NRI Secure SANS NewsBites 日本版

Vol.7 No.39 2012年10月11日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.39 2012年10月11日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.78-79
(原版:2012年9月28日、10月2日)


■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□■          いまなら、早期割引料金にて、申込受付中!
■――――――――――――――――――――――――――――――――――
            世界最高レベルの情報セキュリティトレーニング
               >>> SANS Tokyo 2012 <<<

        【SEC542】SANS Web App Penetration Testing and Ethical Hacking
             Webアプリケーションペンテスター必須コース!
                2012年11月5日(月)~10日(土)
             http://sans-japan.jp/courses/sec542.html

        【FOR558】SANS Network Forensics
             ネットワークフォレンジックの最上位コース!
                2012年11月5日(月)~9日(金)
             http://sans-japan.jp/courses/for558.html

        ※当コースお申し込みの方は、もれなくボーナスセッション
          「Attacking and Defending the Smart Grid」も受講可能!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆Adobe 侵害されたコードサイニング証明書を無効に (2012.9.27)
Adobeは、攻撃者らによって侵害され、マルウェアを認証していた暗号鍵の失 効を進めている。ハッカーらは、Adobeのソフトウェア開発に用いられて いるビルドサーバへのアクセスを獲得し、その結果、Adobeのコードサイニン グのインフラにアクセスできる状態にあった。フォレンジック捜査によって、 攻撃者らはここで得たアクセスを利用し、マルウェアの2つのサンプルに署名 していたことが明らかになった。Adobeのブログ記事によれば、同社は証明書 を破棄し、影響のあった証明書を使用して署名された既存のAdobeソフトウェ アには、更新プログラムを公開する計画を進めているという。

http://arstechnica.com/security/2012/09/adobe-to-revoke-crypto-key-abused-to-sign-5000-malware-apps/
http://news.cnet.com/8301-1009_3-57521794-83/adobe-to-revoke-code-signing-certificate/
https://blogs.adobe.com/asset/2012/09/inappropriate-use-of-adobe-code-signing-certificate.html

【編集者メモ】(Northcutt)
SSL/TLSの証明書は、急速に終幕を迎えようとしている。誰か、sovereign key よりもよいアイデアをお持ちではないか?もし何か良いアイデアがあるような ら、stephen@sans.edu までご一報を。

https://freedom-to-tinker.com/blog/sjs/diginotar-hack-highlights-critical-failures-our-ssl-web-security-model/
http://isc.sans.edu/diary.html?storyid=8686
https://www.eff.org/deeplinks/2011/11/sovereign-keys-proposal-make-https-and-email-more-secure
http://www.schneier.com/blog/archives/2011/12/the_effs_sovere.html

────────────────

◆暗号化されていないIEEEのWebサイトのログ 漏えいする (2012.9.25-26)
米国IEEE(電気電子学会)の会員10万人近くの個人情報が、データセキュリティ 侵害によって外部に漏えいされた。侵害された情報には、ユーザーの氏名、平 文パスワード、Webサイトの活動記録などがある。会員には、NASA、Apple、お よび、Googleのように広く知られた組織の従業員や職員もいる。暗号化されて いない100ギガバイト分のWebサイトのログが、IEEEのサーバ上で1ヶ月以上も 公に入手可能な状態にあったため、今回の情報漏えいが発生した。デンマーク の大学院生が、IEEEのFTPサーバ上で研究資料を探していたところ、この侵害を 発見するに至った。

http://arstechnica.com/security/2012/09/ieee-trade-group-exposes-100000-password-for-google-apple-engineers/

http://www.darkreading.com/database-security/167901020/security/attacks-breaches/240008028/100-000-ieee-user-passwords-ids-exposed-on-internet.html
http://www.esecurityplanet.com/network-security/ieee-suffers-massive-security-breach.html
http://www.nextgov.com/cybersecurity/cybersecurity-report/2012/09/ieee-data-breach-has-global-implications/58344/
http://www.theregister.co.uk/2012/09/25/ieee_leaks_logins/

【編集者メモ】(Honan)
IEEEのWebサイトにて、この侵害に関する彼らの公式発表を見ることができる。 http://www.ieee.org/about/news/2012/27september_2012.html 発表によれば、「IEEEは、ISOやNISTの基準に基づいたセキュリティ上のベス トプラクティスに従っている」とある。IEEEは、きちんとすべき仕事を行い、 ISOやNISTの資料を再読した方がよい。なぜなら、これらの資料で、「平文で パスワードを保存することをお勧めします」と述べている部分はどこにもない のだから。

────────────────

◆新しいJavaの脆弱性 検知される (2012.9.26)
つい先日検知されたJavaの脆弱性は、現在使用されているJavaのほとんどのバー ジョンに影響を及ぼす。この欠陥は、悪用すれば、Javaのサンドボックスを回 避できる欠陥だ。今のところ、盛んに悪用されているという報告はない。

http://www.darkreading.com/vulnerability-management/167901026/security/vulnerabilities/240008029/deja-vu-all-over-again-new-java-vulnerability-found-bypasses-built-in-security.html
http://www.forbes.com/sites/andygreenberg/2012/09/25/another-critical-security-flaw-in-java-appears-before-oracle-has-even-resolved-the-last-one/
http://www.h-online.com/security/news/item/Researcher-uncovers-yet-another-Java-hole-1717740.html
http://www.informationweek.com/security/application-security/java-vulnerability-affects-1-billion-plu/240007985

────────────────

◆Adobe 社内サーバをハッキングされたと認める (2012.10.1)
Adobeは、社内サーバの1つがハッキングされたと発表した。侵害されたのは、 同社のデジタル証明書のコードサイニングのインフラへアクセスができるサー バであった。問題のインシデントは、7月下旬に発生した。攻撃者らは、ここ で得た不正アクセスを利用し、少なくとも2つの悪意のあるファイルを作成し、 それらのファイルにデジタル署名をしていた。Adobeは10月4日にこれらの証明 書を失効させ、失効された証明書で署名されていたAdobeのソフトウェアには、 更新プログラムを発行した。

http://www.darkreading.com/advanced-threats/167901091/security/application-security/240008184/adobe-says-its-code-signing-infrastructure-has-been-hacked.html
http://www.nextgov.com/cybersecurity/2012/10/attackers-used-adobe-certificate-validate-malware/58488/?oref=ng-channeltopstory

【編集者メモ】(Pescatore)
もちろん、意味のある失効チェックが行われて初めて、証明書の失効も意味を 成す。しかしながら、現在のSSL証明書モデルでは、有意義な失効チェックは 行われていない。CA/Browserフォーラムでは、1年のほとんどが、物事の再編 成についての議論に費やされた。有名な言葉がいくつか生まれた以外は、「前 進」と言うにはほど遠い内容の議論だった。
【編集者メモ】(Murray)
誰がどう思おうが、AdobeはBoeingのように、世界経済のインフラの一部を成 している。つまり、Adobeは、世界経済のインフラと同じレベルで行動しなけ ればならない。今のところ、Adobeにはその気がない、あるいは、そのレベル に達することができないようだ。コードがAdobe由来のものとなれば、「その コードに悪意こそはないが、使用しても安全ではない」と自信を持って信じて よいだろう。私は厳しすぎるのだろうか?多くを望みすぎだろうか?Adobeに 対して「もっと手を緩めるべきだ」と言うほど、ソフトウェアの開発は航空機 の製造よりも非常に難易度が高いのだろうか?
【編集者メモ】(Ullrich)
このサーバが、コードサイニングに使用されていたのだとすれば、署名される 前に、コードが改変されていた可能性もある。

────────────────

◆ハッカー DSLモデムの欠陥を悪用してコンピュータを感染させる(2012.10.1)
ハッカーらが、DSLモデムの欠陥を悪用して、ブラジルのインターネットのユー ザーをマルウェアに感染させた。クロスサイトリクエストフォージェリ攻撃に よって、特定の人気Webサイトを訪問していたユーザーは、細工されたサイト にリダイレクトされ、そこでコンピュータにマルウェアをロードされてしまう。 その後、攻撃者らは、モデムへのアクセスを獲得してモデムの再設定を行い、 悪意のあるドメインネームシステムサーバと通信を行えるようにする。そして、 ロードしたマルウェアで、オンラインバンキングのアカウントへのアクセス認 証情報を盗み出す。これに関連して、450万台以上のDSLモデムが、影響を被っ たと考えられている。この攻撃で標的となったモデムは、メーカー6社が販売 しているモデムである。

http://arstechnica.com/security/2012/10/dsl-modem-hack-infects-millions-with-malware/
【編集者メモ】(Ullrich)
クロスサイトリクエストフォージェリ、あるいは、ルータなどの組み込みシス テムにある一般的なWebアプリ内の脆弱性は、よく目にする脆弱性だというだ けでなく、エンドユーザーにとっては、パッチの適用が難しいものでもある。 これには素晴らしい修正プログラムなど存在しない。しかし、ユーザーが予防 措置として講じることができる最善策は、おそらく、ネットワーク内からのア クセスに対してもパスワードを設けること、および、デフォルトでないIPアド レスを使用することであろう。

────────────────

■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□■            平成24年度経済産業省委託事業
■              『CTFチャレンジジャパン2012』

               参加申込受付中(10月19日〆)

             http://www.ctf-challenge.jp/index.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月12日(水) 16:00~16:40
 NRI Insights 2012(ITpro EXPO内)[J316]
 コンプライアンス対策から新たな脅威や内部犯罪の対応へ
 ~今なすべき特権ID管理とは~
http://itpro.nikkeibp.co.jp/expo/2012/forum/list.html?c=f12

○10月23日(火)・11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=01

○10月25日(木)・12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=02

○10月26日(金)・11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=03

○10月30日(火)・11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○10月30日(火)
 近時の企業不祥事のトレンドとその対応策
 ~スマートフォン&クラウドコンピューティング時代の不正対応~
http://www.nri-secure.co.jp/seminar/2012/pwc.html?xmid=300&xlinkid=05

○10月30日(火)
ID管理のエキスパートが解説するIDアクセス管理事例紹介セミナー
http://www.nri-secure.co.jp/seminar/2012/1102.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃出展中のイベント                  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年10月10日(水)~12日(金)
 ITpro EXPO 2012 IBM Lotusブース(セキュリティ/運用管理ゾーン8)
 誤送信防止ソリューション「SecureCube / Mail Adviser」を紹介
http://www-06.ibm.com/software/jp/lotus/events/itproexpo2012/

○10月12日(水) 16:00~16:40
 NRI Insights 2012(ITpro EXPO内)[J316]
 コンプライアンス対策から新たな脅威や内部犯罪の対応へ
 ~今なすべき特権ID管理とは~
http://itpro.nikkeibp.co.jp/expo/2012/forum/list.html?c=f12

○2012年10月24日(水)~26日(金)
 スマートフォン&モバイルEXPO【秋】 サイバートラストブース(9-31)
 端末認証サービス、端末管理サービスを紹介
https://www.cybertrust.ne.jp/news/121003.html
http://www.nri-secure.co.jp/service/mss/remotedeviceid.html?xmid=300&xlinkid=07
http://www.nri-secure.co.jp/service/mss/mdm.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中の有料研修            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=09

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=11

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年9月28日 Vol.12 No.39)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

=================================================================
■今週のトップの脆弱性
米国の金融機関が分散DOS攻撃の標的になっている。例えば、先日はBank of Americaが、一時的にオフラインに追いやられた。政治的な活動家からイラン 政府まで、犯人だと疑われている人(組織)は多種多様だが、現在、犯人は不明 である。しかし、攻撃に関する情報が、攻撃予告から攻撃者が使っていたツー ルの種類まで、PasteBinの至るところに掲示されている。

=================================================================

◆「Ababil作戦」というDDOS攻撃の組織的活動

<詳細>
「Ababil作戦」という米国の金融機関に対するDDOS作戦が、先週から引き続き 行われている。そして、PasteBinには、その後新たな攻撃があったという発表 もあった。「Izz ad-din Al qassamのサイバー戦士団」というグループが犯人 を名乗り、アラブ世界に暴動を巻き起こした問題の映画に対し、抗議を行う意 をあらわにしている。一方で、Joe Lieberman上院議員などの米国関係者は、 「実際には、イランがこの攻撃を支援している」とほのめかしており、「活動 グループに、Bank of AmericaやChaseなどの大手企業を停止に追いやる能力が あるとは思えない」とグループの能力を疑問視している。Sourcefire VRTには、 この攻撃の出所がどこであれ、「itsoknoproblembro」というスクリプト(ステー タスメッセージの表示が原因でこのように称されている)を使用していること を示す情報がある。この情報はもともとは、今年1月にPasteBinの掲示で明ら かになった。

<参考>
http://betabeat.com/2012/09/iran-possibly-behind-operation-ababil-cyber-attacks-against-financial-institutions/
http://pastebin.com/yftgau9w
http://pastebin.com/5qHMEX5y

<Snort SID>
レートベースのプリプロセッサ

<ClamAV>
該当なし

────────────────

◆Symantec NortonのUtilities 2006のソースコード PirateBay上に漏えい

<詳細>
アノニマスの御旗を掲げたハッカーらは今週、彼らが「Symantecの Norton Utilities 2006のセキュリティスイートのソースコードだ」と主張するソース コードを、PasteBinに掲示した。そこには、Symantecに「愚劣な」ソフトウェ アの作成をやめるように要請する、コードの品質を嘲笑するメッセージが添え られていた。これで、Symantecのソースコードが漏えいされたのは、今年2度 目になる。2月には、同社から5万ドルを強奪しようという企てがうまくいかな かったため、pcAnywhereのコードが掲示されたことがあった。

<参考>
http://www.zdnet.com/symantec-source-code-leaked-on-pirate-bay-7000004765/
https://thepiratebay.se/torrent/7669176/

<Snort SID>
該当なし

<ClamAV>
該当なし

────────────────

◆「Crimeboss」エクスプロイトキット

<詳細>
「Crimeboss」という比較的新しいエクスプロイトキットが最近、世間に蔓延 しており、最近パッチが適用されたゼロデイのCVE-2012-4681などのJavaの脆 弱性を悪用している。このキットは、難読化、もしくは、実装という観点では 特に目新しいものではないが、Javaをまだインストールしていない人にインス トールの機会を与えるという点や、脆弱性を悪用しようとしないアプレットを 配信するという点では興味深いキットである。もしくは、単に悪用を実行する ようユーザーに求めるだけである。また、キットが落としていくペイロードは 画像ファイルに扮しており、成功率を引き上げる為に実行ファイルのWebフィ ルタリング技術を多数回避するようになっている。

<参考>
http://www.kahusecurity.com/2012/crimeboss-exploit-pack/

<Snort SID>
24231 - 24234

<ClamAV>
該当なし

────────────────

◆CrimeTLS攻撃

<詳細>
セキュリティ研究者のJuliano RizzoとThai Duongは先週、Ekopartyセキュリ ティカンファレンスにて、メッセージを復号化せずに暗号化メッセージの中身 になっている部分を見分ける新しい方法(通称「Crime TLS」攻撃)を紹介し た。この技術は、圧縮された暗号化データに依存した技術である。また、攻撃 者がリクエストの一部を制御できれば、攻撃者自身が持っているリクエストの 一部を、TLSリクエストで開示しようとしているデータと照らし合わせたとき に、圧縮データのサイズの違いに気づくという事実を軸にして進展させた技術 でもある。理論的には、この脆弱性は重大であり、ツイッターなどのライブシ ステムでもそれが実証されているが、クライアント側、あるいは、サーバ側で TLS圧縮化を無効にすれば、間単に回避可能である。また、研究者らが言うよ うに、手順を軽減しなくともこの攻撃が成功するのは世間のシステムのたった 40%にとどまる。

<参考>
http://threatpost.com/en_us/blogs/demo-crime-tls-attack-091212

<Snort SID>
該当なし

<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。