NRI Secure SANS NewsBites 日本版

Vol.8 No.1 2013年1月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.1 2013年1月8日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
OTという新しい言葉がある。これはOperational Technology(運用技術)の略 で、ITと異なり、電力、石油、ガス、交通などの現代社会が依存する多数のシ ステムの運用技術を意味する。OTは、現在格好の攻撃の的になっており、その 結果さまざまな動きがあった。最初の2件のニュースを見ればわかるだろう。


■■SANS NewsBites Vol.13 No.101 - Vol.15 N0.001
(原版:2012年12月21日、2013年1月4日)

◆Wells Fargo銀行のWebサイト 崩れ落ちる:
銀行側 オンラインユーザーに「銀行の支店に出向く」ように求める (2012.12.21)
Wells Fargo銀行のWebサイトは、以前(9月)のDDos攻撃の35倍の量の悪意のあ るトラフィックを前に無反応となった。複数の銀行に対して仕掛けられたDos 攻撃は、モハメッドを侮辱する動画クリップに対して行われたものだとい う。

http://www.computerworld.com/s/article/9234957/Wells_Fargo_39_s_website_buckles_under_flood_of_traffic

【編集者メモ】(Paller)
ここでの重要な問題は、なぜ、先に発生した攻撃の分析を行っても有効な防御 策を見出せなかったのかということである。この問題に関する詳細な解説が、 先の攻撃の後に発表された。
http://newyork.newsday.com/business/pnc-bank-wells-fargo-u-s-bank-hacker-attacks-probed-by-verizon-1.4055301]

────────────────

◆米国JOD(司法省) 外国のハッカーらを起訴する見込み(2012.12.19-20)
米国のJOD(司法省)によると、同省は、外国のハッカーや企業、政府を起訴し ようと考えているという。現在、数多くの検察官が、NSCS: National Security Cyber Specialist network(国家安全保障サイバー専門家ネットワー ク)を通じてサイバースパイ活動に関する起訴の分野で訓練を受けている。 起訴対象になる可能性が最も高い「標的」は、盗み出した技術を使用している 企業である。JODの国家安全保障部(national security division)のJohn Carlin司法副次官補長(principal deputy assistant Attorney General)によ ると、同省にはすでに、起訴を考えている特定のケースがあるという。

http://www.theregister.co.uk/2012/12/20/prosecute_foreign_hackers_plan/
http://arstechnica.com/security/2012/12/feds-reportedly-plan-to-prosecute-hackers-sponsored-by-other-nations/

【編集者メモ】(Northcutt)
米国とのFTA(自由貿易協定)に加盟した国との間であれば、起訴が可能であ ることはわかる。しかし、それ以外の場合は、どうすれば起訴を実現できるの だろう?使える法的機構として私が唯一思いつくのは、EEA:Economic Espionage Act (経済スパイ活動)1996年法である。これに関して、より詳しい 情報をご存知の方は、何か情報があればこちらまで:stephen@sans.edu
http://www.fbi.gov/about-us/investigate/counterintelligence/economic-espionage
http://tsi.brooklaw.edu/category/legal-basis-trade-secret-claims/economic-espionage-act

────────────────

◆ホワイトハウス 国家安全保障情報共有のガイドラインを公表(2012.12.20)
ホワイトハウスは、政府機関同士、および政府と公認の民間団体同士で国家安 全保障情報の共有を行うためのポリシーを規定するにあたり、NSISS:National Strategy for Information Sharing and Safeguarding (情報共有と安全防護 対策の国家戦略)を公表した。

http://www.eweek.com/security/obama-administration-outlines-national-information-sharing-strategy/
http://www.whitehouse.gov/sites/default/files/docs/2012sharingstrategy_1.pdf

【編集者メモ】(Pescatore)
ハイレベルな戦略文書として、この文書では全てがカバーされている。しかし ながら、とりわけ「構造上の改革、ポリシー、および技術的解決策を通じた情 報安全防護策の強化」の分野では、「目先の勝ち」をいくつか獲得することに 注力してほしかった。

【編集者メモ】(Henry)
Section 4.1 には、外部からの侵入を防御するために行動を起こすことが可能 な情報共有についての説明があり、素晴らしく的を得た内容である。これは、 信じられないほど非常に複雑な問題であり、何年もの間、政府で考えが練られ てきた問題でもある。実際に、これを実行するのは非常に難しい仕事である。

【編集者メモ】(Shpantzer)
この出来事は、サイバー上の諜報活動のほかに、連邦政府が取り組んでいる情 報共有活動についていくつか説明している。
http://www.ijis.org/_newsroom/workshop.html

【編集者メモ】(Murray)
誰に向けて宛てられたものなのか、この文書にどのような権限あるのか、また、 求めているものが何なのかは私にはわからない。私には、業界は脆弱性のデー タや個人情報を守りつつも、脅威や攻撃のデータを引き続き共有していく意向 だと思える。我々は、国際的な法執行機関と連携しながら、VerizonやMandiant などの機関が発行する報告書を通じて侵害情報を引き続き共有していくつもり だ。ここで注目すべきは、犯罪者が利用している脆弱性情報は彼ら自身の生産 物ではなく、いわゆる自称「セキュリティ研究家」の生産物だということだ。 脆弱性の特定・公表は、「セキュリティ研究」でも有益なものでもない。

────────────────

◆コネチカット州 銃撃犯のコンピュータを検査(2012.12.19)
サイバーフォレンジックの専門家は、コネチカット州の銃撃事件の容疑者のコ ンピュータのハードドライブを検査している。容疑者は、攻撃を実行する前に このハードドライブを破壊しようとしていた。押収されたコンピュータは、コ ネチカット州警察のコンピュータ犯罪部門の所有下にある。

http://www.washingtonpost.com/investigations/cybersleuths-try-to-mine-killers-hard-drive/2012/12/19/412cc81c-4a02-11e2-b6f0-e851e741d196_story.html

【編集者メモ】(Murray)
この記事はハードドライブに重きを置いた内容だが、我々のほとんどは、彼の メールサービスプロバイダやメールのやり取りの相手に注目している。ほとん どの人は、ハードドライブよりもネットワークに確乎たる足跡を残す。ハード ドライブを金槌で叩いてしまうと、それの読み取りにかかる費用はかなり高く なる。

────────────────

◆ICS-CERT報告書 エネルギーセクターに対するサイバー攻撃が増加(2012.12.31-2013.1.2)

米国DHS(国土安全保障省)の産業制御システムサイバー緊急レスポンスチーム (ICS-CERT)の報告書によると、アメリカ国内のエネルギーインフラ関係団体 のシステムに対するサイバー攻撃が増加している。2011年10月から2012年9月 の12か月にかけて、約200件のサイバーインシデントがICS-CERTに報告された。 報告されたインシデントのうち、40%はエネルギーセクターの企業を狙ったも のだった。多くの産業制御システムは、国の重要インフラを支えるために使用 されているが、直接インターネットにも接続されている。これらのシステムは、 USBドライブ経由で汚染される場合もある。

http://blogs.wsj.com/cio/2013/01/02/report-cyber-threats-to-energy-sector-happening-at-alarming-rate/
http://www.networkworld.com/community/node/82058
http://www.us-cert.gov/control_systems/pdf/ICS-CERT_Monthly_Monitor_Oct-Dec2012.pdf

【編集者メモ】(Assante)
同セクターはICS-CERTの支援や分析を通じて、この問題をより深く理解するこ とができる。サイバー攻撃の対象が広がり、エネルギー制御システムの主要サ プライヤーにまで及んでおり、同セクターのセキュリティコンソーシアムへの 侵入への試みもある。エネルギーは今後も攻撃の的になる。今後、特定のター ゲット用にカスタムされたマルウェアを用いて、関係者、関係Webサイト、関 連企業に対する攻撃が出現するだろう。

【編集者メモ】(Henry)
私がICS-CERTと関わったのは、FBIが前向きだった時期だった。彼らは非常に 積極的プログラムを持っており、FBIや他の諜報コミュニティと上手く連携し ながら進歩していた。報告された攻撃の増加の理由は、敵対行為が増加したせ いか、ICS-CERTプログラムが効果的で影響力を増したせいかはわからない。理 由は、おそらく双方の組み合わせの結果だと思う。

【編集者メモ】(McBride)
ICS-CERTが使用している「インシデント」とは正確に何なのだろう? SSHス キャニング、Shodan検索語の報告、スキャンされていないUSB経由で制御ネッ トワークに一般ウィルスが紛れ込んだこと?数件の例外を除いて、インシデ ント自体は警告するレベルではない。しかしながら、この報告書で明らかに なったのは、一般的にOTインシデントが発生した時に、ICSを所有する企業や 団体は自社内で対応する力が無いことである(OT: SCADAおよびその支援コン ピュータなどの運用技術)。このICSセキュリティの課題を乗り越えるには、 官民の双方の問題を解決する拡張性があるアプローチをとる必要がある。

────────────────

◆ICSとOTセキュリティに対する2013年の取り組をMike Assanteが招集

電力系産業制御システム、そして他のOTに対する脅威が高まりつつあるなか、 電力とICS産業は、ベストプラクティスを共有し優秀な人材を認定する制度を 確立する取組を開始した。目的は電力およびOTのサイバーセキュリティレベル の改善である。このコンソーシアムのリーダはMike Assante氏。同氏は、 American Electric PowerとNERCでCSOを務めた電力システム系セキュリティに おいて最も信頼される人物である。彼の呼びかけは、NESCOの今週のブログで 明らかになった。(コンソーシアムに参加し、新たな試みを開始したい場合に は、サミットhttp://www.sans.org/event/north-american-scada-2013 に登 録し、Mikeにメールしよう。 michael.assante@nbise.org

http://www.us-nesco.org/guest-blog/mike-assante-guest-blog-call-to-arms/

【編集者メモ】(McBride)
我々の努力が、「認知」させるレベルから、2013年には適切な団体を設立する という次のレベルに移行していくのはすばらしい。個人的に今回の「招集」で 最も突出しているのは、全業務に渡るシステム保護対策が、深く考え抜かれた 障害状況と適切にやり取りできるように統合されていくことである。2013年中 に起こるとは思えないが、前進するため最善を尽くす。

────────────────

◆Googleの不正デジタル証明書の信頼を無効化(2013.1.3)

Google、Microsoft、Mozillaは、トルコの認証局が発行した2件のデジタル証 明書を無効化した。証明書は中間認証局によって発行されたもので、大本は TURKTRUSTになる。同社は、2011年8月に通常のSSL証明書を発行するところを、 間違って中間認証局証明書を2件発行したことを認めている。現在この証明書 を使用したフィッシング攻撃が確認されている。

http://www.computerworld.com/s/article/9235218/Google_finds_unauthorized_google.com_domain_certificate_scrambles_to_fix?taxonomyId=17
http://krebsonsecurity.com/2013/01/turkish-registrar-enabled-phishers-to-spoof-google/
http://www.darkreading.com/authentication/167901072/security/attacks-breaches/240145512/phony-google-digital-certificate-blocked-by-browser-vendors.html

【編集者メモ】(Pescatore)
認証局/ブラウザフォーラムは、SSL証明書発行の問題に対して2012年にはほと んど進展しなかった(実際には著作権の問題で会員が少なくなっている)。こ のフォーラムは12月に会合を開いている。もっと積極的に動くように2013年の 目標が設定されることを望む。

【編集者メモ】(Shpantzer)
SSLの信頼およびトルコ認証局に関する一般記事がある。この中でブラウザ企 業が正念場に来ていることがわかる。
http://erratasec.blogspot.com/2013/01/notes-on-turktrust-fiasco.html

────────────────

◆DHSが連邦民間機関に対して監視サービス購入

米国DHS(国土安全保障省)は、民間が提供するリアルタイム脅威検出サービ スに対して、コストを負担することを明らかにした。費用は、政府および重要 インフラ関係機関すべてが対象となった場合は60億ドルになる。ホワイトハウ スは、2010年以来継続監視の必要性を呼びかけているが、多くの機関でリソー ス不足や、導入し運用するためのスキルを持つ人材が不足している。この構想 は、CMaaS(continuous monitoring as a service)と呼ばれており、センサー の提供、リスク状況の表示、専門家によるコンサルティングが含まれる。軍、 州、地方自治体機関に対しては、DHSは費用の負担をせずに、連邦政府が契約 する企業のサービスの利用を推奨するのみとなる。

http://www.nextgov.com/cybersecurity/2013/01/dhs-pick-6-billion-tab-cyber-surveillance-systems-every-department/60445/?oref=ng-channeltopstory

【編集者メモ】(Henry)
ネットワークのリアルタイム継続監視は、ネットワーク上の悪質な振る舞いを 発見するために非常に重要である。単純に常時更新されるマルウェアのシグニ チャでブロックするよりも重要と考える。ただし、これを効果的に運用するに は多くの時間と調整が必要となる。非常に高尚な目標となるが、現在の脅威か ら守るためには、監視を適切に行うことは必須となる。

【編集者メモ】(Pescatore)
今回の「継続的診断と監視」の取り組みは、非常によい考えであるが、一括予 算化されたサービスが、連邦予算が年内の大きな変動をくぐり抜け、予算外の ものに命令に回されてしまう前に、多くの省庁や行政機関のトップ、CIO、CISO は燃え尽きてしまうかもしれない。実際の開始には時間がかかり、ベンダたち は売上計上が遅れ、費用をカバーできなくなり、急変するニーズにサービスが 対応できない状態に陥るかもしれない。GSA(一般調達局)は、過去の失敗を 繰り返さないことを望む。多くの落とし穴を避けるために、このように大規模 なIDIQ(無限調達無限品質)は、購買および統制構造を工夫する必要がある。

【編集者メモ】(Murray)
OMB(行政管理予算局)はこの件に関して正しい。予算は決定権がある組織に 与えられるものである。多くのセキュリティマネージャたちは、構想はあって も必要な予算を確保できないために、物事を動かす力に欠如しているからだ。

【編集者メモ】(Paller)
素晴らしい構想である。リスクを大幅に削減するのは勿論のこと、かなり費用 を抑えて幅広く提供することが可能になる。しかし、連邦機関のCISOや多くの 業者から不満の声も聞いている。あら捜しのレベルは、あら捜しをする人の能 力と反比例するというのは、全くの事実である。もし、このDHSの取り組みが 間違っているという人物に出会ったら、DHSが提案する以外の方法でリスクを 確実な方法で大幅に軽減できるかを証明できるか聞いてみてほしい。そうでな ければ、「目の前から消えてくれ」と頼んだ方がいい。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2013年1月23日(水)・2月21日(木)・3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2012/ps01.html?xmid=300&xlinkid=01

○2013年1月29日(火)・2月26日(火)・3月19日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=02

○2013年2月19日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=03

○2013年3月7日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2013/mail02.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=08
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2012年12月21日 Vol.12 No.51)
信頼性のある週刊サマリーで、新たに発見された攻撃手法、エクスプロイトに 活発に利用されている脆弱性、および、目的通りに動作した最近の攻撃につい ての解説を提供する。

============================================================
■今週のトップの脆弱性
Samsungのチップセット・ドライバの一部にある任意のメモリ書き込み(memory write)の脆弱性が、世間で立証され、エクスプロイト生成に簡単に使用できる ソースコードも公表された。攻撃者らは、すでに行動を開始していると考えら れる。Cyanogenmodはパッチをリリースし、Samsung側も「パッチをテストして 公表した」と主張しているが、Samsungデバイスのユーザーは、まだパッチを 受け取っていない。
============================================================
◆Samsungのデバイスドライバに任意のメモリ上書き(memory overwrite)の脆弱性

<詳細>
「Alephzain」という名のユーザーが、Samsungの一部のチップセットやカーネ ルを使用しているデバイスに存在するメモリアクセスの深刻な脆弱性について、 詳細情報を掲示した。
この脆弱性が悪用されると、デバイスにインストールされたアンドロイドのア プリは、/dev/exynos、すなわち、「チップ上にシステムがある(System on a Chip)」デバイスを通じて、任意のシステムメモリをルートとして上書きでき る能力を持つようになる。このデバイスは、Galaxy SII、SIII、MEIZU MXなど、 広範に使用されているSamsungのハードウェア・プラットフォームの多くで利 用できるデバイスである。システムライブラリやエクスプロイトコードのサン プルなどの全詳細は、記事とともに公表された。エクスプロイトは、この時点 において世間で出回り始めていると考えられる。XDA-Developerの複数のユー ザーがパッチを掲示しており、Cyanogemodは、ユーザーに対して修正プログラ ムの発行を表明している。広範に使用されているアンドロイドの開発フォーラ ムの他のユーザーらは、「Samsungは、この間に他のアップデートについては 顧客に配信を行っているが、既知の「オープンソース」の問題については数週 間もの間、問題を把握していながら、まだ修正プログラムをリリースしていな い」と非難の声をあげている。これによって、「ベンダーやキャリアらは、モ バイルデバイス用に迅速にパッチを発行したがらない」という重大な問題が浮 き彫りになった。

<参考>
http://forum.xda-developers.com/showthread.php?t=2048511
http://en.wikipedia.org/wiki/Exynos_(system_on_chip)
http://www.androidauthority.com/xda-developer-patches-samsung-exynos-chip-vulnerability-140742/

────────────────

◆FBIの報告書:「今年はSCADA『Niagara』のバックドアが米国で悪用された」

<詳細>
世間の攻撃者らは、広範に使用されているWebデバイスの検索サービス「Shodan」 だけを使って、バージニア州リッチモンドをベースにしている企業、Tridium の製品であるNiagara AX Frameworkの認証回避の脆弱性を悪用している。この フレームワークのWebインタフェースは、デフォルトでパスワードを求めない ほか、世界各地のオフィスのHVAC(冷暖房空調設備)の制御を行うシステムに 全ての管理者アクセスを与えている。同システムは、一般的には平面図、人員 名・課名などの情報に添って設置されているので、スペアフィッシャーやソー シャルエンジニアなどに有益なデータが豊富にある。ベンダーのサイトには、 12月19日(水)の時点で、この脆弱性のパッチや影響軽減策についての通知は 何も掲載されていなかった。影響を受ける可能性があるユーザーは、不必要な Webサービスを停止し、アクセスを「その他全て(any others)」から「関係の ある既知のIPアドレスのみ」に制限すべきである。

<参考>
http://www.wired.com/images_blogs/threatlevel/2012/12/FBI-AntisecICS.pdf
http://www.shodanhq.com/search?q=niagara_audit+-login
http://arstechnica.com/security/2012/12/intruders-hack-industrial-control-system-using-backdoor-exploit/
http://www.tridium.com/cs/products_/_services/niagaraax

<Snort SID>
25057
<ClamAV>
該当なし

────────────────

Title: Anonymous Doxes the WBC
◆アノニマス WBCに抗議(doxes)
<詳細>
アノニマス団のメンバーが日曜の朝に、WBC: Westboro Baptist Church(ウェ ストボロ・バプティスト教会)のメンバーの個人や職業上の連絡先情報を、イ ンターネットのPastebinに掲示した。これは、どうやらWBCが「コネチカット 州ニュートンで最近発生した悲劇の犠牲者の葬儀をとり行うことに抗議する」 と先週発表したことに対して、実行されたようだ。アノニマスは、個人情報を 特定した方法の詳細を説明していないため、情報セキュリティのコミュニティ 内には推測もほとんど出ていない。この動きは、「WBCを扇動集団として法的 に認める」ように求める20万人近くの署名を添えた嘆願書が、ホワイトハウス にオンラインで提出されるなど、政治的な動きと同時期に発生した。

<参考>
http://pastebin.com/2PmbBm8f
https://petitions.whitehouse.gov/petition/legally-recognize-westboro-baptist-church-hate-group/DYf3pH2d
<Snort SID>
該当なし
<ClamAV>
該当なし

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。