NRI Secure SANS NewsBites 日本版

Vol.7 No.3 2012年1月25日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.3 2012年1月25日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
SCADAセキュリティについての興味深い新情報をいくつか紹介しよう。(1)DHS Flyaway Teamがインシデント対応のため、サイバーイベントが発生した制御シ ステムの所有者を訪問し、そこで得た教訓を、国土安全保障省(DHS)は、今回 初めて共有する意向。(2)知られていなかった70件の新しい脆弱性を含む、制 御システムの脆弱性の件数が激増。(3)公共事業に対するAPT攻撃の裏をかく方 法。(4)北海のプラットフォームにある、制御システム装置の保護に使用され ている技術の情報。
これらの情報は全て、オーランドで開催される2012年米国SCADAセキュリティ サミットのプログラムのほんの一部にすぎない。このサミットには、世界各地 から200もの公共事業のマネージャや、警察関係者が集結する予定だ。
http://www.sans.org/north-american-scada-2012/

■■SANS NewsBites Vol.14 No.4-5
(原版:2012年1月13日、17日)

◆英国政府が、SANSの「20の重大なコントロール」を国家のサイバーセキュリティ向上のためのロードマップとして設定 (2012.1.13)
英国の国家基盤保護センター(CPNI)は、SANSの「上位20の重大なセキュリティ コントロール」を詳述した新しい指針文書を公表した。同コントロールは、ど の組織にも適用可能な、サイバーディフェンスを改善するための情報セキュリ ティ対策や、コントロールの中でも優先度の高いものについての基本事項が説 明されている。

http://continuitycentral.com/news06099.html

────────────────

◆米国国務省CISO 米国国家サイバーセキュリティ担当官に (2012.1.13)
Federal News Radioは、米国国務省のCISOであるJohn Streufertが、米国国家 サイバーセキュリティ部門(NCSD)に任命される見込みであると報じた。
Streufertは、毎日のセキュリティ状況を自動で記録し、優先順位を付け、そ れらの情報をうけたシステム管理者が問題を是正していくという手順が毎日と られている場所で、「継続的な監視と軽減」を行って、24時間という時間帯の 中で、低コストで大きなセキュリティ改善が可能だと実証したことでよく知ら れている。また、彼には、大規模な政府局で「20の重大なセキュリティコント ロール」を、運用可能にする方法を示した実績もある。

http://www.federalnewsradio.com/473/2705215/Exclusive-States-John-Streufert-moving-to-DHS-

────────────────

◆米国国家安全保障局「20の重大なコントロール」を導入:サイバーセキュリティにおける模範を示す (2012.1.16)
米国国家安全保障局(NSA)は、安全でありながら費用効果の高い方法で、コン ピューターの運用を図る軍組織や請負業者が「判断基準」や「模範」として使 える、内部用サイバーセキュリティプログラムを、同局のコンピュータシステ ム用に開発している。このプログラムは、38人で編成されたチームによって開 発されており、「効果的なサイバー防御のための20の重大なセキュリティコン トロール」に基づいたプログラムになっている。このリストは、前空軍CIOの John Gilliganが率いるチームによって開発された。Johnは、自身のシステム が侵入テスターに侵入される可能性があることを告げられたにも関わらず、監 査人が、攻撃や侵入からの防御方法の指針を教えてくれなかったことから、監 査人にうんざりした人物である。

http://www.defensenews.com/story.php?i=8855751

【編集者メモ1】(Murray)
1つのものが全てにおいて万能ということはない。政府でこのような試みを行 えば、コントロールの効果が弱まってしまう。さらに言えば、米国政府のセキュ リティ問題は、官僚の知識ではなく、意欲の問題である。新しい指針を設けて も、何かがよくなることはない。

【編集者メモ2】(Paller)
Bill Murrayは正しいことが多いが今回は違う。1つの基準によって、大多数の 大・小組織のニーズに対応できなかったとしたら、Red Hat Linuxや、Windows、 Android、OS-Xは存在しなかっただろう。これらは、何万もの組織の何百万も の人によって、効果的に使用されている。実際、「取り決められ、かつ、攻撃 情報に基づく、自動化可能なコントロール」こそが、費用効果の高いサイバー セキュリティをもたらすために必要な、唯一最大の前進だと考えられる。だか らこそ、英国政府は先日、国家指針として「20の重大なコントロール」の採用 に踏み込んだことを発表し、NSAは、セキュリティがどこまで向上するか、模 範を示して指導しようと、そのコントロールを採用する意向だ。
John Streufert(このほど、国土安全保障省の米国国家サイバーセキュリティ 部門の代表に任命された)は、米国国務省で、そのコントロールの自動化を行 い、サイバーリスクの測定値を90%以上も下げることに成功し、何百もの大手 企業が、そのコントロールを採用し、2つの政府局の監査官らは、昔ながらの FISMA法による無駄な報告業務を監査する代わりに、「20の重大なコントロー ル」の自動化のための監査に移行しようとしている。
お知らせ:この「20の重大なコントロール」のポスターはこちらのリンクでダ ウンロードできる。

http://www.sans.org/critical-security-controls/winter-2012-poster.pdf

────────────────

◆防衛産業基盤(DIB)のサイバー試験プログラム、功罪両面の結果を残す (2012.1.12)
米国国防総省からの委託により、カーネギーメロン大学が行った調査によると、 政府のサイバー脅威情報共有の試験的なプログラムが、功罪入り混じった結果 を示しているという。この防衛産業基盤の試験プログラムは、防衛請負業者の ネットワーク防御のために国家安全保障局(NSA)のデータを用いた。良い結果と しては、NSAのデータを取り扱う回線業者は信用できることの確認、政府による にプライベートネットワークを直接監視する必要はなかったこと、また、サイ バーセキュリティに割くリソースがまだ不十分な企業へは特に有用であったこ とが分かった。一方、悪い結果としては、このプログラムが開始された時点で 既にNSAからのマルウェアのシグネチャは古すぎたと判明している。追加情報 がなければ、対応する準備ができていない攻撃を提供された情報だけで企業が 防ぐ助けにはならないこともしばしばであった。

http://www.washingtonpost.com/world/national-security/cyber-defense-effort-is-mixed-study-finds/2012/01/11/gIQAAu0YtP_story.html

【編集者メモ1】(Pescatore) これは、またしても「攻撃阻止において、総じて諜報関連機関と国防総省が民 間産業よりも優れているという訳では無い」ことを示している。これらの組織 は、攻撃の後を追い、情報資料の収集する、または、成功してしまった攻撃に 対して反撃すること得意としているが、これらは、「阻止」とはまったく別の ものだ。

【編集者メモ2】(Paller)
私もそう思う。攻撃の阻止を行う組織として望ましいのは、ISPである。とな ると問題は、誰がシグネチャを提供するのかということである。DIBの試験プ ログラムから得たデータをよく見ると、このプログラムは、サイバーセキュリ ティのサービスを提供していないDIB参加企業にとっては、上々の結果だった ことがわかる。カーネギーメロン大学とその他大手のセキュリティサービスプ ロバイダは、NSA提供のシグナチャについては既に知るところはあったものの (もちろん、全てではないが)、DIBの他の企業に対する攻撃を積極的に阻止す るために、これらのシグネチャを効果的に利用していなかったのである。 また、結果を「功罪入り混じった結果」としてみなしたのは、この試験プログ ラムの失敗を願っていた組織だけのようだ。私が話を交わした産業組織のサイ バーセキュリティのリーダーらによれば、大手国防請負業者が提供するシグネ チャの部分的情報を頼りにするよりも、より完全なシグネチャを提供するNSA やDHSを頼る方がずっと安心できると言っていた。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中のオンラインセミナー(視聴無料)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1/17(火)~3/16(金)                  <オンライン>
 NRIセキュアテクノロジーズ Virtual Showroom 2012
 ~標的型攻撃に対抗するための次世代情報セキュリティ~
http://www.nri-secure.co.jp/seminar/2012/0117.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のセミナー(参加費無料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2/15(水)・3/7(水)            <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=02

○2/24(金)                <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中の調査資料(閲覧無料)           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「企業における情報セキュリティ実態調査2011」を無償公開中
http://www.nri-secure.co.jp/news/2011/1213_report.html?xmid=300&xlinkid=05
※閲覧にはID、PASSが必要となります。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中の試用版(ダウンロード・試用無料)     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○メール誤送信防止ソリューション「SecureCube / Mail Adviser」
 30日間評価版【無料】
http://www.nri-secure.co.jp/service/cube/mailadviser_dl.html?xmid=300&xlinkid=06

○情報資産の識別・管理ソリューション「SecureCube / Labeling Personal」
 Version1.3.2.7【無料】
http://www.nri-secure.co.jp/service/cube/labeling_dl.html?xmid=300&xlinkid=07
※SecureCube / Labeling Standardのクライアントをベースとした、フル機能ご利用可能な60日評価版別途お問い合わせ下さい。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年1月12日 Vol.11 No.2)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
4 (#1)Other Microsoft Products
2
Third Party Windows Apps
2
Linux
1
Cross Platform
8 (#2,#3)Web Application - Cross Site Scripting
1
Web Application
7
Hardware
1
======================================================================
1.危険度【高】:Microsoft製品にさまざまなセキュリティの脆弱性

<影響を受ける製品>
Microsoft Office
Microsoft Windows Media Player

<詳細>
Microsoftは、火曜日のパッチプログラムの一環として、同社製品にあるさま ざまなセキュリティの脆弱性を修正するパッチをリリースした。Officeファイ ルに組み込まれている、安全ではないオブジェクトのチェックを行うWindows Object Packagerには、問題が2つあったが、Microsoft Officeのパッチによっ てそれらは修正された。問題には、ユーザーによる操作を最小限に抑えてイン ストールや実行ができるように設計された自動更新実行可能ファイルの ClickOnceファイルが関係している。これらのファイルは、Windows Object Packagerが、安全ではないとみなさないため、Officeファイルに組み込むこと ができる。もう1つのパッチでは、Windows Object Packageマネージャが用い るレジストリ・キーが不適切であったため、それに対する対処が行われている。 攻撃者は、悪意のあるファイルを開くようにターゲットを仕向けることができ れば、ターゲット側で他に何の操作を行わなくとも、これらの脆弱性を利用し てターゲットのマシン上で任意のコードを実行できるようになる。Windows Media Playerに影響を及ぼす2つの脆弱性に関しても、このパッチで対処が行 われている。悪意のあるMIDIファイルやDirectShowファイルを閲覧するように ターゲットを仕向けることができれば、アタッカーは、これらの脆弱性を悪用 してターゲットのマシン上で任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftのセキュリティ警告
http://technet.microsoft.com/en-us/security/bulletin/ms12-002
http://technet.microsoft.com/en-us/security/bulletin/ms12-005
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/51284
http://www.securityfocus.com/bid/51292
http://www.securityfocus.com/bid/51295
http://www.securityfocus.com/bid/51297

────────────────

2.危険度【高】:Adobeにさまざまなセキュリティの脆弱性

<影響を受ける製品>
WindowsとMacintosh用のAdobe Reader X (10.1.1.)までのバージョン

<詳細>
Adobeは、複数の詳細不明なセキュリティの脆弱性と、BMP画像の解析を行う Adobe Readerのコンポーネントにある符号のエラーにパッチをリリースした。 攻撃者は、悪意のあるファイルを閲覧するようにターゲットを仕向けることが できれば、これらの脆弱性を悪用して、ターゲットのマシンに任意のコードを 実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb12-01.html
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/51348
http://www.securityfocus.com/bid/51349
http://www.securityfocus.com/bid/51350
http://www.securityfocus.com/bid/51351

────────────────

3.危険度【高】:Apache Strutsにさまざまなセキュリティの脆弱性

<詳細>
Apacheは、同社製の Struts Webアプリケーションサーバにあるさまざまなセ キュリティの脆弱性に対するパッチをリリースした。Strutsは、Java言語で書 かれたWebアプリである、Javaサーブレットを提供するために使われる。 このStrutにある一つの脆弱性は、ユーザーが提供するパラメータ値が、OGNL expressionとして評価されるために、例外処理の中でStrutsが出す報告にある 問題が関係している。OGNLはJavaの式言語であり、Javaの一つのサブセットの みの利用を許すが、それだけでも、任意のコードを実行するには十分である。 また、もう1つ別の脆弱性として、クッキー名の評価が安全に行われないために 攻撃者にstaticメソッドへのアクセスを可能にする脆弱性がある。攻撃者は、 悪意のあるリクエストを送信すれば、ターゲットのマシン上で、任意のコード を実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apache.org
Apacheのセキュリティ警告
http://struts.apache.org/2.x/docs/s2-008.html

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。