Vol.6 No.43　2011年10月26日発行

Home > Security NewsLetter(NRI Secure Information) > Vol.6 No.43　2011年10月26日発行

**********************************************************************
　　　　　　　　　 NRI Secure Security Information
　　　　　　　　（SANS NewsBites、@RISKサマリー版）
　　　　　　　　　　　　　　　　　　　　 Vol.6 No.43　2011年10月26日発行
**********************************************************************

■はじめに(Alan Paller：SANS Director of Research)

「ブラックベリー停止」のニュースは、ブラックベリーのプラットフォームのみをサポートしていた政府や産業が、3つの全てのプラットフォームをサポートする方向へ転換する幕開けとなる。これからの数ヶ月間、CIOらにとって、手に余るほど過多なモバイル・プラットフォームのセキュリティを管理することが最優先事項となるだろう。3番目のニュースの【編集者メモ】をご覧あれ。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◇◆ SANS Tokyo 2011 Autumn Security Training ◆◇◆

【SEC504】Hacker Techniques, Exploits and Incident Handling
2011年11月14日（月）～19日（土）開催

　　　　　－最新の脅威に対応できるインシデントハンドラーを養成
　　　　　－ノースロップ・グラマンのサイバー脅威アナリストが講師として来日

↓↓↓詳細＆お申込みはこちら↓↓↓
http://sans-japan.jp/courses/sec504.html
＜11/4までのお申し込みで早期割引を適用！＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.13 No.82-83
（原版:2011年10月15日、10月19日）

◆ブラックベリーサービス　3日間の障害を経て復旧(2011.10.13)

ブラックベリーの顧客のメッセージングと電子メールに影響をもたらした、3 日間のネットワーク中断の後、ブラックベリーは「サービスは完全に復旧した」と述べた。ブラックベリー創業者であるMike Lazaridisによれば、今回の中断はかつて経験したことのない最も深刻なものであり、同社はこの件について調査を行うという。Lazaridisは、問題はハードウェアのエラーから始まり、次々と事象が発生して大規模な機能停止に陥ったと述べている。

http://www.bbc.co.uk/news/technology-15287072
http://money.cnn.com/2011/10/13/technology/blackberry_outage/index.htm

【編集者メモ1】(Liston)
ここで、かなりユーモアのあることを言おうと思ったのだが、きっとブラックベリー所有者にはご理解いただけないと思うので止めた。（笑）

【編集者メモ2】(Honan)
企業での携帯電子メールの使用が拡大していることを考えると、今回の機能停止は、RIMに限らず電子メールサービスに関する事業継続計画の見直しを各組織に迫る痛烈な注意喚起となるべきであろう。

────────────────

◆米国空軍　無人航空機コンピュータシステムのマルウェア感染の深刻度を軽視（2011.10.13)

米国空軍は　無人航空機を制御するコンピュータシステムに感染したと伝えられるマルウェアを、単なる「厄介者」にすぎないと称した。関係者によると、マルウェアが軍用ネットワークのデータを盗み出したとする報告は間違っているという。また、マルウェアにキーストロークロギング機能はなかったと加えた。マルウェアは、無人航空機の遠隔制御用のシステムとは別のシステムを感染させていた。問題のマルウェアは、無人飛行機のシステムを狙ったのではなく、オンラインゲーム用のログイン認証情報を盗み出す際に用いられるありきたりのマルウェアだった。

http://www.informationweek.com/news/government/security/231900741
http://www.msnbc.msn.com/id/44883383/ns/technology_and_science-security/#.Tpd9jHLZV8F
http://arstechnica.com/tech-policy/news/2011/10/get-hacked-dont-tell-drone-base-didnt-report-virus.ars

【編集者メモ1】(Liston)
私は、感染したマルウェアの機能についてはあまり関心がないが、感染してしまったこと自体の方がもっと気になる。システムが打ちのめされてしまったと言っていいほどプロセスが機能しなくなったのであれば、本日の害虫（そのものの）の機能について論じるのは、注意をそらされているにすぎない。真の問題は、「これが起きてしまった経緯は解き明かすことができたか、そして、その問題を修正したどうか」である。

【編集者メモ2】(Northcutt)
そもそも、このマルウェアができることとできないことについて知っているのは、機密取扱許可の保持者のみだけだろう。しかしながら、これによって、年に40億ドルかかっている無人機プログラムがマルウェア挿入に脆弱であると証明されたことは誰の目にも明らかである。となると、賢い人の多くはマルウェアだけに手間をかけるはずだ。防御の第一戦となるのは、何らかのソフトウェアのホワイトリストであろう。そうそう、私は最近Mac Lionに変えたばかりだが、エンドポイント・セキュリティ・ツールで効果があると思うものがあれば、いくつかご提案をいただきたい(stephen@sans.edu)。

────────────────

◆RIM 　3日間にわたるブラックベリーの停止の補償としてアプリとサポートを提供(2011.10.17)

先週発生した3日間にわたるサービス停止を受けて、ブラックベリーの親会社であるResearch in Motion(RIM)は、顧客に対して補償を提供している。消費者は無料でアプリケーションを受け取ることができるほか、顧客企業は、1か月間の無料サポートを受けることができる。

http://www.computerworld.com/s/article/9220900/RIM_offers_free_apps_support_following_outages?taxonomyId=83
http://edition.cnn.com/2011/10/17/tech/mobile/blackberry-free-apps/index.html

【編集者メモ】(Paller)
ブラックベリーは長い間企業用モバイルITを独占していたが、今回の停止によって、死の苦しみを味わうことになる。可用性はセキュリティの3本柱の1つであるため、セキュリティ専門家は、もはやブラックベリーのセキュリティがより優れているとは言えなくなった。先週開催された米国サイバーセキュリティ革新アワード (National Cybersecurity Innovation Awards) の式典において、 iPhone、iPad、および、Androidのデバイスをカバーする、前途有望で、かつ完全に組み入れられた効果的な企業用モバイルセキュリティのモデルが紹介された。（受賞者に関するプレスリリースは、今後2週間の間に発表される見込みだ。）企業用のモバイルセキュリティのソリューションをとりまとめ、来週再来週のどこかでWebキャストにおいて、ブリーフィングを行う予定だ。

────────────────

◆サイバー上の侵害やリスクの情報開示に関する米国証券取引委員会(SEC)のガイドライン（2011.10.13-14）

米国証券取引委員会(SEC)は、どのような場合にサイバー攻撃やセキュリティのリスクに関わる情報開示を行う必要があるかを、各企業が判断する際に有用なガイドラインを発行した。このガイドラインによると、株式公開企業は、重大なサイバー上の窃盗や攻撃については情報開示を行わなくてはならない。また、同企業は、攻撃によって実体上のリスクに晒される場合も報告を行う義務がある。

http://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm
http://www.washingtonpost.com/world/national-security/cybersecurity-sec-outlines-requirement-that-companies-report-data-breaches/2011/10/14/gIQArGjskL_story.html
http://www.informationweek.com/news/government/policy/231900861
http://www.scmagazineus.com/sec-updates-disclosure-rules-to-include-breaches/article/214404/
http://news.cnet.com/8301-1009_3-20120196-83/sec-orders-disclosure-of-potential-security-breaches/?tag=txt;title
http://www.computerworld.com/s/article/9220922/Breach_reporting_Now_companies_have_to_do_it

────────────────

◆判事談：警察が位置情報をリクエストする際には許可が必要(2011.10.14-15)

ワシントンDCの米国地方裁判所裁判長は、警察官は、容疑者が特定の携帯デバイスを使用した場所を示す情報を引き渡すように携帯電話サービスのプロバイダに要求する際には、令状は必要ないが許可が必要と述べた。
連邦判事Royce Lamberthによるこの命令は、データを要求する前の令状を獲得を警察に義務付けた下級裁判所の判決を覆すことになる。Lamberth判事は、警察は判事に対して、求めている情報が捜査にどのように関係あるのかを説明しなくてはならないと言及している。

http://www.msnbc.msn.com/id/44908876/ns/technology_and_science-security/#.Tpx-QHLZV8E
http://www.theregister.co.uk/2011/10/15/warrantless_cellphone_tracking_ok/

【編集者メモ1】(Murray)
この示すところとしては、どうやら、警察には相当の理由を示す必要がないようだ。裁判所の「許可」はたいてい「令状」と称され、その場合、相当の理由を示しているという意味を含んでいる。捜査員が手に入れられるものは全て欲しがるというのはわかる。彼らにとって、憲法修正第4条(訳注：令状主義＝身体や所有権の安全を保証し、その拘束や捜索には相当な理由により発行された令状が必要と定める)は、乗り越えるべき障害物でしかないのだ。我々は、裁判所からもっと多くのことを期待している。このような捜査手法の濫用は、国・州がなすべき有罪を証明する責務を、市民が無罪を証明するほうに転嫁させてしまう。

【編集者メモ2】(Paller)
この意見には反対だ。Lamberth判事の決定には良識があり、均衡もとれている。

v 【編集者メモ3】(Liston)
この判決によって、携帯電話プロバイダに個人の位置情報を引き渡すように強要するにあたって、政府が満たさなければならない基準が、原則的にどれも取り去られてしまう。捜査員が令状を獲得するには、問題の個人が犯罪の実行に関係しており、捜索によってその犯罪の証拠を提供できる可能性があると示す「相当の理由」があると、判事を説得しなければならない。Lamberthの判決では、捜査員らは、犯罪が実行されたという証拠がない事例であっても、求めている情報が「継続中の捜査に適切である」と示すだけでよいとなっている。 Lamberth判事の判決は、憲法修正第4条（皆様、覚えておいでか？）は不当な捜査から我々を守るものであるから、政府が、市民が持つ携帯電話で市民を追跡するのは「不当ではない」であると言っていることになる。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・出展のイベント　　　　　（NRIセキュア）
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月27日・11月18日・12月9日　　　　　　　　　　　＜東京汐留本社＞
　メールセキュリティ対策実践セミナー
　～情報漏えい・誤送信対策ソリューションのご紹介～
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=58&xlinkid=12

○10月28日・11月25日・12月16日　　　　　　　　　　　＜東京汐留本社＞
　情報資産識別・管理ソリューションミーティング
　～実効力ある情報漏えい防止、いますべき対策とは～
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=58&xlinkid=13

○11月9日　　　　　　　　　　　　　　＜ニューヨーク The Nippon Club＞
　クラウド時代の情報セキュリティリスク
　～クラウド利用が進む中、
　　　　新たなリスクの対処に向けて海外オフィスは今、何をすべきか～
http://nikkeibp-america.com/NRI/

○11月11日:仙台・11月17日:名古屋・11月18日:札幌
　今後求められる、IT資産管理の新基準！！
　～クラウド活用によって実現する次世代IT管理とは～　にてセッション講演
http://www.motex.co.jp/seminar/2011_asset-seminar.html

○11月15日　　　　　　　　　　　　　　　　　　　　　＜東京汐留本社＞
　セキュアリモートアクセス体感セミナー
　～BYOD時代のセキュアリモートアクセスとデバイスマネジメント～
http://www.nri-secure.co.jp/seminar/2011/byod01.html?xmid=58&xlinkid=11

○11月16日・12月14日　　　　　　　　　　　　　　　　＜東京汐留本社＞
　事例から学ぶ特権ID・監査ログ管理実践セミナー
　～IT統制、PCI DSS、情報漏洩対策。
　　　　　今求められるアクセス管理を短期・安価で実現する方法とは～
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=58&xlinkid=14

　※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修　　　　　　　　　　　　　　　（NRIセキュア）
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月5日
　セキュアWebアプリケーション実習：基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=58&xlinkid=15

○12月6日～7日
　セキュアWebアプリケーション実習：応用編（Java/JavaEE）
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=58&xlinkid=16
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
（原版:2011年10月15日 Vol.10 No.42）

今週報告された脆弱性情報のサマリー

カテゴリー: 件数（#は本稿掲載番号）
Windows: 3 (#1)
Other Microsoft Products: 5
Third Party Windows Apps: 2
Aix: 1
Cross Platform: 4 (#2)
Web Application - Cross Site Scripting: 2
Web Application - SQL Injection: 2
Web Application: 5
Hardware: 2

1.危険度【高】：Microsoft製品にさまざまなセキュリティの脆弱性

＜影響を受ける製品＞
Microsoft Forefront Unified Access Gateway 2010
Microsoft Internet Explorer 7、8、および、9
Microsoft .NET Framework 1.0、1.1、2.0、4
Microsoft Silverlight 4

＜詳細＞
Microsoftは、同社のMicrosoft火曜プログラムの一環として、さまざまな製品のパッチをリリースした。問題となっている脆弱性には、Microsoft Forefront Unified Access Gatewayにおいて署名付きJavaアプレットがアタッカーによってコードの実行に使われること、Internet Explorerにある複数のメモリ・セイフティの脆弱性、Silverlightおよび.NET Frameworkにあるインプット検証の脆弱性などがある。アタッカーは、ターゲットを悪意のあるサイトを閲覧するように仕向けられれば、これらの脆弱性を悪用して、ターゲットのマシン上で任意のコードを実行できるようになる。

＜現状＞
ベンダーはこの問題を認めており、更新をリリースしている。

────────────────

2.危険度【高】：Apple iTunesにさまざまなセキュリティの脆弱性

＜影響を受ける製品＞
Apple iTunes 10.5

＜詳細＞
Appleは、同社製iTunesメディアプレーヤに影響を及ぼす複数のセキュリティの脆弱性にパッチをリリースした。問題となっている脆弱性には、音声、画像、動画の処理を行うコードにあるバッファオーバーフロー、AppleブラウザエンジンであるWebKit にある中間者攻撃とメモリ崩壊の脆弱性などがある。これらの脆弱性の詳細は明らかではないが、アタッカーがターゲットのマシン上で任意のコードを実行する際に利用できる可能性がある。全てのケースにおいて、アタッカーは、ターゲットに悪意のあるサイトを閲覧させるか、もしくは、悪意のあるファイルを開くように仕向ける必要がある模様だ。

＜現状＞
ベンダーはこの問題を認めており、更新をリリースしている。

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ（SANS NewsBites、@RISK）をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方、メールマガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のうえ info@sans-japan.jp までご返信をお願い致します。

ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。

Vol.6 No.43 2011年10月26日発行

Vol.6 No.43　2011年10月26日発行