NRI Secure SANS NewsBites 日本版

Vol.7 No.44 2012年11月13日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.44 2012年11月13日発行
**********************************************************************


■■SANS NewsBites Vol.13 No.88-89
(原版:2012年11月2日、11月7日)

■はじめに(Alan Paller:SANS Director of Research)
12月7日~16日に、ワシントンDCをベースにセキュリティトレーニングプログ ラム「サイバーディフェンス イニシアチブ」が開催される。このプログラム では、25の集中訓練コース、規模の大きなネットウォーズ(Netwars)競技、 世界最高峰のサイバーオペレータ150人によるチャンピオン・トーナメント競 技も催される。

詳細情報と参加申し込みはこちら:
http://www.sans.org/event/cyber-defense-initiative-2012/courses/

チャンピオン・トーナメント:
http://www.sans.org/special/netwars-champions

サイバーレンジ(cyber range)やサイバーシュミレータを雇用して実績を伴う 実践的なサイバースキルを有する人材を開拓しようと検討されている方は、 ネットウォー(Netwars)を是非チェックしていただきたい。Netwarsを定期的に チェックして新規雇用に利用している軍や銀行関係の方々は、Netwarsは並外 れて素晴らしい催しだとコメントしている。

関連動画:
http://www.sans.org/cyber-ranges/netwars

「あまり効果のない、地元のセキュリティトレーニングに人員を送り込む」こ とが検討されているために、2012年度の出張予算が既に使い切られてしまいそ うだという話を、今週、2社からうかがった。
我々は明らかに、「全てが実践的な要素で構成され、SANSの最高峰の講師らが 指導を行う、SANSで最も素晴らしい20のコースがオンライン上で受けられる」 ことを皆様にお知らせするという点では、あまりよい仕事を果たせていなかっ たことになる。オンラインプログラムをより利用しやすいものにしようという 年末キャンペーンも開催されている。
https://www.sans.org/online-security-training/specials.



◆アンドロイド用アプリに隠されていたマルウェアに関与したと見られる5人 日本で逮捕される(2012.10.31-11.1)
日本の警察は、スマートフォン用アプリにマルウェアを仕込んだことに関わっ ていたと思われる5人を逮捕した。問題のマルウェアはアンドロイド用の動画 アプリに置かれており、このアプリによって、この策略の背後にいる人間が、 感染したデバイス9万台から情報を盗み出せるようになっていた。問題のアプ リは、Google Playを通じて販売されていたアプリだった。警察によると、こ れは、日本で発生したこの種の窃盗ケースとしては最大規模の事件だという。 それとは別のインシデントとしては、日本のオンラインの出会い系サイトの役 員が、「電池残量節約のためのユーティリティ」だと称してマルウェアを販売 していた疑いで逮捕されている。

http://www.theregister.co.uk/2012/11/01/japan_android_malware/
http://www.zdnet.com/five-japanese-detained-for-data-theft-7000006662/
────────────────

◆研究者ら アンドロイド用アプリの4分の1以上にデータプライバシー上の懸念を認める(2012.11.1)
研究者らによると、Google Playストアで入手できるアンドロイド用アプリの 4分の1以上が、ユーザーに対してセキュリティ上のリスクをもたらすと考えら れるという。研究者らは、「GPSデータ、通話情報、電話番号などの個人情報 へのアクセス機能があるアプリに問題がある、もしくは、アプリが疑わしい」 と考えている。ユーザーはインストール時に、アプリによるデータの収集を許 可するように導かれる。すなわち、アプリからのリクエストに合意しなければ、 アプリはユーザーのデバイスで実行できない。ゲームや娯楽、壁紙アプリには、 個人情報を得ても実用的な用途がほとんどない、もしくは、ないと思われるが、 このような慣行は、ゲームや娯楽、壁紙アプリの間では一般的になっている。 研究者らは特に、「これらのアプリは、ユーザーにプライバシー上のリスクを もたらしているというだけで、マルウェアとは見なされていない」と述べてい る。

http://www.informationweek.com/security/application-security/android-apps-fail-risk-assessment-check/240012652
http://www.computerworld.com/s/article/9233139/Security_research_labels_over_290_000_Google_Play_Android_apps_as_high_risk_?taxonomyId=17
【編集者メモ】(Pescatore)
アプリストアが使用しているプライバシーやセキュリティのチェックは、引き 続き改善していく必要がある。しかし、モバイル用アプリのためにGPSデータ にアクセスを行うことは、Webアプリがブラウザの種類に関する情報にアクセ スすることと大体同じである。したがって、これらのアプリを「プライバシー 上のリスク」呼ばわりするのは、少し行き過ぎた発言である。また、Googleは 非常に力強い進歩を遂げており、怪しい挙動を見せたアプリをGoogle Playか らアプリをどんどん除去している。アンドロイド側の一番大きな問題は、 Google Playから入手できるようになっていないアプリについても、ユーザー が簡単にインストールできることにある。

────────────────

◆イラン 「固有のサイバーディフェンス」を計画中(2012.10.29)
イランの軍のトップのリーダーの1人が、イランと敵対する国々の「敵意ある 戦略(hostive strategy)」には、サイバー攻撃が特別な位置に置かれているこ とを踏まえ、「イラン固有のサイバーディフェンスモデル」を作るように提案 している。

http://www.nextgov.com/defense/2012/10/iranian-commander-calls-strategy-against-cyberattacks/59107
────────────────

◆「実験的な」パッチをテストせずに投票マシンにインストールしたために訴訟(2012.11.5)
オハイオ州の米国地方裁判所はオハイオ州Jon Husted州務長官に対し、「テス トや認証を行わずにES&S;Election Systems and Software)の投票集計マシン にインストールされた『実験的な』ソフトウェア・パッチを、除去する」よう に求めている。問題のマシンは、オハイオ州の39郡で使用されている。Husted のオフィス関係者によれば、このソフトウェアの目的は、郡が選挙結果を州務 長官のシステムに報告する手順を効率化するためのものだという。州務長官の オフィス内のメモには、「このソフトウェアのパッチは、『票の集計、もしく は、票の伝達』には関係のないものであったため、テストを行わなかった」こ とが示されている。オハイオ州法では、テストをしていないソフトウェアアッ プデートを投票マシンにインストールする行為は禁じられている。Hustedの広 報担当者は、この訴えを「ばかばかしい」と称した。

http://www.computerworld.com/s/article/9233274/Update_Lawsuit_filed_in_Ohio_over_software_updates_to_vote_tabulation_machines?taxonomyId=17
http://www.sfgate.com/news/article/Ohio-official-Voting-machine-lawsuit-ridiculous-4009994.php
【編集者コメント】(Murray)
変更の範囲についてこのようなコメントを述べてもおかしくないように、ソフ トウェアに対する変更を管理・制限することは可能ではあるが、そのような管 理を行うのは極めて異例である。つまり、そのような管理を行っていないとな れば、いかなる変更であっても、システム全体の完全性が問われることになる。 とは言うものの、事が起きてしまった後に集計の完全性を実証するのは難しい。 そして、投票結果の実証を行うには、「再集計」を行うしかない。費用がかか る上に、賛否両論を呼ぶ場合も多いが、この方法が効果的である。
【編集者メモ】(Northcutt)
長い間News Bitesを読んでくださっている方には、電子投票マシン(別名コン ピュータ)に関して私が抱いている懸念がおわかりになるだろう。一歩間違え ば、奈落の底に落ちていくような不安である。
【編集者メモ】(Paller)
電子投票マシンやインターネットベースの投票に懸念を抱いている人のほとん どは、投票にまつわる技術が操作に脆弱であることを実感している(Avi Rubin やStephen Northcuttのような)実際のサイバーセキュリティ専門家である。 電子投票の一般化が進み、最終的には、ほとんどの手動システムが電子投票に 取って代わられていくのは、手動システムにも大規模な不正が行われる可能性 があるからである。実際、過去に大統領選挙の結果が変わってしまう不正があっ たことはご存知だろう。結局、投票システムに関する意思決定は当該地域で下 されることになり、いくつかのアプローチの中から「相当数の脆弱性が存在す るアプローチを選ぶか、それとも、より早くて安い、便利なアプローチ選ぶか」 という駆け引きになることだろう。

────────────────

◆CCA:Consortium for Cybersecurity Action 官民両セクターの支援を目指す(2012.11.5)
新たに始動したCCA: Consortium for Cybersecurity Action(サイバー セキュ リティ アクション コンソーシアム)では、APT攻撃からシステムを守る支援を 行うための推奨事項などが含まれる「20の重大なセキュリティコントロール」 の情報更新が行われる。
CCAは、元米国NSA(国家安全保障局)・情報保証担当主任執行官(Information Assurance Division chief operating officer)率いるコンソーシアムである。 Sagerによれば、20の重大なセキュリティコントロールは、「全ての組織が配 備すべき、最も重要なディフェンス策」だという。

http://www.nextgov.com/cybersecurity/2012/11/governments-and-companies-band-together-push-cyber-protections/59270/?oref=ng-channeltopstory
http://www.darkreading.com/vulnerability-management/167901026/security/vulnerabilities/240044454/ex-nsa-official-heads-new-global-consortium-issuing-attack-driven-security-controls.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中の無料セミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月16日(金)
 サイバー攻撃・脆弱性対策セミナー
 ~「標的型攻撃やBYOD等から派生するリスク」
  「企業競争力を高める為の変化・変革に柔軟なIT環境の構築」
   脆弱性の一元集中管理でこの相反する2つのテーマを解決~
http://www.nri-secure.co.jp/seminar/2012/1116.html?xmid=300&xlinkid=01

○11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=02

○11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=03

○11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=04

○12月5日(水)【※製造業様限定】
 サイバーセキュリティセミナー2012
 ~グローバルで戦う日本の製造業が、
  今から備えたいサイバーセキュリティ対策~
http://www.nri-secure.co.jp/seminar/2012/1205.html?xmid=300&xlinkid=05

○12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修                <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=07

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=09

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年11月2日 Vol.12 No.44)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

====================================================================
■今週のトップの脆弱性
【参考記事】http://www.itmedia.co.jp/news/articles/1210/30/news029.html
Yahooは今週、「DNT(Do Not Track)」(訳注:行動追跡に対して拒否の意思を 示す)機能をデフォルトで有効にするというMicrosoftの選択は認めないとい う正式な方針を表明した。このYahooの方針表明は、標準化の問題と、同社の Web資産上でユーザーエクスペリエンス(user experience)をカスタマイズする 必要があることから生じた動きであり、今後、インターネット上のプライバシー に重要な影響をもたらす動きになると考えられる。

====================================================================

◆YahooとMicrosoft デフォルトの「DNT(Do Not Track)」機能で論争

<詳細>
Microsoftは、Webにおけるプライバシーの向上を図る取り組みとして、 Windows 8の一部として最近リリースしたWebブラウザのInternet Explorer 10 では、DNT(Do Not Track)機能をデフォルトで有効にしている。しかしながら、 Yahoo(最近はマーケットシェアが減りつつあるも、まだWeb上の最大規模の資 産の1つである)は今週、ユーザーエクスペリエンスをカスタマイズする必要 があることや、標準化が行われていないことを引き合いに出し、「DNT機能を デフォルトで有効にする」設定を受け入れない意思を表明した。この決定に よって、最新のインターネットにおけるプライバシーとユーザーエクスペリエ ンスの釣り合いに関する議論に必ずや火が付くことになると考えられるため、 プライバシー擁護派の間では、決定の含意についての話題で持ちきりである。

<参考>
http://www.ypolicyblog.com/policyblog/2012/10/26/dnt/
http://windows.microsoft.com/is-IS/internet-explorer/ie10-consumer-preview-privacy-statement

<Snort SID>
該当なし

<ClamAV>
該当なし

────────────────

◆Samsung Kiesのデバイスにリモートのコード実行の脆弱性

<詳細>
統一型デジタルメディアセンター(a unified digital media center)だと称え られている新タブレットデバイス Samsung Kies には、さまざまなリモートの コード実行の脆弱な傾向がある。 これらの脆弱性は、そのネイティブAPI(native API)の一部を実行するだけで 悪用が可能だ。また、Samsungの文書には「インターネット上の信頼できない ソースから任意のファイルを実行する方法」が示されているため、世間ではす でに攻撃が存在していると考えられる。多くのモバイルデバイスにおいて、後 から思いついたことだとしてもセキュリティ強化が試みられることはほとんど ないと思われる。したがって、この脆弱性は、「BYODのポリシーがある環境を 保護するのは難しい」ことを示す素晴らしい警告になる。

<参考>
http://www.securityfocus.com/archive/1/524434

<Snort SID>
24525 - 24528

<ClamAV>
該当なし

────────────────

◆Avaya IP Office Call Centerに任意のコマンド実行の脆弱性

Avaya IP Office Call Centerのwallboardアプリを使えば、未認証の攻撃者が 任意のファイルをアップロードし、Webサーバの許可の下1つのURLを呼び出す ことでアップロードしたファイルを実行できる。悪用が簡単に行えるため、攻 撃が世間に存在していると推測される。

<参考>
https://downloads.avaya.com/css/P8/documents/100164021

<Snort SID>
24520

<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。