NRI Secure SANS NewsBites 日本版

Vol.4 No.41 2009年10月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.4 No.41 2009年10月14日発行
**********************************************************************

あと4週間あまりで、政府の無料セキュリティカンファレンスとしては最高峰
のカンファレンスが、ワシントン地域において開催される。現在残席はたった
の220席。参加希望者はhttp://scap.nist.gov/eventsに是非申し込むべきだ。
同僚を数人連れてくるとよいだろう。なぜなら同時に開催されている他のセッ
ションにも参加したくなる可能性が強いからだ。これは国家安全保障局(NSA)
と米国国立標準技術研究所(NIST)が企画したセキュリティのオートメーション
に関するカンファレンス(Security Automation Conference)で、そこでは政府
によるセキュリティのオートメーションの未来(国防産業基地や重要インフラ、
銀行にも拡大していくであろう)が垣間見ることができる。クラウドコンピュー
ティング、ネットワーク監視・監査・ロギング、司法省(DoD)のインフラ、ツー
ル、トレンド、およびS-CAP(近々必須になるだろうセキュリティに関する相互
運用性基準)についてのリスクやその緩和策についての最新情報も提供される。
このカンファレンスは10月27日から28日にかけて開催される。(もし、割ける
時間が限られているなら10月27日の正午から参加し、28日に終日いることがで
きれば最大限の価値を得られるだろう。)

10月26日と29日にはワークショップも開催される。これらはSANSのコースでは
ないが、いくつかは役立ちそうなコースだ。これらはボルティモアコンベンショ
ンセンター(Baltimore Convention Center)にて開催される。
参加申し込みはこちら:http://scap.nist.gov/events
                                 Alan

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.80-81
   (原版:2009年10月3日、10月6日配信)

◆米国軍の情報 P2Pネットワークを介して漏えい(2009.10.2)

ワイントンポスト紙によると、米国兵の個人情報がピアツーピア(P2P)ファイ
ル共有プログラムを介して漏えいしているという。問題のデータは中国、パキ
スタン、その他の国のユーザーによってダウンロードされているようだ。これ
らの情報には社会保険番号、血液型、家族の氏名などがあった。P2Pソフトウェ
アは、2003年に軍によって禁止されたほか、2004年には国防総省(ペンタゴン)
によっても禁止された経緯がある。米陸軍の特殊作戦軍(Army Special
Operations Command)の広報によると、問題の漏えいは孤立したインシデント
であり、この件の関係者はすでに懲罰に処されたという。
http://www.washingtonpost.com/wp-dyn/content/article/2009/10/01/AR2009100104947_pf.html
────────────────

◆調査: 米国の消費者ら、自身のウェブ検索をもとに掲示される広告を望まず
  (2009.9.30-10.1)

ペンシルバニア大学とカリフォルニア大学のバークリーセンターの調査による
と、米国のインターネットユーザーらは彼らのウェブ検索情報をもとに掲示さ
れる広告に反対だという。回答者の66%は、興味分野だと認識されているもの
にターゲットを絞った広告を望んでいない。70%近くの回答者は、インターネッ
トのユーザーに対し、オンラインで収集されている情報を正確に把握する権限
を与える法が存在すべきだと答えた。Webサイトや広告会社に対し、顧客の要
望があればその顧客の全ての情報を削除することを義務付ける法に賛成すると
答えた回答者は、92%にのぼった。
http://www.computerweekly.com/Articles/2009/09/30/237924/us-web-users-say-no-to-online-tracking-by-advertisers.htm
http://www.theregister.co.uk/2009/10/01/behavioural_advertising_no_thanks/
http://news.smh.com.au/breaking-news-technology/most-americans-dislike-behavioral-advertising-survey-20091001-gda4.html

【編集者メモ】(Pescatore)
テレビでもラジオでも、結局常に消費者の嗜好をもとにした広告が行われてい
るのは周知の事実だ。「デスパレートな妻たち」(女性に支持を受けている米
国の人気ドラマ)の放映中のコマーシャルに、2トンのピックアップトラック
は出てこないし、アルティメット・ファイティング・チャンピオンシップ(米
国で人気の総合格闘技番組)にマノロブラニクブランドのコマーシャルは出て
こない。つまり、ここで問題になっているのはユーザーの事前の承諾なしに情
報の収集がなされているということで、それは改められなければならない。
そう、「オプトイン」にしていかなければならないのだ!
────────────────

◆法廷は、Googleに対する一時的命令のケースを無効に:誤信されたメールは
  一度も開かれず(2009.9.29-30)

法廷は、Rocky Mountain BankがGoogleに対して起こした裁判を棄却する共同
申請を許可した。同銀行は当初、Googleに対して同銀行の機密情報を誤送され
てしまったGmailのアカウント所有者の情報を提供するように要請していた。9
月25日、同銀行はGoogleに対してこの不明のユーザーのアカウントを無効化し、
誤信されたメッセージを削除。問題のアカウントがアクティブか否かの情報と
アカウント所有者の身元情報を開示するように求める一時的命令を獲得した。
今となってはそのメッセージは一度も開かれた形跡がないもよう。問題のメッ
セージは削除され、そのGmailのアカウントも再び有効化された。
http://www.informationweek.com/news/internet/google/showArticle.jhtml?articleID=220300364
http://www.theregister.co.uk/2009/09/30/rocky_mountain_google_case_fini/
http://news.cnet.com/8301-27080_3-10363663-245.html?part=rss&subj=news&tag=2547-1009_3-0-20

【編集者メモ】 (Schultz)
このような危うい政治的な時代には、過剰反応が蔓延している。インターネッ
トサービスプロバイダーもこの現象の対象として例外ではない。
────────────────

◆CIO委員会 成果ベースのセキュリティ測定尺度を作成 (2009.10.2-5)

米国最高情報責任者委員会(US Chief Information Officer Council)は、「成
果をもとにした連邦政府局における情報セキュリティのパフォーマンス測定尺
度」の作成を目的とした、セキュリティ測定尺度タスクフォース(Security
Metrics Taskforce)を設置した。 この測定尺度の作成に関しては、今年度末
に完了する見込み。連邦政府CIOのVivek Kundraは自身のブログで、「FISMAに
よる測定尺度を合理化し、法遵守というよりはむしろ成果に焦点をあてるもの
にする必要があった」と述べている。
http://www.federalnewsradio.com/?nid=35&sid=1777068
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=220301050
http://it.usaspending.gov/?q=content/blog
────────────────

◆Amazon.com キンドル電子書籍の削除に対する裁判の調停で15万ドルの支払
  いに応じる (2009.10.1-2)

ミシガン州の高校生が、彼のキンドルから通知なく電子書籍「1984」が削除さ
れたため、Amazonに15万ドルを支払うよう訴えていたが、Amazonは調停でその
要求に応じた。「1984」と「Animal Farm」を電子書籍化した団体が、電子書
籍化を行う正式な承認を獲得していなかったことが判明したため、今年6月に
Amazonは「1984」と「Animal Farm」をユーザーらのデバイスから削除してい
た。その高校生は、彼のキンドルからファイルが削除されたこと、飛び級クラ
スの夏休みの宿題に注釈が付けられなかったことなどを理由にAmazonを訴えた。
調停で合意に達した内容としてAmazonは、ユーザーの同意なしに、またユーザー
が求める払い戻しがなされること、同様の支払いを明らにすること、法廷がファ
イルの削除を命令すること、その削除行為がユーザーをマルウェアから保護す
るために必要であるとみなされない限りユーザーのキンドルから電子書籍を削
除しないように義務付けられることとなった。これを受けてAmazonは9月に顧
客のキンドルに問題の書籍を返還した。
http://www.informationweek.com/news/internet/ebusiness/showArticle.jhtml?articleID=220300915
http://www.msnbc.msn.com/id/33130484/ns/technology_and_science-tech_and_gadgets/
────────────────

◆米国国土安全保障省 サイバー専門職者1,000人雇用 (2009.10.1-5)

米国国土安全保障省(DHS:US Department of Homeland Security)は、今後3年
の間にサイバーセキュリティ専門職者1,000人を雇い入れることを発表した。
雇用対象の役職は、同省の3つの政府局に属する役職だ。DHSの長官Janet
Napolitanoは、「サイバーセキュリティは最も緊急を要する我々の優先事項だ」
と述べている。DHSはサイバーリスク、戦略的分析、サイバーインシデントレ
スポンス、脆弱性検知、ネットワーク、システムエンジニアリングの分野での
専門職者を求めている。
http://voices.washingtonpost.com/securityfix/2009/10/dhs_seeking_1000_cyber_securit.html
http://www.scmagazineus.com/DHS-to-hire-up-to-1000-cybersecurity-experts/article/151208/
http://www.cnn.com/2009/POLITICS/10/02/dhs.cybersecurity.jobs/
http://news.zdnet.co.uk/security/0,1000000189,39789648,00.htm

【編集者メモ】(Schultz)
これは興味深い。効率性の観点から見ると米国政府の業績は陰惨たるものであ
る。このことを踏まえると、1,000人のサイバーセキュリティ専門家を雇い入
れるのに一体どれくらいの時間がかかるのだろうと思ってしまう。しかしDHS
がサイバーセキュリティ専門職者の強い必要性を実感したことは賞賛に値する
だろう。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年10月3日 Vol.8 No.40)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ         4
Linux                     1
Solaris                    1
Aix                      2
クロスプラットフォーム            25 (#1)
Webアプリ- クロスサイトスクリプティング    5
Webアプリ - SQLインジェクション        4
Webアプリ                   9
ネットワークデバイス              1
======================================================================

1.危険度【高】: Google Chromeにリモートのコード実行の脆弱性

<影響のある製品>
Google Chrome 3.x

<詳細>
Chromeは、Google製の人気のWebブラウザで4番目に最もよく使われているWeb
ブラウザである。しかし、Google Chromeには悪意のあるWebサイトを訪問する
と引き起こされる脆弱性が報告されている。この欠陥は、浮動小数点への文字
列を解析する方法が原因でv8エンジンに生じるメモリ崩壊のエラーだ。v8 エ
ンジンは共通の"dtoa ()"実装を使用している。悪用が実現するとアタッカー
はChrome sandboxに任意のコードを実行できるようになる。また、未遂に終わっ
てもそれがDoS状態を引き起こすおそれも。ソースコードを分析すればこの脆
弱性の全技術的詳細を入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Googleのブログ記事
http://googlechromereleases.blogspot.com/2009/09/stable-channel-update_30.html
製品のホームページ
http://www.google.com/chrome
SecurityFocus BID
http://www.securityfocus.com/bid/36565

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。