NRI Secure SANS NewsBites 日本版

Vol.7 No.33 2012年8月29日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.33 2012年8月29日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.66-67
(原版:2012年8月17日、8月21日)

■はじめに(Alan Paller:SANS Director of Research)
バルティモアの米国サイバーセキュリティ革新カンファレンスで開催される、 APT攻撃阻止(ホワイトハウスで概要説明が行われた豪州人のテクニック)に関 するワークショップには、ぜひ、300ドル割引でご参加いただきたい。そのた めには、9月5日までに参加申し込みを。このカンファレンスでは、ほかにも、 米国NSA(国家安全保障局)が新たにノンパーシステントデスクトップ・ブラウ ジングに関する、驚くべき概要説明を行う。ノンパーシステントデスクトップ・ ブラウジングを用いれば、国家やサイバー犯罪で使用される悪意のあるソフト ウェア(マルウェア)によって発生し、急速に拡大しているセキュリティ脅威に 効果的に対処できる。経費も極めて低いうえ、継続的な監視や影響緩和措置の 効果的な導入方法についての(NASAによる)説明や、20の重大なコントロールな どを導入するために最も重要かつ効果的と言える技術に関しても、ブリーフィ ングが行われる。ほか、継続的な監視や20の重大なコントロールのオートメー ションおよび継続的な監視の導入方法を把握しているシステムインテグレータ を対象とする、実質上すべてのセキュリティツールが見られる大規模な展示会 も用意されている。 参加申し込みはこちら:

本日のGFIRST:the United States Government Forum of Incident Response and Security Teams(インシデントレスポンスおよびセキュリティチームの米 国政府フォーラム)において、1500人の参加者は、新しく合意された20の重大 なセキュリティコントロールに関する最初の情報を得ることができただろう。 また、多数の方々が、Toby Sager(最近は、米国国家安全保障局のVAOのチーフ をしている)が運営する国際コンソーシアムに、参加申し込みをしていた。こ のコンソーシアムによって、既知の脅威データが全て、統一見解に反映される こととなろう。大手企業や政府局にも、参加資格がある。20の重大なコントロー ルの信頼性向上に役立つ取り組みを監修するこのコンソーシアムに参加登録さ れたい方は、あなたの所属組織とあなた自身の参加適格性に関する情報を tsager@sans.org まで送信していただきたい。


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□            早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<<

      【SEC542】SANS Web App Penetration Testing and Ethical Hacking
              2012年11月5日(月)~10日(土)
            http://sans-japan.jp/courses/sec542.html

      【FOR558】SANS Network Forensics
              2012年11月5日(月)~9日(金)
            http://sans-japan.jp/courses/for558.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆中東のエネルギーセクターを標的にするマルウェア データを消す(2012.8.16)
研究者は、さらにまた、中東のエネルギー産業の特定セクターにあるコンピュー タを標的にするマルウェアを発見した。通称「Shamoon」、もしくは、 「Disttrack」という(企業によって呼び名が違う)このマルウェアに感染する と、コンピュータのハードドライブから永久にデータが消し去られてしまう。 Kaspersky Labの研究者によれば、マルウェアを圧縮する際に用いられる Windowsファイルのディレクトリには、文字列「wiper」があったが、Wiperと いうマルウェアには、関係ないと推測されている。Wiperは、今年はじめにイ ランの石油省のコンピュータを感染させたと考えられている。

http://arstechnica.com/security/2012/08/shamoon-malware-attack/
http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/240005715/new-targeted-attack-destroys-data-at-middle-east-energy-organization.html

【編集者メモ】(Ullrich)
悲しいのは、このマルウェアが、Webプロキシでの検知が非常に簡単に行える マルウェアだったこということである。このマルウェアは、ログを気にして見 ていれば、場違い故にひどく目立つような人工的な固定ユーザーエージェント を使用していることがわかる。

────────────────

◆シリアの反対派 マルウェア攻撃の標的に (2012.8.15)
EFF:Electronic Frontier Foundation(電子フロンティア財団)によれば、 シリアのジャーナリスト、活動家、および反政府グループに関わっている者が、 マルウェアの標的になっているという。 彼らは、セキュリティパッケージを 装ったマルウェアをダウンロードするよう誘い込まれているようだ。このパッ ケージは、コンピュータに一旦ダウンロードされると、Webカメラを介して人 を監視するほか、アンチウィルスプログラムを無効化し、パスワードを盗み出 してデータを削除してしまう。

http://news.cnet.com/8301-1009_3-57494231-83/syrian-dissidents-besieged-by-malware-attacks/

【編集者メモ】(Murray)
コンピュータユーザーのほとんどは、国家に対する抵抗力を自分のシステムに つけるような方法で、システムを管理することはできない。現代のネットワー クが反乱を組織する場合に非常に効果的であるうちは、彼らは必ず、このよう なユーザーを侵害するだろう。

────────────────

◆控訴裁判所の判決:「携帯電話追跡のケースには、相当な理由を伴う令状は必要ない」 (2012.8.14-15)
米国第6巡回控訴裁判所は、「警察官は、容疑者の携帯電話のGPS位置情報を通 じて追跡を行う際に、相当な理由を伴う令状を獲得する必要はない」という判 決を出した。被告の弁護団は、「GPS位置情報を使って被告の居所を追跡する 行為は、合衆国憲法修正第4条(不法な捜査や押収の禁止)の権利に違反して いる」と主張し、依頼人の有罪判決を覆そうとしていた。判事の1人は判決理 由として、被告には、使い捨て携帯電話から発せられていたデータの「プライ バシーの合理的期待」はなかったと記述している。

http://www.wired.com/threatlevel/2012/08/warrantless-gps-phone-tracking/
http://www.technolog.msnbc.msn.com/technology/technolog/warrantless-cellphone-tracking-legal-federal-court-rules-944452
http://news.cnet.com/8301-1009_3-57493811-83/federal-court-oks-warrantless-cell-phone-tracking-by-police/

────────────────

◆アンドロイドに対するトロイの木馬 50万台のデバイスに感染 (2012.8.20)
アンドロイドに対するトロイの木馬プログラムが、50万台のデバイスに感染し ている。感染のほとんどは、中国国内である。この「SMSZombie」というマル ウェアは、壁紙アプリとして移動する。これは、China Mobileのモバイル決済 システムにある欠陥を悪用して、未承認の決済を実行する。また、銀行カード やその他の金融取引情報を盗み出すという。ほか、SMSZombieは、ユーザーが、 デバイスからマルウェアを除去しにくくする手順を踏む仕組みになっている。

http://www.theregister.co.uk/2012/08/20/android_smszombie/

────────────────

◆NIST(米国国立標準技術研究所) 軍事用アンドロイドアプリのテストツールを求める (2012.8.17)
NISTは、「DOD(国防総省)が使用するアンドロイドアプリの脆弱性分析やセ キュリティスキャンを行えるソフトウェアのテストを行うツールを求める」提 案書を提示している。

http://www.nextgov.com/mobile/2012/08/nist-seeks-vulnerability-analysis-military-android-apps/57505/?oref=ng-channelriver
https://www.fbo.gov/index?s=opportunity&mode=form&id=78d1292724c29afd53f35f995e4a8658&tab=core&_cview=0

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月31日(金)・9月21日(金)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=19

○9月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○9月19日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

○9月27日(木)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○9月11日(火)~12日(水)・12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年8月17日 Vol.12 No.33)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

======================================================================

■今週のトップの脆弱性
国家の後ろ盾がある可能性がある、「Gauss」という標的型バンキング用トロ イの木馬のプラットフォームが、先週後半、Kaspersky Labsによって発見され た。さらなる損害を阻止するために世界各地のC&Cサーバが沈められたものの、 まだ、このマルウェアのペイロードは、解読できていない。「Gauss」の影響 が及ぶ範囲は限られているが、「Flame」との比較も踏まえると、影響のほど を憂慮する声が聞かれる。

======================================================================

◆マルウェア「Gauss」のプラットフォーム レバノンで発見される

<詳細>
Kaspersky Labsは、先週後半、「Gauss」という新マルウェアプラットフォー ムに関する報告を公表した。「Gauss」は、レバノンや、中東のその他の地域 にいるユーザーを標的にし、さまざまな種類のインスタントメッセージ、eメー ル、ソーシャルネットワーキング、バンキングシステムに使われる信用証明物 を盗み出そうとするマルウェアである。「Gauss」は、あらゆる意味で「Flame」 と類似しており、その特徴から、国家のハッカーが背後にいると考えられてい る。火曜日に、Kasperskyは、世界各地の暗号作成者に対し、「Guess」のペイ ロード解読の支援を訴えた。このペイロードに、SCADAシステムや「Flame」に 関係のあるその他の標的との繋がりがあることがわかれば、非常に面白いこと になるだろう。

<参考>
http://vrt-blog.snort.org/2012/08/gauss-finfisher-latest-targeted-malware.html
http://www.securelist.com/en/blog/208193767/Gauss_Nation_state_cyber_surveillance_meets_banking_Trojan
http://www.securelist.com/en/blog/208193781/The_Mystery_of_the_Encrypted_Gauss_Payload

<Snort SID>
23799 ? 23804、23824

<ClamAV>
W32.Trojan.Gauss-[1-15]
────────────────

◆合法的な通信傍受用マルウェア「FinFisher」 警察の管轄外で使用される

<詳細>
ドイツ企業のGamma Internationalは、監視ソフトウェア「FinFisher」を製造 しており、政府、警察が合法的に通信傍受を行う際の使用が製品の狙いとなっ ている。メーカーは「同ソフトウェアはバーレーンでは販売されていない」と 熱心に訴えていたが、最近、これがバーレーンの活動家に対するフィッシング 攻撃に用いられていたことがわかった。攻撃の範囲は制限されているものの、 「強力な監視ソフトウェアが悪の手に渡ってしまう」という不穏な前例が作ら れてしまったことになる

<参考>
https://community.rapid7.com/community/infosec/blog/2012/08/08/finfisher

<Snort SID>
23825、23826

<ClamAV>
Trojan.FinFisher

────────────────

◆英数字でないJavaスクリプトパッカー

<詳細>
"()[]{}!+"の文字だけを使ったJavaスクリプトをコード化するツールがリリー スされた。このツールは、まだ世間では観測されていない。しかし、相も変わ らず、Javaスクリプト回避技術が向上すると、その技術は悪意のあるハッカー の手に辿りつくようになっている。そして、このツールも、その変化形にして も、今後、特例となる理由は見当たらない。Sourcefire VRTは、世間にある難 読化されたJavaスクリプトの事例を注意深く監視し、このテクニックがエクス プロイトキットやその類に組み込まれていないかどうか、その兆候を探してい く予定だ。

<参考>
http://patriciopalladino.com/blog/2012/08/09/non-alphanumeric-javascript.html

<Snort SIDs>
23831、23832

<ClamAV>
該当なし

────────────────

◆Microsoft WindowsコモンコントロールのTabstrip ActiveXにリモートでコードが実行される脆弱性

<詳細>
Microsoft Windowsコモンコントロール一式(その名のとおり、Windowsにはデ フォルトで内蔵されている)の一部である、Tabstrip ActiveXコントロールに は、メモリ崩壊の脆弱性がある。Microsoftによると、今までにエクスプロイ トコードや概念実証型は公表されていないが、標的型攻撃が、世間で観測され ているという。ActiveXの脆弱性は一般的に、非常に簡単に悪用できるので、 近々、世間で広域にわたる悪用が短期的に行われそうである。

<参考>
http://technet.microsoft.com/en-us/security/bulletin/ms12-060

<Snort SIDs>
23844、23845

<ClamAV>
Win.Exploit.CVE_2012_1856

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。