NRI Secure SANS NewsBites 日本版

Vol.7 No.41 2012年10月23日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.41 2012年10月23日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
米国国防長官Panettaによる、過去に機密情報であったデータを大々的に開示 (冒頭のニュース)した演説が起爆薬となり、MI5長官のJonathan Evansが驚く べき発表を行い、新興の脅威の即時性、規模、不吉な性質が雄弁に語られる 至りとなった。これまでの数ヶ月で、より多数の企業幹部や政府局高官が、 「サイバーセキュリティは、技術的な問題ではない」と発言した者は間違って いるという結論に達し、高度なサイバーセキュリティ上にある脆弱性について の大部分の責任を負い、現在、自分の所属組織と向き合う事態に陥っている。

ハーバード大学やコーネル大学、ケンブリッジ大学、スタンフォード大学、プ リンストン大学、東京大学、メリーランド大学全てに共通していることは何だ ろうか。その共通事項は、良いことではない。フロリダ州で発生した侵害事件 で、学生および職員27万5,000人の個人情報が盗み出され、多くの人が身元詐称 詐欺の影響を被った。大学はセキュリティ分野で難しい困難に直面している。 大学は、最高峰のセキュリティ要員を何人か抱えていながらも、他のどの産業 のセキュリティ部門よりも少ない資金でより多くを行わなければならない状況 にある。しかし、大学のシステム管理者は、パートタイムの研究者である場合 が多いため、「人的センサー」としての役割は果たせていない。詳しくは、原 版の83号末尾の「A Closing Word」に掲載されている記事をご覧いただきたい。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    ■■■■■■■■■■■■■■■■■ 世界最高レベルの
    ■10月29日まで早期割引申込受付中■ セキュリティトレーニングを
    ■■■■■■■■■■■■■■■■■ 東京で!

           = SANS Tokyo 2012 =

       http://sans-japan.jp/training/event.html
   【SEC542】:Webアプリケーションペンテスター必須コース
   【FOR558】:ネットワークフォレンジックの最上位コース

   ※当コースお申し込みの方は、もれなくボーナスセッション
    「Attacking and Defending the Smart Grid」も受講可能!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.13 No.82-83
(原版:2012年10月12日、10月16日)

◆米国Panetta国防長官:サイバー攻撃情報の機密扱いを解除し、米国の重大なインフラにサイバー攻撃の差し迫った脅威がある現状を露呈 (2012.10.12)
米国のPanetta国防長官は、大手米国銀行や巨大石油企業Saudi Aramcoに対し て最近波及しているサイバー攻撃によって、3万台以上のコンピュータが感染 して使い物にならなくなったことを受けて、演説にて、以前は機密であった情 報を持ち出し、「国家レベルの脆弱性が増えており、外国の力のあるコンピュー タハッカーがこれらの脆弱性を悪用すると、米国の電力網、輸送系統、金融ネッ トワーク、および、政府を停止に追いやることができる」ことを明らかにした。 彼は、米国の敵対国の攻撃性が増大し、技術が向上している事態に対処すべく、 この発言を行った。また、関係者によって、これらの攻撃元が中国、ロシア、 イラン、および過激派組織だと確認されている。

http://online.wsj.com/article/SB10000872396390444657804578051071681887566.html?mod=googlenews_wsj
http://www.nytimes.com/2012/10/12/world/panetta-warns-of-dire-threat-of-cyberattack.html?ref=world
【編集者メモ】(Assante)
Panetta国防長官は、世間が「発生の可能性がある」事象ではなく、「実際に 起こった」出来事にのみに反応することを分かっている。また、彼は、「そん なことは自分には起こらない」と、発生の可能性を信じない考え方がある故に、 生じた溝を埋めようとしている。私の一番の懸念は、聴衆が「米国DoD(国防総 省)がサイバー空間を守る準備を整えている」というメッセージから何を読み 取るかである。自分が所有しているシステムを守るという責任を、他の誰かに、 ただ移管することなどできない。攻撃はさまざまな形で起こるため、特徴付け を行うことは容易ではない。システム所有者は、自分のシステムに何が起きて いるのかを最もよく把握できる状態にあり、常に、所属組織を守るための行動 を起こす準備ができていなければならない。補足までに:我々は、外国軍の脅 威から身を守ることに関しては、専らDoDに依存しているため、今日のような 状況に置かれている軍に関して、最新の現状を見ても、粗末な類似例しか見出 すことができない。現在の軍に類似例を探すよりも、新しい西部領の初期の頃 から探す方が、この事態を例えられるよりよい類似例が得られるだろう。この 頃、軍は、脅威に対応するための準備こそはできていたが、定住者らに対し、 「自分の身は自分で守れる」準備などするなという命令も下していなかった。 その頃の民は皆、「必要なときに騎馬隊がそばにいるかもしれないし、いない かもしれない」という状況を理解していたのである。

────────────────

◆タスクフォース 米国DHS(国土安全保障省)にサイバー部隊の設置を推奨(2012.10.11)
HSAC: Homeland Security Advisory Council (米国国土安全保障諮問委員会) のサイバースキル・タスクフォースは、「米国DHS(国土安全保障省)は、政府 と民間企業の両方から、サイバー専門家の予備部隊を設ける必要がある」と述 べている。この予備部隊は州兵と同様で、サイバー上の緊急事態発生の折には、 停止したシステムの復旧支援のために動員することができる。タスクフォース はDHSに対し、FBIのインフラガードプログラム、および、シークレットサービ スの電子犯罪特別犯罪部隊と連携を検討し、サイバーセキュリティ部隊の設置 支援を行うように推奨している。

http://www.nextgov.com/cybersecurity/2012/10/dhs-urged-create-reserve-cadre-cyber-experts/58704/?oref=ng-HPtopstory
http://www.fiercegovernmentit.com/story/dhs-must-improve-cybersecurity-professional-recruitment-career-path/2012-10-11
https://www.dhs.gov/sites/default/files/publications/HSAC%20CyberSkills%20Report%20-%20Final.pdf
【編集者メモ】(Paller)
これは、タスクフォースの推奨事項の中で、最も緊急性の低い事項である。他 の推奨事項を導入するほうが、早く、大きな効果があがる。
http://www.dhs.gov/sites/default/files/publications/HSAC%20CyberSkills%20Report%20-%20Final.pdf

【編集者メモ】(McBride)
サイバーセキュリティ分野におけるDHSの長期的な役割/使命は、一体何なの だろうか?民間セクターを支援するためにDHSが果たす現在の役割、および、 提案されている役割には、情報共有のハブ、警告者、規制者、技術の専門的助 言提供者(コンサルタント)などがあり、その他に、総括的なインシデント対応 者という役割を持たせるという可能性も考えられる。しかし、これが政府の役 割として望ましい役割なのだろうか?報告書自体にも、(他のさまざまな問い の中で、)同様の問いが投げかけられている。「サイバー部隊に関する投資対 効果検討書は、どのような内容になっているか?」と。

────────────────

◆米国国防長官談:「米国は、行動を起こす準備ができている」 (2012.10.11)
米国のLeon Panetta国防長官は、先週、中東の石油・ガス会社に対して最近仕 掛けられたサイバー攻撃の組織的活動は、「民間セクターがこれまでに経験し た攻撃の中で、おそらく、最も破壊的な攻撃」だったと述べた。Panetta長官 は、イランがこれらの攻撃に関与しているとは言及していないものの、イラン は、「サイバー空間で優勢を得ようと試みている」と指摘している。また、米 国に対してサイバー攻撃を仕掛けようと検討している者に対し、「米国は、行 動を起こす準備ができている」と警告した。

http://www.eweek.com/security/iranian-cyber-attack-is-most-destructive-to-date-says-defense-secretary/
http://www.washingtonpost.com/world/national-security/cyberattack-on-mideast-energy-firms-was-biggest-yet-panetta-says/2012/10/11/fe41a114-13db-11e2-bf18-a8a596df4bee_story.html
【編集者メモ】(Assante)
我々の生産力、競争力、国家の安全性に対して仕掛けられるサイバー攻撃の影 響を考えるときには、その全体像を見失ってはならない。国防長官の言う「新 興の攻撃」に伴う課題は、適切な政策を作成することにある。すなわち、「経 済的な安全性、および、国家の安全性に直接影響を与えうる」特定の攻撃を抑 止しながらも、正しい対応を適用し、「なぶり殺し」状態に巧みに対応するこ とができるくらいに十分に柔軟性のある政策を生み出さねばならない。我々の 情報システムや重大なシステムを守る上で重大な役割を果たしているいかなる 組織にとっても、サイバーディフェンスは、身に余るような仕事である。
【編集者メモ】(McBride)
Panettaのコメントの論調から、彼は「抑止」という姿勢を支持しているよう に思える。彼が、「米国は、極めて破壊的な攻撃が発生し、それが確実に他の 国家によるものだと考えられる場合は、攻撃的な行動、あるいは、報復的な行 動を起こす準備ができている」とも言っていたとしても頷ける。一方で、この コメントの論調を踏まえると、「米国は、防御・復旧を行う準備ができている」 という確信は持てないように思える。となると、重大なインフラを所有・運営 している組織の幹部に対して彼が行った弁解は、なおさらやむをえないと感じ られる。

────────────────

◆DDoSアタックの標的となった銀行 さらに増加 (2012.10.13-15)
先週、DDoS攻撃を被った米国の銀行が、さらに増加した。攻撃の標的となった 銀行には、Capitol OneやSunTrustがある。攻撃の組織的活動はおよそ1ヶ月前 に始まっており、Bank of America、JPMorgan、Wells Fargo、および、 Citigroupも標的となっていた。問題の攻撃は、DDOS攻撃に対する防御策をパ ケットが回避できるように支援する方法を使って、仕掛けられた。用いられた パケットは、暗号化された有効なリクエストのように見えるパケットだった。 報道では、「米国のWebサイトに対する攻撃には、イランが関与している可能 性がある」と推測されている。しかし、イランは、この主張を否定している。

http://www.eweek.com/security/more-banks-come-under-denial-of-service-attack/
http://www.informationweek.com/security/attacks/bank-hacks-iran-blame-game-intensifies/240009068
http://www.h-online.com/security/news/item/Iran-rejects-US-accusations-after-hacker-attack-1729374.html
【編集者メモ】(Pescatore)
銀行に対するこれらのDoS攻撃では、侵害した社用Webサーバを使用して攻撃が 仕掛けられたケースが多かった。そのため、これらの企業の中には、FBIから の抜き打ち訪問を受けたところもある。まさに、経営陣の注意を引く傾向のあ るイベントだ。このようなイベントは、「組織のWebサイトが、同様の抜き打 ち訪問を受けることがないように」と、あなたの所属組織の経営陣を説得する ために使うには、うってつけのイベントである。
【編集者メモ】(Murray)
戦争に入る前に、誰が敵なのかについて、今まで以上に優れた情報を得なくて はならない。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中の無料セミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月25日(木)・12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=02

○10月26日(金)・11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=03

○10月30日(火)・11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○10月30日(火)
 近時の企業不祥事のトレンドとその対応策
 ~スマートフォン&クラウドコンピューティング時代の不正対応~
http://www.nri-secure.co.jp/seminar/2012/pwc.html?xmid=300&xlinkid=05

○10月30日(火)
 ID管理のエキスパートが解説するIDアクセス管理事例紹介セミナー
http://www.nri-secure.co.jp/seminar/2012/1102.html?xmid=300&xlinkid=06

○11月2日(金)
 ID管理のエキスパートが解説するIDアクセス管理事例紹介セミナー
http://www.nri-secure.co.jp/seminar/2012/1102.html?xmid=300&xlinkid=07

○11月16日(金)
 脆弱性一元管理セミナー
 ~企業競争力を高める為の柔軟なIT環境構築と、
  新たなテクノロジー導入やBYOD等から派生するリスクを両立させるには~
http://www.broad-corp.co.jp/seminar/20121116_seminar.htm

○11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=01

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃出展予定のイベント                 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年10月24日(水)~26日(金)
 スマートフォン&モバイルEXPO【秋】 サイバートラストブース(9-31)
 端末認証サービス、端末管理サービスを紹介
https://www.cybertrust.ne.jp/news/121003.html

<紹介製品>
http://www.nri-secure.co.jp/service/mss/remotedeviceid.html?xmid=300&xlinkid=08
http://www.nri-secure.co.jp/service/mss/mdm.html?xmid=300&xlinkid=09


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修                <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=12

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年10月11日 Vol.12 No.41)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

======================================================================
■今週のトップの脆弱性
米国下院・情報委員会は月曜日に米国企業に対し、中国がHuaweiTechnologies、 および、ZTE Corpの製品機器を使ってスパイ活動を行うおそれがあると述べ、 同2社との取引を停止するように要請した。

======================================================================

◆HuaweiとZTE 米国下院・情報委員会に「サイバー上の脅威」と見なされる

<詳細>
米国下院・情報委員会は月曜日に米国企業に対し、中国がHuaweiTechnologies、 および、ZTE Corpの製品機器を使ってスパイ活動を行うおそれがあると述べ、 同2社との取引を停止するように要請した。中国は、同委員会による非難を根 拠のないものと称し、問題の報告書は、「単に、主観的な憶測や虚偽的な根拠 に基づいた内容にすぎない」と述べた。2008年頃、Huaweiは、3Com Corpの株 式の過半数を買い付けようとしたが、米国政府が「セキュリティ上の懸念があ る」とし、その企てを阻止した。Huaweiは、大手のテレコム周辺機器供給業者 の1つである。

<参考>
http://intelligence.house.gov/sites/intelligence.house.gov/files/documents/Huawei-ZTE%20Investigative%20Report%20%28FINAL%29.pdf

<Snort SID>
該当なし

<ClamAV>
該当なし

────────────────

◆米国銀行に対するDDoS攻撃

この2週間で、サイバー攻撃によって、Wells Fargo、U.S. Bank、PNC Bank、 Bank of America、およびJPMorgan Chaseなどの米国の銀行のWebサイトが混乱 に生じた。「Izz ad-din Al qassamのサイバー戦士団」というグループが犯人 を名乗り、アラブ世界に暴動を巻き起こした問題の映画に対し、抗議を行う意 をあらわにしている。一方で、Joe Lieberman上院議員などの米国関係者は、 「実際には、イランがこの攻撃を支援している」とほのめかしており、「活動 グループに、Bank of AmericaやChaseなどの大手企業を停止に追いやる能力が あるとは思えない」とグループの能力を疑問視している。Sourcefire VRTには、 この攻撃の出所がどこであれ、攻撃に「itsoknoproblembro」というスクリプ ト(ステータスメッセージの表示がきっかけで、このように称されている)が使 用されていることを示す情報がある。この情報ははじめ、今年1月にPasteBin の掲示で明らかになった。

<参考>
http://betabeat.com/2012/09/iran-possibly-behind-operation-ababil-cyber-attacks-against-financial-institutions/
http://www.zdnet.com/capital-one-hit-by-denial-of-service-attack-suffers-online-problems-7000005531/

<Snort SID>
レートベースのプリプロセッサ

<ClamAV>
該当なし

────────────────

◆米国銀行に対する攻撃 さらに増加

<詳細>
セキュリティファームのRSA、および、同社による「裏の情報」の分析結果に よると、サイバー犯罪者の国際的グループが、30以上の米国の大手銀行の消費 者数千人のオンライン口座から資金を盗み出す組織的活動を企んでいるという。 伝えられるところによると、この一味は現在、トロイの木馬の「Gozi」に類似 しているボットの制御を担当してもらう目的でボットマスターを100人募集し ている。各ボットマスターにつき投資家1人が付き、攻撃の実行に必要なハー ドウェアやソフトウェアの獲得の支援が行われる見込みだ。これは、米国の金 融機関に対する組織的攻撃としては、最大の攻撃になる可能性がある。

<参考>
http://blogs.rsa.com/rsafarl/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/
http://krebsonsecurity.com/2012/10/project-blitzkrieg-promises-more-aggressive-cyberheists-against-u-s-banks/
http://www.scmagazine.com/us-banks-could-be-bracing-for-wave-of-account-takeovers/article/262493/
http://www.computerworld.com/s/article/9232117/Cybercriminals_plot_massive_banking_Trojan_attack

<Snort SID>
該当なし

<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。