NRI Secure SANS NewsBites 日本版

Vol.7 No.50 2012年12月25日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.50 2012年12月25日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
今週のトップニュースの冒頭のうち3つは、重要なセキュリティのトレンドを 表す内容になっている。インターネットに面した制御システムがますます広がっ ているため、情報が開示された脆弱性を、システムを中断させるために悪用し やすく、その他の社用システムへのバックドアを通じたアクセスが簡単な状態 にある。ITセキュリティ組織の多くは、建物管理システム、施設の電気・ガス・ 水道に関係のある制御システム、およびデータセンターの冷暖房機器が脆弱な 状態で導入されていることなど認識していない。これらのシステムに関しては、 社が利用している施設の管理担当組織と会話をして、自社の業務システムにこ れらのシステムの接続を戻すこと、また、侵害を受けた場合に起こりうる顛末 がどのようなものかをご検討いただきたい。制御システムのセキュリティ問題 は、電力業界や重工業だけに限られたことではない。AEP: American Electric Power (米国電力)とNERC(北米の電力網規制機関)でCSOを務めた経験のある Mike Assanteは、さまざまな組織の前進を支援し、積極的な防御戦略を立てて この問題に先取りして取り組むことを目指して、米国と欧州の産業用制御シス テム分野の最高峰の人間で構成されたコンソーシアムを組織した。彼は、産業 用制御システムやOT(オペレーショナルテクノロジー)のセキュリティに関係が ある全員のために、2月にオーランドで開催されるワークショップやトレーニ ングプログラムの議長を務める予定だ。実質的な役割を担っている方でこの会 合への招待を望まれる方は、こちらをチェックしていただきたい。
http://www.sans.org/event/north-american-scada-2013.

追伸:
SANS2013もオーランドで開催されるが、こちらの開催日程は3月初旬である。

この催しは、世界各地で開催されているサイバーセキュリティのトレーニング プログラムの中で最大のプログラムであり、40以上の集中訓練コースがある。 また、プログラム参加者で希望者はNetWars競技にも参加できるほか、コースの 参加者であれば、SANSのナイトカンファレンスにも追加料金なしに参加できる。 このナイトカンファレンスは、昼間のどのセキュリティカンファレンスと比べ ても質・内容ともに同等かそれ以上のものである。
http://www.sans.org/event/sans-2013

脆弱性発見に注力する研究者らが増えている中、携帯デバイスに対する攻撃が 増えている。これに関しては、トップニュースの2つのニュースをお読みいた だきたい。

────────────────

■■SANS NewsBites Vol.13 No.99-100
(原版:2012年12月14日、12月19日)

◆ニュージャージー州の制御システム 境界セキュリティ(perimeter security)に関する適正評価を行わなかったために悪用される(2012.12.13)
ハッカーらがオンラインで獲得した情報を使用して、ニュージャージー州のと ある企業の内部冷暖房システムへのアクセスを獲得した。攻撃者らは悪用を実 現するにあたって、Niagara AX Frameworkソフトウェアの旧バージョン(米国 国防総省・FBI・国税庁など、多くの組織で用いられている)のバックドアを 利用した。これにより、攻撃者らはオフィスの平面図を閲覧できるようになっ た。聞くところによると、「Niagara制御ボックスは、ファイヤウォールなし にインターネットに直接接続されていた」という。このインシデントは、最近 公表されたFBIのメモで明らかになった。問題の侵害が発生したのは、2012年 の2月と3月である。

http://arstechnica.com/security/2012/12/intruders-hack-industrial-control-system-using-backdoor-exploit/
http://www.wired.com/threatlevel/2012/12/hackers-breach-ics/

【編集者メモ】(Assante)
現在の技術や事業のトレンドが原因で、制御システムに対するより多くのアク セス、また、より深部へのアクセスを行わざるをえない状況になっている。 ISA-99のようなコミュニティの取り組みによって、セグメンテーションのレイ ヤーに依存する安全な設計やモデルが開発された。しかし、より新しい技術を 用いた方がよりよい事業を行えるという状況下では、このようなプラクティス で現状を支えるのは難しいだろう。我々に、従来柔らかかったコアの部分を固 める必要があるように、ICSの供給業者や、ICS資産所有者のセキュリティチー ムは、コンポーネントレベルのアプリケーションのセキュリティを採用する必 要がある。(これを実現する方法を知りたい方は、2月の初旬にオーランドで開 催されるカンファレンスに参加していただきたい。
: http://www.sans.org/event/north-american-scada-2013)
【編集者メモ】(Henry)
実際に侵害が公表された事例がほとんどない中、これまで何年も、ICS(産業 用制御システム)のリスクについて語ってきた。脆弱性の認識が高まり、敵対 者らも新たな攻撃手法を探すようになることを踏まえると、来年はこのような タイプの侵害の発生頻度が増えることだろう。

────────────────

◆ドイツの電力網運営会社 DDos攻撃を受ける(2012.12.12)
ドイツの電力網運営会社の50Hertzが、先月末にDDos攻撃を受けた。同社のイ ンターネット通信システムは、短い間だったが使用不能となった。これらの問 題についてはすぐに対処が行われたが、攻撃を完全に回避するため修正プログ ラムの開発・導入には5日かかっている。攻撃によって電力供給に影響は生じ なかった。これは、欧州の電力網運営会社で確認されたデジタル攻撃としては 初めてである。

http://www.h-online.com/security/news/item/Power-grid-operators-attacked-via-DDoS-1767170.html
http://www.euractiv.com/energy/european-renewable-power-grid-ro-news-516541

【編集者メモ】(McBride)
米国や諸外国のエネルギー企業も、これまでかなりの間、DDosを振りかざすグ ループによって「攻撃の標的」と名指しされていた。1つの事例だが、伝えられ るところによると、EDFのWebサイトは、2011年6月に5時間ほどオフラインになっ たという。 (http://www.spiegel.de/netzwelt/web/website-lahmgelegt-hacker-greifen-franzoesischen-atomkonzern-an-a-766703.html).
ほとんどの状況では、インターネットに面したシステムへの攻撃によって、エ ネルギーの操業に影響が生じる可能性は低い。

────────────────

◆WebベースのSCADAの支持層増える(2012.12.5)
リンクの記事は、今日のSCADAシステムに影響を及ぼし、同時に悩ませている 傾向の概要である。一つには、現在「よく見られる」攻撃が、これらのシステ ムに対して有効であることに心配の原因があることがある。もう一つには、 「少なくとも、当該技術の扱いに経験のある」セキュリティ専門家は増えつつ あるも、まだ少ないことがあげられる。

http://www.automationworld.com/control/web-based-scada-gathers-more-fans

────────────────

◆アンドロイドのカーネルの脆弱性 Samsungのデバイスに影響を及ぼす(2012.12.17)
Samsungのスマートフォンのアンドロイドのカーネルにある重大な欠陥は、そ のデバイスからデータを盗み出すのに悪用されるおそれがある。この脆弱性は、 Galaxy S2、S3 Note 2、および、Note 10.1など、数多くのデバイスに影響を 及ぼす。

http://arstechnica.com/security/2012/12/developer-warns-of-critical-vulnerability-in-many-samsung-smartphones/
http://www.zdnet.com/kernel-vulnerability-places-samsung-devices-at-risk-7000008862/
http://www.zdnet.com/security-flaw-found-in-samsung-handsets-tablets-7000008880/
http://news.cnet.com/8301-1009_3-57559495-83/suspected-security-hole-found-in-many-samsung-devices/
http://www.computerworld.com/s/article/9234778/Samsung_devices_vulnerable_to_dangerous_Android_exploit?taxonomyId=17

【編集者メモ】(Murray)
アンドロイドはあくまで、「オープン」、「一般的」、「柔軟」、「セキュリ ティと上位互換性(backward compatibility)がある」ことが好ましいとされる 市場のもう1つの事例である。理論上は、その他全ての項目を除けば、セキュ リティは必須条件として最上位に来る。

────────────────

◆Google PlayにSMSを盗み出すアプリ 見つかる(2012.12.14)
Google Playに、数多くの疑わしいアプリが見つかった。問題のアプリは、銀 行が認証セキュリティの追加レイヤーとして、顧客の電話番号にSMSを介して 送信する番号であるmTANs: mobile transaction authentication numbers (モバイル取引認証番号)を盗み出すために作られたものだった。これらの悪意 のあるアプリは、ロシアの銀行顧客を狙ったCarberpのマルウェアを使用する ことで知られているサイバー犯罪団によって、Google Playにアップロードさ れたと思われる。

http://www.computerworld.com/s/article/9234737/SMS_stealing_apps_uploaded_to_Google_Play_by_Carberp_banking_malware_gang?taxonomyId=17

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2013年1月23日(水)・2月21日(木)・3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=01

○2013年1月29日(火)・2月26日(火)・3月19日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○2013年2月19日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=08
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年12月14日 Vol.12 No.50)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

=================================================================
■今週のトップの脆弱性
4月に、RedditのスレッドでTor式のボットネットの導入に関する理論の説明が 掲載されたが、それを実現した事例が先週、研究者らによって世間で発見され た。他ならぬこの脅威は、非常に広く使用されているマルウェア「Zeus」を ベースに、侵入機能を最大限に発揮できるように設計されており、これによっ て、Tor式の匿名ソフトウェアを広範にわたって実装する模倣のボットが出現 する可能性がある。
=================================================================

◆Tor式ボットネット Reddit掲載の記述が現実に

<詳細>
2012年4月に、広く利用されているRedditのスレッドで、「Torによる匿名化プ ロキシシステムを使用してボットネットを構築する方法」の説明が掲載された ことを受けて、Metasploitプロジェクトの研究者らは、事例の出現、運転停止 状態(takedown)の可能性を減らす目的で取り組みを行ったところ、このスレッ ドにあった説明とほとんど同じ方法でTorを用いたZeusの改変バイナリを発見 した。このような方法についてはこれまで数年間、2010年のDefconなどの討論 の場などで理論として討論が行われてきた。しかし、このようなボットネット は世間で発見されたとしても、これまではかなり少ないものだった。しかし、 今回このボットネットの成功例が出たため、模倣者の前進が加速すると思われ る。

<参考>
https://community.rapid7.com/community/infosec/blog/2012/12/03/skynet-a-tor-powered-botnet-straight-from-reddit
http://www.reddit.com/r/IAmA/comments/sq7cy/iama_a_malware_coder_and_botnet_operator_ama/?limit=500
https://www.defcon.org/images/defcon-18/dc-18-presentations/D.Brown/DEFCON-18-Brown-TorCnC.pdf
<Snort SID>
9324、 13696 - 13698、 16439 - 16442、 17917、 24169
<ClamAV>
Trojan.Spy.Zbot*、 Trojan.Spy.Zeus*、 Win.Trojan.Agent-20928

────────────────

◆ExploitHubのサイト 侵害される:私的なエクスプロイトのデータベース盗まれる

<詳細>
IDSやアンチウィルスのテストを行う機関、NSS LabsのExploitHubのサイトは、 侵入テストやその他の防御措置検証計画に使用できる私的なエクスプロイトの 市場として(そういう名目で)2012年に設置された。しかし、このプロジェク トサーバが、悪意のあるグループ「1337day」によって侵害された。この侵害 によって業界内には混乱が生じ、ExploitHubのバグのいくつかが公表され、ま たはその他にも、これに関連して副次的な影響が出ると思われる。また、この 侵害は、「セキュリティベンダーであっても、緊張感を持って自社のシステム を守るべきである」という警告にもなった。

<参考>
http://priv8.1337day.com/exploitHUB.txt
<Snort SID>
該当なし
<ClamAV>
該当なし

────────────────

◆CVE-2012-0158を用いた標的型マルウェア 持続する

<詳細>
複数の研究者らは最近、CVE-2012-0158(今年の4月にパッチが適用されたRTF ファイル形式の脆弱性)を標的とする新しい標的型攻撃が世間に出回っている ことを発見した。この攻撃の進め方は比較的簡単で、世間にサンプルのエクス プロイトが多く存在していたおかげで、2012年に関して言えば、RTFは標的型 攻撃を行う攻撃者らのお気に入りだった。その標的の範囲は、チベットの活動 家から世界各地の国防請負業者にまで及ぶ。

<参考>
http://krebsonsecurity.com/2012/12/chinese-espionage-attacks-against-ruskies/
http://blogs.mcafee.com/mcafee-labs/cve-2012-0158-exploit-in-the-wild
http://blog.fireeye.com/research/2012/12/to-russia-with-apt.html
<Snort SID>
21797-21801、21896-21906、21937、20486、23305、24976
<ClamAV>
Win.Trojan.Agent

────────────────

◆Microsoft 月次パッチ更新をリリース

<詳細>
Microsoftは火曜日に、多数のコンポーネントにある脆弱性にパッチをリリー スした。今のところ、世間にエクスプロイトが出回っているという報告は一切 ないが、これらの脆弱性の中には、現在行われている標的型攻撃で用いられる おそれのある新しいRTFの脆弱性など、悪用が簡単に行えるものがある。ユー ザーは通常通り、可能な限り早くパッチを適用すべきである。

<参考>
http://technet.microsoft.com/en-us/security/bulletin/ms12-dec
<Snort SID>
24956、24957-24970、24971、24972、24973、24974、24975
<ClamAV>
Win.Exploit.CVE_2012_1537、 RTF.Exploit.CVE_2012_2539、
BC.Exploit.CVE_2012-2556

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。