NRI Secure SANS NewsBites 日本版

Vol.4 No.36 2009年9月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.36 2009年9月8日発行
**********************************************************************

今週号からこのニュースメールを、「SANS Future Visions 2009 Tokyo」に事
前登録された方々にもお送りしています。先週起こったセキュリティ関連のニュー
スに対して、このニュースレターの編集者である有識者たちが、ユニークで辛
辣な意見を添えています。ぜひご一読ください。

■はじめに

サイバーセキュリティおよびサイバー戦争に関するC-SPAN放送で、米国サイバー
指令(US Cyber Command)やコンピュータネットワーク国防・攻撃に関するそ
の他の米軍イニシアチブとの、サポート提供契約のシェアを最も多く獲得する
と見込まれる請負企業として、SAICが選出された。多くの反論もあったが、基
本的にはSAICが優勢であったと言えよう。SAICは、多くの人員に高度なセキュ
リティスキルを供給できた、唯一の主要国防関連請負企業だったからだ。軍の
リーダーらは、サイバースペースで使える唯一の効果的な武器はパッケージ化
されたツールではなく、高度なスキルを持つ人材であることを心得ている。つ
まり、ここで勝ち残った請負企業は、侵入検知、フォレンジック、脆弱性分析、
エクスプロイト開発、リバースエンジニアリングマルウェア、高度なペネトレー
ションテスト(特にアプリのペネトレーションテスト、境界漏えい・保護)な
どの実績がある人材を今後供給していく。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   SANS Tokyo 2009-2010 トレーニングイベント 好評申込み受付中!
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        ●アプリケーションエンジニアのための●
         セキュアプログラミング講座 9月開講!
         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ■セキュアプログラミング演習(C言語) <9月28日-29日>■
                 会場:野村総合研究所 セミナールーム

   !!セキュアプログラミングスキル認定のGSSP試験にも対応!!
        ↓↓↓詳細&お申込みはこちら↓↓↓
   http://www.nri-secure.co.jp/seminar/2009/0909_29_index_.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■SANS NewsBites Vol.11 No.68-69
   (原版:2009年8月29日、9月2日配信)

◆控訴裁判所の見解:電子検索にプレーン・ビューの法理は当てはまらない
  (2009.8.27)

米国連邦控訴裁判所は、合法的な捜査時には目に付く範囲内であれば証拠が差
し押さえられるという、いわゆる「プレーン・ビューの法理」は、電子捜査に
は当てはまらないとの判決を出した。今回問題となったのは、違法ステロイド
をプロ野球選手に提供している疑いのある企業に対して政府が行った捜査に関
する記録である。捜査員らは、特定の野球選手10人の記録を取得するために、
Comprehensive Drug Testing, Inc.のコンピュータ捜査令状を獲得した。しか
し、捜査員は代わりにその他の選手や個人数百人の記録を差し押さえ、調査し
たのである。Alex Kozinski判事は、政府は令状にある警告部分を無視してお
り、「不正行為による利益取得」は許可しないという見解を示している。また、
Kozinski判事は、政府の主張が通ってしまうと、検察官らが必要以上の情報を
差し押さえるようになる懸念がある、と述べている。「どの電子データを差し
押さえ対象とするか判断するプロセス自体が、不正なデータ取得の機会を政府
に与える手段になることなど断じてあってはならない」とのことだ。
http://www.computerworld.com/s/article/9137209/Court_ruling_limits_electronic_searches?source=rss_security
http://www.ca9.uscourts.gov/datastore/opinions/2009/08/26/05-10067eb.pdf

【編集者メモ】(Schultz)
非常に重要な判決である。今後数年は、これが電子データ捜査の先例となるに
ちがいない。
────────────────

◆英提案:ISPによる常習的な著作権違反者のインターネット接続停止を義務
  化(2009.8.25-26)

英国政府は、インターネットサービスプロバイダ(ISP)に対して著作権法に
違反して著作物をダウンロードしている顧客へのインターネットサービス停止
を義務付ける政策について議論している。この提案の先のバージョンでは、著
作権法に違反している加入者に対し、段階的な対応を踏むことが推奨されてい
た。段階的な対応とは、加入者に対し、まず活動が違法であることが通知され、
それでも続く場合にはインターネット接続スピードを遅くする、という処置だ。
この度、加入者のインターネット接続停止を加える提案がなされたのは、著作
権者らが以前のバージョンでは不十分であると申し立てたからだ。今回の提案
が有効となるには、英国議会で承認されなくてはならない。英国のISPである
Talk Talkによれば、新たな提案は「基本的権利の侵害」にあたる可能性があ
るという。その他のISPらもこの提案に眉をひそめている。
http://www.computerworld.com/s/article/9137169/British_proposal_to_cut_Web_access_to_copyright_infringers_draws_protest
http://www.msnbc.msn.com/id/32551437/ns/technology_and_science-security/
http://www.timesonline.co.uk/tol/news/politics/article6809329.ece
http://news.bbc.co.uk/2/hi/technology/8219652.stm
────────────────

◆インサイダーによるセキュリティインシデント 故意より偶発的なものが多
  い(2009.8.25-27)

RSAの研究によると、悪意のあるインサイダーアタックよりも、能力不足から
くる過失によるセキュリティインシデントの方が多いという。セキュリティ対
策費の用途は、偶発的な侵害阻止よりも、故意によるインサイダーアタックの
脅威を低減することに絞られているようだが、調査回答者400人のうち52%が
インサイダーによるインシデントを偶発的なものと考えている。アタックを意
図的とする回答は19%にとどまった。
http://www.theregister.co.uk/2009/08/25/rsa_accidental_security_breach_survey/
http://news.bbc.co.uk/2/hi/technology/8215467.stm

【編集者メモ1】(Schultz)
RSAの研究結果は、以前行われた同様の研究結果をよく反映している。「職場
に不満のある人間が取り組みを怠り、他と比べてミスをしやすくなる」という
仮説は支持できる。
【編集者メモ2】(Hoelzer)
我々が、至ることころで企業に対して言いたかったことの真実を突いた報告書
である。これによって、リスクやコントロールに対して、企業がより正しくア
プローチできるようになるか否か、今にわかるだろう。
【編集者メモ3】(Honan)
私は常に、インサイダーアタックの確率が高いという考えに懐疑的だった。組
織で発生したセキュリティインシデントのデータを分析し、偶発的なセキュリ
ティインシデント、外部の人間に騙されたインサイダーによるインシデント、
故意に行われたインサイダーアタックの各件数を調べることをお勧めする。そ
のデータは、組織のセキュリティ認識プログラムの発展においてかけがえのな
いものとなるだろう。
────────────────

◆サイバーセキュリティ系資格保持者に対する報酬 他をしのぐ:特定のスキ
  ルは需要高(2009.7.26)

資格保持者に対する報酬が全体的に4%以上低下している中で、2009年第2四半
期、セキュリティ関連の資格においては2%上昇していることが、Foote
Partnersの「四半期IT報酬額最新調査(Quarterly IT Pay Update)」の調べ
でわかった。この調査結果は、雇用企業2,000社に所属する8万4,000人のIT専
門職者の回答をまとめたものだ。過去6か月で集計すると、その差は一層大き
いようだ。雇用企業が資格保持者に対する報酬を戦略的に用いて、重要な才能
を持つ人材の獲得・囲い込みを行っていることを踏まえると、今回の結果であ
らわになった報酬格差は、サイバーセキュリティスキルが企業からますます重
要視されていることを示している。実際、Foote Partnersが作成した最も需要
の高い資格の「ホットリスト最新情報」によると、上位資格10のうち6つがセ
キュリティ関連資格だった。首位に輝いた資格は、GIAC認定のインシデントハ
ンドラーだった。驚いたのは、CISSPもCISMも24位までのリストに上ってこな
かったことだ。代わりに、ホットな資格とみなされたのはGIACやCheckpoint、
Ciscoによる高度なセキュリティの資格である。さらに、CISSPの資格が、報酬
額第3位の資格としてランクインはしているものの、GIACセキュリティリーダー
シップやGIACセキュリティエンジニア検定が、初めてCISSPを抜いた。Bank
Information SecurityのDavid Footeによると、インシデント分析・処理、IDS、
ファイアウォール、フォレンジック、および脆弱性分析などの強力な技術的ス
キルを保持しているセキュリティ専門職者に対する需要は急激に高まっている
という。
http://www.footepartners.com/FooteNewsRelease_July2009ITlabortrends_072609V2.pdf

【編集者メモ】(Honan)
技術的なスキルは効果的なセキュリティコントロールを導入する上で重要だが、
一方で、セキュリティ専門職者らは軟弱なコミュニケーションスキル(会話、
文章問わず)、人間関係のスキル、ポリシーや手順の作成能力を磨くことを忘
れてはならない。
────────────────

◆米法改正 なおも大統領にインターネットの一部を停止させる権限残る
  (2009.8.28-31)

4月に提案された法案において、「連邦政府や重大なインフラの情報システム
ネットワークに接続しているインターネット通信を制限および停止する、サイ
バーセキュリティ緊急事態宣言や命令を発する権限」が大統領に付与されてい
た。インターネット企業や市民の自由を求める団体が、この権限に懸念を抱い
ているにもかかわらず、同法案の改正案でもなお大統領に情報システムを制御
する権限が与えられているだけでなく、改正後の文言は改正前以上に曖昧になっ
ている。改正案では、連邦サイバーセキュリティ専門職認定プログラムが提案
されており、特定の民間システムネットワークを管理できるのは、この認定を
受けている者に限るとしている。
http://www.scmagazineus.com/Can-the-president-shut-down-the-internet/article/147799/
http://news.cnet.com/8301-13578_3-10320096-38.html
http://fcw.com/Articles/2009/08/28/Cybersecurity-bill-presidential-power.aspx
http://www.computerworld.com/s/article/9137294/Bill_giving_Obama_power_to_shut_Web_takes_on_new_tone?taxonomyId=62&pageNumber=1

【編集者メモ】(Pescatore)
確かに、原案では「インターネットの停止」に関する記述はたった1文であっ
た。そのうち正気に戻れば、これはNGになると思うのだが。商務省に対してサ
イバーセキュリティ専門職者のライセンスや認定プログラムの設置を義務付け
る文言があるが、これについても同様に削除する必要がある。法案のその他の
部分には、良いアイデアもいくつか見られたが、ポークバレル(特定の選挙区
への利益誘導)計画もあった。
【編集者メモ】(Schultz)
この法案は、実際にはここまでネガティブな反応を示すほど過酷なものではな
い。ただ、インターネットは複雑かつ地理的に多様であるため、大統領ほか特
定の人間の立場において迅速かつ確実な中央制御を行うという考えは、やや強
引と言える。詳しくはこちら:blog.emagined.com
────────────────

◆Facebook プライバシー慣行を強化(2009.8.27-28)

カナダのプライバシー委員会(Office of the Privacy Commissioner)による
調査を受け、Facebookは、サードパーティアプリケーションとの共有情報にお
けるコントロールを今まで以上にユーザーへ提供することに合意した。アプリ
ケーションは、アクセスしたい個人情報のカテゴリー全てにおいて、そのユー
ザーの許可を受けることが義務付けられるようになる。そのほか、ユーザーに
は自分のアカウントの無効化や削除を行うオプションも与えられる。ユーザー
が自分のアカウントを削除した際には、そのユーザーの属性情報はFacebookの
サーバーからも削除されるという。
http://www.scmagazineus.com/Facebook-to-modify-privacy-practices-after-investigation/article/147556/
http://technology.timesonline.co.uk/tol/news/tech_and_web/article6812783.ece
────────────────

◆研究結果:フィッシング減少傾向に(2009.8.27)

IBMの報告によると、フィッシングアタックの件数が減っているという。サイ
バー犯罪者は現在、悪意のあるリンクやパスワードやその他の機密情報を盗み
出すトロイの木馬プログラムを使う傾向にあるようだ。X-Forceの報告によれ
ば、2008年には全スパムに占めるフィッシングアタックの割合は0.5%だった
が、2009年上半期だと0.1%に落ち込んでいるという。また、報告によれば、
Webにある悪意のあるリンクの件数が2009年上半期で50.8倍上昇したようだ。
http://voices.washingtonpost.com/securityfix/2009/08/phishing_attacks_on_the_wane.html
http://www.h-online.com/security/IBM-Report-Phishing-is-going-out-of-style--/news/114113

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
主催:NRIセキュアテクノロジーズ株式会社

情報セキュリティソリューションセミナー(PCI DSS特集)
----------------------------------------------------------------------
~ PCI DSS 企業が抱える課題と準拠のメリット ~
http://www.nri-secure.co.jp/seminar/2009/0924.html
** 2009年9月24日(月) 《受講無料》**

度重なるクレジットカード情報の漏えい事件をうけ、カード情報を扱うシス
テムのセキュリティ対策を明確化した「PCI DSS」に注目が集まっています。
本セミナーでは「PCI DSS」の概要から認定・維持の流れをご紹介するととも
に企業が抱える課題や市場の動向、準拠のメリットなどをご紹介いたします。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年8月29日 Vol.8 No.35)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          4
Linux                      4
BSD                       2
Solaris                     5
Cross Platform                 27 (#1, #2)
Webアプリ・クロスサイトスクリプティング     8
Webアプリ・SQLインジェクション         19
Webアプリ                   14
ネットワークデバイス              3
======================================================================

Lotus NotesとSymantecのMail Security、Brightmail、DLPユーザーは、皆さ
んパッチを適用されるよう。それ以外の方々には穏やかな一週間が続くことに
なる。
────────────────

1.危険度【重大】:Autonomy KeyViewのExcelファイル解析にバッファオーバー
  フローの脆弱性

<影響のある製品>
Autonomy KeyView Viewer SDK 10.x
Autonomy KeyView Filter SDK 10.x
Autonomy KeyView Export SDK 10.x
IBM Lotus Notes 8.5.x
IBM Lotus Notes 7.0.x
IBM Lotus Notes 6.5.x
IBM Lotus Notes 6.0.x
IBM Lotus Notes 5.0.x
SMTP 5.0.x用 Symantec Mail Security
Microsoft Exchange 6.0.x用Symantec Mail Security
Microsoft Exchange 5.0.x用Symantec Mail Security
Domino 7.5.x用Symantec Mail Security
Domino 8.0用Symantec Mail Security
Symantec Mail Security Appliance 5.0.x
Symantec Data Loss Prevention Endpoint Agents 9.0.x
Symantec Data Loss Prevention Endpoint Agents 8.1.1
Windows 9.0.1用Symantec Data Loss Prevention Detection Servers
Windows 8.1.1用Symantec Data Loss Prevention Detection Servers
Linux 9.0.1用Symantec Data Loss Prevention Detection Servers
Linux 8.1.1用Symantec Data Loss Prevention Detection Servers
Symantec Data Loss Prevention Detection Servers 7.2
Symantec BrightMail Appliance 8.0.x
Symantec BrightMail Appliance 5.0

<詳細>
Autonomy KeyViewのソフトウェア開発キット(SDK)は、さまざまなファイル
解析ライブラリの集合体で、Lotus NotesやSymantecなど、多くの人気ベンダー
によって使用されている。このSDKは、自動解析やさまざまな文書形式
(Microsoft Excelもその一つ)の表示に使用される。Excelファイルの
"Shared String Table(SST)"記録解析時に、Autonomy KeyView SDKにヒープ
オーバーフローが発生する脆弱性が確認された。脆弱なAutonomy KeyView SDK
を使用したアプリで細工されたExcelファイルが処理されると、この脆弱性が
引き起こされる。この欠陥は、KeyView XLSビューア"xlssr.dll"のインテジャー
オーバーフローが原因である。悪用されると、脆弱なAutonomy KeyView SDKを
使用したアプリによって異なる特権を用いられ、任意のコードを実行される可
能性がある。製品の中には、メールに添付されている悪意のあるファイルをユー
ザーが閲覧することがトリガーになるアタック方法をとるものもあるようだ。
一方で、ファイル処理が自動的に行われてしまうケースもある。この脆弱性の
技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=823
Symantecのセキュリティアドバイザリ
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090825_00
IBMのセキュリティアドバイザリ
http://www-01.ibm.com/support/docview.wss?uid=swg21396492
Vendor Home Page
http://www.autonomy.com/content/Products/KeyView/index.en.html
SecurityFocus BID
http://www.securityfocus.com/bid/36042
────────────────

2.危険度【高】:Google Chrome V8 JavaScript Engineに未承認のメモリ読み
  取り脆弱性

<影響のある製品>
Google Chrome 2.0.172.143までのバージョン

<詳細>
Google Chromeは、Google製のWebブラウザで、全Webブラウザシェアの2.59%
を占める人気第4位のWebブラウザである。しかし、Google Chromeには細工さ
れたWebページの分析で引き起こされる脆弱性がある。この欠陥は、Googleの
オープンソースJavaScriptエンジン、V8 JavaScriptエンジンにあり、Webペー
ジがJavaスクリプトで細工されるとセキュリティチェックが回避され、制限メ
モリを読み取られるおそれが生じる。この脆弱性が悪用されると、Google
Chrome sandobox内で機密データが開示されたり、任意のコードが実行された
りする可能性がある。この脆弱性の技術的詳細は、ソースコードを分析すれば
入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Google Chromeのセキュリティリリース
http://googlechromereleases.blogspot.com/2009/08/stable-update-security-fixes.html
Google ChromeについてのWikipediaの説明
http://en.wikipedia.org/wiki/Google_Chrome
製品のホームページ
http://www.google.com/chrome
SecurityFocus BID
http://www.securityfocus.com/bid/36149

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。