NRI Secure SANS NewsBites 日本版

Vol.7 No.49 2012年12月18日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.49 2012年12月18日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
米国最高峰の侵入テスター、講師、サイバーシミュレーションの生みの親であ るEd Skoudisから、冬季休暇のためのプレゼントがある。それは、Edによる10 周年記念サイバーゲームである。このゲームは、サイバーセキュリティのスキ ルがどのレベルの人にもふさわしいゲームだ。ゲームのレベルは10段階に分か れており、ヒントがたくさん出てくる非常に簡単なレベルから始まる。レベル は徐々に高くなる(徐々にとは言え、最後には難しくなる)仕組みになってお り、ゲームをしながらWebアプリの脆弱性診断のスキルや、ICS(産業用制御シ ステム)のHMI(ヒューマン・マシン・インタフェース)の侵入テストのスキルを 学んでいくことができる。Edのチームは、軍が軍人らに対するサイバーディフェ ンスの指導に用いる非常にリアルなサイバーシミュレータ、サイバーシティ (CyberCity)も構築した。彼らは、素晴らしいゲームの作り方を知っている。 500人以上の方が、今年のゲーム、「"The Year Without a Santa . . . Hack" (サンタによる不正侵入のない一年)」をゲーム公開後2日以内に始めている。 これに関するツイッターでのコメントは、非常に肯定的である。
ゲームにトライされたい方はこちらへ:
http://pen-testing.sans.org/holiday-challenge
このゲームは、冬季休暇中はずっと参加できるようになっている。料金は無料だ。

ボーナス特典:
高まりつつある問題に関して優先的なスタートを切る楽しい方法が、もう1つ ある。多くの組織には、OT(オペレーショナルテクノロジー)としばしば称され る、プロセッサやソフトウェアを搭載したさまざまな電化製品や機器が置かれ ている。これらのシステムには、Confickerのようなワームや、さらに高度な 標的型攻撃の餌食となる脆弱性が存在する。これらの一部は(ICS)産業用制御 システムと呼ばれており、例えば、重要な製造ラインや発電・配電システム、 プロセスコントロールやSCADAシステムなどがある。これらのシステムの多く は重大なインフラの一部であることから、高度な攻撃にとっては大変目立つ標 的になっている。そのため、これらのシステムはNERC(米国電気信頼性評議会) のセキュリティ必須条件に該当する。すでに数多くのIT組織が、OTシステムの 管理業務やセキュリティ業務の引き受けを課せられているが、その業務委託は、 セキュリティに対する考慮はほとんどなしに、あるいは、全くなしに行われて いる。AEP: American Electric Power (米国電力)とNERC(北米の電力網規制機 関)でCSOを務めた経験のあるMike Assanteは、さまざまな組織の前進を支援し、 積極的な防御戦略を立ててこの問題に先取りして取り組むことを目指して、米 国と欧州の産業用制御システムの分野で最高峰の人間で構成されたコンソーシ アムを組織した。彼は、産業用制御システムやOTのセキュリティに関係のある あらゆる人間を招集し、2月に会合を開催する予定だ。実質的な役割を担って いる方でこの会合への招待を望まれる方は、NBISE: National Board of Information Security Examiners(米国情報セキュリティ調査官協会)に彼宛て ( michael.assante@nbise.org )にメールを送信していただきたい。

────────────────

■■SANS NewsBites Vol.13 No.97-98
(原版:2012年12月7日、12月12日)

◆Eurograbber 携帯電話を悪用してオンラインバンキングの2要素認証を打破:数100万ドルが盗まれる(2012.12.5-6)
Eirograbberというマルウェア攻撃によって、3万件の欧州の銀行口座から3600 万ユーロ(4700万ドル)以上の資金が盗み出された。Eurobaggerは、携帯電話に 存在しているZeuSを表すZitmoのバージョンの1つであり、イタリア、スペイン、 ドイツ、およびオランダの特定の銀行の顧客を標的にしている。感染したマシ ンのユーザーがバンキングサイトを訪問すると、このマルウェアはセッション を傍受し、ページにJavaScriptを挿入する。そして、ユーザーは「セキュリティ 上のアップグレードだ」と通告を受けて、携帯電話情報を提供するように要求 される。その後、サイバー窃盗犯は携帯電話に確認のメッセージを送信し、 ユーザーにリンクをクリックするように求めるが、実はそのリンクは携帯電話 を感染に至らせるためのリンクなのである。このマルウェアの指令管制用イン フラは、すでに止められている。

http://www.darkreading.com/authentication/167901072/security/news/240143960/eurograbber-lets-attackers-steal-36-million-euros-from-banks-customers.html
https://www.informationweek.com/security/attacks/zeus-botnet-eurograbber-steals-47-millio/240143837
http://arstechnica.com/security/2012/12/sophisticated-botnet-steals-more-than-47m-by-infecting-pcs-and-phones/

【編集者メモ】(Murray)
金融アプリにハンドヘルドが使用されているという点では、その利用者は攻撃 の標的になる。AndroidやWindows MobileよりはiOSの方が、まだ使うには好ま しい。とは言え、用心すべきである。

────────────────

◆欧州委員会 サイバー活動警告協定の締結まであと一歩(2012.12.5)
「OCSE: Organization for Security and Cooperation in Europe Ministerial Council (欧州政府委員会におけるセキュリティと連携のための組織)」に参加 している国家が、「敵対国と誤解される恐れのあるサイバー空間での政府活動 について、他の調印国を警告する」協定に関して、あと一歩で合意に達すると ころまで来ているようだ。この協定は、過熱する可能性がある誤解を防止する ことを目的としている。同委員会の会合は、アイルランドのダブリンで開かれ る。同委員会が規定したこの協定には、政治的な拘束力はあるが公式な条約で はない。この協定の宣言を行って公式に適用できるようにするには、ロシアや 米国なども含めた参加国全57か国からの同意が必要である。

http://www.nextgov.com/cybersecurity/2012/12/us-russia-other-nations-near-agreement-cyber-early-warning-pact/59977/?oref=ng-channelriver

【編集者メモ】(Henry)
米国政府のサイバー戦略「CNCI: Comprehensive National Cybersecurity Initiative(包括的なサイバーセキュリティ・イニシアチブ)」には、外国政府 のために「レッドライン (redline)(平和的解決から軍事的解決へと移るその 一線)」を定めるイニシアチブも含まれている。これらのレッドラインは、サ イバー空間での具体的な活動を指すものであり、ラインを超えると米国による 明確な対応が行われることになる。OCSEによる「確実な意思疎通経路を培って、 誤解を減らし、予期せぬ結果にならないようにする」取り組みは、このような レッドラインを決めるプロセスに必要不可欠な措置である。

────────────────

◆サウジアラビア政府談:ShamoonでSaudi Aramcoの石油生産中断には至らず(2012.12.10)
Saudi Aramcoとサウジアラビア政府関係者が、8月に同社のコンピュータシス テムに仕掛けられ、3万台のPCのハードドライブのデータが消される(wiped) 事態となったShamoonの攻撃について語った。それによると、問題の攻撃は石 油生産の中断が目的だったが、それには成功しなかったという。Saudi Aramco は、世界全体における石油の10%を供給している。サウジアラビア政府関係者 は、問題の攻撃は、4大陸のハッカーが所属している『王国外の組織的な団体』 によって仕掛けられたと述べている。しかし、「捜査がまだ継続している為」 という理由で、それ以上の情報提供は拒否した。

http://www.theregister.co.uk/2012/12/10/saudi_aramco_shamoon_inquest/
http://www.infosecurity-magazine.com/view/29750/shamoon-was-an-external-attack-on-saudi-oil-production/

【編集者メモ】(Assante)
Shamoonは、それだけでも大規模でマシンが全般的に損害を受けるので破壊的 と言える。石油の生産・処理・輸送の物理的な中断を狙った今後の攻撃におい ては、攻撃者の望む結果を達成するために、確実にICSに特化されたツールの 開発・実行が試みられると考えられる。世界規模の重大なインフラを中断しよ うという試みによって、今のところはまだ、ICSの専門的知識の実演には至っ ていないが、安心すべきではない。

────────────────

◆調査結果:「ヘルスケア産業で個人の身元が特定できる情報の盗難 増加」(2012.12.7)
80のヘルスケア組織に行った調査によれば、94%の組織が、これまでの2年間 にデータの紛失を経験しているという。また、45%の組織が、これまでの2年 間で5件以上の侵害を経験したと答えた。個人情報の盗難は、ヘルスケア産業 で高まりつつある問題である。調査に回答した組織の52%が、個人情報盗難の インシデントが過去に発生したと報告している。これらの事件の多くは、患者 記録の誤りが原因で、患者の治療に影響を及ぼしたケースもいくつかあった。 この報告書は、Ponemon Instituteによる「第3回ヘルスケア産業のデータセ キュリティに関する年次調査」である。

http://www.eweek.com/security/identity-theft-is-a-growing-risk-in-health-care-ponemon-report/
http://www.scmagazine.com/nine-out-of-10-hospitals-lost-personal-data-in-last-two-years/article/271795/

【編集者メモ】(Henry)
ヘルスケアのデータは、最も機密かつ私的な情報の1つである。94%がデータ の紛失を経験?本当か?! このようなデータを守れないなど容認できない。 また、これは「大衆の反感を買う」ほか、「データ所有者に対してこれまで以 上に大きな説明責任がある」というタイプの問題であろう。
【編集者メモ】(Paller)
ヘルスケア攻撃における攻撃者の主な経済的な狙いは、恐喝である。「我々は、 貴機関の患者のデータを持っている。インターネットでそのデータを開示すれ ば貴機関は患者の情報の機密性を守れないことが明らかになる。そうされたく なければ、木曜日までに25万ドル(200万ドルの場合もある)を我々に払え」 といった恐喝だろう。そして、このような恐喝は成功する。サイバー攻撃能力 をお金に換えるには、非常に手っ取り早く効果的な方法である。
【編集者メモ】(Murray)
個人の特定が可能な健康情報の侵害は、「個人情報の盗難」とは必ずしも同じ ではない。この報告書によって、調査で「侵害があった」ことを確認はできて も、「個人情報盗難に関しては沈黙が貫かれる」という実態が明らかになった。 とは言っても、ヘルスケア産業に対してお金を支払う側(保険会社)は、臨床を 行う側よりもセキュリティに関してはよい仕事をしているようだ。しかし、病 院は、相変わらずザルの如く情報を漏らしている。この問題の背景の1つには、 文化的なものがありそうだ。

────────────────

◆サイバー活動警告協定 ロシアが手を引いて実現せず(2012.12.7)
「サイバー活動に関してお互いに警告を発することを国に求める」国際的な協 定を作ろうという試みは、ロシアがこの協定から手を引いたために不成立に終 わった。この透明性に関する措置は、サイバー活動が「敵対活動」と誤解され ないようにすることを目的としている。OCSE: Organization for Security and Cooperation in Europe (欧州・セキュリティと連携のための組織)は、 この協定の承認に全会一致の合意を必要としていた。この協定は、20世紀半ば に、ロシアと米国が核戦争回避のために結んだ協定と同様の協定になるはず だった。

http://www.nextgov.com/cybersecurity/2012/12/cyber-early-warning-deal-collapses-after-russia-balks/60035/?oref=ng-channelriver
【編集者メモ】(Murray)
相手国がお互いに釣り合いが取れているという冷戦下においては、ロシアと米 国は、無法国家、ましてや未熟者がロケットを次々と打ち上げる事態を懸念す る必要はなかった。しかし、「交戦規則」において、インターネット上で攻撃 と考えられるものに対して米国軍が武力をもって対応することが許可されてい ることを踏まえると、ロシアは、再度この協定への参加を考えた方がよいかも しれない。我々は、より透明性が高く、より多くの説明責任を伴うインター ネットに向かって進んでいく必要があるが、この取り組みにおけるリーダー シップは、現在スパイ活動にインターネットを不当に利用している国家によっ て発揮されることはなさそうだ。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年12月20日(木)/2013年1月23日(水)・2月21日(木)・3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=01

○2013年1月29日(火)・2月26日(火)・3月19日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○2013年2月19日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2012年12月25日(火)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

○2012年12月26日(水)~27日(木)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=08
────────────────


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年12月7日 Vol.12 No.49)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。
============================================================
■今週のトップの脆弱性
MiSQLに対してリモートで悪用可能なさまざまなゼロデイ攻撃が、今週末にリ リースされた。また、1つ1つの問題に対して、PoC(概念実証コード)が公表 されている。バッファオーバーフローからユーザー列挙(user enumeration) までの範囲のバグが、現在世間で活発に悪用されているが、パッチはまだリ リースされていない。
=============================================================

◆MySQLのデータベースに対するリモートのさまざまなゼロデイ攻撃

<詳細> KingCopMySQLにあるリモートで悪用可能なさまざまなバグが、セキュリティ研 究者のKingCopeによってフルディスクロージャ(Full-Disclosure)のメーリン グリストを介して週末に公表された。これには、バッファオーバーフロー、 user enumeration(ユーザーの列挙)テクニック、およびDoSアタックなどのエ クスプロイトなども含まれている。
現在パッチは一切リリースされていないこと、問題の中にはデフォルト設定を 標的にしているものがあること、エクスプロイトがすでに世間に出回っている ことを踏まえると、システム管理者は影響軽減策として、可能な限りデータ ベースシステムへのアクセスを許可のあるユーザーのみにロックダウンすべき である。

<参考>
http://lists.grok.org.uk/pipermail/full-disclosure/2012-December/089025.html
http://lists.grok.org.uk/pipermail/full-disclosure/2012-December/089027.html
http://lists.grok.org.uk/pipermail/full-disclosure/2012-December/089023.html
http://lists.grok.org.uk/pipermail/full-disclosure/2012-December/089022.html
http://lists.grok.org.uk/pipermail/full-disclosure/2012-December/089026.html
http://lists.grok.org.uk/pipermail/full-disclosure/2012-December/089024.html
http://lists.grok.org.uk/pipermail/full-disclosure/2012-December/089020.html
<Snort SID>
24897
<ClamAV>
該当なし

────────────────

◆シリア外務省のeメールのダンプ(dump) 標的型のマルウェアの存在を明かす

<詳細> アノニマスが、シリア外務省からのeメールのダンプ(dump)を"Par:AnoIA"とい うサイトで公表した。その後、研究者らはそれらのダンプの中で、2011年12月 5日に送信されたメッセージに標的型のマルウェアが入っていたと指摘してい る。このマルウェアは、CVE-2010-0188を使用するPDFのエクスプロイトを介し てシステムに入り込んだ。Kasperskによると、昨年は年間を通じて、同様の攻 撃が標的型の組織行動に用いられていたという。

<参考>
http://vrt-blog.snort.org/2012/12/quarian.html
http://www.securelist.com/en/blog/774/A_Targeted_Attack_Against_The_Syrian_Ministry_of_Foreign_Affairs
http://par-anoia.net/releases.html#mofa
<Snort SID>
24858、24859
<ClamAV>
Win.Trojan.Quarian

────────────────

◆Windows AutoRunのマルウェア 盛り返す

<詳細>
さまざまなセキュリティベンダーが、「W32/AutorunもしくはW32/Changeupと して知られているマルウェアが、今年は主として休止状態だったが、再度世間 で再度感染を拡大している」と最近指摘した。このマルウェアはシステムに取 り外し式のメディアが差し込まれると、WindowsのAutoRun機能を介して感染を 広げる。システム管理者は実行可能であれば、AutoRun機能を無効化すべきで ある。

<参考>
http://isc.sans.edu/diary.html?storyid=14584&rss
<Snort SID>
17042 ? 17044、19290、24842 ? 24856、24500
<ClamAV>
WIN.Trojan.Changeup

────────────────

◆エクスプロイトキット市場 拡大を続ける

<詳細>
オンラインでの犯罪者経済モデルが日に日に広まっていくにつれて、世間には、 新しいエクスプロイトキットが次々に出現している。これまでの数ヶ月のうち にリリースされたSweet Orange、Cool Exploit Kitなどのキットは、Blackhole やPhoenixのように定着したキットほど優勢というには程遠いが、同等に危険 であるため、ネットワークの防御者らは業界の重要なキットのほかにも、これ らのキットに注意を払う必要がある。

<参考>
http://malware.dontneedcoffee.com/2012/11/cool-ek-hello-my-friend-cve-2012-5067.html
http://malware.dontneedcoffee.com/2012/08/cve-2012-4681-sweet-orange.html
<Snort SID>
24837 ? 24840、24778 - 24784
<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。