NRI Secure SANS NewsBites 日本版

Vol.7 No.42 2012年10月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.42 2012年10月30日発行
**********************************************************************

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 ■■■■■■■■■■■■■■■■■■■
 ■いよいよ来週開催!まだ間に合います■
 ■■■■■■■■■■■■■■■■■■■

    世界最高レベルのセキュリティトレーニングを東京で!

           = SANS Tokyo 2012 =

       http://sans-japan.jp/training/event.html

   【SEC542】Webアプリケーションペンテスター必須コース(11/5~10)
   【FOR558】ネットワークフォレンジックの最上位コース(11/5~9)
    ※当コースお申し込みの方は、もれなくボーナスセッション
     「Attacking and Defending the Smart Grid」を無料で受講可能!

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■■SANS NewsBites Vol.13 No.84-85
(原版:2012年10月19日、10月23日)

◆SSLサイトの70%以上が、依然としてBEAST攻撃に脆弱 (2012.10.18)
SSL/TLSのセキュリティ欠陥が公表されてから1年以上経過しているが、SSLサ イトの71%は、脆弱性の影響を軽減する措置を講じていない。BEAST(Browser Exploit Against SSL/TLS)として知られているこの攻撃手法は、Webサイトで アカウントへのアクセスを制限する際に使用されるクッキーの復号に用いるこ とができる。検査を行った17万9,000件のWebサイトのうち、12万7,000件が、 BEAST攻撃に依然脆弱なままであった。

http://www.theregister.co.uk/2012/10/18/ssl_security_survey/
────────────────

◆専門家談:時代遅れの医療機器によって攻撃が可能に (2012.10.17)
健康分野とセキュリティ分野の専門家によると、医療技術機器にマルウェアが 見つかったという。この問題は、先週ワシントンDCで開催されたNIST(米国国 立標準技術研究所)の情報セキュリティおよびプライバシーに関するアドバイ ザリ委員会(Information Security and Privacy Advisory Board)のパネル討 論会で提起された。ボストンのベス・イスラエル・デコネス病院(Beth Israel Deaconess Medical Center)の情報セキュリティ最高責任者は、「当院には、 Windowsの旧バージョンを使用している機器が650台あった」と述べている。こ れらの機器がアップデートされていない背景には、「アップデートを行えば、 米国FDA(食品医薬品局)の規制に準拠している」現状にリスクが生じるという 理由がある。FDAが承認を行う際には、安全性に焦点があてられる。サイバー 上の脅威は、検討事項に入っていない。これらの機器が感染すれば、患者情報 の記録・追跡ができなくなる可能性もある。

http://www.technologyreview.com/news/429616/computer-viruses-are-rampant-on-medical-devices/?ref=rss
http://www.bbc.co.uk/news/technology-19979936
http://arstechnica.com/security/2012/10/hospitals-computer-hardware-also-suffers-from-infection/
http://www.nbcnews.com/technology/technolog/medical-malware-rampant-us-hospitals-1C6530658

【編集者メモ】(Assante)
「情報技術は、医療診断機器や医療機器の主な構成要素である」という認識が、 長年遅滞している。CTスキャナのシステムが正しく検査されていないことが懸 案事項になるまでに、私は多くの時間を費やした。ソフトウェアやOSを維持管 理せずに放っておくことは、運用仕様の範囲外となった機械あるいは機器と同 じである。
【編集者メモ】(Murray)
Windowsを使用して「医療用」アプリのマシンを実装すれば、予想外の障害が 発生する可能性や、悪党に悪用される攻撃が出現する可能性が不必要に高くな る。
【編集者メモ】(Pescatore)
何と言うことだ。「FDAから再度、全面的に認可を得る必要があるために、医 療機器にパッチを適用できない」という馬鹿げた通念が、何年もの間、相も変 わらずまかり通っているとは…。2005年1月に、FDAは「ソフトウェアのパッチ によって、新たに510(k)の提出が必要になる可能性もあるが、おそらくその必 要性は生じないだろう」という記載があるGuidance for Industry 1553を発行 した。しかし、同じ文書の後々の部分に、「したがって、貴機関にて変更部分 の検査、および、是正部分の記録を行っていれば、ほとんどのケースにおいて は、21 CFR Part 806の下、サイバーセキュリティのパッチ適用について報告 を行う必要はない」と書かれている。だから、どうか、どうか…機器のベンダー に言いくるめられないでいただきたい。

────────────────

◆ISP 著作権侵害対策の警告システムを来月スタート (2012.10.16-17)
今後数週間で、米国ISPは、ISPのアカウントにより、米国法に違反して著作物 を共有しているユーザーに通知を行う警告システムの導入を開始する。このプ ランは、CCI:Center for Copyright Information(著作権情報センター)が監督 を行っているプランであり、ISPに対しては、アカウント保有者に警告を送信 するように求めている。ISPは、最初に発した警告に反応がなければ、インター ネットの接続速度を遅くしたり、デジタル著作権に関するオンライン・チュー トリアルにユーザーに導くなど、ユーザーの注意を引くために他の対策を講じ る可能性がある。このプランは、ユーザーを教育し、通知を行うことを目的と しており、警告に反応せず、違法行為を止めないユーザーに対する刑罰は、最 後の手段にとっておく予定だという。

http://thehill.com/blogs/hillicon-valley/technology/262315-internet-providers-set-to-crack-down-on-illegal-file-sharing
http://www.theatlantic.com/technology/archive/2012/10/internet-service-providers-are-about-to-crack-down-on-lllegal-file-sharing/263714/

【編集者メモ】(Pescatroe)
ボットネットの指令管制用サイトを運用しているユーザーに対しても、同様の 行動が見られることを願いたい。

────────────────

◆米国OMB(行政予算管理局)のIT主任らによる共同推奨事項:OMBのサイバーセキュリティポリシーを「継続的な監視を義務付ける」ように改正(2012.10.22)
米国CSIS(戦略国際問題研究所)のテクノロジー・公共政策プログラムによって、 OMB(行政予算管理局)でこれまで30年間IT政策組織を運営していた人物 (Franklin Reeder、Daniel Chenok、Karen Evans)が集められ、OMBのサイバー セキュリティ政策にある失策部分、すなわち、連邦政府の「顧客保護に関して 先導的役割を担う」という機能を妨害している部分を特定し、排除するための 取り組みが行われた。本日発行されたCSISの報告書では、OMB Circular A-130 にある特定の失策部分、すなわち「数10億ドルが無駄になった根本的な原因」 が取りあげられており、政府のコンピュータシステムやネットワークの継続的 な監視を行うようにするための具体的な修正策が推奨されている。

http://www.nextgov.com/cybersecurity/2012/10/retired-omb-it-chiefs-urge-federal-cyber-policy-rewrite/58945/
http://www.darkreading.com/risk-management/167901115/security/vulnerabilities/240009551/possible-patch-for-policy-on-protecting-government-agency-systems.html

────────────────

◆大統領命令:重大なインフラ組織との情報共有を諜報機関に要請(2012.10.20)
ホワイトハウスが検討しているサイバーセキュリティに関する大統領命令の原 案において、米国の諜報機関は、米国の重大なインフラの要素を操作している 企業とサイバー上の脅威に関する情報を共有するように要請されている。この 命令に関しては、現在最終版がまとめられているが、大統領がこの命令に署名 する時期については一言も触れられていない。

http://www.nbcnews.com/technology/technolog/white-house-orders-spy-agencies-share-cyberthreat-intel-companies-1C6578275
【編集者メモ】(McBride)
残念ながら、最も重大なインフラ資産の所有者らには、サイバー上の情報の活 用に必要なツールや能力がそもそも備わっていない。しかしながら、明るい面 を挙げれば、このような情報共有の義務付けが大統領命令に含まれれば、慢性 的に邪魔していたものに対して終焉をもたらすことができるかもしれない。

────────────────

◆大規模な侵害発生から6年:暗号化されている米国(VA)復員軍人擁護局のコンピュータはわずか16% (2012.10.19)
莫大なデータのセキュリティ侵害から6年以上も経った今もまだ、米国(VA)復 員軍人擁護局は、コンピュータの大半を暗号化していない。2006年の春、米国 の退役軍人2,600万人の個人情報が含まれているコンピュータ機器がVAの職員 の自宅から盗まれた。このインシデントの直後、元VA長官のJames Nicholson は、VAの全てのPCとノートパソコンを暗号化で守るように命令した。同省は、 暗号化ソフトウェアに600万ドルを費やした。同省の監査官が行った捜査の結 果によると、VAで現在暗号化によって保護されているコンピュータは、たった の16%だったという。

http://www.informationweek.com/government/security/va-computers-remain-unencrypted-years-af/240009408
【編集者メモ】(Murray)
問題にすべきは、全体の何パーセントのコンピュータが暗号化されているかで はなく、何パーセントの機密情報が保護されているかである。コンピュータや ノートパソコンに保存されている機密情報は、暗号化することを推奨する。し かしながら、機密情報はコンピュータやノートパソコンではなく、組織のサー バに保存すべきである。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中の無料セミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月2日(金)
 ID管理のエキスパートが解説するIDアクセス管理事例紹介セミナー
http://www.nri-secure.co.jp/seminar/2012/1102.html?xmid=300&xlinkid=07

○11月16日(金)
 サイバー攻撃・脆弱性対策セミナー
 「標的型攻撃やBYOD等から派生するリスク」
 「企業競争力を高める為の変化・変革に柔軟なIT環境の構築」
 脆弱性の一元集中管理でこの相反する2つのテーマを解決
http://www.broad-corp.co.jp/seminar/20121116_seminar.htm

○11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=01

○11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=03

○12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=02

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修                <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=12

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年10月18日 Vol.12 No.42)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに
活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい
ての解説を提供する。

======================================================================
■今週のトップの脆弱性

“itsoknoproblembro”スクリプトで作成された銀行に対するDDoS攻撃が、こ
の一週間も引き続き着々と行われた。「国防請負業者や銀行産業ではない他の
企業も標的になる」という噂もある。
======================================================================
◆サイバースパイ用マルウェア「miniFlame」

<詳細> サイバースパイに使用されている可能性が高いとされる、新しいマルウェアが、 「Flame」の指令管制サーバの分析中に発見された。このマルウェアは、2012 年のはじめに発見された別のスパイ活動用マルウェア、「Flame」に著しく類 似しているため、「miniFlame」と呼ばれている。「Flame」は、「Gauss」と いう他のマルウェアと同様に、すでに世界各地の1万台以上のコンピュータを 感染させている。「miniFlame」は、すでに「Flame」や「Gauss」に感染した マシンに見つかっているが、検知されたのは、主に中東にあるコンピュータ12 台のみである。これによって、「miniFlame」は、広範にわたる組織的活動と いうよりは、むしろ、標的型攻撃の一部を成していると考えることができる。

<参考>
https://www.securelist.com/en/analysis/204792247/miniFlame_aka_SPE_Elvis_and_his_friends
http://vrt-blog.snort.org/2012/05/flame-malware-targeted-attacks-and-you.html
http://vrt-blog.snort.org/2012/08/gauss-finfisher-latest-targeted-malware.html

<Snort SID>
23019から23038、23824

<ClamAV>
Worm.Flame.*、
W32.Trojan.Gauss.*、
WIN.Trojan.MiniFlame.*
────────────────

◆“itsoknoproblembro”と最近のDDoS攻撃

<詳細>
“itsoknoproblembro”スクリプトで作成された銀行に対するDDoS攻撃が、先 週も、相変わらず着々と行われている。「国防請負業者や銀行産業ではない他 の業者も標的になる」という噂もある。これらの攻撃の続行にともない、用い られているメカニズムについて更なる詳細情報が明らかになってきた。この詳 細情報を使えば、標的となる可能性のある組織は、より優れた自己防衛措置を 講じることできるようになる。具体的には、侵害された高帯域のリンク付き Webサーバに、問題のスクリプトが世間で観測されている。また、DDoS攻撃に 使用されているパターンのいくつかも、明らかになっている。

<参考>
http://vrt-blog.snort.org/2012/10/itsoknoproblembro-vrt-has-you-covered.html

<Snort SID>
24388 - 24396

<ClamAV>
PHP.Trojan.itsoknoproblembro*
────────────────

◆Steam BrowserのURIにさまざまなリモートの攻撃

<詳細>
評判の高い研究者らによって、「リモートのコード実行ができる可能性がある こと」、「犠牲者のホストに直接ファイルを書き込める機能」など、Steamの ゲームのURIハンドラーにある複数の脆弱性について詳説している報告書が、 月曜日に公表された。研究者らは、Steamからパッチが発行されるまでの間は、 このURIハンドラーを無効にするように強く推奨している。この攻撃は、世間 ではまだ直接観測されてはいないが、悪用手法のうち特定の類に限って言えば、 そのほとんどが簡単に悪用可能な手法であるため、近いうちに悪用されると考 えられる。ネットワーク管理者は、「任意のネットワーク上で全てのSteam URI を単純に阻止する」Snort SID 24397の使用を検討すべきである。

<参考>
http://revuln.com/files/ReVuln_Steam_Browser_Protocol_Insecurity.pdf

<Snort SID>
24397

<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。