NRI Secure SANS NewsBites 日本版

Vol.7 No.45 2012年11月20日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.45 2012年11月20日発行
**********************************************************************


■■SANS NewsBites Vol.13 No.90-91
(原版:2012年11月9日、11月14日)

■はじめに(Alan Paller:SANS Director of Research)
サイバーセキュリティ関連法の成立を求めるのは、もうやめるべき時期に来て いる。:政府や産業界が、「サイバーセキュリティ問題に恐れ入る」ことから 「システムやネットワークを守るために必要な行動を起こす」ことへと切り替 えるために、法など必要ない。今まで、長期間にわたって法の成立を求めてい たがために、大規模な破壊が生じてしまったのが実情である。もう当然、英国 や豪州のリーダーらがすでに行ってきたように、米国が必要な行動をどんどん 行っていくべき時期である。米国NSA(国家安全保障局)のAlexander大将とJohn Streufert、DHS(国土安全保障省)のマネージャー達は、安全なシステムやネッ トワークを守る方法、および、それらのセキュリティを測定する方法に関して 合意することで、道を拓いてこうとしている。是非とも彼らを支援していこう。 米国民として、米国OMB(行政管理予算局)や米国NIST(国立標準技術研究所)の 当局者らに対し、NSAやDHSによる解決策の効果を弱めたり先延ばしにしたりす ることを止めるように求め、解決策の適用が早まるように積極的に支援してい こう。

────────────────

◆Stuxnet 2010年にChevronを攻撃していた(2012.11.8)
マルウェア「Stuxnet」は2010年に、Chevronのネットワークを感染させていた。 問題のマルウェアは、標的をイラン内の標的から他のシステムを移した直後に 検知された。Chevronの広報担当によれば、「Stuxnet」は同社のITシステムに 損害を与えていないという。Chevronは、米国企業で初めて、社用システムが 感染されたことを認めた企業である。多くの専門家は、「企業内で発生した攻 撃や感染の大部分が、報告されないままに終わっている」と考えている。また、 これまでの数ヶ月間で、コンピュータに損害を与えることを目的としている他 のマルウェアが出現している。カタールのとある天然ガス会社が先夏に攻撃を 受けたほか、「Shamoon」というマルウェアが、2012年8月に、サウジアラビア の石油会社、Saudi Aramcoの3万台のコンピュータ上の情報の破壊に成功して いる。このように人目を盗んで損害を与えるような攻撃からシステムを守るに は、サイバーセキュリティを理解している専門家、および、所定の専門組織に よるシステム運営が必要である。専門家や専門組織はネットワーク通信のある べき姿を知っているが、国家がそのようなネットワークを有していることはほ とんどない。

http://blogs.wsj.com/cio/2012/11/08/stuxnet-infected-chevrons-it-network/?mod=wsjcio_hps_cioreport

【編集者メモ】(Murray)
ウイルスを兵器として使う場合に生じる基本的な問題は、一度実行されてしまう と、そのウイルスの制御を失うことにある。十中八九、敵と同じように味方にも 損害を与えてしまうことだろう。
【編集者メモ】(Paller)
Bill Murrayは、サイバー兵器と動力学的兵器との違いを浮き彫りにした。サイ バー兵器は後に改良され、兵器の創造者に対して仕掛けられる場合が多い。そ れゆえに、高度な技術を伴うサイバースキルの不足は、米国やその他の先進国 にとって実存の問題となっている。電力システムやその他の重大なインフラ資 産を、このような高度な攻撃から守ることができる自動保護システムは存在し ない。防衛措置になりうる唯一の手段は、(不完全だと認めざるを得ないが、) 技術手腕を根本的に改善することである。
【編集者メモ】(McBride)
相も変わらず「escaped」という言葉は、Microsoftのゼロデイの脆弱性に依存 するウイルスや、伝播手法に対して使うとなると、困惑を招く言葉である。他 方で、あなたのシステムが感染しても、そのシステムが「Stuxnet」が中断し ようとしていたイランで唯一の地下施設でさえなければ無害なのである。この ような巻き添え被害も、イランの核武装を今後2年(攻撃発生当時から数えて) は解いたままにできることに対して、産業界が支払わなければならない代償の 一部である。

────────────────

◆米国政府 偽の機器と技術を売りつけられる(2012.11.8)
ある調査によると、「リスク高」と認識されていた企業であるにもかかわらず、 それらの企業は、米国軍やその他の政府局に技術機器や技術製品を販売してい たという。これらの製品の中には偽物と発覚したものもあるため、「ミサイル が発射しない」懸念、「航空機の部品が正しく作動しない」懸念、および、サ イバースパイ活動に関する懸念がもたらされている。「リスク高」の識別子を 与えられた企業は、偽造活動、有線通信不正行為、製品改造、および、その他 の違法活動に関与していると言われている。9.500社を超える企業が政府への 機器販売を「禁じられていた」にもかかわらず政府に販売していたとされてお り、それらの企業に関連して生じた問題の10%が、偽の部品および、または機器 に関連していた。

http://money.cnn.com/2012/11/08/technology/security/counterfeit-tech/index.html

【編集者メモ】(Pescatore)
国内での調達手順がいいかげんであったために、偽のIT機器を日常的に調達で きる状態にあったにもかかわらず、「供給プロセスの完全性」に対する注意の ほとんどは外国による攻撃に向けられていた。米国NSA(国家安全保障局)とDOE (エネルギー省)には、調達に関する強力なプログラムがある。米国政府は、こ れらの最良の慣行が理解されるように努めるとともに、政府局の調達について は、すみずみまでその慣行が行き渡るようにすべきである。
【編集者メモ】(McBride)
合法的なものであっても、それが正しく作動するとは限らない。バックドアな どもってのほかである。でもどうだ?誰もがバグの入ったソフトウェアを売り つけられているのではないのか?!リスク管理とは、自分が直面しているリス クを受け入れる前に、そのリスクを十分に理解することである。 探求精神に よって、サプライチェーンという領域でもついに、牽引的な取り組みが少々、 マスコミ報道が行われるようになった。
【編集者メモ】(MurrayとPaller)
誰がどういう理由で問題の9,500社からの調達を禁止したのか、ご存知の方は いらっしゃるか?

────────────────

◆ニュージャージー州のeメール投票は「危険」 (2012.11.6-7)
セキュリティ専門家らは、「ハリケーン・サンディ(Hurricane Sandy)の影響 を被った住民に、eメールによる投票を許可する」というニュージャージー州 当局による決定は「危険」だと述べている。投票者らの中には、票を入れるた めに設置したeメールの受信トレイが満杯だったので、票がメールで戻ってき たと報告している者もいる。嵐によって、数多くのニュージャージー州の住民 が洪水、また、ガス・電気・水道が使えなくなったために、住む場所を失った。 また、嵐による被害で、道路も運転が困難な状態にある。同州は、海外に住ん でいる住民に対しては、eメール投票を許可しており、今回はその許可の範囲 を、ハリケーン・サンディによって立ち退きを余儀なくされた住民にも与える 形で拡大した。

http://www.nextgov.com/cybersecurity/2012/11/election-takeaway-emergencies-arent-time-experimenting/59336/?oref=ng-channeltopstory
http://www.bbc.co.uk/news/technology-20217810

【編集者メモ】(Murray)
誰が何を行っても、それは「危険」な行為である。この場合、「投票されても 集計されないおそれのある票が出てきてしまう」リスクと、「それ以上にかな り多くの有権者が、そもそも投票を行わない」リスクとの比較検討を行わなけ ればならない。
【編集者メモ】(Pescatore)
ほとんどの企業は顧客に対し、定期的に「わが社は、あなたのパスワードやア カウント情報をeメールで尋ねることはありません」と通知していることから もわかるように、eメール投票が、極めて危険であることはわかっているはず だ。NJ州は、物理的な紙面による票でeメールによる票の証拠立てを行い、こ のリスクを最小限に抑えていたようだ。しかしながら、大統領戦の前に行われ る地方選挙で、候補者にとって安全なアプローチを開発し、試験運用後デバッ グを行い、大統領選挙でこのような非常時利用を行っても問題ないかどうかを 入念に調べておいた方がずっとよかったと思われる。

────────────────

◆Alexander大将 米国のサイバーセキュリティに前進の勢いがないことに苛立ち(2012.11.8)
米国NSA(国家安全保障局)局長および米国サイバー司令部長官Keith Alexander 大将は先週、Symantecの年次政府シンポジウムに参加していた政府やITセキュ リティ産業の構成員らに対し、「米国は、サイバーセキュリティに関して言え ば、まだスタートラインで滞っている状態にある」と述べた。Alexander大将 は、「米国には国のネットワークを守る能力こそあるものの、議会がサイバー セキュリティ関連法に取り組むまでは、何の発展もないだろう」と言及してい る。また、「米国には、ネットワーク運用のあり方や、サイバー攻撃が重大な インフラに対して与える脅威の大きさについての理解がない」と加えた。 「『8月にSaudi Aramcoを標的にした攻撃』のような攻撃が来ることを懸念し ているが、それに対して行動を起こすべき時に、何をすべきかの議論に多くの 時間を費やしている状態にある」と続けた。

http://www.federalnewsradio.com/473/3110944/On-cyber-defense-US-stuck-at-the-starting-line

【編集者メモ】(Pescatore)
現在、積極的に対策を『実行』し、所属企業がインターネットを大量に、かつ、 採算の取れる方法で利用できるように、その企業の安全を維持している人のほ とんどは、『法案について議論するのは止めて、ただ実行に立ち戻るのみ』あ ることに賛成するだろう。
【編集者メモ】(Honan)
組織が、SANSの「20の重大なコントロール」や、豪州(DSD)参謀本部国防信号 局による「トップ35の影響軽減戦略(Top 35 Mitigation Strategies)」のよう なガイドラインに従ってネットワークを守るというよりも、「行うべきこと」 を把握するために法制定を待ちのぞんでいるのだとしたら、大将には、今以上 に懸念すべきことがたくさんあることになる。
【編集者メモ】(Paller)
(「問題に恐れ入る」ことから「それを修正する」方向に)行動の転換を行っ ている組織は、「法遵守時代のベンチマーク(NISTやISOの基準)を守る」体制 から、「行動時代のベンチマーク(CCAの20の重大なコントロール:英国のプ ランをこちらでご覧あれ。:
http://www.cpni.gov.uk/advice/cyber/Critical-controls/
また、豪州の戦略については、次のニュースで詳細が語られている。)に従う」 体制に切り替えてそれを実行してきた。

────────────────

◆豪州 信頼性のある標的型攻撃阻止方法を見出した最初の国に(2012.10.30-31)
サイバー上の脅威をめぐる情勢は、「情報を盗み出す」攻撃から、「システム、 および、システムによって制御されている運営に実際に損害を与える」攻撃を 行う方向へと変わっている。豪州(DSD) 参謀本部国防信号局は、国家が仕掛け てくるさまざまな攻撃を阻止するためになすべきことを把握している。DSDは、 「トップ35の影響軽減戦略(Top 35 Mitigation Strategies)」という題のリス トを作成したほか、「トップ4の戦略を導入するだけでも、標的型攻撃の85%は 阻止できる」ことも発見した。リストのトップにあるのは「ホワイトリスティ ング」で、次に「アプリケーションにパッチを適用する」こと、「OSにパッチ を適用する」こと、「管理者の権利は、実際にアクセスが必要は人のみに限定 して与える」ことと続いている。

http://www.csoonline.com/article/720272/cyber-attacks-have-changed-but-australia-is-doing-something-about-it-sans
http://www.technologyspectator.com.au/keeping-cybergeddon-bay

────────────────

◆Kasperskyの調査結果:「使用されているブラウザの23%が古いバージョン」

Kasperskyが行った調査によって、「現在使用されている全てのブラウザの4分 の1が、最新の状態になっていない」ことがわかった。古いバージョンのブラ ウザのうち14.5%は1つ前のバージョンで、8.5%はそれよりも古いバージョンだ という。主要なブラウザにはすべて、自動アップデートのオプションがある。

http://www.computerworld.com/s/article/9233501/Out_of_date_vulnerable_browsers_put_users_at_risk?taxonomyId=17

【編集者メモ】(Pescatore)
きっと、最新の状態ではないブラウザのほとんどは、特定のバージョンでのみ 作動できるアプリをたくさん抱えている企業のブラウザ(ほとんどがIE)だろう。 ここで、CIOの評価項目に足すべきよい項目がもう1つできた。その項目とは、 「特定のブラウザに依存したアプリは使わない」である。どれくらいの割合(%) のブラウザが、Windows XPないしはWindows 2000など、時代遅れのOSで運用さ れているのかを調べてみるのも興味深いだろう。多くの組織では、経済的な理 由から時代遅れのプラットフォームで運営されており、そのため、このような プラットフォームで実装できるブラウザが限定されてしまっている状況にある。
【編集者メモ】(Paller)
John Pescatoreの編集者メモでは、アプリの基準とサイバーセキュリティの有 効性の関連性が指摘されている。アプリケーションの開発者やマーケティング 担当者(、および、それらを買うCIO)に、アプリケーションをセキュリティ上 のベンチマークに適合させる必要性が生じない限り、そのような状況の中で、 防御可能な環境を作り上げることができるセキュリティ要員はほとんどいない と言ってよいだろう。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中の無料セミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月22日(木)・12月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=01

○11月27日(火)・12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=02

○11月29日(木)・12月20日(木)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=03

○11月30日(金)
 クラウドを活用した、失敗しない文書管理プロジェクトの進め方
 ~紙や電子といった媒体にとらわれず、継続できる文書管理の秘訣をご紹介~
http://www.sri-net.co.jp/seminar_bunshokanri.html

○12月5日(水)【※製造業様限定】
 サイバーセキュリティセミナー2012
 ~グローバルで戦う日本の製造業が、
  今から備えたいサイバーセキュリティ対策~
http://www.nri-secure.co.jp/seminar/2012/1205.html?xmid=300&xlinkid=04

○12月18日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修                <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=08
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年11月9日 Vol.12 No.45)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

================================================================
■今週のトップの脆弱性
研究者Tavis OrmandyがSophosと連携し、同社製アンチウイルス製品をリリー スする前にパッチがしっかりと適用されていることを確かめたこところ、同製 品にリモートで簡単に悪用可能な脆弱性が複数あることがわかり、その情報が 公表された。
Ormandyが情報開示メモにPoC(概念実証型)エクスプロイトを掲載したため、こ れらの脆弱性の周辺で、悪意のある活動がすぐに始動することが予想される。 Sophos製品のユーザーは、自身のソフトウェアをただちにアップデートすべき である。

=================================================================

◆研究者のTavis Ormandy Sophos製品用の複数のエクスプロイトに関する情報を公表

<詳細>
著名なセキュリティ研究者のTavix Ormandyは理論的な内容の昨年の公表に引 き続き、今回は批判的なメモで、整数オーバーフロー、クロスサイトスクリプ ティング、ヒープオーバーフロー、DOS攻撃など、一般的なSophosアンチウイ ルスの実装に対して相次いで使える実践的な攻撃テクニックを公表した。
Ormandyが10月にSophosに対して脆弱性の情報を伝えていたため、1つの攻撃手 法(DOS攻撃)以外の全てに対してパッチがリリースされている。Ormandyの論文 には悪用方法の詳説が掲載されており、原則的に間もなく世間でエクスプロイ トが出現すると考えられるので、顧客らは、なるべく早急にアップデートを行 うべきである。

<参考>
https://lock.cmpxchg8b.com/sophailv2.pdf
http://nakedsecurity.sophos.com/2012/11/05/tavis-ormandy-sophos
<Snort SID>
24625, 24626
<ClamAV>
PDF.Exploit.Agent-3

────────────────

◆アノニマス 数多くの侵害を行ってGuy Fawkesの日を祝う

<詳細>
アノニマスのメンバーらは今年、世界各地の多数のWebサイトを破壊し、Image ShackやSymanteなどの主な標的を侵害して得たとされているデータのかなりの 部分をPasteBinに貼り付けることによって、Guy Fawke(アノニマスが、ロゴに 使うマスクとして描いた人物)の日を祝うことにした。アノニマスの主張内容 については、まだ検証が行われている最中である。一方で、組織的な活動が行 われていることを踏まえると、防御する側が最大限の努力を行っているにもか かわらず、このグループは引き続き、自由自在にインターネットに大混乱を引 き起こす力を本質的に持っていることが示された。

<参考>
http://pastebin.com/raw.php?i=jhLt7s83
http://www.technewsworld.com/story/Many-Hacks-Claimed-Few-Confirmed-on-Anons-Day-of-Mayhem-76555.html
<Snort SID>
該当なし
<ClamAV>
該当なし

────────────────

◆ニュージャージー州 投票日間際にeメール投票を許可してセキュリティ上の災害を招く

<詳細> 先週のハリケーン・サンディで、ニュージャージー州の住民の多くが住む場所 を失うか、ないしは、投票能力に影響を及ぼしている状況の中、ニュージャー ジー州政府は投票日間際に「eメールで投票を行うことを有権者に許可する」決 定を下した。「公式リストに掲載されている投票用eメールアドレスがメールを 弾いたため、Hotmailなどのサービス上で私的なアカウントを投票ボックスとし て使用するはめになる」といった投票手順めぐる混乱が発生し、数多くのセキュ リティの隙間が空いた状態で残されることとなった。
不正投票の問題が発生する可能性があるだけでなく、このプロセスの後続とし て、「eメールによる投票を認証する必要がある」とうたったフィッシング攻撃 が発生する可能性も考えられる。最終的な結末がどうであれ、今回の実験的な 行為は、このようなシステムの大規模なテストケースになりうるため、将来の 遠距離オンライン投票に重大な影響を及ぼすことになるだろう。

<参考>
http://www.state.nj.us/governor/news/news/552012/approved/20121103d.html
http://www.crypto.com/blog/njvoting/
http://www.businessweek.com/news/2012-11-06/security-of-n-dot-j-dot-e-mail-voting-after-storm-is-questioned
<Snort SID>
該当なし
<ClamAV>
該当なし

────────────────

◆Coca-Cola ハッキングされていたことを隠す

<詳細>
Bloomberg News Serviceは今週、「Coca-Cola社は、中国系ジュースメーカー のHuiyuanの買収を2009年に検討していたが、その取引が失敗に終わる3日前に 侵害を受けていた」と発表した。発表によれば、この侵害によって、この買収 に関する数多くの機密ファイルが盗み出されたという。侵害が発生したこと自 体も残念だが、それだけでは、特にニュース報道を行うに値しなかった。しか し今回は、Coca-Colaが侵害されたことを公表しなかったことが論点となって いる。3年前に侵害公表が義務付けるルールがSECガイドラインに設けられてい たとすれば、現行のSECガイドラインでは、それが義務になっていたはずだか らである。したがって、ネットワークが侵害された組織が侵害に関して公表を 行う責任についての議論に、間違いなく再び火が付くことだろう。

<参考>
http://www.bloomberg.com/news/2012-11-04/coke-hacked-and-doesn-t-tell.html
<Snort SID>
該当なし
<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。