ってしまったので、 2001年に同局を去った」と述べたNSAの元テクニカルディレクタである。

http://money.cnn.com/2012/07/27/technology/defcon-nsa/index.htm
http://www.computerworld.com/s/article/9229756/NSA_chief_asks_hackers_at_Defcon_for_help_securing_cyberspace?taxonomyId=17
http://www.wired.com/threatlevel/2012/07/nsa-chief-denies-dossiers/
http://www.wired.com/threatlevel/2012/07/binney-on-alexander-and-nsa/

────────────────

◆サイバーセキュリティ法案の改正案 「GPS追跡には令状を必要とする」(2012.7.30)
米国上院議会で提案されているサイバーセキュリティ2012年法の改正案の1つ では、警察は、米国民の携帯電話や、GPS技術が用いられているその他の個人 用デバイスからGPS位置情報を収集する際には、事前に令状を獲得するように 求められている。このサイバーセキュリティ法案に関する議論は、7月30日に 始まり、その週の後半には採決が行われる予定だ。

http://www.digitaltrends.com/mobile/cybersecurity-amendment-police-should-need-a-warrant-to-track-your-cellphone-gps/

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月10日(金)
 企業活動を脅かすサイバーアタック最新動向2012
 ~2012年傾向分析と最新セキュリティ事情から、企業の対策判断を支援~
http://www.nri-secure.co.jp/seminar/2012/0810.html?xmid=300&xlinkid=20

○8月24日(金)・9月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○8月28日(火)・9月19日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

○8月29日(水)・9月27日(木)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○8月31日(金)・9月21日(金)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○9月11日(火)~12日(水)・12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年7月27日 Vol.12 No.30)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

============================================================
■今週のトップの脆弱性

Kindle Touch内蔵ブラウザに、簡単に悪用可能なリモートのルート攻撃を受け
る脆弱性Kindle TouchはNPAPIをサポートしているためWebページを訪れるだけ
で、認証なしにルートレベルの権限でコマンドが挿入できる。世間には、すで
にエクスプロイトが存在していると思われる。
============================================================
■SOURCEFIRE脆弱性研究チームが選んだ注目すべき最新のセキュリティ問題

◆Kindle Touchにリモートのルートエクスプロイト

<詳細>
Kindle Touchの内蔵ブラウザには、クロスブラウザのスクリプティング言語で あるNPAPI:Netscape Plugin APIのサポートが組み入れられている。しかし残 念なことに、NPAPIのサポートは、ルート権限でブラウザにコマンドを挿入で きるような形で実装されている。このAPIに関する説明は乏しい内容で、世間 に現在存在する悪用についての詳細情報もほとんどないが、このエクスプロイ トは、簡単に作成できるため、現段階で、すでに存在していると考えられる。

<参考>
http://vrt-blog.snort.org/2012/07/dont-panic.html
http://www.mobileread.com/forums/showthread.php?t=175368

<Snort SID>
23616、23617

<ClamAV>
該当なし

────────────────

◆Wordpress Invit0rのプラグインに任意のリモート・ファイル・アップロードの脆弱性

<詳細>
WordPress Invit0rのプラグインは、Yahooの連絡先に入っている人を自分のブ ログを訪問するように招くために用いられる。しかし、このプラグインには、 任意のリモート・ファイル・インクルードの脆弱性がある。このプラグインは、 正規のWordpressプラグインのサイトからは取り除かれているものの、公知の エクスプロイトが複数存在しており、世間でも盛んに悪用されている。に注目 すべきことはないが、これによって、Wordpressやその他のCMSシステムを守る という課題が引き続き存在することや、このようなサイトが生み出した危険要 因が悪用され、マルウェアのホスティングに用いられていることが浮き彫りに なった。

<参考>
http://packetstormsecurity.org/files/113639/WordPress-Invit0r-0.22-Shell-Upload.html

<Snort SID>
23484, 23485

<ClamAV>
該当なし

────────────────

◆トロイの木馬「ZeroAccess」 引き続き感染拡大

<詳細>
2012年はじめに世間で初めて発見されたとりわけ不愉快なマルウェア、トロイ の木馬/ルートキット「ZeroAccess」については、今日、世間のエンドユーザー に対する最大の脅威の1つだと考えられている。Sourcefire VRTは、最近この マルウェアの追跡を行い、感染したシステムによって生成された司令管制通信 のための新しいシグナチャを獲得したこのマルウェアは、ユーザーに帯域幅制 限を超える量(帯域幅)を使わせ、ユーザーがISPから直接課金されるように することで知られている。したがって、企業や個人のユーザーは、システムに 定期的に感染の兆候がないかどうかをチェックしていただきたい。

<参考>
http://threatpost.com/en_us/blogs/report-bandwith-burning-malware-among-biggest-consumer-threats-071912
https://www.virustotal.com/file/50cdd9f6c5629630c8d8a3a4fe7d929d3c6463b2f9407d9a90703047e7db7ff9/analysis/

<Snort SID>
23492、23493

<ClamAV>
Trojan.ZeroAccess-1 - Trojan.ZeroAccess-693

────────────────

◆XMLテンプレートを使ってPDFにマルウェアを埋め込み

<詳細>
Sourcefire VRTには、「PDF内のXMLテンプレートの中にある悪意のあるコンテ ンツを埋め込む悪意のあるPDFが世間にばらまかれている」という報告を複数 件寄せられている。VRTは、悪意のあるPDFファイル、および、無害なPDFファ イルの両方を数千ファイルにわたって幅広くテストを行い、現在世間でこの機 能が合法的に使用されている件数はあまりにも少ないため、このような文書を 検知すること自体が、一般的に考えて、新しいマルウェアの派生形の検知に役 立つ方法になると判断した。いつもどおり、ユーザーは、PDF解析アプリを常 に最新のものにしておくべきである。

<詳細>
http://www.thebaskins.com/main/component/content/article/15-work/58-malicious-pdf-analysis-reverse-code-obfuscation
https://www.virustotal.com/file/ECA91825CA5CF6D8C06815CB471A0968F540878121CB13F971FD45C3EA3EBBAC/analysis/

<Snort SID>
23612

<ClamAV>
Exploit.PDF.Dropped-21、Exploit-JS.10

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。