NRI Secure SANS NewsBites 日本版

Vol.7 No.32 2012年8月21日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.32 2012年8月21日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.64-65
(原版:2012年8月10日、8月14日)

■はじめに(Alan Paller:SANS Director of Research)
バルティモアにて、10月3日から5日にかけて第8回年次ITセキュリティオート メーションカンファレンスが開かれるので、あなたの予定表にマークを付けて おこう。このカンファレンスに参加すれば、継続監視ワーキンググループによ る新しい継続監視方法や影響緩和戦略を学ぶ初めての人間となれるだけでなく、 現在進められている米国のサイバー上の行動戦略について、これまでよりかな り明確なイメージを掴むことができるだろう。このカンファレンスは、NCIC (米国サイバーセキュリティ革新カンファレンス)と同じく、バルティモア・ コンベンションセンターで開催される予定だ。これは米国において、「豪州人 がいかにして標的型侵入を、首尾一貫して、かつ、全面的に、阻止したのか」 を詳細にわたって説明するワークショップに参加できる唯一の機会である。 豪州の当局者らは今夏初期、米国滞在中に、ホワイトハウスに対して概要説明 を行ったが、今回、10月にボルティモアで開催される米国のワークショップに、 改めて招待されることとなった。ほか、20の重大なコントロールに起きている 裏話もこちらで聞くことができ、興味深い内容だ。米国DHS(国土安全保障省) のプレゼンテーション、および、戦略の概要説明にも参加できる、NCICへの参 加申し込みはこちら:http://www.sans.org/ncic-2012/

追伸:
(私がそうだったように)もし、あなたが、「標的型侵入(APT)は止められな い」と言うのなら、(これもまた、私がそうだったように)それは大間違いで あり、その間違いのせいでセキュリティ関連の製品と人材にお金を捨てている ことになる。我々は今週、「このような攻撃を阻止できないと、省内のセキュ リティ要員があなたに告げているとたら、よく言えば、彼らに誤った情報が伝 えられており、悪く言えば、彼らは考え違いをしている。これに関しては、豪 州人がすでに証明済みである」という内容のメモを、各省の政府高官に宛てて 作成する予定だ。

今週、Microsoftは、Windows Server 2012と、論議を呼んでいるWindows 8ク ライアントを、TechNet/MSDNのサブスクライバに、ダウンロードして入手出来 るようにする予定である。是非、SANS InstituteフェローのJason Fossenによ るWebキャストをご覧になっていただきたい。このWebキャストは8月15日に放 送され、「MicrosoftによるiPadを打ち負かすタブレット製品や、VMwareの宿 敵に、現実的に何が期待できるか」を語る。
https://www.sans.org/webcasts/windows-8-comingserver-2012-too-95495

ほか、Jason FossenによるSANS SEC505 Securing Windows and Resisting Malwareのコースに関しては、内容がサーバ2012用に完全にアップデートされ ており、「豪州政府による最も重要な4つのセキュリティコントロール」から 得た教訓を使った、特別にAPT感染阻止に焦点をあてた講義も含まれている。
https://www.sans.org/cyber-defense-initiative-2012/description.php?tid=5350


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□            早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<<

      【SEC542】SANS Web App Penetration Testing and Ethical Hacking
              2012年11月5日(月)~10日(土)
            http://sans-japan.jp/courses/sec542.html

      【FOR558】SANS Network Forensics
              2012年11月5日(月)~9日(金)
            http://sans-japan.jp/courses/for558.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆サイバー司令部 軍用システムの外で防衛行動をとるための権限強化を求める (2012.8.10)
米国DOD(国防総省)は、「軍のサイバー専門職者に対し、重大な米国のコン ピュータシステムを守るために、軍のコンピュータネットワークの外でも行動 を起こす許可が与えられるようにする」提案を出している。関係者によれば、 これは、重要な先例となりうる動きだという。

http://www.washingtonpost.com/world/national-security/pentagon-proposes-more-robust-role-for-its-cyber-specialists/2012/08/09/1e3478ca-db15-11e1-9745-d9ae6098d493_print.html

────────────────

◆ホワイトハウス サイバーセキュリティに関する大統領命令を検討 (2012.8.8-9)
米国の上院議会でサイバーセキュリティ法案が通過しなかったという結果を受 けて、ホワイトハウスは、「米国の重大なインフラを保護するために、サイバー セキュリティに関する必須要件を課す」ことを命じる大統領命令の発令を検討 しているという。問題のサイバーセキュリティ法案は、主に、反対者が「同法 によって、民間機関に対して政府の制御が過剰に行使されることになる」と感 じているという理由で否決された。また、人権擁護団体も、「同法では、市民 のプライバシーが十分に守られない」と感じているために法案に反対している。 今回の法案否決を踏まえ、Edward Markey下院議員(マサチューセッツ州民主党) が、大統領命令の発令を求めた。

http://thehill.com/blogs/defcon-hill/policy-and-strategy/242799-white-house-considers-executive-action-to-address-cybersecurity-threats-
http://www.msnbc.msn.com/id/48577162/ns/technology_and_science-security/#.UCRJ50KViqR
http://www.computerworld.com/s/article/9230099/White_House_exploring_executive_order_to_secure_critical_networks?taxonomyId=17
http://thehill.com/blogs/hillicon-valley/technology/242833-dem-rep-markey-presses-obama-to-address-cybersecurity-via-executive-action

【編集者メモ】(Pescatore) これらの法案や、今まで懸案されてきた多数の関連先行案は、今となっては、 5年以上も宙ぶらりんになっていることになる。また、この法案には、「同法 案『なくしては』、起こりえないような有意義な変更」につながる内容が実に 少ない。

────────────────

◆米国連邦控訴裁判所の判決 「公共事業は行政機関に顧客情報を提供しなければならない」 (2012.8.8)
米国第9巡回控訴裁判所は、「麻薬取締官が捜査に関係があると考え、提供を 求める顧客記録の場合、公共事業を営む企業は行政機関に対し、要請に応じて 顧客記録を提供しなければならない」という判決を全員一致で下した。包括的 薬物乱用防止および規制1970年法では、「警察は、行政の提出命令があれば、 裁判官の監督がなくも情報を要求してもよい」となっている。今回問題となっ ていたケースでは、麻薬取締局が、アラスカ州Golden Valley電力協会の Fairbanksの顧客3人のアカウント情報を求めていた。

http://www.wired.com/threatlevel/2012/08/customer-utility-records/

────────────────

◆連邦控訴裁判所の判決:「令状なしの通信傍受に異議申し立てを行う訴訟は続行できない」 (2012.8.7-8)
第9控訴裁判所は、「政府に対し、令状なしに行う通信傍受プログラムに関し て異議を申し立てる訴訟を、原告は続行できない」という判決を下した。裁判 所は、「組織(とあるイスラム教の慈善団体)は、政府に対して訴訟を起こす ことはできないが、望む場合は、政府関係者個人に対して訴訟を起こすことが できる」という判決を全員一致で下した。この訴訟においては、先に下級裁判 所は「al-Haramain Islamic Foundationに協力していた2人の弁護士が、令状 なしでひそかに見張られていた」とし、各人に対し2万ドルの賠償と、裁判費 用250万ドルを与える判決を下していた。

http://www.wired.com/threatlevel/2012/08/appeals-court-oks-wiretapping/
http://arstechnica.com/tech-policy/2012/08/appeals-court-dismisses-warantless-wiretapping-suit/

────────────────

◆米国DOD(国防総省) 緊急時にサイバー司令部が非軍用システムに対して行動を起こす権限を求める (2012.8.9)
米国軍のSROE(統合参謀本部常備交戦規定)には、「軍に雇われているサイバー 専門家らに対し、特定の非軍用コンピュータシステムに対しても行動を起こす 権限を与える」ように変更が提案されている。SROEには、自分の部隊やシステ ムが攻撃を受けていることに軍司令官が気づき、深刻な被害が生じる前に何ら かの措置を講じなければならない場合でありながら、大統領や国防長官と相談 する時間がない場合に軍司令官がとるべき行動の指示が書かれている。サイバー 空間では、数々の理由で、SROEに関して特殊な問題が生じる。その理由として、 サイバー攻撃の時間フレームが短いこと、攻撃者の特定が難しいこと、巻き添 え被害が生じる可能性があることがあげられる。軍の中には、マルウェア攻撃 を阻止するために外国のサーバを停止させる権限をサイバー司令部に与えてほ しいという声もある。現在、軍にこれらの行動を起こす権限が与えられている のは、軍用ネットワーク内のみにとどまる。

http://www.washingtonpost.com/world/national-security/pentagon-proposes-more-robust-role-for-its-cyber-specialists/2012/08/09/1e3478ca-db15-11e1-9745-d9ae6098d493_story.html

【編集者メモ】(Pescatore) 1980年代、私は米国シークレットサービスで働いていたが、(州兵ではない)軍 の人員を国内で使う場合、「憲法、もしくは、議会制定法によって、明確に許 可されなければならない」と命令する「民警団法」周辺の指針を守るようにし なければならなかった。これを、サイバーインシデントにどのように適用され るかについて、ハリケーンや同様の緊急事態発生時との比較を踏まえた議論を 始めることが健全であると言えよう。州兵は昔から、「民警団法」に制約を受 ける軍隊が所属している緊急対応部隊である。

────────────────

◆ハッカー 医療記録を暗号化して金銭を要求 (2012.8.10)
イリノイ州北部にある医療施設は、「ハッカーらが、同施設のコンピュータネッ トワークに侵入し、データを暗号化した後、そのデータを復号するためのパス ワードを教える代わりに金銭を支払うように要求してきている」ことを認めた。 この医療施設、The Surgeons of Lake Countyは、要求をのむ代わりに侵害さ れたサーバを停止し、行政機関に連絡をとった。医療データが金銭の要求に使 われた事件は、これが初めてではない。処方箋薬給付管理会社のExpress Scriptも、サイバー犯罪者らの標的となったことがある。この事件では、同社 は、サイバー犯罪者らにデータを盗み出され、「盗み出した情報を公表された くなければ金銭を支払え」と要求された。

http://www.bloomberg.com/news/2012-08-10/hackers-encrypt-health-records-and-hold-data-for-ransom.html

【編集者メモ】(Murray) ここには2つの脆弱性がある。1つめは、何者かが、このデータへの書き込みア クセス権を持っていたということ。つまり、暗号文作成後、このデータの平文 を消す必要があった。2つめは、データのコピーが1つしかなかった、もしくは バックアップがなかったため、外部者でさえもそのコピーにアクセスできたと いうこと。暗号化という手順こそは気が利いたものだが、この場合、特に必要 がなかったことに注目したい。なぜなら、攻撃者は、単に自分のコピーを作成 して、元のデータを消せばよかったのだから。

────────────────

◆米国DOJ(司法省) 最高裁判所にコンピュータ詐欺および不正利用防止法のケースの再審理を求めない意向 (2012.8.10)
米国DOJ(司法省)は最高裁判所に対し、下級裁判所が「被雇用者は、雇用主 のコンピュータ使用ポリシーに違反しただけでは、CFAA(コンピュータ詐欺お よび不正利用防止法)によって、告訴されない」という判決を下したケースに 関して、その再審理を求めない意向を示した。CFAAは、コンピュータへのアク セスを獲得してデータを盗み出すか、もしくは、マシンの稼働を中断させた個 人を政府が告訴する際に役立つように、1984年に可決された法である。米国政 府は、同法を「同法には、Webサイトのサービス利用契約や、企業のコンピュー タの使用に関するポリシーへの違反行為も含まれる」と解釈していたようだ。 このケースに関しては、今年はじめ、第9控訴裁判所は「そのような法解釈を すれば、インターネット上で外見を偽っている人も告訴できるようになってし まう」という見解を示していた。

http://www.wired.com/threatlevel/2012/08/computer-fraud-supreme-court/
http://www.wired.com/images_blogs/threatlevel/2012/08/nosaldeclination.pdf

────────────────

◆FTCとFacebook プライバシー慣行に関して和解に達する (2012.8.10)
米国FTC(連邦取引委員会)とFacebookは、ソーシャルネットワーキングサイト のプライバシー慣行に関する和解条件において、合意に達した。和解事項によっ て、Facebookは、ユーザーのプライバシー設定上の制限を超えた個人情報を共 有する場合は、事前にユーザーの「明白な承諾」を獲得するように義務付けら れることとなる。Facebookは、個人情報が共有される場合はいかなる場合であっ ても、「明確で明示的な通知」をユーザーに対して行わなければならない。順 守できなかった場合、Facebookは各違反行為に対し、民事制裁金1万6,000ドル を支払うことになる。FTCは、「Facebookがユーザーに対し、自分の個人情報 を内密にしておけると言いながらも、その後、その情報は共有され、公表され るような状態になっていた」と主張している。Facebookは和解の場で、この主 張を否定し、罪を一切認めていない。

http://news.cnet.com/8301-1009_3-57490948-83/ftc-settles-facebook-privacy-complaint-sans-google-like-fine/
http://www.computerworld.com/s/article/9230171/FTC_gives_final_approval_to_Facebook_privacy_settlement?taxonomyId=84

【編集者メモ】(Pescatore)
「事前の明白な承諾」を増やすか、もしくは、オプトインを設けることが、よ いことと言えるだろう。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月24日(金)・9月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○8月28日(火)・9月19日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

○8月29日(水)・9月27日(木)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○8月31日(金)・9月21日(金)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○9月11日(火)~12日(水)・12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年8月10日 Vol.12 No.32)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。


======================================================================
■今週のトップの脆弱性
広範に使用されている、キーロギングを行うトロイの木馬、Goziの新派生形は、 2005年以来、「銀行信用証明やその他の機密データを盗み出す」という犯意を 持ったサイバー犯罪者らのお気に入りであった。これが先週、世間で観測され ている。このトロイの木馬は、IDS・AVの両システムを回避する目的で年々そ の形を変えて攻撃を成功させており、最新の派生形はまさしく、これらのシス テムを回避するようになっている。

======================================================================
■SOURCEFIRE脆弱性研究チームが選んだ注目すべき最新のセキュリティ問題

◆不正広告キャンペーン 新手のiframeを隠すテクニックを用いる

<詳細>
隠しHTML iframeがあるのは、悪意のあるWebコンテンツにある共通の特徴であ る。The Sourcefire VRTは最近、世間で、不正広告の組織的活動が広範に拡大 していると観測した。この組織的活動では、悪意のあるiframeを隠す新手のメ ソッドが用いられている。この悪意のあるiframeは、既存のIDS・AVの両テク ニックを回避するように設計されている。

<参考>
http://vrt-blog.snort.org/2012/08/stupid-css-tricks.html

<Snort SID>
23618

<ClamAV>
該当なし

────────────────

◆トロイの木馬「Gozi」 世間で引き続き感染拡大

<詳細>
The Sourcefire VRTは今週、世間において、キーロギングを行うトロイの木馬 「Gozi」の新派生形の感染拡大を観測した。このトロイの木馬は、2005年以来、 銀行信用証明やその他の有益なユーザー情報を盗み出しており、行動パターン を常に変化させ、インテリジェントな回避メソッドを使うため、世間で引き続 き実効を表している。現在世間で観測されているイテレーションには、最近の 派生形とは微妙な差がある。しかし、この差でも十分な大きさなので、数多く あるIDS・AV両ツールの対象範囲をアップデートしておいた方がよい。

<参考>
http://www.virustotal.com/file/a6b6642b2cc6386d71c90c0a6bb27f873e13fa940f8bd568515515471f74b152/analysis/
http://en.wikipedia.org/wiki/Gozi_(Trojan_horse)

<Snort SID>
23635

<ClamAV>
Trojan.Agent-303654

────────────────

◆Apache StrutsのJavaフレームワークにリモートのコード実行の脆弱性

<詳細> ApacheのStrutsフレームワーク(広範に使用されている、JavaベースのWebアプ リ実装用プラグイン)は、リモートのコード実行攻撃に脆弱である。特に、特 定のインプット値を処理するときに、ExceptionDelegatorコンポーネントがだ まされ、任意のJavaコードを実行してしまうおそれがある。公知のエクスプロ イトが存在しており、Sourcefire VRTも、世間でこのバグが悪用されている兆 候を確認した。管理者は、速やかにシステムにパッチを適用するよう求められ ている。

<参考>
http://issues.apache.org/jira/browse/WW-3668
http://www.exploit-db.com/exploits/18329/

<Snort SIDs>
21072、21073、23631

<ClamAV>
該当なし

────────────────

◆BlackholeのエクスプロイトキットのJavaScript回避メソッド 進化

Blackholeエクスプロイトキットがサイバー犯罪者らの間で人気が高い理由の1 つとして、検知を回避するために、常にキットのアップデートが行われている ことが挙げられる。Sourcefire VRTは、世間で、最近アップデートが行われた ことを観測している。このアップデートは、以前、IDS検知に使用されていた キーのいくつかを対象に行われている。まだ昔のシグナチャが有用ではあるも のの、世間には、このキットのバージョンが多数あるので、最新の改正に対処 するために新しいシグナチャが作成さている。

<参考>
http://sophosnews.files.wordpress.com/2012/03/blackhole_paper_mar2012.pdf
http://en.wikipedia.org/wiki/Blackhole_exploit_kit

<Snort SIDs>
23619、23622、23781、23785、23786

<ClamAV>
Trojan.Blackhole-507

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。