NRI Secure SANS NewsBites 日本版

Vol.7 No.48 2012年12月11日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.48 2012年12月11日発行
**********************************************************************


■■SANS NewsBites Vol.13 No.95-96
(原版:2012年11月30日、12月5日)

◆CyberCity(サイバー演習場) 2週間後にはワシントンDCで稼動開始 (2012.11.29)
実世界のサイバートレーニングを行うために、複数の軍組織および重大なイン フラ施設にサイバー演習場が配備され、ワシントンDCで開催されるチャンピオ ントーナメントでその試行テストが行われる。このチャンピオントーナメント には重要なサイバー競技会で勝者となった人が集結し、そこで、自身のスキル をテストするほか、自慢するために戦いを繰り広げる。

http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/240142921/cybercity-faces-its-first-attacks-next-month.html
チャンピオントーナメント:
http://www.sans.org/special/netwars-champions
────────────────

◆シンクタンクの報告書 サイバー上の能力を国防予算の「重要資産」とみなす(2012.11.27)
ワシントンDCをベースにしたシンクタンク、CSBA: Center for Strategic and Budgetary Assessmentsが作成した「戦略的な選択:緊縮策の舵取り(Strategic Choices: Navigating Austerity)」という題の報告書によると、「国防費が計 画的に減らされているが、国防総省は、サイバー上の攻撃能力・防御能力など、 複数の特定分野に継続的に投資を行うべきだ」という。報告書上では、サイバー 上の軍事作戦(Cyber Ops)は、米国の国防プログラムの中でも、予算削減中で も割り当てる予算を守るべき4つの「重要資産」の1つに指定されている。

http://www.defensenews.com/article/20121127/DEFREG02/311270006/Study-Keep-Investing-Spec-Ops-Cyber?odyssey=tab%7Ctopnews%7Ctext%7CFRONTPAGE
http://www.csbaonline.org/publications/2012/11/strategic-choices-navigating-austerity/
────────────────

◆一部のSamsung製プリンタにあるハードコード化された管理者アカウントセキュリティ上のリスクをもたらす(2012.11.28)
米国CERTは、「一部のSamSung製プリンタにあるファームウェアには、ハード コーディングされたバックドアのアカウントが含まれており、これが悪用され ると、影響を受けるネットワークへのリモートアクセスが可能になる」と消費 者に警告している。管理者用アカウントについてはアクセスの検証は必要ない ほか、ユーザーがこの管理者用アカウントを無効化することはできないように なっている。この問題の影響を受けるSamsung製品は、2012年10月31日より前 に販売された製品である。Samsungは、「11月30日までに、全ての現行モデル のためにアップデートしたファームウェアを発行し、また、年末までに他の全 てのモデルもアップデートをできるようにする」計画だ。この欠陥を攻撃者が 悪用すれば、印刷ジョブが読み取れるようになる。この問題は、SNMP(簡易ネッ トワーク管理プロトコル)を無効にすれば解決可能である。ほか、Samsungが製 造している一部のDellプリンタも、この問題の影響を受ける。

http://www.computerworld.com/s/article/9234118/Samsung_to_issue_firmware_fix_for_printer_security_flaw_on_Friday?taxonomyId=17
http://www.zdnet.com/researcher-reveals-backdoor-access-in-samsung-printers-7000008013/
http://www.informationweek.com/security/vulnerabilities/samsung-printers-have-hidden-security-ri/240142715
http://news.cnet.com/8301-1009_3-57555820-83/some-samsung-printers-vulnerable-to-hackers/
http://www.kb.cert.org/vuls/id/281284

【編集者メモ】(Northcutt)
友人にはSamsungのプリンタは使わせない。Samsungは明らかに、同社製のプリ ンタドライバに時々署名するのを忘れ、終点でホワイトリスティング (end-point white listing)を行ったとしてもシステムを保護しにくい状態を 作り上げていた。(そして、ドライバに自分で署名する方法についての説明 を私に書いて送ってこないでいただきたい。それは的外れである。)
http://aaron-kelley.net/blog/2012/10/installing-the-samsung-ml-1210-printer-driver-on-windows-8/
http://techblog.mirabito.net.au/?p=68
【編集者メモ】(Honan)
プリンタやスキャナ、コピー機など、ネットワークにつながったデバイスには、 機器に組み込みOSや大きな記憶容量がインストールされているため、無許可の ユーザーがアクセスできてしまうと多くの機密情報が漏えいするおそれがある。 また、このような機器の多くは、インターネットでアクセス可能である。 ShodanのWebサイトで「ネットワークにつながったプリンタ」を検索すると、 3万件以上ヒットする。

────────────────

◆ホワイトハウス サイバーセキュリティに関する大統領令原案を改正(2012.11.30)
サイバーセキュリティに関する大統領令のホワイトハウス原案が改められ、技 術業界団体やCCUS(米国商工会議所)の代表者らとの会合で取り上げられた懸念 事項が、命令に組み込まれることとなった。今回の変更には、「指導要綱は、 1つのセキュリティ技術を他の別の技術よりも優先して使うように命令するも のではない」と明記された文言が含まれている。「技術革新を可能にし、かつ、 組織的差異に対する説明責任を担うために、サイバーセキュリティ上の枠組み によって『個々の技術に対して中立的』でありながら『重大なインフラセクター が、必須要件を満たす製品・サービスの競争市場から利益を享受できる』サイ バーセキュリティ上の指導要綱を提供する」との記載もある。また、この原案 の他の改正部分には、「重大なインフラの運営者らが自発的にプログラムに参 加し、特定のサイバーセキュリティ基準に従う動機になりうるインセンティブ を推奨せよ」という米国財務省・商務省に対する指示も含まれている。このよ うなインセンティブは、大統領令の適用範囲内に収まらなくてはならない。こ の大統領令は、上院議会がサイバーセキュリティ関連法案を先月否決して以来、 発令が見込まれていた命令である。

http://thehill.com/blogs/hillicon-valley/technology/270429-white-house-draft-cyber-order-adds-changes-to-mollify-tech-industry
────────────────

◆米国DARPA ソフトウェア商品・ファームウェア商品の審査プログラムを導入(2012.11.30)
米国DARPA(国防総省国防高等研究事業局)は、同局の「ITソフトウェア・ファー ムウェア商品の審査(Vetting Commodity IT Software and Firmware)」プログ ラムに関する情報を公表した。このプログラムによって、「IT商品デバイスに バックドアや悪意のある機能が無いことを確認する目的で、それらのデバイス のセキュリティおよび機能性を検証する革新的、かつ、大規模なアプローチを 開発する」ことを目指す方針だ。VETというこのプログラムは、「中国の技術 企業HuaweiとZTEを『外国政府の影響が無いとは信頼できない』ため、『米国、 および米国のシステムにセキュリティ上の脅威をもたらす』」と結論付けた上 院議会の公聴会をきっかけに立ち上げられた。この公聴会の調査結果はコード の検査結果ではなく、同2社の商慣行の分析結果に基づいたものである。

http://www.informationweek.com/security/vulnerabilities/darpa-looks-for-backdoors-malware-in-tec/240143043
http://www.darpa.mil/NewsEvents/Releases/2012/11/30.aspx
【編集者メモ】(Honan)
英国は、2010年に同じような施設を設けている。
http://www.zdnet.com/huawei-opens-cybersecurity-testing-centre-in-uk-3040091082/
この施設は、英国政府の諜報機関GCHQ(政府通信本部)の一部であるCESG(英国 政府通信司令部通信電子セキュリティグループ)の監督下にある。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年12月13日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2012/mail02.html?xmid=300&xlinkid=03

○2012年12月14日(金)/2013年1月29日(火)・2月26日(火)・3月19日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○2012年12月18日(火)/2013年2月19日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

○2012年12月20日(木)/2013年1月23日(水)・2月21日(木)・3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=01

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

○2012年12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=08
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年11月30日 Vol.12 No.48)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

=============================================================
■今週のトップの脆弱性
SCADAのセキュリティが、引き続き大きな反響を呼ぶ問題となっており、ベン ダー2社が、さまざまなスイート製品にゼロデイのリモートのコード実行のバ グが大量にキャッシュに格納されていると述べている。これに関する詳細は、 今のところはせいぜい概略程度となっているが、影響を受ける可能性のあるソ フトウェアのユーザーは、これらのエクスプロイトの情報が明らかになったら 直ちにICS-CERTや製品のベンダーと連携し、問題を解決すべきである。
=============================================================

◆SCADAに リモートで悪用可能なさまざまなゼロデイのエクスプロイト

<詳細>
マルタ島のセキュリティファーム ReVulnが行った「異なる複数のSCADAシステ ムに、リモートで悪用可能な複数のバグを発見したが、影響を受けるベンダー に対してそれらのバグの詳細情報を与える予定はない」という発表に対応し、 リバースエンジニアリング・ファーム Exodus Intelは、SCADAにある明白な23 個の脆弱性の詳細情報をSCADAセキュリティを特に担当している米国の政府機 関 ICS-CERTに提供した。これまでに、双方のセキュリティファームの脆弱性 情報はどちらも一切公表されていないが、影響を受ける可能性のあるソフトウェ アのユーザーは、ICS-CERTに連絡をとって影響軽減策に関する情報をできるだ け早く獲得し、アップデートが入手可能になったらすぐにベンダーと連携し、 迅速なパッチ適用が求められる。

<参考>
http://blog.exodusintel.com/2012/11/25/what-does-a-flightless-bird-and-scada-software-have-in-common/

<Snort SID>
該当なし
<ClamAV>
該当なし

────────────────

◆Samsungプリンタにバックドアのアカウント

<詳細>
Samsungが2012年10月31日よりも前に製造したネットワークを意識できるプリ ンタ(実際にはSamsungが製造している一部のDellプリンタも含む)には、ハー ドコーディングされたSNMPリード/ライトのコミュニティストリングがある。 これによって、ユーザーがSNMPを無効にしていたとしても、管理者権限のデバ イスに対する全てのアクセスが可能になる。現在、Samsungはパッチを作成し ている。その間、ユーザーは影響を受けるプリンタ(攻撃者や産業スパイが利 用するおそれのある機密情報があるプリンタ)に向かうSNMPの全通信の阻止を 検討すべきである。

<参考>
http://www.kb.cert.org/vuls/id/281284
http://l8security.com/post/36715280176/vu-281284-samsung-printer-snmp-backdoor

<Snort SID>
24814
<ClamAV>
該当なし

────────────────

◆Invision IP Boardにリモートのコード実行の脆弱性

<詳細>
広範に使用されているWebフォーラムのInvision IP Boardシステムには、特定 のクッキー値にあるPHPのシリアライズ化したコード(PHP serialized code)の 扱いに問題があるため、簡単に悪用可能なリモートのコード実行の脆弱性が生 じる。影響を受けるユーザーは、即座にシステムにパッチを適用すべきである。

<参考>
http://community.invisionpower.com/topic/371625-ipboard-31x-32x-and-33x-critical-security-update/
http://www.metasploit.com/modules/exploit/unix/webapp/invision_pboard_unserialize_exec

<Snort SID>
24804
<ClamAV>
該当なし

────────────────

◆LighttpdのWebサーバにDOSの脆弱性

<詳細>
簡単に悪用できるDOS攻撃の脆弱性が、広範に使用されているLighttpdのWebサー バ(フットプリント容量が小さくて済むため、リソースに余裕がないシステム 上での開発を行いやすいことで知られている)に最近発見された。間単にHTTP リクエストを作成できるツールを持っているユーザーであれば、この脆弱性を 簡単に悪用して、サイトをオフラインに追い込むことができる。影響を受ける ユーザーは、即座にパッチを適用すべきである。

<参考>
http://www.lighttpd.net/2012/11/21/1-4-32/

<Snort SID>
24805
<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。