NRI Secure SANS NewsBites 日本版

Vol.7 No.46 2012年11月27日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.46 2012年11月27日発行
**********************************************************************


■■SANS NewsBites Vol.13 No.92-93
(原版:2012年11月16日、11月21日)

■はじめに(Alan Paller:SANS Director of Research)
速報:
昨夜、米国司法省は、「BPの2人の取締役に安全検査上の過失があったとし、 複数の過失致死の訴因で同人らを起訴した」と発表した。2つの重大なインフ ラのサイバーセキュリティのマネージャらから我々宛てに、このニュース記事 が送信されてきた。そして、「大事なことに焦点をあてなかったために損害が 生じた場合は、サイバーセキュリティ上の過失で告訴も可能だ」と指摘してく れた。
http://www.usatoday.com/story/money/business/2012/11/15/bp-near-settlement-with-us-over-gulf-spill/1706209/

追伸:
ワシントンDCで、次回は来夏まで開催されないという最大規模のサイバーセ キュリティトレーニングのカンファレンス開催まであと3週間である。このカ ンファレンスでは、「このうえなく素晴らしい」とされている他のカンファレ ンスよりもさらに素晴らしい、世界クラスの話の25講演や無料イブニングセッ ションも開催される。
http://www.sans.org/event/cyber-defense-initiative-2012

────────────────

◆サウスカロライナ州歳入局(South Carolina Dept. of Revenue)侵害を検知せず(2012.11.15)
(SCDOR)サウスカロライナ州歳入局は、「同局に税申告を行った個人および事 業450万件分の税務記録を侵害する」というデータセキュリティ上の侵害が発 生したと最近認めた。米国のシークレットサービスはインシデントの状況を、 インシデント発生後1ヶ月経過してから発表している。SCDORに雇い入れられた 請負業者の業務は、システムがマルウェア感染しないようにすることではなく、 「クレジットカード情報を維持している組織に関する必須要件にSCDORが法遵 守できているか」に重点をおいて、ネットワークセキュリティに注意を払うこ とだった。SCDORはアンチウィルスやアンチマルウェアのスキャンを定期的に 行っていたが、それでも、侵害を検知することはできなかった。サウスカロラ イナ州知事Nikki Haleyは州閣僚(her Cabinet)に対し、今後は「異常なアップ ロードやダウンロード、疑わしいプログラムを素早くに検知できる同州情報技 術局(Division of State Information Technology)のコンピュータネットワー ク監視サービスなど、より強固なコンピュータセキュリティを使用する」よう に命令した。Haley知事は、「同州には、オフィスにこれらのコンピュータを 監視する者を1日24時間常駐させる必要がある」と認めている。この24時間常 駐業務は、前述の強化サービスで提供されるという。

http://www.goupstate.com/article/20121114/WIRE/211151017/1088/SPORTS?Title=Security-contractor-didn-t-detect-hacker-from-SCDOR-website
【編集者メモ】(Pescatore)
我々は、脅威が「適正評価」レベルのセキュリティの先を越すという状態に定 期的に出くわす。そして、この状態を最初に検知できる場所は、一般的には、 ネットワークの能動的な監視が行われているところである。重要となる語は、 「能動的」な監視である。新しい脅威を検知するには、能動的な取り組みが必 要だ。法遵守の見地では、非常に小さな事業以外は、カード会員データ環境 (Cardholder Data Environment)がPCI評価をパスしたとしても、それでは、 ネットワーク全体が、今日の標的型攻撃から十分に守られている状態にあると はちっとも言えない。
【編集者メモ】(Honan)
残念ながら、サウスカロライナ州歳入局のセキュリティは、侵害検知を単独で 行っているわけではない。2012年Verizon侵害捜査レポート(Verizon 2012 Data Breach Investigations Report)によると、
http://www.verizonbusiness.com/about/events/2012dbir/
企業の92%はサードパーティからセキュリティ侵害発生の知らせを受けている。 産業界として我々は、法遵守主導のセキュリティから離れ、正しい対象に焦点 をあてた運用管理主導のセキュリティに移行していく必要がある。
【編集者メモ】(Murray)
知事のコメントからは、「サウスカロライナ州は、単純に市民のプライバシー の保護責任に無関心だった」ことがうかがえる。連邦主義を支持する素晴らし い主張である。ほとんどの州がより責任ある態度を取り、そうでない州もこの 出来事から何かを学んでほしいものだ。
【編集者メモ】(Paller)
この新聞記事によって、一般市民は、サイバーセキュリティが根本的にうまく いっていない現状を理解し始めるだろう。法遵守による統治体制では、「間違っ た対象が測定される」事態に陥るか、そうでなければ、「コンサルタントらは 間違った対象を導入し、なすべき仕事の一部を行っているだけ」という事態に なるだけである。

────────────────

◆大統領 米国軍のための機密サイバーセキュリティ政策指令に署名(2012.11.14)
オバマ大統領は、「米国の重大なインフラに対するサイバー攻撃の撃退を、米 国軍に許可する」機密指令、大統領政策指令第20号(Presidential Policy Directive 20)に署名した。この指令によって、サイバー上の脅威への対応に 関する基準が設けられることになる。また、官民のネットワークが脅かされた 場合には、同指令によって敵対者らのネットワークに対して行動を起こす権限 が国防総省に与えられる。同指令では、ネットワークの防御とサイバー上の軍 事行動(cyberoperation)が区別されている。これについて、とある上級政府高 官は次のように説明している。「ネットワーク防御は、自組織のネットワーク の中で行うことであり、サイバー上の軍事行動は、その空間の外で行うことで あるほか、防衛目的でその行動を行っている可能性があることを認識すること である。」1ヶ月ほど前に署名されたこの指令は、機密文書になっており、同 指令によって、サイバー空間で起こす行動はすべて、交戦国際法規 (international rules of war)に遵守することが求められる。また、同指令に は、「警察および既存の情報セキュリティ防衛措置が、防御の第一線である」 と記されている。

http://www.washingtonpost.com/world/national-security/obama-signs-secret-cybersecurity-directive-allowing-more-aggressive-military-role/2012/11/14/7bf51512-2cde-11e2-9ac2-1c61452669c3_story.html
http://www.nextgov.com/defense/2012/11/obama-directive-would-allow-preemptive-cyber-strikes/59522/?oref=ng-channelriver
http://news.cnet.com/8301-1009_3-57550092-83/obama-reportedly-signs-secretive-cybersecurity-policy-directive/
http://www.informationweek.com/government/security/obama-secret-order-authorizes-cybersecur/240134945

────────────────

◆サイバーセキュリティ法案 米国上院で通過せず:大統領令発令の可能性高まる(2012.11.14-15)
米国上院議会では、またしても、サイバーセキュリティ法案の可決は実現しな かった。今回は、51対47で、上院議員らはサイバーセキュリティ2012年法案通 過の動議を否決している。今年はじめに共和党の上院議員らは、「同法案の下 では、あまりにも重過ぎる規制上の負荷が事業にかかる」と言及し、同法案を 阻止した。Obama大統領、Leon Panetta国防長官、および、その他の米国セキュ リティ当局者らはこれまで、サイバーセキュリティ関連法を可決するように議 員らに要請してきた。Joe Lieberman上院議員(コネチカット州・無所属)は 「同法案が通過しなければ、Obama大統領が『この法案に設けられた目標の全 てではないにしろ、一部を達成する』大統領令を発令するだろう」と述べた。 また、Liebermanは、「我々議会が行動を起こさなければ、米国民はサイバー セキュリティを脅かす攻撃に極めて脆弱な状態のまま放置されることになる。 したがって、大統領には行動を起こす責任がある」と続けた。

http://www.computerworld.com/s/article/9233656/Cybersecurity_bill_fails_in_U.S._Senate?taxonomyId=17
http://www.nextgov.com/cybersecurity/2012/11/cybersecurity-bill-falls-short-senate-again/59538/?oref=ng-channelriver
http://www.informationweek.com/government/security/congress-kills-cybersecurity-bill-white/240142198

────────────────

◆米国DHS(国土安全保障省) 有能なサイバーセキュリティ関連職者を引き付けてつなぎとめる方法を検討(2012.11.13)
米国政府局は、特にサイバーセキュリティの専門知識を持った有能なコンピュー タ関連職者を雇い入れようとお互いに張り合っている。政府局は、最良の職員 を獲得するためにお互いに競い合うだけでなく、CIA(中央情報局)、NSA(国 家安全保障局)、または、DHS(国土安全保障省)の給与額を上回る、民間セク ターの給与とも張り合わなくてはならない。上記の政府局はそれぞれ、サイバー 領域で600人を雇い入れようと取り組んでいる。今年はじめに米国DHSのJanet Napolitano長官は、サイバーセキュリティ要員を育成し、同省が有能な職員を 引き付けてつなぎ止められるための最良の方法を見出そうとタスクフォースを 組織した。このタスクフォースが作成した推奨策リストの上位には、「新規に 雇用する政府職員のために、侵入テストやインシデントレスポンスなどの『す ばらしい職務』を用意しておくこと」とある。

http://www.washingtonpost.com/world/national-security/federal-agencies-private-firms-fiercely-compete-in-hiring-cyber-experts/2012/11/12/a1fb1806-2504-11e2-ba29-238a6ac36a08_story.html

────────────────

◆米国VA(復員軍人擁護局) 基本的なセキュリティテストに不合格:「暗号化ソフトウェアをインストールしていなかった」ために数100万ドルの投資が無駄になる

米国NASA(航空宇宙局)でノートパソコンのセキュリティに問題があった最近 の事件を踏まえて、このニュース記事を指し示してくれた、News Bitesの元編 集者Gal Shpantzerにこの場を借りて感謝したい。

米国退役軍人省・監察総監室(Office of the Inspector General)の報告書に よると、「2006年に購入した30万件の暗号化ソフトウェアのライセンスのほか、 2011年に購入した10万件のライセンスのうち、VAの情報技術部(OIT:Office of Information Technology)は、それらの16%にあたる6万5,000件をインストール しただけだった」という。2006年に購入されたライセンスには、3,700万ドル の費用がかかっている。ライセンスがアクティベートされていなかった理由と して、「OITには、VAのコンピュータに互換性があることを確認する時間や、 VAのコンピュータに暗号化ソフトウェアをインストールする人的リソースが十 分であることを確認する時間がなかった」ほか、「プロジェクトの適正な監視 を行い、全てのVAのノートパソコンやデスクトップコンピュータが暗号化され ていることを確認する時間がなかった」と述べられている。 暗号化プロジェ クトは、2006年5月に2,600万人の退役軍人の身元がわかる個人情報が含まれた ハードドライブが盗まれた後に始まった。

http://www.va.gov/oig/pubs/VAOIG-12-01903-04.pdf
http://www.fiercegovernmentit.com/story/oig-finds-85-percent-va-encryption-licenses-lay-dormant/2012-10-16

【編集者メモ】(Paller)
VAには、政府屈指のCIO-CISOチームがある。しかし、その1つ直下の層、すな わちマネージャらは、効果的なセキュリティ導入という点で最後までやり通す ことをしていない。VAは、(1,500万ドル以上する)自動監視ツールを実装し た最初の政府局の1つだった。しかし、マネージャらは、国務省のようにそれ をセキュリティ向上に役立てたことがない。さらに悪いことには、VAが導入し たセキュリティトレーニングプログラムによって、セキュリティを語る人間が 作り上げられ、彼らは賞賛をあびることとなったが、システムを守るために必 要な技術的タスクを実行することはできなかった。VAにいる数百人のISOら(こ の前私が見た限りでは、600人以上いた)に暗号化ソフトウェアをインストール させた方が、賢明かつ簡単であっただろう。とはいえ、ISOにも彼らの配下の マネージャらにも、重要な、あるいは、さらにシンプルで技術的な防御策を導 入するために必要な基本的なコンピュータスキルは有していなかったようだ。 VAが、技術的なサイバーセキュリティスキルを鍛えるための筋道をISOらに与 え、彼らがそれらの道筋を活用するか、もしくは、転職に向かうかを選べるよ うにすべき時期は、もうとっくにすぎている。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月29日(木)・12月20日(木)/2013年1月23日(水)・2月21日(木)・3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=01

○12月5日(水)
 サイバーセキュリティセミナー2012
 ~グローバルで戦う日本の製造業が、今から備えたいサイバーセキュリティ対策~
http://www.nri-secure.co.jp/seminar/2012/sri02.html?xmid=300&xlinkid=02

○12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=03

○12月14日(金)/2013年1月29日(火)・2月26日(火)・3月19日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○12月18日(火)/2013年2月19日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=08


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年11月16日 Vol.12 No.46)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

==================================================================
■今週のトップの脆弱性
Microsoftは、月例の「火曜パッチ」の一部として、6つの警告を公表した。 これらの中には、「重大」と格付けされているものもあり、可能であれば全て にパッチを適用すべきである。
==================================================================
◆Microsoftの火曜パッチ

<詳細>
6つのMicrosoftセキュリティ警告の対象は、19のCVE、さらに、Windows Server 2003から真新しいWindows 8およびWindows RTのOSにまで及んでいる。 このパッチのリリースには、Microsoft IIS、Internet Explorer、.NET、 Microsoft Office Excelの脆弱性パッチのほか、Windows OSそのものにある脆 弱性パッチも含まれている。

<参考>
https://isc.sans.edu/diary/Microsoft+November+2012+Black+Tuesday+Update+-+Overview/14503
http://blog.snort.org/2012/11/sourcefire-vrt-certified-snort-rules_14.html

<Snort SID>
24653、24654、24660、24661、24662、24663、24652、24671、24655、2565、 25664、24665、24649、24650、24657、24658、24659、24673、24674、24666、 16654
<ClamAV>
HTML.Exploit.CVE_2012_1538、 BC.Exploit.CVE_2012_1539、
PUA.Script.CVE_2012_4776、 Win.Exploit.CVE_2012_2519、
Win.Exploit.CVE_2012_1895、 Win.Exploit.CVE_2012_2897、
BC.Exploit.CVE_2012-1886、BC.Exploit.CVE_2012-1885、
Win.Exploit.CVE_2012_1887、BC.Exploit.CVE_2012-2543
────────────────

◆Blackholeエクスプロイトキット 自身の構造を変化させる

<詳細>
エクスプロイトキットとの戦いが絶えず続く状況においては、Blackhokeエク スプロイトキットが、最も速いスピードで進化するキットだと言えるようだ。 Sourcefire脆弱性研究チームは、可能な限り最良の検知を提供できるよう、こ のキットや他のエクスプロイトキットに関して監視の目を光らせている。我々 は、これらのキットに対する検知が公表されると、その検知を「エクスプロイ トキット」のカテゴリーに配置している。
最近「バージョン2」に進化したキット以外のBlackholeのエクスプロイトキッ トは、配信メソッド、eメール、ドライブバイのWebコンタクト、pdf、javaな どのほとんど全てに存在しうる。 最新のJava、Flash、Adobe Readerおよび Microsoftのアップデートを適用し、可能な場合は、これらのプラグインの無 効化まで行うことを強く推奨する。

<Snort SID>
最近追加された24636、 24637、 24638
<ClamAV>
HTML.Trojan.Blackhole*、 Java.Trojan.Blackhole*、 Win.Trojan.Blackhole*
────────────────

◆戻ってきたKai Xinエクスプロイトパック

<詳細>
Blackhokeのエクスプロイトキットのように、KaiXinエクスプロイトパックは、 ほとんど全ての配信方法に見られる。厳重に難読化されたJavaスクリプト、 Java配信やJava攻撃メソッド、Flash配信やFlash攻撃がこのエクスプロイトの 顕著な特徴となっている。この攻撃メソッドにとりわけ 注意を払い、下の<参考>を読んでいただきたい。

<参考>
http://ondailybasis.com/blog/?p=1610
http://www.kahusecurity.com/2012/new-chinese-exploit-pack/

<Snort SID>
24667、24668、24669、24670
<ClamAV>
Win.Exploit.KaiXin、 Win.Exploit.KaiXin-1

────────────────

◆New Skypeのアドバイザリ

<詳細>
「…新しいセキュリティの脆弱性に関する報告がございます。引き続きこの問 題の調査を進める間、予防手段として、一時的にパスワードのリセットを無効 化いたしました。ご不便をお掛けしましたことをお詫び申し上げます。しかし ながら、我々の最優先事項は、ユーザーエクスペリエンスと安全性です…」

<参考>
http://heartbeat.skype.com/2012/11/security_issue.html

<Snort SID>
該当なし
<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。