NRI Secure SANS NewsBites 日本版

Vol.7 No.31 2012年8月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.31 2012年8月14日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.62-63
(原版:2012年8月3日、8月7日)


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□            早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<<

      【SEC542】SANS Web App Penetration Testing and Ethical Hacking
              2012年11月5日(月)~10日(土)
            http://sans-japan.jp/courses/sec542.html

      【FOR558】SANS Network Forensics
              2012年11月5日(月)~9日(金)
            http://sans-japan.jp/courses/for558.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆米国上院議会のサイバーセキュリティ法案 票足りず (2012.8.2)
米国上院議会にて、サイバーセキュリティ2012法案の通過が阻まれた。この法 案については、オバマ大統領が「法があれば、我が米国に対するサイバー上の 脅威から重大なネットワークを守るのに役に立つ」と述べ、その成立を求めて いたという背景がある。本来であれば、今年初めに第一の提案が行われたこの 法案によって、米国の重大なインフラの要素を担う組織には、サイバーセキュ リティ基準が設けられるはずだった。しかし、これらの要件を満たす組織は、 法的措置から免れる可能性がある。専門家は、「必須要件を課さなければ、米 国の重要なインフラを担う組織は、厳格なセキュリティプラクティスを導入す ることはないだろう。しかし、同法案の影響を受けるインフラ業界で利益を得 る企業らを代表するロビイストらは、同法案が成立すれば、厳しい政府の規制 が課されることになると言っていた。」と懸念をあらわにしている。ACLU(米 国自由人権協会)は、プライバシー上の懸念があるため、当初から同法案には 反対していた。

http://www.washingtonpost.com/blogs/2chambers/post/cybersecurity-bill-fails-in-the-senate/2012/08/02/gJQABofxRX_blog.html
http://www.computerworld.com/s/article/9229917/Senate_delays_mayb
http://www.zdnet.com/senate-blocks-cybersecurity-act-7000002051/
http://www.msnbc.msn.com/id/48469308/ns/technology_and_science-security/#.UBrg2EKViqQ

────────────────

◆米国DHS(国土安全保障省) 熟練のサイバー専門家らを呼び込んでつなぎとめる方法を模索 (2012.8.2)
米国DHS(国土安全保障省)は議会に対し、DHSとDOD(国防総省)の間で、両省が 抱えるサイバー専門家の包括決定賃金のバランスをとるように求めている。 DHSは、「当該政府局のサイバー専門家の給与がより高くなれば、熟練の人間 を職員として雇い入れ、つなぎとめるのに役立つと述べている。この給与に関 する変更は、サイバーセキュリティ2012年法に盛り込まれている。しかし、 2013年までは、主なサイバーセキュリティ関連法が通過する見込みはないため、 DHSは、望ましいスキルのある新しい職員を呼び込むために使える他の手段を 目下模索中である。

http://www.nextgov.com/cybersecurity/2012/08/homeland-security-pushes-pay-boost-cyber-pros/57194/?oref=ng-HPtopstory

────────────────

◆サイバー法案に関して財界の圧力に敗北を喫した今、サイバー関連事項は、オバマ大統領が勝つための選挙の争点に (2012.8.7)
控えめに述べても、今回財界の圧力に負けを喫したことで、オバマ大統領には、 「幹部らが深刻なセキュリティ上の脅威について警告しているにもかかわらず、 休暇をとっている、『何もしようとしない』議会を激しく非難する」機会が与 えられたことになる。しかし、これによって、オバマ大統領にはさらに多くの 機会が与えられたことになる。これで、「共和党員らは、国家の安全保障より も大企業の利益を優先させてきた」と非難できるからだ。この方が、「企業と 米国商工会議所が、不当に有利な経済待遇を得るために強引にものごとを進め ている」という議論を引き合いに出すよりは、はるかに無党派層の投票者の心 を掴めるだろう。詳しくはこちら:

http://swampland.time.com/2012/08/07/how-cyber-security-could-be-a-winning-issue-for-obama/?iid=tsmodule

────────────────

◆病院 コンピュータ機能停止で電子患者記録へのアクセス失う (2012.8.3)
7月にコンピュータが機能停止に陥り、米国各地の多数の病院で、電子患者記 録へのアクセスが失われた状態が約5時間続いた。この機能停止は人的ミスに よって引き起こされ、医療記録のリモート保管にCerner Corp.(ミズーリ州カ ンザスシティがベース)を使用している病院(数の詳細は不明)がその影響を 被った。電子医療記録への移行は、「医師やその他の医療サービス提供者が患 者情報に即座にアクセスできるようにして不必要なテストや手順を行わないよ うにし、患者のケアを改善する」という目的で推し進められている。政府は、 2015年までに電子記録を取り入れなかった病院や医師に対し、罰金を科し始め る予定である。Cernerは、「患者の安全を確保するために、わが社の全てのク ライアントには、稼働停止期間用の手順が設けられている」と述べているもの の、今回の機能停止で影響を受けた医療機関の医師やその他の職員らは、停止 が続いた期間の長さのほか、一見したところ、機能停止時にきちんと作動が開 始するバックアップシステムがCernerにはないことに懸念を抱いている。現在、 患者の記録のほとんどは、紙のファイルではなく、電子的に記録されているこ とから、今回の機能停止時においては、次に当番として出勤してきた職員には、 患者の活動記録へのアクセスがない状態だったと考えられる。このようなこと になると、それがミスにつながるおそれがある。

http://www.latimes.com/business/la-fi-hospital-data-outage-20120803,0,5302779.story

【編集者メモ1】(Pescatore)
ITには、古くからの格言がある。「よくない手順をオートメーション化すれば、 より早く、よくない結果をもたらすだけである。」電子医療記録の信頼性、整 合性、プライバシーに関しては、その使用を必須化して、ヘルスケアの効果や 効率に何らかの向上が見られるようにする以前に、やることがたくさんある。

【編集者メモ2】(Paller)
保険会社や医療サービス提供者らから金銭を脅し取る目的で診療記録を盗み出 す行為は、今や、サイバー犯罪者らの間で、数100万ドル相当の家内工業になっ ている。犠牲者となった人は、自分のところのデータ紛失の事実を露呈したく ないがために犯罪者らにお金を支払ってしまうので、あまりこのような事件の 話を耳にすることはない。こちらに、あっと驚く関連情報が掲載されている:
http://topics.bloomberg.com/putting-patient-privacy-at-risk/

【編集者メモ3】(Murray)
事件発生のタイミングが何ともよろしくない。医療サービスは、我々の社会の 中で、最もオートメーション化が進んでいない、かつ、最も効率の悪い領域で ある。我々は、電子医療記録への移行を行おうとする気をなくすようなインシ デントが発生しないようにすべきである。今回の機能停止によってミスにつな がった可能性もあったが、実際に我々を苦しめ、我々を駄目にしているのは紙 ベースの作業なのである。

────────────────

◆Yahooに対する訴訟:パスワードハッキングで過失を主張 (2012.8.3)
カリフォルニア州サンホゼの連邦裁判所でインターネット巨大企業、Yahooに 対する訴訟が起こされている。Yahooは「ハッカーが、Yahooのデータベースに アクセスし、アカウント用パスワード45万件を盗める状態にしていた」という 過失で訴えられており、この訴訟では、集団代表訴訟の形をとろうとする動き がある。問題の訴訟では、口座詐欺や、侵害の影響で発生した関連費用に対す る補償が請求されている。データ窃盗を行ったハッカーによれば、SQLインジェ クション攻撃を使って情報に対するアクセスを獲得したという。また、アクセ スした情報は、暗号化されていなかったようだ。今回の訴訟で、原告側は、 「Yahooに対して使われたSQLインジェクションのテクニックは、10年以上前か ら知られており、Heartland Payment Systemsやその他の組織に対する大規模 なデータ窃盗にも、すでに用いられたテクニックだった」と主張している。

http://news.cnet.com/8301-1009_3-57486703-83/yahoo-user-sues-over-password-leak/

【編集者メモ1】(Honan)
英国のセキュリティ専門家、Javvad Malikによるこの動画は、素晴らしい内容 であり、「パスワードをハッシュ化すべき理由の概要」が、ユーモアたっぷり に説明されている。
http://youtu.be/FYfMZx2hy_8

【編集者メモ2】
チェックされていないインプット、つまり、いわゆる「SQLインジェクション」 攻撃によって悪用される脆弱性は、無知が故に生じた結果ではない。というよ りは、むしろ、プログラマーのトレーニングや管理制御が不十分であるために 生じた結果である。我々は、この問題について正しく説明ができるようになり、 また、その責任の所在を正しい場所に置くことができるようになるまでは、問 題の修正を行うことはないだろう。

【編集者メモ3】(Paller)
この件に関するBill Murrayのコメントは的確である。この問題に若干影響を 与えることができたであろう、そして、そうしようと尽力した政府の人間、米 国大学のコンピュータ科学学部への全資金の80%を拠出している全米科学財団 のFarnham Jahanianには、わかりやすい解決策があった。しかし、彼は、それ を途中でやめてしまった。大学がサイバーセキュリティの研究・教育用資金を 得るためには、当該大学の「CS(コンピュータ科学)の各学生、プログラミング を学んでいるその他の学生が、安全なコードの書き方を習得していている」と、 DHS(国土安全保障省)・NSA(国家安全保障局)に対して証明しなければならな いことを踏まえると、米国OMB(行政予算管理局)、もしくは、議会が、DHSと NSAに与える資金を半分に抑えてしまえば、米国は、今より大幅によい状態に なると思われる。

────────────────

◆ECPA(電子通信プライバシー保護法)改正案:「クラウドデータへのアクセスに相当な理由を伴う令状義務付け」 (2012.8.6)
ECPA: the Electronic Communications Privacy Act(電子通信プライバシー保 護法)によって、「クラウドデータにアクセスする場合は、事前に、相当な理 由を伴った令状を獲得する」ことが義務付けられるようにしようと、2人の米 国下院議員が、同法の改正を提案している。Jerrold Nadler下院議員(ニュー ヨーク州民主党)、John Conyers Jr.下院議員(ミシガン州民主党)によって提 案されたこの改正案は、「ECPAによって、警察の利益・ニーズと、米国民のプ ライバシーの利益の間で、適正なバランスがとられるようにする」ことを目的 としている。同法の成立は、1986年にまで遡る。ECPA法では、「容疑者のeメー ルや、その他の保存されているコンテンツが1つのサーバに180日以上あった場 合に限り、政府は、それらの情報に令状なしでアクセスできる」とされている。 ECPAが成立した当時、eメールは、長期間サーバに保存されていなかったため、 6か月経ってもそこにあったeメールは、放棄されたものとみなされていた。

http://www.wired.com/threatlevel/2012/08/ecpa-warrant-reform/
【編集者メモ】(Murray)
この提案を真剣に受け止めなければ、ConyersとNadlerの主張を称賛すること もできる。しかし、この改正案は、オバマ政権下の司法省には反対されるだろ うし、共和党主導の下院の委員会で検討してもらえることもなさそうである。 我々には、クラウドサービスのプロバイダが政府に我々の情報を引き渡す頻度 がいかほどかを知る由もないが、多分それよりももっと重要なのは、議会聴聞 会が開かれない限り、犯罪を起訴するという点で、それらの情報の引き渡すこ とが、有用かどうかはわかりそうもないということだ。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月24日(金)・9月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○8月28日(火)・9月19日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

○8月29日(水)・9月27日(木)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○8月31日(金)・9月21日(金)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○9月11日(火)~12日(水)・12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年8月3日 Vol.12 No.31)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

======================================================================
■今週のトップの脆弱性
広範に使用されているPC用ビデオゲームのメーカー、UbisoftのUplay DRMツー ル内には、任意のコードが実行できるメソッドが含まれていた。Googleの研究 者であるTavis Ormandyは、今週末、認証を必要とすることなくWebページを介 してこれを悪用する方法を発見した。世間には、エクスプロイトが存在してい るものと思われる。

======================================================================
■SOURCEFIRE脆弱性研究チームが選んだ注目すべき最新のセキュリティ問題

◆UbisoftのUplay DRMにバックドア

<詳細>
広範に使用されているゲーム、「アサシンクリード」などのメーカーの Ubisoft S.A.は、海賊行為対策としてUplayというDRMシステムを用いている。 Googleのセキュリティエンジニア、Tavis Ormandyが、今週末、Uplayシステム は標準APIの呼び出しを介したリモートのコード実行に脆弱であることを発見 した。この呼び出しは、Webページを通じて、認証なしにアクセスが可能であ る。Ubisoftからは、正式なパッチが発行されているものの、悪用は簡単に行 えるので、ユーザーらがシステムをアップデートする前に世間で悪用が行われ る可能性が高い。

<参考>
http://seclists.org/fulldisclosure/2012/Jul/375
http://www.slashgear.com/major-security-vulnerability-discovered-in-ubisoft-uplay-drm-30240879/

<Snort SID>
23624

<ClamAV>
PUA.HTML.TROJAN

────────────────

◆難読化されたIframeのタグ 不正広告の組織的活動に使用される

<詳細>
Sourcefire VRTは最近、世間で行われている大規模な組織的活動を2つ観測し た。これらの組織的活動では、悪意のあるファイルが広告キャンペーンか、も しくは、SQLインジェクションを介して植えつけられ、その後、Blackholeやそ の他のエクスプロイトキットに向けてユーザーがリダイレクトされるようになっ ている。1つめの組織的活動の特徴は、位置調整やサイジング機能の付いた HTMLiframeタグにある。このタグは、特に、地球上のどのブラウザでもそれ自 身を見えないようにする目的で設計された。2つ目の組織的活動については、 iframeタグが、ページ上でdoctypeタグの前にあることがその特徴である。こ れは、WC3仕様では違法とされている。

<参考>
http://urlquery.net/report.php?id=90530

<Snort SIDs>
23618、23620

<ClamAV>
該当なし

────────────────

◆Plesk Panelサービスに感染しているRunForestRunキット 難読化ルーチンを向上

<詳細>
侵害された指令管制サーバに接触するために用いられるURLの構造から、 「RunForestRun」と称されている悪意のあるソフトウェアが、6月以来、Webホ スティングプロバイダ用の管理インタフェースとして広範に使用されている 「Plesk Panelコントロールスイート」を標的にしている。このキットは当初、 スタティック型のコメント文字列や、他に明らかにそれとわかるインディケー タがあったため、簡単に検知が行えた。しかし先週、合法的な周知のエンコー ダ・ルーチンを用いて悪意のあるコードを全て隠してしまうアップデートがリ リースされた。この環境でのサンプルの調査結果をもとに、Sourcefire VRTは、 コード化されたRunForestRunファイルを、正規のコードファイルと識別する方 法を見出した。今後、このキットが変化すれば、検知方法の更新情報を提供し ていく見込みだ。

<参考>
http://blog.unmaskparasites.com/2012/07/26/runforestrun-now-encrypts-legitimate-js-files/

<Snort SID>
23473、23621

<ClamAV>
Exploit.JS.Obfuscation

────────────────

◆オリンピックを題材にしたフィッシング 世間で観測される

<詳細>
注目を集めるイベントがいずれもそうであるように、フィッシング詐欺犯は、 2012年ロンドンオリンピックを題材として利用し、疑いを抱いていないユーザー らを導き寄せ、世界を通じてマルウェアをばらまいている。Sourcefire VRTは、 CVE-2010-3333(RTFファイルを介してMicrosoft Officeに引き起こされるスタッ クオーバーフローの脆弱性)を悪用する添付ファイルを用いた活動や、侵害さ れたWordPressサイトを介してBlackholeエクスプロイトキットにつながるとい う最新、かつ、広範に使用されているテクニックを用いた別の活動など、さま ざまな組織的活動が観測されている。この具体的な組織的活動を行える期間は 限られているが、ユーザーらは、近頃のニュースになった出来事と関係のある 内容のeメールには用心すべきである。

<参考>
http://vrt-blog.snort.org/2012/07/phishing-games.html

<Snort SID>
21041、21964、22095、22101、22102、23171

<ClamAV>
BC.Exploit.CVE_2010_3333

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。