NRI Secure SANS NewsBites 日本版

Vol.7 No.43 2012年11月6日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.43 2012年11月6日発行
**********************************************************************


■■SANS NewsBites Vol.13 No.86-87
(原版:2012年10月27日、10月31日)

■はじめに(Alan Paller:SANS Director of Research)
今週のトップニュースの中には、「情報共有がうまくいかない」ことに焦点が あてられているものがある。このようなニュースは、これらが初めてではない。 第44代大統領の時のサイバーセキュリティ委員会の委員の何人かによって4年 前に提案され、情報共有で有効だとすでに立証されているシンプルな方法を使 えば、時間優先でデータを提供できる。この方法は、「患者の身元がわかる情 報やプライバシーを保護しながらも、医師が早急に、伝染病の症例の詳細情報 を米国CDC(疾病管理センター)に報告を行う」というCDCのモデルに基づいてい る。サイバーセキュリティにおいては、インシデントレスポンスを行う企業は 「医者」にあたり、機密保持契約書に単純な変更を加えれば、必要なデータの 匿名版を提供できるようになる。このアイデアは、個人用データを政府に引き 渡すことに関心が集められず、データの受取人として信頼に値する非営利団体 が不足しているために、ずっと妨げられてきた。しかしながら、Tony Sager率 いる、サイバーセキュリティ上の行動に関する新しい、かつ、国際的な団体は、 「サイバー上の脅威に関する最新情報が重大なコントロールに関する国際的な 総意に反映されるようにする」責任も負っているため、情報共有を行うという 観点では、理想的な団体であると言える。このコンソーシアムで共有された情 報を使えば、それがいかなる情報であれ、直接かつ迅速に、官民の技術コミュ ニティの広域にわたって保護策を強化できるだろう。

◆判事 SonyのPSN侵害で原告側の苦情申し立ての主張の大部分を退ける(2012.10.23)
2011年4月に7500万人を超えるPSN(プレイステーションネットワーク)のユーザ アカウントに影響を及すデータセキュリティ侵害が発生したことに苦情が申し 立てられていた集団訴訟で、カリフォルニア州の米国地方裁判所判事は、その 苦情の大半を退けた。訴訟では、PSNが1ヶ月以上停止していた間に失われた、 Netflixやその他の有料サービスへのアクセスの回復が求められていた。 Anthony J. Battaglia判事は、Sonyのサービス利用契約には「Sonyオンライン サービスの品質、機能、可用性、性能、あるいは、Sonyオンラインサービスを 通じて提供するコンテンツやサービスについて保証するものではない」とあり、 PNSのプライバシーのポリシーには、「完全なセキュリティなどというものは 存在しないため、Sonyは、(PNSを通じて企業に)送信される情報のセキュリティ を守る、ないしは、それを保証することもできない」という記述があることを 引き合いに出している。原告らが苦情を修正・再提出するための期日は、2012 年11月9日までとなっている。

http://arstechnica.com/gaming/2012/10/judge-sony-didnt-promise-perfect-security-isnt-liable-for-psn-hack/
http://www.scmagazine.com/judge-dismisses-brunt-of-sony-breach-lawsuit/article/265026/
http://news.cnet.com/8301-1023_3-57538716-93/sony-psn-hacking-lawsuit-dismissed-by-judge/

【編集者メモ】(Pescatore)
ソフトウェアはまだ実際には、工業専門分野とはみなされていないため、保証 は付いてこない。ソフトウェアを土台に構築されたシステムも然りである。し かしながら、営利事業で顧客からお金を取る場合には、今もなお、そのための 適正評価基準というものがある。そして、「魅力的な妨害行為」を行うという 形で不利益を生じさせるアプローチなどもある。集団訴訟の弁護士らは引き続 き、自社弁護のため弁護士らに何百万ドルものお金を払わなくてはならない状 況にSonyを陥らせていくことだろう。Sonyはすでに巨額を費やしているが、そ の額が増えれば、このインシデントで生じる費用は、「はじめから、(完全で ないのならば、)十分に安全性の高いものにしておく」ためにかかる費用より も高くつくことになるだろう。

────────────────

◆米国FTC ユーザー情報の不正取得および不正使用に関してWeb分析企業と和解(2012.10.22-23)
米国FTC(連邦取引委員会)は、「Web分析企業のCompeteが、顧客の個人情報を 許可なく収集していた」という疑惑に関して、同社と和解に達した。Compete は、ブラウジング行動のデータを収集し、そのデータをもとに、その後クライ アントに販売する報告書を作成していた。申し立てられた苦情によれば、その データには、財務口座情報やSSN(社会保障番号)が含まれており、それらは適 正に保護されていなかったという。「わが社は訪問されているサイトにのみ関 心があり、個人情報は取り除かれていた」というCompeteの主張について、FTC は、「虚偽的かつ欺瞞的」だと述べている。Competeは和解にて、ブラウジン グに関するデータを収集する場合、事前にユーザーから明白な合意を獲得する と応じた。また、同社は、すでに収集した情報から個人が特定できる情報を削 除、もしくは、除去することになる。ほか、同社はユーザーに対し、コンピュー タから同社のソフトウェアを除去するように指導していく見込みだ。

http://www.theregister.co.uk/2012/10/23/web_tracker_settles_with_ftc/
http://arstechnica.com/tech-policy/2012/10/web-tracking-firm-settles-charges-it-collected-passwords-financial-data/
http://www.ftc.gov/opa/2012/10/compete.shtm

────────────────

◆サウスカロライナ州税務課(South Carolina State Dept. of Revenue)データ窃盗を被る:全ての納税者に影響(2012.10.26)
サウスカロライナ州税務課のコンピュータシステムにおいて、360万人のSSN (社会保障番号)のセキュリティが侵害された。加えて、侵入者によって、38万 7,000件の決済カードの詳細情報が漏えいされている。また、そのうち1万6,000 件は暗号化されていなかったという。漏えいされたSSNは、どれも暗号化され ていなかったようだ。このインシデントは、9月に発生した。この侵害によっ て、1998年以降にサウスカロライナ州で納税申告を行った人すべてに影響が生 じる。州関係者らは、10月16日にこの侵害が発生したことを知った。攻撃者ら が悪用した脆弱性は、10月20日までには修正されている。

http://www.computerworld.com/s/article/9232965/South_Carolina_breach_exposes_3.6M_SSNs?taxonomyId=17
http://www.scmagazine.com/monster-breach-hits-south-carolina-taxpayers/article/265639/
http://news.cnet.com/8301-1009_3-57541481-83/millions-of-ssns-lifted-from-south-carolina-database/
http://arstechnica.com/security/2012/10/hack-of-south-carolina-network-exposes-ssns-for-3-6-million-taxpayers/

◆サイバーセキュリティ上の脅威情報の共有 法的な懸念によって妨げられる(2012.10.29)
制御システムのセキュリティに関するカンファレンス(security industrial control systems)は、情報共有で生じる合併症という観点では、教訓となった。 カンファレンスで予定されていたプレゼンテーションの多くが、訴訟の警告を 受けたためにキャンセルされた。とある原子力発電所は、施設内に発見された 脆弱性について議論を行うことに合意していたが、関連のある機器ベンダーが、 プレゼンテーションを行えば、あまりに多くの情報が暴露されることになるた め、訴訟を起こすと警告してきたという。カンファレンスの参加者も、「とあ るセキュリティファームによって、非常に多くの機器がサイバー攻撃に脆弱で あることが明らかになった」と知ったものの、脆弱な機器を所有している組織 から訴えられることを恐れて、行政機関に対してこれらの機器の所在を告げる ことはしなかった。

http://wtaq.com/news/articles/2012/oct/29/legal-fears-muffle-warnings-on-cybersecurity-threats/

【編集者メモ】(Murray)
ITセキュリティは、「内輪の恥を人前に晒す」ことを強く求められるセキュリ ティ産業のほんの一端でしかない。問題は、「法」的なものではなく、むしろ 「文化」的なものである。我々には、情報を共有できる場所として信頼できる 専門のフォーラムがないのである。今回は、「責任ある情報共有」よりも「自 分の出世」を望んでいる参加者が、あまりにも多かったのだ。
【編集者メモ】(Honan)
問題を隠蔽しておくために費やされる金、時間、リソースを、問題のある製品 の安全性の向上、および、攻撃者の阻止に使った方がずっとよいのに。

────────────────

◆CoDeSysのICSのソフトウェアに重大な欠陥(2012.10.26-29)
CoDeSysのソフトウェアにある脆弱性によって、制御システム開発環境を運用し ているICS(産業制御システム)は、ネットワークベースの攻撃に脆弱な状態にな る。CoDeSysは、プログラマブルロジックコントローラ(PLC)へのラダーログ イン(ladder login)を行う際に用いられる。

http://www.h-online.com/security/news/item/Industrial-control-systems-vulnerable-to-remote-attackers-1738208.html
http://www.theregister.co.uk/2012/10/28/codesys_vulnerability/
http://krebsonsecurity.com/2012/10/dhs-warns-of-hacktivist-threat-against-industrial-control-systems/
http://www.computerworld.com/s/article/9232956/Critical_flaw_found_in_software_used_by_many_industrial_control_systems?taxonomyId=17
http://www.digitalbond.com/tools/basecamp/3s-codesys/

【編集者メモ】(Assante)
問題となっているソフトウェアの実装やアプリケーションは、分野横断的かつ 横並びの性質があるとしか言いようがない脆弱性に対して、備えられるように するものである。ICSの供給業者やインテグレータの多くは、サードパーティ のアプリケーションにあるセキュリティ上の懸念について、今までよりも巧み に管理していく必要がある。残念なことに、ICSでは、設定変更、設定点、お よび、ラダーロジックのような重要な機能を実行するための認証が欠けている ことがあまりにも多い。
【編集者メモ】(McBride)
これらの記事は、大きなセキュリティのコミュニティおいては、ICSのセキュ リティが重要ではないことを如実に物語っている。記事で浮き彫りになった実 際の欠陥やテクニックについては、2012年1月以来、いくつかのカンファレン スですでに公表されている。
実のところ、米国DHS(国土安全保障省)は現在、これらの欠陥やテクニック、 および、ICSの他のセキュリティ問題に関する認識を高めるために、国内各都 市でショー・アンド・テル(show-n-tell)の巡回興行を行っている。

────────────────

◆米国DOD(国防総省)によるサイバー上の脅威に関する情報共有の試験プログラム参加者が減少(2012.10.25)
米国DODの国防産業基盤・サイバーセキュリティ対策強化(Pentagon's Defense Industrial Base Enhanced Cybersecurity Services)試験のグループに当初参 加を予定していた17の組織のうち5つが、この脅威情報共有プログラムへの参 加を取りやめることとなった。DODの広報によれば、このプログラムを去ると 選択した組織は、「企業としての他の優先事項にリソースを再度割り当てる」 ことにしたのだという。

http://www.nextgov.com/cybersecurity/cybersecurity-report/2012/10/pentagons-cyber-pilot-dropout-rate-signals-trouble-ahead/59041/?oref=ng-channelriver
http://www.nextgov.com/cybersecurity/2012/10/pentagon-cyber-threat-sharing-program-lost-participants/59028/?oref=ng-HPriver
http://killerapps.foreignpolicy.com/posts/2012/10/24/rogers_was_right_dod_dhs_cyber_info_sharing_program_has_shrunk
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中の無料セミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月16日(金)
 サイバー攻撃・脆弱性対策セミナー
 ~「標的型攻撃やBYOD等から派生するリスク」
  「企業競争力を高める為の変化・変革に柔軟なIT環境の構築」
   脆弱性の一元集中管理でこの相反する2つのテーマを解決~
http://www.broad-corp.co.jp/seminar/20121116_seminar.htm

○11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=01

○11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=03

○12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=02


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修                <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=10

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=11


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=12

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年10月25日 Vol.12 No.43)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

======================================================================
■今週のトップの脆弱性
Oracleは、2013年2月までに、最近発見されたJavaのサンドボックス脱出 (sandbox escape)の脆弱性にはパッチを発行しないと発表した。研究者のAdam Gowdiakがこの技術についてはひた隠しにしていたので、エクスプロイトが世 間に出回っているかどうかはわからないが、現在は、詳細情報は十分に入手で きるので、今後悪用される可能性は非常に高いことを考慮しておくべきである。 世界各地の研究者らはJavaのユーザーに対し、可能な限りブラウザ内のJava(it) を無効にし、即座に、少なくともOracleの他の「重大なパッチのアップデート」 をインストールしておくように働きかけている。

======================================================================
◆Oracle Javaのゼロデイを発表:2月までパッチを発行しない意向

<詳細>
Oracle(the firm)によれば、ポーランド人研究者Adam Gowdiak が9月に発見し たJavaのサンドボックス脱出(sandbox escape)の脆弱性については、2012年2 月に「Oracleの重大なパッチのアップデート(Oracle Critical Patch Update)」 を発行するまで修正は行わないという。Oracleは、パッチをすぐに発行しない 理由を、「複雑な修正プログラムを詳しくテストしなくてはならないため」と 主張しているが、Gowdiakは、「問題のバグは、Javaのオープンソース版では 30分で修正できた」と反論している。この脆弱性の詳細は一切公表されていな いため、今まで世間での悪用の兆候も明らかになっていない。その上、公式パッ チの発行がこのように大幅に遅れると、ユーザーは、多くの人が考えるように、 攻撃を受けるリスクに晒された状態に置かれることになる。
Sourcefire VRTはユーザーに対し、当座の間は、ブラウザのJavaを無効にする ように推奨している。

<参考>
http://threatpost.com/en_us/blogs/oracle-leaves-fix-java-se-zero-day-until-february-patch-update-101712
http://seclists.org/fulldisclosure/2012/Oct/155

<Snort SID>
該当なし

<ClamAV>
該当なし

────────────────

◆Novell ZENWorksにデフォルトで管理者用認証情報(admin credentials)
<詳細>
Novell ZenWorksアセットマネジメントシステムには、Webアクセス可能な機能 1組にハードコードされた管理者用認証情報(administrative credential)が含 まれている。攻撃者はWebブラウザを用いてこれらの機能を利用すれば、この 脆弱性の影響を受けるシステムに任意のファイルを書き込み、このサービス用 の平文の認証情報をリトリーブすることができるようになる。
この弱点を悪用するMetasploitのモジュールも存在している。この脆弱性は、 ネットワークへ簡単に入り込める入り口(entry point)になるため、ユーザー はシステムにパッチを即座に適用すべきである。

<参考>
http://www.kb.cert.org/vuls/id/332412
https://community.rapid7.com/community/metasploit/blog/2012/10/15/cve-2012-4933-novell-zenworks

<Snort SID>
24435、24436

<ClamAV>
該当なし

────────────────

◆新しいヒープスプレー(heap spray)技術 公表される

<詳細>
Core Labsの研究者らは、HTML 5 フレームワークを標的にした新しいヒープス プレー技術のPoC(概念実証)コードを公表した。このテクニックは、最新のブ ラウザの多くに対して動作可能で、スマートフォンやメディアセンター、 HTML 5のレンダリングを行うその他のデバイスにも有効である。既存の悪用フ レームワークへのPoCコードの接続(plug)は比較的簡単に行えるため、この時 点でも、世間に攻撃が存在していると推定される。

<参考>
http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=publication&name=HTML5_Heap_Sprays_Pwn_All_The_Things

<Snort SID>
24432, 24433

<ClamAV>
HTML.Exploit.Heap、
HTML.Exploit.Heap-1

────────────────

◆アノニマス イタリア国家警察(Italian State Police)の1.35GB分のデータを漏えい

<詳細>
アノニマスは火曜日に、盗聴の詳細情報や内部セキュリティシステムなど、イ タリア国家警察の機密情報ファイルを大量に漏えいした。この情報開示による 影響は、最近のDDos攻撃よりもはるかに有害になりうるため、これからずっと 将来もその影響は継続し、イタリア政府やおそらくその他の組織に対しても、 政治的、あるいは、軍事行動上の損害をもたらすと考えられる。

<参考>
http://www.par-anoia.net/releases.html#poliziadistato

<Snort SID>
該当なし

<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。