NRI Secure SANS NewsBites 日本版

Vol.7 No.38 2012年10月3日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.38 2012年10月3日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.76-77
(原版:2012年9月21日、9月25日)

■はじめに(Alan Paller:SANS Director of Research)
◇監察官および監査人の方々へ:サイバーセキュリティに「当然払うべき注意」の新基準とは?
連邦政府監査官・監査担当者、および、セキュリティ査定人の方々へ:サイバー セキュリティに関して「当然払うべき注意」の新基準が、以前のバージョンよ りも具体的な内容を伴った形で、具体化しつつあるようだ。新基準を早期に把 握しておけば、実際に新基準が導入されたときに、監査・査定技術を新基準に 移行しやすくなる。NSAを最近退職したTony Sager主導の「20の重大なコント ロール」に関する国際コンソーシアムが、10月3日から5日にかけてバルティモ アコンベンションセンターで開催される。サイバーセキュリティの監査や評価 に携わっている者にとって、参加する価値が非常に高いものだ。参加者らは、 RSAによる大人気のセッションをアップデートした、Ed Skoudisが語る、「危 険な新攻撃技術トップ5」にも触れられる。また、標的型攻撃(APT)を阻止した 豪州人の画期的な対策についての概要説明を、彼ら自身から受ける(質疑応答 ワークショップも開かれる)ことができるほか、非常にクールなNSAの2つの革 新事項に関する話も聞くことができるのは、米国で唯一ここだけである。さら に、米国NASA(航空宇宙局)とHHS(米国保健社会福祉省)が、セキュリティリス クの影響軽減措置のオートメーション化を、素早く、かつ費用効率よく実現さ せた経緯についても学ぶことができよう。ほか、連邦政府の高官らは、「政府 が、どこに、サイバーセキュリティ上の防衛措置やオートメーション化を取り 入れようと考えているか」その指針を議論する場を提供する予定だ。同じ会場 で行われている、DHS(国土安全保障省)、NSA(国家安全保障局)、NIST(米国国 立標準技術研究所)による「継続的な監視」に関するプログラムにも、(追加料 金なしで)参加できるようになっている。sans.org/ncic-2012にて、是非参加 申し込みを。

■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□■          いまなら、早期割引料金にて、申込受付中!
■――――――――――――――――――――――――――――――――――
            世界最高レベルの情報セキュリティトレーニング
               >>> SANS Tokyo 2012 <<<

        【SEC542】SANS Web App Penetration Testing and Ethical Hacking
             Webアプリケーションペンテスター必須コース!
                2012年11月5日(月)~10日(土)
             http://sans-japan.jp/courses/sec542.html

        【FOR558】SANS Network Forensics
             ネットワークフォレンジックの最上位コース!
                2012年11月5日(月)~9日(金)
             http://sans-japan.jp/courses/for558.html

        ※当コースお申し込みの方は、もれなくボーナスセッション
          「Attacking and Defending the Smart Grid」も受講可能!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆サイバーセキュリティに関する大統領命令のホワイトハウスの原案「おおむね完成」 (2012.9.20)
米国DHS(国土安全保障省)Janet Napolitano長官によれば、ホワイトハウスが 作成しているサイバーセキュリティに関する大統領命令は、「おおむね完成」 しているという。その一方で、「米国のネットワークの安全性を確保するには、 議員らが、サイバーセキュリティ関連法案を可決することも必要不可欠だ」と 加えている。大統領命令では対処できない問題がある。その問題に、サイバー セキュリティ措置を講じるインセンティブとして法的責任から免れられる保護 措置を与えることと、サイバー犯罪に対する刑罰の改定が挙げられる。大統領 は、命令の原案文書にまだ目を通していないようだ。

http://www.nextgov.com/cybersecurity/2012/09/cybersecurity-order-close-completion/58255/

【編集者メモ】(Murray)
多分、我々は、被害者に刑罰を科したり、加害者に免責を与えたりする準備が、 できていないのだ。

────────────────

◆上院議員 「サイバーセキュリティ上の取り組み」について問うレターをフォーチュン500社のCEOに送る (2012.9.19-20)
米国のJay Rockefeller上院議員(ウェストバージニア州民主党)は、フォーチュ ン500社の最高経営責任者に宛てて、「自社のサイバーセキュリティ管理方法」 の説明を求めるレターを送付した。レターを受け取った企業は、調査に答える 義務はないものの、レターには、「10月19日までに回答を提出するように」求 める記述がある。レターには、「我々に対するサイバー上の脅威は実在してお り、差し迫った状態にある。今年、議会では関連法案が可決されなかったため、 米国は、壊滅的なサイバー攻撃に対してますます脆弱な状態に置かれたままで ある。」と書かれている部分もある。法案が可決されなかったことをきっかけ に、ホワイトハウスは、大統領命令の発行を検討することとなった。同命令に は、米国の重大なインフラを成す組織のための自主的なサイバーセキュリティ 基準に関する説明がある。しかし、同命令では、成立するはずだった法におい て与えられたであろう「法的責任を免れられる保護措置」を与えることはでき ない。レター上には、サイバーセキュリティ、懸念事項、および、ベストプラ クティスに関する責任者らの考え方を問う8つの質問が投げかけられている。 また、Rockefeller上院議員は、サイバーセキュリティ関連法に関して、これ らの企業がどのような考えを持っているかを問いたい意向である。

http://www.nextgov.com/cybersecurity/cybersecurity-report/2012/09/senators-letters-corporate-execs-stir-cyber-bill-hopes/58240/

【編集者メモ】(Pescatore)
これらの質問は、全く差し障りのない内容ではあるが、CISOらは、自分の所属 企業がレターを受け取ったかどうかを確かめ、回答作成に積極的に関わるべき である。しかし、「私は政府の人間です。支援に参りました。」と言われても、 せいぜい、複雑な心境になるのがいつものオチである。

────────────────

◆米国国務省の法律顧問談:「サイバー攻撃は戦時国際法の対象」(2012.9.18)
米国国務省の法律顧問、Harold Kohによれば、「サイバー攻撃は武力攻撃と同 等の攻撃であるため、攻撃によって死傷者が発生する、もしくは、重大な破壊 が行われれば、自衛権が生じる」という。Kohは、フォートジョージ・G・ミー ドで開催された米国サイバー司令部主催のカンファレンスで講演を行った。 Kohによれば、米国は、10原則のリストを適用したほか、国際連合を介して同 リストを他国と共有しているという。原則の1つには、「サイバー空間では、 国際法が適用される」とある。

http://www.washingtonpost.com/world/national-security/us-official-says-cyberattacks-can-trigger-self-defense-rule/2012/09/18/c2246c1a-0202-11e2-b260-32f4a8db9b7e_story.html
────────────────

◆FERC(米国連邦エネルギー規制委員会)サイバーセキュリティの局を設置(2012.9.20-24)
FERC(米国連邦エネルギー規制委員会)は、エネルギー施設のサイバーセキュ リティ、および、同施設に対して起こりうる物理的な脅威に対して重点的に取 り組む新しい局を設置した。 この新しい局、OEIS: Office of Energy Infrastructure(エネルギーインフラ 安全保障部)は、施設のサイバーリスクや物理的リスクに対する解決策を見出 して開発するという点で、FERCを支援する。また、OEISは、連邦政府と州の政 府局、管轄の公共事業、議会に対し、支援、専門知識、および、アドバイスを 提供するほか、他の政府局や産業界の代表らと足並みを揃え、エネルギー配給 システムの民間セクターの所有者、ユーザー、運営者と支援活動を行う予定で ある。

http://www.darkreading.com/advanced-threats/167901091/security/news/240007825/new-ferc-office-to-focus-on-cybersecurity.html
http://www.ferc.gov/media/news-releases/2012/2012-3/09-20-12.asp
http://www.ferc.gov/media/statements-speeches/wellinghoff/2012/09-20-12-wellinghoff.asp

────────────────

■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□■            平成24年度経済産業省委託事業
■              『CTFチャレンジジャパン2012』

               参加申込受付中(10月19日〆)

             http://www.ctf-challenge.jp/index.html

◆◆◆◆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◆◆      SANS Tokyo Community Night with Mike Poor
◆◆        - Who's Watching the Watchers? -
◆――――――――――――――――――――――――――――――――――
          SANSのトップインストラクターMike Poorが来日!

      ネットワーク上のノイズを改善し、攻撃のシグナルを発見する手法
          -針山の中から目的の針を探す手法-について解説

      http://www.nri-secure.co.jp/seminar/2012/sansnight.html

      ・日時:2012年10月16日(火)18:00~19:30(17:40開場)
      ・会場:野村総合研究所 丸の内総合センター(丸の内北口ビル9F)
      ・参加費:無料  ※GIAC CMU:1.5ポイント付与対象セミナー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月10日(水)
 次世代のアイデンティティ&アクセス管理セミナー
http://www.nri-secure.co.jp/seminar/2012/1010.html?xmid=300&xlinkid=20

○10月23日(火)・11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=19

○10月25日(木)・11月21日(水)・12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○10月26日(金)・11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=17

○10月30日(火)・11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
          (原版:2012年9月20日 Vol.12 No.38)

信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。


======================================================================
■今週のトップの脆弱性
IE(Internet Explorer) 6、7、8、および、9では、攻撃者はリモートでIEの現 在のユーザーコンテキストで任意のコードを実行することが可能になるという。 この脆弱性は、Windows XP から Windows 7 まで、多くのシステムに影響を及 ぼす。すでに犯罪者が、世間でエクスプロイトを悪用している兆しが見られる。

======================================================================

◆IE(Internet Explorer)に開放済みのメモリ領域を使用してしまうゼロデイの脆弱性

<詳細> Windows XP、Vista、7、Windows Server 2003、および、2008上のIE6、7、8、 および、9に影響を及ぼす新しい脆弱性が発見され、世間では盛んに悪用され ている。この脆弱性は、開放済みのメモリ領域を使用してしまう欠陥で、リモー トの攻撃者が悪用すると、現在のユーザーの関係で任意のコードを実行できる ようになってしまう。この脆弱性に関する情報が、広い範囲で入手できる状態 にあることや、Metasploitフレームワーク用にモジュールがリリースされてい ることを踏まえると、パッチがリリースされるまでは、ユーザーはMicrosoft のEnhanced Mitigation Experience Toolkitを使用し、IE(もしくは、IEを活 用するアプリ)を使わないように検討することが推奨されている。

<参考>
http://technet.microsoft.com/en-us/security/advisory/2757760
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4969
http://vrt-blog.snort.org/2012/09/internet-explorer-use-after-free-0-day.html

<Snort SID>
24210、24212

<ClamAV>
JS.Exploit.CVE_2012_4969

────────────────

◆CVE-2012-4681:Javaの脆弱性 今もなお世間で盛んに悪用される

<詳細>
この脆弱性は数週間前に公表され、その後パッチが適用されているが、当然の ことながら、Javaの実装全てにパッチが適用されているわけではないので、同 脆弱性に関して注意換気を行いたい。この脆弱性は、Metasploitに移植されて おり、広範に使用されているBlackholeエクスプロイトキットにも組み込まれ ている。Sourcefire VRTは、世間で盛んに悪用が行われていることを観測して おり、このバグの性質にからすると、パッチ未適用のマシンを標的にしようと 考えているサイバー犯罪者にとって、このバグ自体が簡単に達成できる標的に なってしまうと考えられる。ユーザーは、即座にパッチを適用すべきである。
<参考>
http://schierlm.users.sourceforge.net/CVE-2012-1723.html
http://www.deependresearch.org/2012/08/java-7-vulnerability-analysis.html

<Snort SID>
24018-24028、24036-24038

<ClamAV>
Java.Exploit.Agent、Java.Exploit.Agent-[1-2]、WIN.Trojan.Agent-131

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。