NRI Secure SANS NewsBites 日本版

Vol.11 No.10 2016年5月10日発行

■■SANS NewsBites Vol.18 No.033-036
(原版: 2016年4月26日, 29日, 5月3日, 6日)
【日本語版編集担当より】
3日配信予定でしたが、ゴールデンウィーク期間中であったため、
合併号として10日配信とさせていただきました。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

           = SANS Tokyo 2016 =
  http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間]
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間] / 2016年10月17日~21日[5日間]
◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に。
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
 [☆日本初開催☆]

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC566:Implementing and Auditing the Critical Security Controls -In-Depth
 Critical Security Controlsを真に理解するならこのコース。
 CSCの実装や監査に必要となるツールやテクニックを習得できます
 [☆日本初開催☆]

◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得。
 最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware
   Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得。
 マルウェア解析の専門性を高めたい方は必見のコースです
  [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ FBI: 攻撃者を特定するための属性情報よりも対応を優先(2016.4.21)
FBI National Cyber Investigative Joint Task Force のディレクターであるドナ ルド・フリース氏は、Akamaiが主催する Government Forum の講演において、サイ バー攻撃におけるチームの対応では、攻撃者を特定するための属性情報を収集する よりもインシデントの対応を優先させていると語った。

http://www.nextgov.com/cybersecurity/2016/04/fbi-official-recovering-cyber-attack-who-isnt-so-important/127697/?oref=ng-channelriver

【編集者メモ】(Pescatore)
この講演は良かった。FBI では今後攻撃をブロックすることに集中し、「ただ手を 互いにもむこと」を減らすとフリース氏は語った。今、必要なのは、「攻撃である ことが特定できているので、ブロックする」ことであり、「攻撃であることが特定 できたので、被害は少し広がるが、少し観察した上で、誰が攻撃をしたのかについ てレポートを書く」ことではない。
【編集者メモ】(Northcutt)
これは合理的である。このアプローチによって、攻撃を停止し、一早く復旧のため の対策を取ることができ、「悪者をつかまえる」ために多くの被害を受けるという 恥をかかないで済む。CRESTが提供する IRガイドの38ページを確認すると、過去の ガイドから発展しており、アクションを「早く」起こすためのアドバイスが書かれ ている
http://www.crest-approved.org/wp-content/uploads/CSIR-Procurement-Guide.pdf
【編集者メモ】(Honan)
この事例を多くの組織が踏襲することを期待している。未だに多くの人は、誰が攻 撃したということに集中しすぎており、なぜ攻撃されたのか、ということはあまり 気にしていない。

◆ DHSのRed Teamが政府機関に対し侵入テストを実施(2016.4.25)
国土安全保障省(DHS)のNational Cybersecurity and Communications Integration Center(NCCIC) が、3つの連邦機関に対して侵入テストを行った。それぞれのRed Teamは、「各機関のすべてをコントロールできた」という。NCCIC は、各機関に対 しネットワークの弱点を修正するためのアドバイスを行う予定。また、各機関は内 部でサイバーセキュリティに詳しい人材の育成についてもアドバイスをもらい、今 後もこのような試験を定期的に行えるようしていく、としている。

http://federalnewsradio.com/cybersecurity/2016/04/dhs-gives-cyber-hunters-better-type-license/

【編集者メモ】(Assante)
このRed Teamが試験して組織が対応するという「ゲーム」を一時中断して、毎回同 じような結果が出ているにも関わらず、基本戦略はなぜ変わらないのかのはという ことを問いたださなければならない。Red Teamによる試験で100%ダメな結果が出た 場合は、サイバーセキュリティの幹部を一新させるだけでなく、機能していない戦 略を真剣に練り直す必要があるだろう。
【編集者メモ】(Honan)
Red Teamによる試験は、セキュリティ上の弱点を特定するためには有効だが、防御 に関して経験ある人と相談しながら防御策を練る必要があることを忘れてはならな い。Red Teamのメンバーから防御策に関するアドバイスをもらうことは、サッカー でフォワードの選手にゴールキーパーをやらせることと同等である。ゴールを奪う ことに長けているからと言って、そのフォワードが素晴らしいゴールキーパーにな れるとは限らないのだから。

◆ US Cyber CommandがISISに対しサイバー兵器を使用(2016.4.25,26)
ニューヨークタイムズ誌によると、米軍のCyber Commandは ISISに対しサイバー兵 器を使用した攻撃を行うよう指令を受けているとのこと。これらの攻撃は、実兵器 を使った攻撃と連携して行われるという。このサイバー兵器を使った攻撃に関する 情報が一般公開されたのは、イスラム国のデータに関する信用を失墜させ、新たに 派遣しようとしている人材に対し通信を怪しませる狙いがある。

http://www.nytimes.com/2016/04/25/us/politics/us-directs-cyberweapons-at-isis-for-first-time.html

【編集者メモ】(Murray)
これは、破壊行為ではなく、スパイ行為だ。少し安心した。我々は、こちらの方が 得意であるし、反撃のリスクも少ないのだから。

◆ NASAのサイバーセキュリティに関してさらなる悲報(2016.4.25)
新たに公開された二つのレポートがNASAのサイバーセキュリティ問題について報告 している。監察長官は、NASAに対して継続的なモニタリング管理、構成および設定 管理、そしてリスク管理を改善する必要があると指摘した。民間のセキュリティ企 業である Security Scorecardは、サイバーセキュリティに関する調査対象として 600ある連邦、州、地方といった政府機関の中で NASAを最下位にランキングした。 Security Scorecardは、NASAに Secure Sockets Layer (SSL) 証明書の取扱い、保 護されていないポートの開放、およびメール送信に関するフレームワークに問題が あると指摘している。

http://federalnewsradio.com/cybersecurity/2016/04/nasa-continues-take-cyber-lumps/NASA IG Report:
https://oig.nasa.gov/audits/reports/FY16/IG-16-016.pdf

【編集者メモ】(Assante)
今、米国政府と取引きしている宇宙関連企業のサイバーセキュリティに関する方針 を、このNASAに関する事実と比較することは良い事だと思っている。そして、その 結果を見て、機密なデータや独自の情報を共有しているのであれば、大きな問題意 識を抱えるだろう。
【編集者メモ】(Murray)
これらの結果は、NASAに限った話ではない。民間企業は、非難をあまり浴びないと いうことで少し安心できるが、これらの結果は、自組織にも当てはまることを把握 するべきだ。
【編集者メモ】(Honan)
自組織内でセキュリティに関して責任がある場合、このNASAに関するレポートを読 むことをお勧めする。NASAのずさんなセキュリティを笑うためではなく、教訓から 自組織のセキュリティを強化するために何か得るために使ってほしい。

◆ ドイツの原子力施設でマルウエアが発見される(2016.4.27,28)
ドイツの Gundremmingen原子力発電所において、核燃料棒の動きをモデリングする システムのパソコンと USB機器でマルウエアが発見された。発見されたマルウエア は、ConfickerとW32.Ramnit だったが、動作はしていなかったという。このマルウ エアは、外部のC2サーバと通信する必要があるが、感染したシステムがインターネ ットに接続されていなかったためである。

http://arstechnica.com/security/2016/04/german-nuclear-plants-fuel-rod-system-swarming-with-old-malware/
http://www.reuters.com/article/us-nuclearpower-cyber-germany-idUSKCN0XN2OS

【編集者メモ】(Assante)
標的型サイバー攻撃の脅威に関する情報が出ると、これらの産業のリーダーと呼ば れる人たちは、こぞって「我々の組織は保護されている」という声明を出すが、こ れに私は驚きを隠せないでいる。このようなインシデントは日常に発生しており、 通常の侵入防止にフォーカスしたセキュリティ対策では防ぎきれていない。また、 Gundremmingen CNPPの事例では、標的型でないマルウエアが重要なシステム内(こ の場合は、原子力発電所の核燃料棒の動作と管理するシステム)に侵入できた。さ らに侵入に成功しただけでなく、長期間発見されずにいたことも問題とすべきだ。 重要インフラは、サイバー用の壁を貼るだけの簡単な防御から適確な防御策を張れ るようにならなければならない。
【編集者メモ】(Murray)
重要なアプリケーションは、(VPNで) 隔離した上で、プログラムやデータに対する 任意の変更に耐性 (厳格なアクセス制御ポリシー) を持つ必要がある。ベルトか留 め具を使えばズボンは落ちないで済むし、これらは互いに補完し合う上に、どちら もそれほど高くない。
【編集者メモ】(Williams)
かなり前に Ed Skoudis が「エアギャップは通信待ち時間が大きいネットワークだ 」と語ったのを聞いたことがある。これは、Stuxnet の話と奇妙なくらい似ている 。この発見は、確かに問題だが、全体像をきちんと把握すべきだ。組織は、重要な オペレーションを行いながら、USB の利用をどのようにして制限するかを考える必 要がある。

◆ ミシガン州の公共施設がサイバー攻撃によって内部システムが影響を受ける(2016.4.27,28)
ミシガン州ランシング市にある Board of Water & Light が、マルウエア攻撃を受 けたことにより、会計システムとメールサービスを 無期限でオフライン状態にして いる。 攻撃は、4月25日に同社の従業員がメールに添付されているファイルをクリ ックしたことで始まり、ファイルの暗号化を行なわれたもの。この攻撃は、施設の 内部ネットワークのみに影響を及ぼし、顧客が電力を失うことは無かったという。

http://www.scmagazine.com/senate-committee-leaders-ask-omb-to-update-15-year-old-cyber-policy/article/492904/
http://www.lansingstatejournal.com/story/news/2016/04/27/cyber-attack-bwl-keeps-fbi-silent/83590820/

【編集者メモ】(Williams)
この施設がITとOTの資産を (見た目上は) 正確に分離させたことは褒めるべきだろ う。しかし、会計とメールのシステムが無期限でオフラインになってしまったこと は悲しいと言わざるを得ない。なぜなら、災害復旧の計画が不完全だったことを意 味しているからだ。もっとも、公開されるランサムウエアの事例では良く聞くこと でもあるのだが。

◆ OMBに対し議員が連邦サイバーセキュリティ規則の改訂を要求(2016.4.28)
米国政府の国土安全保障委員会のチェアマンと幹部が、行政予算管理局 (OMB)に対 して、IT管理とサイバーセキュリティのフレームワークであるCircular A-130の更 新について状況の確認を行った。このフレームワークは、15年以上前から更新され ていない。2014年の Federal Information Security Modernization Actでは、OMB に対して、「2015年12月までに効率の悪い、無駄な報告を無くす」目的でフレーム ワークの更新を義務付けていた。ロン・ジョンソン (共和党-ウィスコンシン州) とトム・カーパー (民主党-デラウエア州) の両議院が OMBに送ったレターには、 「Circular A-130は政府内での継続した監視が完全に採択されない障害」であると している。

http://www.scmagazine.com/senate-committee-leaders-ask-omb-to-update-15-year-old-cyber-policy/article/492904/
http://www.carper.senate.gov/public/index.cfm/pressreleases?ID=B3B96D5C-0F53-4657-8BD7-4594E80C9CAD

【編集者メモ】(Paller)
A-130 の改訂ドラフトは作成されているのだが、問題を解決できていない。継続し た監視について語られてはいるが、問題となる文言が残っていることを隠したまま になっている。この問題となる文言は強制的な部分であり、GAOおよび IGによって 施行される部分のことだ。そのため、政府機関は、間違ったインディケータに注力 したり、「問題に対し、感心をもって眺める」ことに毎年多くのお金をコンサルタ ントに支払いったりしている。そしてやるべきことは、それよりも少ないお金を使 って、問題を修正することである。複数の大統領政権の下で、OMB の幹部として連 邦政府のITを指揮していた頃 Computer Security ActやComputer Privacy Actを書 いたフランクリン・リーダー氏は、現在の OMB幹部に対して、根本的な問題解決を 訴えたのだが無視されたのだ。

◆ SWIFTが顧客に対し国際金融システムの詐欺について警告(2016.4.26)
国際銀行間金融通信協会(SWIFT) は顧客に対し、ここ最近でシステムを悪用した詐 欺の事例について警告を通知した。この通知には、バングラデッシュ銀行から8100 万USDが盗まれた事例以外にもインシデントがあったと書かれている。SWIFTは、顧 客に対しシステムのセキュリティ強化を呼びかけるとともに、 5月12日までにイン ストールすべきソフトウェアアップデートについて情報を提供している。

http://www.reuters.com/article/us-cyber-banking-swift-exclusive-idUSKCN0XM2DI

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「モノのインターネット(IoT)」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パソコンやスマートフォンだけではなく、日常生活で利用するデバイスがインタ
ーネットに接続できるようになってきました。しかし、スマートフォンのような
モバイルデバイスと同様に、固有のセキュリティ問題を抱えています。今月は、
これらの問題とリスクについて一般ユーザ向けに分かりやすく解説するとともに
、IoTデバイスを安全に利用する方法をご紹介します。 社員の意識向上ツールと
してお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201605_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年6月9日(木)-10日(金) [☆好評受付中です☆]
  2016年9月8日(木)-9日(金)
  2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
  2016年9月15日(木)
  2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
 2016年9月14日(水)
  2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
  2016年9月16日(金)
  2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 脅威情報の共有が重要インフラを守る手助けになる(2016.4.29)
米国土安全保障省(DHS) の National Protection and Programs Directorate の次 官であるスザーン・スポルディング氏が、先週ワシントンDCで開催されたカンファ レンスにおいて、民間企業と政府間のサイバー脅威に関する情報の共有は重要イン フラに対する脅威を減らすことに繋がると述べた。また、同氏は、サイバーセキュ リティは組織内でIT部署に限定せず、「重要インフラ事業社内で組織の機能を語る 上での一部として位置づけなければならない」とも語っている。

http://federalnewsradio.com/cybersecurity/2016/04/dhs-seeks-better-private-public-sharing-cyber-threat-information/

【編集者メモ】(Murray)
DHS は、私がインテリジェンスコミュニティから無料で教えてもらったことを高い コストで教わっている。それは、インテリジェンスの共有には信頼が必要であると いうことだ。信頼は脆いだけでなく、簡単に拡大・拡張できるものではない。

◆ 国会議員が社会保障局に対するペネトレーションテストの結果を要求する(2016.4.29)
米下院の監視委員会チェアマンと有力幹部が、社会保障局のシステムに対して行わ れたペネトレーションテストの結果を全て明らかにすべきだと要求している。この 要求は、SSAの連邦情報セキュリティマネジメント法 (FISMA) のコンプライアンス について、「内部コントロールの欠如が発見された弱点の発端である」と2015年11 月の監察総監室(OIG) によるレポートで指摘されていたために行われているもの。

http://thehill.com/policy/cybersecurity/278213-oversight-leaders-to-probe-social-security-defenses
https://oig.ssa.gov/sites/default/files/audit/full/pdf/A-14-16-50037.pdf

【編集者メモ】(Murray)
ペネトレーションテストを避けるための口実としては最高だ。

◆ サムスンの SmartThingsに複数の脆弱性(2016.5.2)
ミシガン大学の研究者が、サムスン社が提供する SmartThingsに関する「詳細な実 証的なセキュリティ分析」レポートを公開した。この SmartThingsは、SmartApps を使って家庭内でインターネットに接続されている機器をスマートフォン経由で操 作するためのプログラムで、研究者たちは、火災報知機を不正に作動させたり、デ ジタルロックにコードを仕込んで宅内へのアクセスを可能にしたりすることができ ると報告している。また、SmartApps は、必要の無い権限を得ることができること についても書いており、さらに SmartThingsのイベント処理に関するシステムは、 機密なデータを送る際に適切な保護をしていないと記載している。

http://www.theregister.co.uk/2016/05/02/samsung_smartthings_security/
https://www.wired.com/2016/05/flaws-samsungs-smart-home-let-hackers-unlock-doors-set-off-fire-alarms/
http://www.cnet.com/news/security-researchers-warn-of-key-iot-vulnerabilities-in-samsung-smartthings-platform/
http://arstechnica.com/security/2016/05/samsung-smart-home-flaws-lets-hackers-make-keys-to-front-door/

広がるスマートな家庭用アプリケーションに対するセキュリティ分析:
https://iotsecurity.eecs.umich.edu

【編集者メモ】(Liston)
この記事の後に続く、ミシガン州議会が自動車に対してこのような研究が行われた 場合において罰則を与えようとしている記事と「並べて」読むべきだと思う。この ミシガン大学の研究を受けてサムスン社は、製品のセキュリティを向上するための アクションを取った。これは、消費者にとって大きな勝利である。

◆ ミシガン州の法案で自動車ハッカーに対し終身刑を(2016.5.2)
ミシガン州の州議会議員が、自動車のシステムに不正アクセスした者に対し終身刑 を与える法案を 2つ提出している。法案では、「何人も自動車の電機システムに対 し、破壊、破損、損傷、改ざんまたは自動車に対し不正なコントロールを可能にす る目的で意図的にアクセス、またはアクセスを可能にすることをしてはいけない」 と記載されている。

http://www.computerworld.com/article/3064381/security/hack-a-car-in-michigan-go-to-prison-for-life-if-new-bill-becomes-law.html
http://www.theregister.co.uk/2016/04/30/proposed_car_hacking_law_michigan/
http://www.cnet.com/roadshow/news/michigan-lawmakers-want-to-jail-you-for-life-for-hacking-cars/

【編集者メモ】(Pescatore)
長時間飛行機に乗る時、このような法案を読むのだが、とても良い睡眠薬代わりに なる。刑を決める目的で、自動車に対するハッキング行為に金銭的な価値を付けよ うとしている。最終的にこのアプローチは上手くいかないものだが、ミシガン州の 議員は、これを自動車業界に対して評判を上げるための策として活用しているのだ ろう。
【編集者メモ】(Honan)
自動車や他のプラットフォーム上でセキュリティに関する研究を禁止することで、 それら機器のセキュリティが向上する訳でない。多くの場合は、逆にセキュリティ が悪化するだろう。
【編集者メモ】(Williams)
昨年話題になった高速道路走行中の自動車制御を乗っ取る行為や、セキュリティに 詳しくない一般人の理解できないものに対する恐怖が、このような悪い法律の設立 に繋がるのだ。

◆ DHSが新しく入った職員に対してサイバーセキュリティの賃金インセンティブを提示(2016.5.3)
米国土安全保障省(DHS) が、実力あるサイバーセキュリティスキルを持った従業員 を雇うために、賃金ボーナスを与えるプログラムの拡張を行うという。政府での仕 事は、民間のそれよりも賃金が低いのが通例であるが、このボーナスを与えるプロ グラムは 、DHSの National Protection and Programs Directorate(NPDD) でのパ イロットを経て、「他の部署」にも適用される予定だという。

http://federalnewsradio.com/cybersecurity/2016/05/dhs-sweetens-cyber-workforce-recruiting-new-bonuses/

【編集者メモ】(Henry)
この DHSが提示している賃金ボーナスは、原理上は価値があるが、効果があるだけ でなく一貫性を持って提供しなければならない。私は、過去に似たような政府の取 り組みを見てきたが、人材が正しい「資格」を持っているだけで特定のカテゴリに 分けられ、経験や実際のスキルは考慮されていなかった。このような事が続くと、 従業員間に亀裂が生じるのだ。なぜなら、既に業務をこなしている資格の無い従業 員は賃金が低く、そして新しく入った職員は適切な資格を保持しているから採用さ れるのだが、実務をこなせないことがあるにも関わらず賃金が高いからだ。資格は 良いスタートではあるが、インセンティブは、実際のスキルや経験、テクニカル能 力と結果をベースに与えることが何よりも重要である。
【編集者メモ】(Paller)
私は、 (Henry氏は、FBI内でテクニカルスキルや経験が重宝されていたころにサイ バー部署をまとめていたことを思い出した上で) 上記の Shawn Henry氏のコメント に同調する。 DHSのボーナスプログラムが、セキュリティに関して話ができるよう になるだけの資格に注力し、問題を解決するためのハンズオンの経験や他組織に実 演するためのスキルを軽視すると失敗するだろう。 DHSは、このようなサイバーセ キュリティ人材を集めるためのプログラムを活用して、一般的なITに長けている人 材を雇う傾向にある。 DHSがこのプログラムを使って、問題を解決するためのスキ ルが無い、そして問題について語るだけの人を雇った場合、ジョンソン長官を、イ ッサ氏がチェアマンを務める委員会に招集し、 OPMの長官が受けた以上の批判を受 けるべきだろう。
【編集者メモ】(Pescatore)
私が電気工学の学位を持って大学を卒業した時、 NSAはこの学位を持っている人に 対しインセンティブを提供していた。 25%の上乗せがあって、その当時だと民間企 業と張り合えるくらいになっていた。 この記事が示すように、DHSはなぜ離職率が 高いのか調査した方が良い。 大学卒業したばかりの新人職員を多数雇って、OJTを 行い他の省庁や民間企業に転職してしまうサイクルを繰り返すよりも、セキュリテ ィに長けている人材を留める方が重要だろう。

◆ ImageMagickに深刻な脆弱性(2016.5.4)
広く画像処理のライブラリとして利用されている 「ImageMagick」に深刻な脆弱性 があり、細工された画像ファイルに隠されているコードを実行が可能だという。実 証コードが公開されているが、問題を修正するパッチは無い。 ImageMagickの開発 者は、修正が公開されるまでの間、ポリシーを変更することで問題回避をするよう 推奨している。

http://arstechnica.com/security/2016/05/easily-exploited-bug-exposes-huge-number-of-sites-to-code-execution-attacks/
http://www.zdnet.com/article/imagemagick-vulnerability-exposes-countless-websites-to-exploit/
http://www.computerworld.com/article/3065854/security/critical-flaws-in-imagemagick-library-expose-websites-to-hacking.html
ポリシーによる脆弱性回避について
- https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588

【編集者メモ】(Liston)
これらの脆弱性を遠隔から攻撃することで、1-コード実行や2-ファイル削除、3-フ ァイル移動、そして4-ファイルコンテンツの漏えいという影響がある。コードを眺 めてみると、 ImageMagickは、様々なコマンドラインツールの集合体であり、様々 な「ライブラリ」はコマンドラインで実行するもののラッパーである。今後、この 脆弱性情報の公開がきっかけで注目を浴びたことにより、さらに多くの脆弱性が発 見・公開されることだろう。
【編集者メモ】(Williams)
この脆弱性がもたらす課題は、影響を受けるアプリケーションをすべて特定するこ とである。 ImageMagickは、スタンドアローンのアプリケーションとしてではなく 、通常別のアプリケーションの一部としてシステムにインストールされることが多 い。システムのオーナーの中で、特にインターネット上で公開しているウェブアプ リケーションを持つ人たちは、開発ベンダに連絡を取り、脆弱であるか否かを確認 すべきだろう。その中で、パッチが公開された後の適用スケジュールと、それまで の間の回避策適用についても話をするべきだ。
【編集者メモ】(Ullrich)
自身のウェブサイトが画像ファイルを処理する場合、この脆弱性の影響を受ける可 能性は高いだろう。今回は、幸いなことに ImageMagickの設定ファイルを変更する ことで問題を回避できるが。これは、「絶対にパッチ適用が必要な」脆弱性である

◆ Qualcomm製のチップを搭載している Android機器に深刻な脆弱性(2016.5.5)
Qualcomm製のチップを搭載した Android機器内に存在する脆弱性が攻撃されること によって、ユーザのデータが漏えいしてしまうという。この脆弱性は、Qualcommの 「network_manager」システムサービス用のAPIが、 5年前に追加されたことに起因 している。Qualcommは、修正を公開し、顧客に連絡を行っている。また、機器メー カーは、それぞれパッチや修正を公開する必要がある。そのため、多くの機器が修 正されない可能性がある。

http://arstechnica.com/security/2016/05/5-year-old-android-vulnerability-exposes-texts-and-call-histories/
http://www.zdnet.com/article/qualcomm-security-flaw-impacts-android-devices-project-apis/
http://www.scmagazine.com/lingering-android-flaw-exposes-sms/article/494635/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月17日(火)、6月15日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○5月18日(水)、7月7日(木)、9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

○5月27日(金)、6月29日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○6月1日(水)~3日(金)
 AWS Summit Tokyo 2016
 http://www.nri-secure.co.jp/seminar/2016/aws_summit_2016.html?xmid=300&xlinkid=09

○6月16日(木)、7月15日(金)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。