NRI Secure SANS NewsBites 日本版

Vol.7 No.34 2012年9月4日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.34 2012年9月4日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.68-69
(原版:2012年8月24日、8月28日)

■はじめに(Alan Paller:SANS Director of Research)
大規模な連邦政府機関のCIOらが、配下のセキュリティチームを米国サイバー セキュリティ革新カンファレンス(バルティモアコンベンションセンターで10 月3日から5日まで開催:sans.org/ncic-2012/)に送り込んでいるのには、9つ の理由がある。1.「サイバーセキュリティにおいて当然払うべき注意」の新国 際最低基準に関する裏話を(豪州人から)聞くことができる唯一の場所だから  2.近い将来、または、将来に設けられるであろう「米国連邦政府のサイバー セキュリティ戦略を形作る」プログラムに関して学べる唯一の場所だから。残 る7つの理由にも興味のある方は、米国版の69号の末尾に、リストアップされ ているので、こちらをご覧いただきたい。 http://www.sans.org/newsletters/newsbites/newsbites.php?vol=14&issue=69


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□            早期割引料金にて、申込受付中!
―――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<<

      【SEC542】SANS Web App Penetration Testing and Ethical Hacking
              2012年11月5日(月)~10日(土)
            http://sans-japan.jp/courses/sec542.html

      【FOR558】SANS Network Forensics
              2012年11月5日(月)~9日(金)
            http://sans-japan.jp/courses/for558.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆データセキュリティ 今や米国企業の取締役会の主な懸案事項に (2012.8.20)
上場企業の取締役1万1,000人、および相談役2,000人に対して年次調査を行っ た結果、初めてデータセキュリティが米国企業の取締役会の主な懸案事項となっ ていることがわかった。調査は、コンサルタント会社のCorporate Board MemberとFTI Consultingによって行われ、その調査結果によると、半数以上 (55%)の相談役が、「データセキュリティ」を主な懸案事項だと答え、また、 取締役の48%が同様に感じていると答えている。2008年に行われた同様の調査 では、「データセキュリティ」を高い領域の懸案事項と答えた取締役は25%、 相談役は23%のみにとどまっていた。つまり、4年間で、この割合は2倍に増え たことを示している。Corporate Board Member社長のTK Kerstetterはこの調 査結果に関して、「多くの企業が、ITリスクについての教育水準を向上させる 措置をとっているが、実のところ、自組織を準備万端に整えるための適正な行 動に乗り出している企業の数は、十分とは言えない」と述べている。さらに、 「企業の取締役員の大半が『今日、用意周到な危機管理計画を設けずにビジネ スを行うことが、惨事を生み出す製法そのものになってしまう』という事実を 最終的に受け入れる前に、広く報道されているようなセキュリティ侵害が数件 発生するだろう」と続けた。

http://www.computerworlduk.com/news/it-business/3376626/us-boardrooms-wake-up-data-security/
http://finance.yahoo.com/news/corporate-board-member-fti-consulting-153300873.html

────────────────

◆新しいマルウェア VMwareの仮想マシンを感染させる (2012.8.22)
7月に発見された「Crisis」というWindows版のマルウェアが、VMwareのバーチャ ルマシン、Windowのモバイルデバイス、および、取り外し可能なUSBドライブ への感染が可能であることが分かった。発見された当初、「Crisis」は、 WindowsとMacのユーザーのみを標的にしていると考えられていた。Crisisは他 にも、Skypeの会話を記録したり、インスタントメッセージプログラムの通信 をとらえたり、FirefoxやSafariで訪問したWebサイトの跡を辿ったりできるこ とがわかった。Symantecによれば、「Crisis」は侵害されたコンピュータ上に VMwareのバーチャルマシンのイメージがないかどうか探索し、イメージがあれ ばそれをマウントし、その後、VMware Playerツールを使って自分自身をイメー ジ上にコピーするという。また、Symatecは、「これは、仮想マシンに感染を 拡大しようとするマルウェアとしては、初めてのマルウェアだろう」と続けた。

http://www.v3.co.uk/v3-uk/news/2200412/crisis-malware-infects-vmware-virtual-machines
http://www.zdnet.com/crisis-malware-targets-virtual-machines-7000002986/

【編集者メモ】(Murray)
正しく実装されている仮想マシンであれば、おおむね、物理マシンよりもウィ ルスに対して脆弱ではないと思っていたのだが…。それとも、私は何か見落と しているのだろうか?

────────────────

◆提案ルール:連邦政府の請負業者にサイバーセキュリティの必須要件を課す(2012.8.24)
米国DoD(国防総省)、GSA(一般調達局)、NASA(航空宇宙局)からルールが提案 されるが、このルールでは、連邦政府の請負業者は、政府データを含むシステ ムを保護する基本的なサイバーセキュリティ予防措置を設けることが求められ る。つまり、このルールが成立すれば、政府局はこの問題を扱う条項を契約書 に追加する必要が生じる。このルールは、サイバーセキュリティの責任を請負 業者自身に課すことを目的としており、ツールを「最新のものにし、かつ、定 期的に更新して」マルウェアをブロックし、パッチのインストールを「促す」 こと以上の具体的な行動を義務付けているわけではない。このルールは、ホワ イトハウスが「米国の重大なインフラの要素を成す組織全てにおけるサイバー セキュリティを特定のレベルにまで引き上げる」ことを義務付ける、大統領命 令の発行が考えられているという報道がなされている状況の中、提案された。 この提案ルールに関する一般意見は、2012年10月23日まで受け付けられている。

http://www.nextgov.com/cio-briefing/2012/08/white-house-plans-regulate-contractor-computer-security/57668/?oref=ng-HPtopstory
http://www.bizjournals.com/washington/blog/fedbiz_daily/2012/08/feds-propose-rule-to-hold-contractors.html
https://www.federalregister.gov/articles/2012/08/24/2012-20881/federal-acquisition-regulation-basic-safeguarding-of-contractor-information-systems#h-4

【編集者メモ】(Paller)
「サイバーセキュリティのコントロールにおいて当然払うべき注意」に関して 最低基準を設けるべきだ(もしくは、すでに存在しているはずだ)という声が 高まっているものの、「今回提案されたルールではその基準が満たせない」こ と、また、「国家のセキュリティ情報が大量に失われているのは請負業者のコ ンピュータから」ということを考えると、この中途半端なルールの作成者らの 管理監督者は、彼らにもっと重要性の低い職責を割り当て、脅威やコントロー ルを理解している人間にルールを書かせるべきである。
【編集者メモ】(Pescatore)
これは、不必要な新法の例である。2009年に、GSAは、「IT調達の取り組みに 関するセキュリティルールの手引き」を発行し、「請負業者もまた、FIPS: Federal Information Processing Standards(連邦情報処理規格)、NIST(米 国国立標準技術研究所)が発行した特別出版物800シリーズのガイドライン、お よび、FISMA(連邦情報セキュリティマネジメント)法の必須要件への準拠が 義務付けられる」と皆に喚起した。パッチやアンチウィルス的な行動に焦点を あてるのも、また、「バックミラーを頼りに運転をする」ことを示す好例に違 いない。

────────────────

◆Dropbox社 2要素認証を導入 (2012.8.27)
Dropboxは、Windows、Mac、および、Linuxのユーザーに2要素認証を導入した。 同社は、ハッカーらが同社の従業員のアカウントを乗っ取って顧客のeメール アドレスにアクセスした後、従業員らにギャンブルサイトを宣伝するスパムが 送信されてくるという事件を経て、顧客情報の保護を強化する措置を講じると 今夏はじめに発表を行った。先の攻撃が発生した原因は、仕事用のアカウント と同じパスワードを、最近侵害された他のアカウントでも使っていたことにあ ると、Dropboxは考えている。Dropboxは現在、ワンタイムのセキュリティコー ドを、携帯メールで携帯電話に送信するか、もしくは、モバイル用認証コード アプリで生成するという方法でユーザーに提供していく計画である。ユーザー によれば、このプランにはまだ対処すべき問題があるという。

http://krebsonsecurity.com/2012/08/dropbox-now-offers-two-step-authentication/
http://www.informationweek.com/security/application-security/dropbox-two-factor-authentication-has-ki/240006269
http://www.theregister.co.uk/2012/08/27/dropbox_security_two_factor/

【編集者メモ】(Murray)
全てのクラウドサービスプロバイダ、および、ほとんどのオンラインアプリの プロバイダが行うべきことを行えるように、その道を開いたDropbox(とGoogle) に賞賛を。これは、ロケット科学のように難しいことではない。Googleは、きっ と喜んでこの技術のライセンスを皆に供与するだろう。これは、単に「2要素」 であるというだけでなく、「強力な」認証である。言いかえれば、クレデンシャ ル・リプレイに抗う形をとっている。ユーザーに対し、SMSか、ハンドヘルド アプリ、もしくは、携帯電話の中からユーザーが選んだデバイスに対し、帯域 外データとしてOTP(ワンタイムパスワード)を送信する仕組みだ。Dropboxと Googleにとっては、これはユーザーが選ぶオプションにすぎないが、そのオプ ションの存在があまりにも目立たないようになっているので、企業用VPNの初 期設定のような機密アプリでは、必須とすべきである。

────────────────

◆偽物のアンドロイド用Flash Playerのダウンロードにマルウェア(2012.8.23-24)
ハッカーらは、Google Playを介したアンドロイドのFlash Playerの販売を停 止するというAdobeの決定を悪用し、Flash Playerのインストーラだと称して 悪意のあるアプリをリリースした。Adobeは、8月15日に、Google Playでの Flash Playerの配布を停止している。クロスプラットフォームのランタイム環 境であるAdobe AIRの利用促進を図る目的で、この停止の決定が下された。し かし、アンドロイド用Flash Playerのダウンロードファイルになりすました SMSのトロイの木馬が、いくつか検知された。このマルウェアはユーザーのホー ムページを変更し、アンドロイドの通知バーを通じて広告を表示するほか、連 絡先情報を広告主に送信する。不正ソフトウェアが、不正アンドロイド用ソフ トウェアを扱うロシア語・英語のソフトウェア市場にて発見されている。この ソフトウェアも、感染したデバイスに、有料のSMS番号に電話をかけさせる仕 組みになっている。

http://www.computerworld.com/s/article/9230591/Cybercriminals_take_advantage_of_Android_Flash_Player_gap_on_Google_Play?taxonomyId=246
http://www.v3.co.uk/v3-uk/news/2200466/malware-writers-spread-fake-flash-player-download-on-android

【編集者メモ】(Murray)
さしずめ、餌として好まれるメッセージは、「Adobe foobarの最新セキュリ ティ修正プログラムをダウンロードするなら、ここをクリック」だろう。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月19日(水)・10月30日(火)・11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

○9月21日(金)・10月23日(火)・11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=19

○9月25日(火)・10月26日(金)・11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○9月27日(木)・10月25日(木)・11月21日(水)・12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃出展予定のイベント                <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月6日(木)~7日(金) FIT2012(金融国際情報技術展)
http://www.nikkin.co.jp/fit2012/index.html

    [展示]9月6日(木)~7日(金) 10:00~18:00
  セキュリティゾーン(A-31)にて、デモ・展示
  http://www.nikkin.co.jp/fit2012/map.html

    [セッション講演]9月6日(木) 14:40-15:40(C-4)
  「新世代クラウド利用最前線!金融にセキュアなクラウド導入を!」
  http://www.nikkin.co.jp/fit2012/seminar.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月10日(月)・12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○9月11日(火)~12日(水)・12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14
────────────────────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年8月24日 Vol.12 No.34)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

===================================================================
■今週のトップの脆弱性
新たに発見されたW32/DistTrackマルウェアは、ここ数年で最も破壊的な悪意 のあるコードの一つとして浮上しているが、SMB経由で広がり、意図的にマシ ンを感染から4時間以内に崩壊させている。今のところ、エネルギー部門が標 的になっているが、このマルウェアやコードの行動をまねるような順応が発生 すると、感染している企業に大規模な停止事態が発生するおそれがある。セキュ リティアナリストや、運用チームは、感染の進み具合を念入りに追跡し、対策 に使える検知メソッドは全て、即座に実装すべきである。
===================================================================
◆破壊的なマルウェア「W32/DistTrack」 エネルギー部門を標的に

<詳細>
McAfeeは先週、彼らが「DistTrack」と呼んでいる極めて破壊的なマルウェア を発見した。感染後4時間以内に、マルウェアは、重大なシステムファイルを JPEG画像の一部で上書きするだけでなく、MBR(マスターブートレコード)を 「ゼロ」で上書きして強制的に再起動を行い、事実上、マシンを葬ってしまう ため、ユーザーはフォレンジックツールを使ってデータを修復しなければなら ない。Sourcefire VRTは、世間にこのマルウェアが存在していること、特にエ ネルギー企業を標的にしていることを確認している。今までのところ、攻撃の 性質は極めて標的型であるものの、検知は非常に簡単に行えるほか、攻撃が成 功してしまうと壊滅的な影響を及ぼすので、ユーザーは用心を怠らないように すべきである。

<参考>
http://vrt-blog.snort.org/2012/08/new-threat-disttrack.html
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/23000/PD23936/en_US/McAfee_Labs_Threat_Advisory-W32-DistTrack.pdf

<Snort SID>
23893、23903、23905 - 23933

<ClamAV>
Win.Trojan.DistTrack
、 Win.Trojan.DistTrack-[1-3]
────────────────

◆アンドロイド用トロイの木馬「SMSZombie」 中国の50万人のユーザーを攻撃

<詳細>
セキュリティファームのTrustGoは週末、中国にて、アンドロイドのマルウェ アがまん延していることを発見した。この「SMSZombie」という悪意のあるア プリは、影響を受けてしまうユーザーから、SMSを介して情報を盗み出し、マ ルウェアの作成者に引き渡す仕組みになっている。また、有料のSMS番号に勝 手に電話をかけてしまう。このマルウェアは、C&Cサーバと連絡を取り合うた めにTCP/IP通信を全く生成しないという点で、以前のアプリとははっきりと異 なっている。つまり、これでは、ネットワークレベルで検知を行えない。ダウ ンロードされた悪意のあるファイルにはシグナチャがあるので、モバイル用の AV製品を使って、必要に応じて感染を発見し、修正を行うべきである。

<参考>
http://vrt-blog.snort.org/2012/08/smszombie-new-twist-on-c.html
http://blog.trustgo.com/SMSZombie/

<Snort SID>
23954

<ClamAV>
Andr.Trojan.SMSZombie

────────────────

◆トロイの木馬「Briba」 CVE-2012-1535として感染拡大

<詳細>
先週のFlashのゼロデイ攻撃は、先週AdobeがCVE-2012-1535にてパッチを適用 しているが、世間で感染を拡大している。研究者によって、世界各地にライブ の指令管制サーバが発見されており、Sourcefire VRTは、軍産のゼロデイ攻撃 の初期範囲外の標的が攻撃を受けたことを確認した。この攻撃は、時間ととも に拡大し、ほとんど間違いなく、今後数週間で世界各地のエクスプロイトキッ トに入り込む可能性が高いので、ユーザーは、Flashが最新のリリース版にな るように、インストールを行うべきである。

<参考>
http://labs.alienvault.com/labs/index.php/2012/cve-2012-1535-adobe-flash-being-exploited-in-the-wild/
http://anubis.iseclab.org/?action=result&task_id=1fbaec06ba83c7f2481fcb8badf31001a

<Snort SID>
23853、23854、23904、23942

<ClamAV>
BC.CVE_2012-1535

────────────────

◆Oracle FlashTunnelSvcにリモートのコード実行の脆弱性

<詳細>
OracleのFlash Tunnel Serviceには、簡単に悪用が行える深刻な脆弱性をつく エクスプロイトコードがある。ディレクトリトラバーサルのバグをヒットし、 内蔵のwriteToFile機能を活用すれば、ユーザーは、影響を受けるシステムに 任意のファイルを落とし、その後、これらのファイル内でコードを実行する目 的でURLを呼び出すことができる。全てのプロセスが、認証がなくとも完了で きる。Sourcefire VRTは、世間において、簡単に完全オートメーション化する ことができてしまう悪用事例を観測している。したがって、Oracleシステムの ユーザーは、すぐにパッチを適用すべきである。

<参考>
http://www.securityfocus.com/archive/1/523800
http://www.exploit-db.com/exploits/20318/

<Snort SID>
23939、23940

<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。