NRI Secure SANS NewsBites 日本版

Vol.7 No.35 2012年9月12日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.35 2012年9月12日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.70-71
(原版:2012年8月31日、9月4日)

■はじめに(Alan Paller:SANS Director of Research)
ニュースの多い一週間だった。いつもより50%も多い。以下は、特筆すべき新 しいニュースのうち2つについてのプレビューである。
1.元NSA高官が率いる政府や主要企業で構成されたとある国際的な連合団体に よって、企業や政府の機密情報保護を行ううえで「当然払うべき注意」の新最 低基準が公表された。
2.過去6カ月間で、有害かつ新たな攻撃が極端に増えている(大手企業のいくつ かで400%、政府では200%超という増え方)。重大な組織の中には、これらの攻 撃に気づいていないため、対応していないところもある。


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□            早期割引料金にて、申込受付中!
――――――――――――――――――――――――――――――――――
          世界最高レベルの情報セキュリティトレーニング
             >>> SANS Tokyo 2012 <<<

      【SEC542】SANS Web App Penetration Testing and Ethical Hacking
              2012年11月5日(月)~10日(土)
            http://sans-japan.jp/courses/sec542.html

      【FOR558】SANS Network Forensics
              2012年11月5日(月)~9日(金)
            http://sans-japan.jp/courses/for558.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ホワイトハウス サイバー上の脅威に関する情報共有プログラムの設置を検討する可能性 (2012.8.30)
ホワイトハウスで現在回覧されている草案文書によれば、「大統領は、米国の 重大なインフラの必要不可欠な要素である、政府と民間産業のコンピュータネッ トワークをサイバー攻撃から守るための新プログラムを検討している」という。 このプログラムによって、政府は、脅威情報の収集と普及を継続的に実行でき るシステムを設置するように要求されることになる。このプログラムは、議員 らがサイバーセキュリティ法案に関して合意に達することができなかったこと を踏まえると、法整備の代わりになるものと考えられる。ホワイトハウスの広 報によれば、草案は、「まだ作成完了には程遠い」という。文書を読めば、こ のプログラムは、重大なインフラの脅威に対する「リアルタイムに近い共通作 戦状況図」を目指し、政府と民間セクターの組織の間で「強固な協力」関係の 構築を図るものであることがうかがえる。

http://www.businessweek.com/news/2012-08-30/obama-weighs-broad-program-to-defend-networks-from-cyber-attacks

────────────────

◆サイバー窃盗犯 投資口座から資金を盗み出そうと投資顧問を標的に(2012.8.28)
サイバー窃盗犯らは、投資顧問をだまして顧客のオンライン投資口座から攻撃 者の制御下にある口座に資金を電信で送金させようと考え、投資顧問を標的に し始めている。攻撃が成功してしまった場合、資金を送金されてしまった顧客 は、「顧問との間で解決するように」と言われることになる。あるプランナー は、保険会社の役員から来たように見せかけたeメールを読んで、危うく、窃 盗犯らの制御下にある口座に1万5,000ドル以上の資金を送金してしまいそうに なった。そのメッセージの文章は、その顧問が以前にその顧客から受け取った メッセージと似たようなスタイルだったという。しかし、このプランナーは、 どの口座から資金を引き出すのかを確認するために顧客に電話をしたため、送 金はせずに事は済んだ。中小企業に対する似たような攻撃が注目を集めている ため、銀行は、今まで以上に厳しい取引認証基準の設置に乗り出すようになっ た。そのため、詐欺師らは、標的を投資顧問に変えたのだろう。

http://www.usatoday.com/tech/news/story/2012-08-26/wire-transfer-fraud/57335540/1

────────────────

◆英国のデータ侵害 5年で10倍以上に (2012.8.30)
英国のICO:Information Commissioner's Office (情報コミッショナーオフィ ス)によれば、これまでの5年間で、英国のデータセキュリティ侵害の件数は 1,000%以上増加しているという。この侵害件数は、地方自治体よりも多いが、 NHS: National Health Service(英国国民健康保険)よりも若干少ない。劇的 に増加した背景の一つには、以前よりも、組織が報告をあげる侵害件数が多く なったことがあげられる。一定期間で侵害の報告件数が低下していた産業セク ターは、テレコム部門のみであった。

http://www.bbc.com/news/technology-19424197
http://www.v3.co.uk/v3-uk/news/2201863/uk-data-breaches-rocket-by-1-000-percent-over-past-five-years

────────────────

◆ハッカー談:iOSデバイスのIDがあるファイルはFBIの追跡プロジェクトを行っていた証拠 (2012.9.4)
ハッカーは、「とあるFBI捜査官のノートパソコンが今年はじめに侵害され、 その際に持ち出されたファイルには、iOSデバイス100万台のユニーク・アイデ ンティフィケーション・コードが含まれている」という主張を示す内容の文書 を、Pastebinに掲示した。攻撃者らは、UDID: Unique Device Identifiers (ユニーク・デバイス・アイデンティファイヤ)、ユーザー名、1200万台のデ バイス用のプッシュ・ノティフィケーション・トークンの含まれたファイルを 獲得したと述べている。また、そのファイルには、何人かの氏名や、関連のあ る携帯電話番号があったようだ。攻撃者らは、「このような文書が存在してい ることから、FBIは、iOSデバイスを追跡している可能性があるとわかる」とい う考えだ。

http://www.zdnet.com/fbi-hack-yielded-12-million-iphone-and-ipad-ids-anonymous-claims-7000003668/
http://www.theregister.co.uk/2012/09/04/antisec_hackers_fbi_laptop_hack/

【編集者メモ】(Ullrcih)
今の時点で、この漏えいがFBIに端を発するものかどうかは確認できない。 Apple、電話会社、もしくは識別子を収集している大手アプリ開発業者による 漏えいかもしれない。UDIDは、各iOSデバイスを独自に識別するもので、変更 はできないようになっている。「OpenFeint」のデータベースを使用してUDID のいくつかにユーザー活動をリンクすることもできる。また、今回公表された UDIDは、どうやら正真正銘本物のUDIDだったようだ。

────────────────

◆LinkedInのパスワード 盗まれてハッキングされる:あなたのパスワードもすぐ変えよう (2012.9.4)
ハッキングと疑われるインシデント発生後、6,400万件以上のLinkedInのパス ワードがWeb上に漏えいされた。ログインに関する詳細情報は暗号されている が、ユーザーはみな、パスワードを変更した方がよい。

http://www.zdnet.com/blog/btl/6-46-million-linkedin-passwords-leaked-online/79290

────────────────

◆米国議員ら 中国のテレコム企業の役員らをスパイの脅威に関する委員会公聴会に招聘する (2012.9.3)
米国下院議会のSelect Committeeは、10月に行われる「米国のテレコム用イン フラに対する中国のスパイ行為が脅威になっている」という疑惑に関する捜査 の公聴会に参加してもらおうと、中国のテレコム企業ZTE CorpとHuaweiの役員 らを招聘した。ZTEは参加する意向を認めたが、Huaweiは、まだ公に回答を出 していない。

http://www.theregister.co.uk/2012/09/03/huaweu_zte_in_us_spotlight/

【編集者メモ】(Murray)
中国、フランス、英国、その他諸々の国々が、我々と売買取引を行い、我々の 事業に投資し、我々の投資を受け入れ、我々の債券を買い、我々に対してスパ イ活動を行っている。これを、「取引」という。我々のシステムからは、何か しらが漏えいされる。だから、我々には、NSA(国家安全保障局)と、CIA(中央 情報局)がある。

【編集者メモ】(Honan)
Huaweiは本日、「国際的な協力関係の強化」を求めるサイバーセキュリティに 関する白書を公表した。同社が、委員会との連携姿勢を示すかどうか、見もの である。

http://www.huawei.com/en/about-huawei/newsroom/press-release/hw-187387-securitywhitepaper.htm
────────────────

◆アップデートされたJavaに新たな脆弱性 見つかる (2012.8.30-31)
Oracleが先週、Java SE 7に緊急修正プログラムを急いで出した直後、研究者 らは、Javaのパッチが適用されたバージョンに影響を及ぼす重大な欠陥をもう 1つ発見した。この脆弱性を悪用すれば、Javaのサンドボックスから逃げ出し て、任意のコード実行を行えるようになる。セキュリティの専門家の中には、 ユーザーに対し、Javaプラグインを無効にするか、さらには、ブラウザからア ンインストールするように呼びかけている。SANSインターネットストームセン ターは、Javaにある欠陥を悪用しているフィッシャーが、eメールメッセージ で、Microsoftのサービス契約に対する変更の通知を装っているという報告を 受けている。

http://www.theregister.co.uk/2012/08/30/oracle_issues_java_0day_patch/
http://arstechnica.com/security/2012/08/oracle-patches-critical-java-bugs/
http://www.theregister.co.uk/2012/08/31/critical_flaw_found_in_patched_java/
http://www.computerworld.com/s/article/9230812/Researchers_find_critical_vulnerability_in_Java_7_patch_hours_after_release?taxonomyId=17
http://arstechnica.com/security/2012/08/critical-bug-discovered-in-newest-java/
http://news.cnet.com/8301-1009_3-57504640-83/new-vulnerabilities-found-in-latest-java-update/
http://www.computerworld.com/s/article/9230858/Rogue_Microsoft_Services_Agreement_emails_lead_to_latest_Java_exploit?taxonomyId=244
http://isc.sans.edu/diary.html?storyid=14020

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月19日(水)・10月30日(火)・11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

○9月20日(木)
 クラウドを利用した契約書の管理革命
http://www.nri-secure.co.jp/seminar/2012/sri01.html?xmid=300&xlinkid=21

○9月21日(金)・10月23日(火)・11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=19

○9月25日(火)・10月26日(金)・11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○9月27日(木)・10月25日(木)・11月21日(水)・12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○10月10日(水)
 次世代のアイデンティティ&アクセス管理セミナー
http://www.nri-secure.co.jp/seminar/2012/1010.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年8月24日 Vol.12 No.35)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

====================================================================
■今週のトップの脆弱性
Javaの現行バージョンにある、簡単に悪用可能なゼロデイの脆弱性に関する情 報が、日曜の夜遅くに公表された。すでに、世間では盛んに悪用されていると いう。現在パッチはリリースされていない。また、10月16日まではリリースさ れる予定はない。この事態を懸念しているセキュリティ研究者らが、それまで の間に使える非公式のパッチをリリースしている。
====================================================================
◆CVE-2012-4681: パッチのないJavaのゼロデイ 世間で盛んに悪用される

<詳細>
セキュリティ研究者らによって、リモートのコード実行を可能にする新しい Javaの脆弱性に関する情報が、先週日曜日の夜に公表された。公表情報の中に は、十分な裏付けとともに、簡易修正が施された概念実証コードも含まれてい る。その後、この脆弱性は、Metasploitに移植されており、信頼できる筋の情 報によれば、広範に使用されているBlackholeのエクスプロイトキットに即座 になだれ込んでくることが予想されるという。Sourcefire VRTの観測によれば、 世間では、盛んに悪用が行われているようだ。このバグの特性を使えば、概念 実証コードの修正が簡単に行えるので、攻撃者の好みのペイロードを兵器化し、 それをコードに加えることもできる。現在、正式なパッチはリリースされてお らず、次回のJavaのパッチのリリースは、2か月近く先の10月16日まで予定さ れていない。そのため、とあるセキュリティ研究者が、パッチを適用したい人 のために、非公式のパッチをリリースした。ユーザーは可能な限り、正式なパッ チがリリースされるまでは、信頼できないロケーションのJavaを無効にすべき である。

<参考>
http://vrt-blog.snort.org/2012/08/cve-2012-4681-bypassing-built-in-java.html
http://www.deependresearch.org/2012/08/java-7-vulnerability-analysis.html

<Snort SID>
24018-24028、24036-24038

<ClamAV>
Java.Exploit.Agent, Java.Exploit.Agent-[1-2], WIN.Trojan.Agent-131

────────────────

◆CVE-2012-2109: HP Operations Agentにスタックオーバーフローの脆弱性

<詳細>
システムの健全性監視のために広範に使用されているクロスプラットフォーム のシステム、HP Operations Agentには、リモートかつ未確認バッファオーバー フローがある。公知の攻撃はないものの、Sourcefire VRTには、「非公開の攻 撃が存在しており、標的型攻撃でそれが行われている」可能性を示す情報があ る。ユーザーは、即座にシステムにパッチを適用すべきである。

<参考>
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03397769

<Snort SID>
23958 - 23961

<ClamAV>
該当なし

────────────────

◆マルウェア「Rebots」というインジェクションの組織的活動

<詳細>
リモートファイルがインクルードされた後に行われる、「Rebots」という大規 模にインジェクションを行う組織的活動が、この数週間にわたって世間で盛ん に行われている。この組織的活動によって、徐々にさまざまなペイロードがば らまかれている。また、この活動は、活動の進化とともに、特徴のあるペイロー ドを通じて周期的に繰り返されていくことだろう。

<参考>
http://stopmalvertising.com/malware-reports/rebots.php-malware-robots.txt-executes-malicious-javascript.html
http://blog.sucuri.net/2012/08/rebots-php-javascript-malware-being-actively-injected.html

<Snort SID>
24017

<ClamAV>
PHP.Trojan.Rebots

────────────────

◆「Zbot」新派生形 世間で出現

<詳細>
バンキング用トロイの木馬「Zbot」「Zeus」のファミリーが、2010年以来、世 界各地の犯罪者や詐欺師の間で広く好まれている。この人気の理由の一つは、 常に新しい検知技術を回避しようと切磋琢磨している開発者が、購入者に対し て専門的なサポートを与えていることにある。このキットの最新の更新版が、 世間の数々のエクスプロイトに出現し始めているため、ユーザーは、この最新 の派生形に対応できるように、自分のAVやIDSソリューションを必ず最新の状 態にするように警告されている。

<参考>
http://www.symantec.com/security_response/writeup.jsp?docid=2012-082121-3431-99
https://www.virustotal.com/file/e11901864208c8468be6433b76f4d038cd298f387c9d61ffeadf5ea9e7402367/analysis/

<Snort SID>
23972

<ClamAV>
Trojan.Zbot-23436

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。