NRI Secure SANS NewsBites 日本版

Vol.7 No.47 2012年12月6日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.47 2012年12月6日発行
**********************************************************************


■■SANS NewsBites Vol.13 No.94
(原版:2012年11月23日、11月28日)

■はじめに(Alan Paller:SANS Director of Research)
今朝のワシントンポスト紙の一面をご覧になっていない方は、是非一部お求め いただきたい。トップ記事タイトルは、「サイバーシティによって政府のハッ カーの攻撃練習が可能に("CyberCity allows government hackers to train for attacks)」である。もしくは、オンライン記事を以下のURLでチェックし ていただきたい。
http://www.washingtonpost.com/investigations/cybercity-allows-government-hackers-to-train-for-attacks/2012/11/26/588f4dae-1244-11e2-be82-c3411b7680a9_story.html また、今週のトップニュースの冒頭のニュースにも記載されている。

◆米軍が「サイバー上の飛行シミュレータ」として開発した仮想サイバーシティ(virtual cybercity)(2012.11.27)
仮想シティ(virtual city)は、米空軍のサイバーセキュリティ専門職者がネッ トワークの攻防演習、自身のスキルの確実な評価、および、これらのスキルの 強化を行う上で役立っている。これに関して、米空軍Zan Vautrinot大将は、 「我々は、絶え間なく変わる技術のスピードに合わせて行動していく立場にあ る」と述べた。「我々は、作戦行動トレーニング/テスト活動を行えるように、 バーチャルシティ上でそれらに関係のある作戦行動範囲を提供し、これを実現 することができた」と続く。「NetWars CyberCity」という米空軍のシステム は、銀行、電気・ガス・水道、病院、および、1万5,000人の模擬住民など、実 在するものをモデルとして作られている。このシステムにかかる費用は、米国 サイバーテスト演習場(National Cyber Test Range)の10分の1以下である。他 のほとんどの全ての軍組織、および、特定の民間組織も、低コストであること からをそれを使用している。

http://www.washingtonpost.com/investigations/cybercity-allows-government-hackers-to-train-for-attacks/2012/11/26/588f4dae-1244-11e2-be82-c3411b7680a9_story.html
【編集者メモ】(Paller)
米空軍のNetWarsサイバーシュミレータは、2011年米国サイバーセキュリティ 革新賞を勝ち取り、元ホワイトハウスのサイバーアドバイザ、Howard Schmidt によって同賞が贈られている。CyberCityは、そのNetWarsの次世代版である。 低コストのサイバーセキュリティ飛行シミュレータ(cybersecurity flight simulator)はこれまで、軍、銀行、および、最も進歩的なコンサルティング ファームにとって、高度なサイバーセキュリティトレーニングという観点では 「聖杯」であった。Ed Skoudisのチームと米空軍によって初めて、手の届く料 金で使えるサイバー演習場(cyber range)ができた。NetWarsの得点表には、各 サイバー戦士のスキルの強みと改善の必要がある領域が示されるようになって いる。空軍はこれらを使用してトレーニングをカスタム化し、今までよりも速 いスピードで軍のサイバー戦士をより一層実戦に備えられた状態にするほか、 各戦士の強みを補強できるチーム編成も行っている。また、米空軍は、中級ト レーニング卒業の必須条件としてNetWarsを使用し、全てのサイバー戦士が必 ず、サイバー空間で実際に効果的に任務を遂行できる状態になるように整えて いる。世界各地のNetWarsで最高得点を収めた者がワシントンに集結し、12月 12日から13日にかけて開催されるチャンピオントーナメントに参加する予定だ。 素晴らしいサイバー上のスキルをお持ちの方にとって、NetWarsはそのスキル を実演し、他者と比較して自分がどの位置にいるのかを確認できるこの上ない 場所である。ほとんど全ての大学競技会、および、他のサイバー競技会の勝者 が、NetWarsでの戦いに参加している。 ( http://www.sans.org/special/netwars-champions) NetWarsに関する情報を入手して、大規模なサイバー防御チームのスキルのテ スト、もしくは、強化を行いたい方は、 netwars@sans.org までご一報を。

────────────────

◆米国DARPA(国防総省国防高等研究事業局)のプロジェクトX サイバー上の軍事行動の自動化を目標に

米国DARPA(米国国防高等研究事業局)は、サイバー上の軍事行動の自動化を支 援するコードを組み合わせることを目的としたプロジェクト「プランX」のた めに「技術インキュベーター」的な研究所を設立する。
この研究所は「共同研究空間(Collaborative Research Space)」と称され、 「リアルタイムのサイバー上における戦場の制御」が可能なシステムの開発を 行うための試験場となる予定だ。

http://www.nextgov.com/defense/2012/11/pentagon-establish-foundational-cyberwarfare-incubator/59709/?oref=ng-HPtopstory

────────────────

◆行政機関の長に宛てられた米国大統領覚書(Presidential Memo)
 内部者がもたらす脅威の影響軽減に関する基準の説明を記載(2012.11.26)
新たに米国行政部および行政機関の長らに宛てられた大統領覚書には、「国家 的な脅威に関するポリシー、および、行政機関の内部者がもたらす脅威に関す る最低基準のプログラム(National Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs)」についての説明が記載さ れている。この基準は、「行政部・行政機関内に、内部者がもたらす脅威に関 する効果的なプログラムの作成を推進するための指示および指導要綱を提供し、 米国の安全に脅威をもたらしうる職員の行動の阻止・検知を行うほか、その影 響を軽減することを目標としている。基準の内容については、一般に公表され ていない。

http://www.scmagazine.com/obama-issues-insider-threat-guidance-for-govt-agencies/article/269817/
http://www.whitehouse.gov/the-press-office/2012/11/21/presidential-memorandum-national-insider-threat-policy-and-minimum-stand

────────────────

◆ギリシャ警察 国民のほとんどの個人情報を盗み出した疑いで男を逮捕(2012.11.21)
ギリシャ警察は、「900万人分の個人の身元を特定できる情報を保持していた」 とされる男を逮捕した。これらの記録の中には、複製版の情報もあった。ギリ シャの人口は、およそ1,000万人と推定されている。この男は、IDカード情報、 納税者番号、自宅住所、および、車両ナンバープレート番号を含むファイルを 保持していた。当局は、この容疑者がどのようにしてこれらのデータを入手で きたのか捜査を行っている。

http://www.darkreading.com/security/privacy/240142515/greek-man-accused-of-stealing-data-on-9-million-citizens.html
http://www.theregister.co.uk/2012/11/21/greece_mega_privacy_breach/

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月5日(水)
 サイバーセキュリティセミナー2012
 ~グローバルで戦う日本の製造業が、今から備えたいサイバーセキュリティ対策~
http://www.nri-secure.co.jp/seminar/2012/sri02.html?xmid=300&xlinkid=02

○12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=03

○12月14日(金)/2013年1月29日(火)・2月26日(火)・3月19日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04


○12月18日(火)/2013年2月19日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○12月20日(木)/2013年1月23日(水)・2月21日(木)・3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=01

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

○12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。 http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=08

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年11月23日 Vol.12 No.47)

信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

==========================================================
■今週のトップの脆弱性
ロシアのサイバーセキュリティファーム、Group-IBAによって、Adobe Acrobat Reader Xに対する新しいゼロデイ攻撃が発見された。これまでの攻撃は、悪用 を実現するにはユーザーによる操作が必要だったために限られていたようだが、 地下組織の研究者らは現在、ドライブバイダウンロードやエクスプロイトキッ トでこのエクスプロイトが使えるようにするために、自動化機能の開発を行っ ていると考えられる。
===========================================================
◆Adobe Flashにゼロデイ

<詳細>
ロシアのサイバーセキュリティファーム、Group-IBによって、新しいAdobeの Acrobat Reader Xのメモリ崩壊の脆弱性が最近発表された。最初の報告書では、 「この脆弱性はBlackholeエクスプロイトキットに即座に加えるべき」となっ ていたが、研究者らは、その後すぐに「このバグを悪用するには、ユーザーの 手動操作が必要」だと言及した。具体的には、悪意のあるファイルを、通常の 文書のように閉じる操作が必要となる。したがって、これは、Blackholeやそ の他の自動悪用(automated exploitation)システムには不相応である。今のと ころ、世間での悪用は限られているが、Adobeに最近追加されたサンドボック ス機能やその他のセキュリティ機能の回避は困難であることを考えると、サイ バー犯罪者らは、すでに悪用を自動化する方法の開発に着手しているものと思 われる。現在、パッチはないため、脆弱である可能性があるユーザーは、疑わ しいおそれのあるPDF文書を開くときには用心すべきである。

<参考>
http://group-ib.com/index.php/7-novosti/672-group-ib-us-zero-day-vulnerability-found-in-adobe-x
<Snort SID>
24721、24722
<ClamAV>
該当なし

────────────────

◆64-bit Linuxルートキット 新手の技術を使う

<詳細>
感染したユーザーが感染したサーバから得た詳細情報をフルディスクロージャ (Full-Disclosure)メーリングリスト上に掲示し、新型の64-bit Linux ルートキットが世間に存在していることが判明した。このルートキットが、犠 牲者のnginx webサーバ(ロシアに本拠地を置く企業、Nginx,Inc.がプログラ ミングしたオープンソースのポピュラーなシステムで、広範で使用されている) から供給された全てのHTTPレスポンスに悪意のあるiframesを挿入している。 このテクニックは、ドライブバイダウンロードやその他のエクスプロイトキッ ト型の動作の助力に簡単に用いることが可能で、「世界的なボットネットで使 用する目的で公衆の広範にわたって引き続き感染させていこう」というサイバー 犯罪者らの興味深い、新たな取り組みである。

<参考>
http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html
http://seclists.org/fulldisclosure/2012/Nov/94
<Snort SID>
該当なし
<ClamAV>
UNIX.Trojan.Snakso

────────────────

◆MetasploitでNovell File Reporterのゼロデイのエクスプロイト入手可能

<詳細>
先週、複数のファイルシステムおよび/またはストレージソリューション間で のデータストレージの調整に用いられるNovellのFile Reporterソフトウェア に、1つのリモートコード実行のバグに加えて、複数のリモートファイル検索 (remote file retrieval)の脆弱性があると発表された。これらの脆弱性はす でにMetasploitに加えられており、現在パッチはないため、世間で悪用が発生 していると推測される。影響を受ける可能性がある顧客は、パッチがリリース されるまでは、自分のデバイスをファイヤウォールで適切に遮るように強く勧 められている。

<参考>
http://www.kb.cert.org/vuls/id/273371
https://community.rapid7.com/community/metasploit/blog/2012/11/16/nfr-agent-buffer-vulnerabilites-cve-2012-4959
<Snort SID>
24765 - 24767
<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。