NRI Secure SANS NewsBites 日本版

Vol.7 No.37 2012年9月25日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.37 2012年9月25日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.74-75
(原版:2012年9月14日、9月18日)

■はじめに(Alan Paller:SANS Director of Research)
NSAを最近退職したTony Sager主導の「20の重大なコントロール」に関する国 際コンソーシアムが、10月3日から5日にかけてバルティモアコンベンションセ ンターで開催される。これは、米国サイバーセキュリティ革新カンファレンス の一環として初の会合となる。また、連邦政府のCIOやホワイトハウス当局者 も、今後数ヶ月にわたってどのようにサイバーセキュリティが変革されていく かについての識見を語ってくれる見込みだ。参加者らは、RSAによる大人気の セッション、Ed Skoudisが語る「危険な新攻撃技術トップ5」にも触れられる。 標的型攻撃(APT)を阻止した豪州人の画期的な対策についての概要説明を、彼 ら自身から受ける(質疑応答ワークショップも開かれる)ことができるほか、非 常にクールなNASAの2つの革新事項に関する話も聞くことができるのは、米国 で唯一ここだけである。さらに、米国NASA(航空宇宙局)とHHS(保険社会福祉省) が、セキュリティリスクの影響軽減措置のオートメーション化を、素早く、か つ、費用効率よく実現させた経緯についても学ぶことができよう。ほか、連邦 政府の高官らは、「政府が、サイバーセキュリティ上の防衛措置やオートメー ション化を取り入れようと考えている場所」についての指針を議論する場を提 供する予定だ。同じ会場で行われている、DHS(国土安全保障省)、NSA(国家安 全保障局)、NIST(米国国立標準技術研究所)による「継続的な監視」に関する プログラムにも、(追加料金なしで)参加できるようになっている。 sans.org/ncic-2012にて、是非参加申し込みを。

WikiLeaksの背後にいる人や技術に関する素晴らしい、新しい本を紹介しよう。 「This Machine Kills Secrets」は、情報セキュリティを実際に理解している ジャーナリストが書いた、WikiLeaksに関する初めての本である。著者である Forbes誌のAndy Greenbergは、サイバーセキュリティのスクープを扱うジャー ナリストとして、ベスト10に入る人物である。したがって、この本は読む価値 があるであろう。


◆◆◆◆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◆◆      SANS Tokyo Community Night with Mike Poor
◆◆        - Who's Watching the Watchers? -
◆――――――――――――――――――――――――――――――――――
          SANSのトップインストラクターMike Poorが来日!

      ネットワーク上のノイズを改善し、攻撃のシグナルを発見する手法
          -針山の中から目的の針を探す手法-について解説

      http://www.nri-secure.co.jp/seminar/2012/sansnight.html

      ・日時:2012年10月16日(火)18:00~19:30(17:40開場)
      ・会場:野村総合研究所 丸の内総合センター(丸の内北口ビル9F)
      ・参加費:無料  ※GIAC CMU:1.5ポイント付与対象セミナー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆Microsoft 中国のドメインでホスティングしているボットネットの制御権限を獲得 (2012.9.13)
米国連邦裁判所はMicrosoftに対し、「Nitol」ボットネットやその他多くのマ ルウェアをホスティングしている中国のDDNS(ダイナミックDNS)のプロバイダ、 3222.orgの制御を同社に許可する暫定的保護命令を与えた。DDNSのサービスで は、ユーザーはWebサイトを、IPアドレスが変更できるサーバにホスティング しておくことができる。このサービスを使えば、使用しているIPアドレスが 「悪意のある活動に関係がある」ことが判明し、停止に追いやられた場合でも、 攻撃を別ルートで行うように切り替え、他のIPアドレスから発することができ る。そのため、このサービスは、サイバー犯罪者らが好んで使う選択肢になっ ている。「Nitol」ボットネットは、中国で販売されているWindowsの偽造品に 関連していると考えられている。今週公開された法的文書によれば、 Microsoftの研究者らが中国の複数の都市でコンピュータを購入してみたとこ ろ、マシンの20%がすでに「Nitol」マルウェアに感染していたという。

http://krebsonsecurity.com/2012/09/microsoft-disrupts-nitol-botnet-in-piracy-sweep/
http://arstechnica.com/security/2012/09/microsoft-zaps-botnet-found-pre-installed-with-counterfeit-windows/
http://www.darkreading.com/insider-threat/167801100/security/client-security/240007333/microsoft-intercepts-nitol-botnet-and-70-000-malicious-domains.html
http://www.bbc.com/news/technology-19585433
http://www.v3.co.uk/v3-uk/news/2205475/microsoft-finds-windows-botnet-on-brand-new-computers
http://noticeofpleadings.com/

────────────────

◆英国の研究者 チップ・アンド・ピンに欠陥を見つける (2012.9.12)
ケンブリッジ大学の研究者によれば、犯罪者らはすでに、ATMやPOS端末におけ る決済カード詐欺を本来防止する目的で作られたチップ・アンド・ピンシステ ムにある特定の欠陥を悪用しているという。「EMV」としても知られるチップ ・アンド・ピンは、カード情報をコード化する組み込みチップに依存している システムである。決済カードは、「予測不可能な数字」を含む、複数のデータ を演算するATMや決済処理デバイスによって認証されるようになっている。し かし、研究者によれば、なかには乱数ではなく、インクリメントによる数値を 使用しているATMや決済処理端末があるという。この研究は、欧州の銀行カー ドの利用者から、窃盗の報告が相次いだことがきっかけで行われることとなっ た。銀行は、「不可能とうたっていた詐欺を発生させたのはEMV」だと主張し、 損失の払い戻しを拒否している。研究者は、この「予測不可能」な数字を予想 する方法を窃盗犯らが考案したのではないかと考えている。

http://krebsonsecurity.com/2012/09/researchers-chip-and-pin-enables-chip-and-skim/
http://www.cl.cam.ac.uk/~rja14/Papers/unattack.pdf

【編集者メモ】(Murray)
暗号化の実装方法は無数にあるが、それらの多くは間違った方法である。とは 言え、それはEMVにある欠陥ではなく、アプリにある実装上のエラーである。

────────────────

◆サイバーセキュリティ予算 IT予算が伸び悩む中、拡大 (2012.9.13)
セキュリティ予算は、2012年は8%増で600億ドル、2016年までには860億ドルに 達する見込みであり、比較的守られた状態にあるようだ。その一方で、 Gartnerによると、IT予算は、比較的平行線をたどっているという。

http://www.securityweek.com/worldwide-it-security-spending-top-60-billion-2012-says-gartner
http://www.theregister.co.uk/2012/09/13/gartner_security/

────────────────

◆セクエストレーションとサイバーディフェンスプログラム (2012.9.17)
アナリストのなかには、「予算管理法の歳出自動削減条項(セクエストレー ション)で米国DHS(国土安全保障省)予算が削減されることになれば、民間セ クターのサイバーディフェンスプログラムに対する支援がなくなる」という声 もある。政府のネットワークセキュリティに関する予算削減はなくとも、研究 開発助成金や、サイバー犯罪の起訴で使用されるフォレンジック用機器のため の資金調達、企業のネットワークセキュリティの支援については、予算削減が 行われると思われる。DOE(エネルギー省)が行っている「産業制御用システム のサイバーセキュリティの支援」にあてられている資金も、なくなってしまう 可能性がある。ホワイトハウスは、予算削減の推定額を公表した。この予算削 減は、セクエストレーションが施行されたとすれば、1月から削減が行われる ことになる。

http://www.nextgov.com/cloud-computing/2012/09/sequestration-could-hurt-cyber-defense-programs/58164/?oref=ng-HPtopstory

【編集者メモ】(Pescatore)
DHSのR&Dに対する支出レベルは、民間産業が情報セキュリティのR&Dにあてる 支出総額の割合と同じくらいのノイズレベルである。連邦政府用資金から「社 用ネットワークセキュリティの支援」にあてられる資金など、セキュリティに 充てられる全支出額の中で、さらに小さな割合であろう。ここで焦点をあてる べきは、支出削減を行うことによって、連邦政府の安全性を高める取り組みにどれだけ の前進をもたらすかである。

────────────────

◆IE(Internet Explorer)のゼロデイの欠陥 ドライブバイ攻撃に悪用される(2012.9.17)
攻撃者らは、今のところ対応できるパッチがない、IE(Internet Explorer)の 脆弱性を盛んに悪用している。この欠陥は、Windows XP、Windows Vista、 Windows 7用のIE6、IE7、IE8、IE9に影響を及ぼす。IE10には影響を及ぼさな い。この攻撃では、「Poison Ivy」のバックドアとして知られるマルウェアの インストールが行われる。この欠陥については、現在、Microsoftが調査を行っ ている。ユーザーは、この問題についての詳細がもっと明らかになるまでは、 別のブラウザを使用するように推奨されている。

http://arstechnica.com/security/2012/09/critical-zero-day-bug-in-microsoft-internet-explorer/
http://www.computerworld.com/s/article/9231367/Hackers_exploit_new_IE_zero_day_vulnerability?taxonomyId=85
http://krebsonsecurity.com/2012/09/exploit-released-for-zero-day-in-internet-explorer/

────────────────

◆「Flame」の作成者 他のマルウェアも開発 (2012.9.17)
「Flame」の背後にいる者が、他のマルウェア3つの開発にも取り組んでいたこ とが、研究によって明らかになった。「Flame」は、今年はじめ、中東のコン ピュータに検出されたサイバースパイ活動ツールである。問題の他のマルウェ アは、「Flameが」使用していた指令管制サーバの分析中に発見された。研究 者らが、感染したコンピュータに対するデータの送信を管理するスクリプトの 分析を進めていく過程で、他のプログラムの形跡を見つけたのである。そこに は、4つの異なる通信プロトコルがあった。サーバに見つかった形跡から、 「Flame」の作成者は2006年から、サーバを使ってマルウェアと通信を行って いたことがわかった。また、分析によって、たった1つのサーバで、8日間で6 ギガバイト近くのデータを盗み出すことができることも判明した。

http://arstechnica.com/security/2012/09/new-malware-linked-to-state-sponsored-flame/
http://www.wired.com/threatlevel/2012/09/flame-coders-left-fingerprints/
http://www.nextgov.com/cybersecurity/2012/09/flame-operators-likely-behind-three-other-unidentified-viruses/58152/?oref=ng-channeltopstory
http://www.v3.co.uk/v3-uk/news/2206055/three-flamerelated-malware-threats-unearthed

────────────────

■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□■            早期割引料金にて、申込受付中!
■――――――――――――――――――――――――――――――――――
            世界最高レベルの情報セキュリティトレーニング
               >>> SANS Tokyo 2012 <<<

        【SEC542】SANS Web App Penetration Testing and Ethical Hacking
             Webアプリケーションペンテスター必須コース!
                2012年11月5日(月)~10日(土)
             http://sans-japan.jp/courses/sec542.html

        【FOR558】SANS Network Forensics
             ネットワークフォレンジックの最上位コース!
                2012年11月5日(月)~9日(金)
             http://sans-japan.jp/courses/for558.html

■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□■            平成24年度経済産業省委託事業
■              『CTFチャレンジジャパン2012』

               参加申込受付中(10月19日〆)

             http://www.ctf-challenge.jp/index.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月27日(木)・10月25日(木)・11月21日(水)・12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○10月10日(水)
 次世代のアイデンティティ&アクセス管理セミナー
http://www.nri-secure.co.jp/seminar/2012/1010.html?xmid=300&xlinkid=20

○10月23日(火)・11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=19

○10月26日(金)・11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○10月30日(火)・11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

────────────────


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年9月13日 Vol.12 No.37)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

=============================================================
■今週のトップの脆弱性

ケンブリッジ大学から、「チップ・アンド・ピンで行う取引を守るプロセスの 一部として使用されている乱数スキームには弱点がある」という詳細な内容の 研究が公表された。この脆弱性を使えば、単純な中間者攻撃が可能になるので、 多数の銀行やデバイス業者に影響が及ぶ恐れがある。この弱点を利用するテク ニックが、すでに、世間で犯罪者らに用いられている兆候も現れている。

=============================================================
◆チップ・アンド・ピン乱数の脆弱性

<詳細>
ケンブリッジ大学の研究者は、最近、世界各地で行われているチップ・アンド ・ピン取引で極めて重要な役割を果たす乱数は、実際には、予測可能であるた め、事実上、世界中のどのような電子決済システムに対しても、単純な中間者 攻撃が可能であると突き止めた。この研究は、不正取引の犠牲者となった人が、 研究者に問題のケースのことを伝えたことがきかっけで始まった。このケース には、犯罪者らがすでにこの脆弱性を世間で悪用している兆候が示されていた という。

<参考>
http://www.lightbluetouchpaper.org/2012/09/10/chip-and-skim-cloning-emv-cards-with-the-pre-play-attack/

<Snort SID>
該当なし

<ClamAV>
該当なし

────────────────

◆Dorifel/Quervar/XDocCrypt 世界中に大きな損害を与える

<詳細>
多くの名を持つこのマルウェアは、「今まで以上に破壊的になったペイロード の最近の傾向」を示す最も新しい事例である。「Dorifel」は、エクスプロイ トキットやソーシャルエンジニアリング詐欺などのあらゆるメカニズムを介し て、感染したシステムにあるMicrosoft Word文書を全て探し当てて暗号化し、 これらの文書を、通常のユーザーでは使えない状態にしてしまう。感染は、除 去を行う間はオフィス全体をオフラインにしなければならないほど、広範に広 がっていた。特にその感染の広がりは、オランダで顕著だった。マルウェアに 関する報道自体は、当初に比べて沈滞気味になったものの、Sourcefireには、 この破壊的なソフトウェアは、世間では盛んに感染を広げていることを示す情 報があるという。

<参考>
http://hitmanpro.wordpress.com/2012/08/11/joint-strike-force-against-dorifel/
http://blog.eset.com/2012/08/21/quervar-induc-c-reincarnate
http://vrt-blog.snort.org/2012/09/dorifel-aka-quervar-xdoccrypt.html
<Snort SID>
24143 - 24146

<ClamAV>
WIN.Worm.Dorifel

────────────────

◆「GoDaddy」のDNS停止で世界各地のWebサイト100万件が一時的に使えなくなる

<詳細>
大手ホスティングプロバイダの「Go Daddy」は先日、同社のDNSサービスが世 界的規模でオフラインになり、大規模な停止に陥った。彼らは、世界各地の Webサイト数百万件にDNSサービスを提供しているため、この停止によって、非 常に多くの罪のない組織が、大規模なインターネットの停止を余儀なくされた。 当初の報告では、これはハッキングによって生じたものだとされていたが、そ の後、「GoDaddy」は、内部のネットワークの問題が原因で起きたと述べてい る。何はともあれ、「GoDaddy」は、同社のDNSサービスに地域ごとの冗長性や、 アプリケーションサーバをベースにした冗長性を設けていなかった。これによっ て、適正な災害復旧プランや冗長性がなければ、多くのサイトが、どれほど攻 撃に脆弱になってしまうかが浮き彫りになった。

<参考>
http://techcrunch.com/2012/09/11/godaddy-says-it-wasnt-anonymous-it-wasnt-a-hack-it-wasnt-a-ddos-it-was-internal-network-issues/
http://blog.rootshell.be/2012/09/11/godaddy-outage-rfc-for-dummies/
<Snort SID>
該当なし

<ClamAV>
該当なし

────────────────

======
Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。