NRI Secure SANS NewsBites 日本版

Vol.4 No.48 2009年12月15日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.4 No.48 2009年12月15日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

インドでビジネスを行っている、またはインドにスタッフや委託業者がいる読
者へ。インドのコンピューター業界と政府は、セキュリティ問題とセキュリティ
スキルが、より安全なソフトウェア開発と機密情報の安全性(そしてアウトソー
シング契約の継続)への鍵であることに気付いた。インドの関係者に新しいナ
ショナルセキュリティトレーニングについて知らせるためにも、メールをする
よう伝えていただきたい。SMustapha@sans.org

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  【最終のご案内】 ■SANS ウェブキャストシリーズ■
           2009年12月16日(水)19:00~20:00

    高度なMan-In-The-MiddleアタックとIDS/IPS/AV回避テクニック
(Advanced Man-In-The-Middle Attacks & IDS/IPS/AV Evasion Techniques)

           スピーカー:Bryce Galbraith

 通訳を介して視聴されたい方は、NRIセキュアテクノロジーズの汐留オフィ
  スまでお越しください(事前登録制)。
  ご希望の方は、メール件名を「SANSウェブキャスト参加」としていただき、
  info@sans-japan.jp宛てに、「ご氏名、部署/役職、電話番号」をお知らせ
  ください。
   ※本メールの最後に、概要を掲載してあります。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.94-96
   (原版:2009年12月2日、5日、9日配信)

◆Sequoia 電子投票システムのソースコードを公開(2009.12.2)

Sequoia Voting Systemsは、Frontierエンドツーエンド電子投票システムのソー
スコードを公開した。電子投票機器メーカーでは初めてのことだ。Sequoiaは
2010年6月までに、すべてのシステムソフトのコードを公開する予定だ。電子
投票機器メーカーは以前、ソースコードの公開は所有権を侵害することになり、
選挙結果の操作を容易にしてしまうと主張していた。Sequoiaは今年初め、コー
ドを公開する計画を発表した。
http://www.theregister.co.uk/2009/12/02/sequoia_source_code_disclosure/
http://www.wired.com/threatlevel/2009/10/sequoia/

【編集者メモ】(Pescatore)
ほんのわずかな前進だ。コードのごく限られた部分のみが、非常に制限された
ライセンスのもとに公開されたに過ぎない。しかし、これにより、他の投票機
器ソフト会社は、より大きなステップを踏み出すよう圧力がかかるだろう。そ
のような公開審査は電子投票システム競争入札の評価基準にするべきだ。
────────────────

◆政府および軍のシステムから侵害され、漏洩した記録の数が急増(2009.12.2)

Identity Theft Resource Center(ITRC)の統計によると、米国の軍および政
府システムのデータセキュリティ侵害の報告件数は昨年減少したが、それらの
侵害により漏洩した記録の数は増加した。米国政府および軍組織は、2008年に
は110件のセキュリティ侵害を報告したが、今年は今まで82件が報告された。
しかし、侵害により漏洩した記録の総数は、昨年は300万に満たなかったが、
今年は7000万以上である。
http://www.govtech.com/gt/articles/734214
────────────────

◆EFF ソーシャルネットワーキングサイトでの情報収集について政府機関を
  告訴(2009.12.1,2&3)

電子フロンティア財団(EFF)とカリフォルニア大学バークレイ校(University
of California, Berkeley)のSamuelson Law, Technology, and Public Policy
Clinicは、「6つの米国政府機関は、調査と監視にソーシャルネットワーキン
グサイトの使用に関し、連邦情報公開法(Freedom of Information Act (FOIA))
の請求に応じなかった」と訴えている。報道によると、法執行機関は、偽りの
プロファイルを使ってユーザーを騙し、オンライン上の友達として許可させ、
法に反している場合には、プロファイルから収集した証拠を利用しているとの
こと。FOIAは、「2003年1月以来策定された、調査またはデータ収集目的での
ソーシャルネットワーキングウェブサイト使用に関する連邦ガイドラインにつ
いて」の記録を要求している。
http://news.cnet.com/8301-27080_3-10407224-245.html
http://www.theregister.co.uk/2009/12/03/eff_social_networking_foia/
http://www.informationweek.com/news/government/policy/showArticle.jhtml?articleID=222000383
http://www.computerworld.com/s/article/9141703/Lawsuit_seeks_information_on_federal_surveillance_of_social_networking_sites?source=rss_news
http://www.eff.org/files/filenode/social_network/social_networking_FOIA_complaint_final.pdf

【編集者メモ1】(Pescatore)
ウェブメールやソーシャルネットワークのような無償の消費者向けサービスの
利用は、プライバシーを売ったようなものだ。ソーシャルネットワークに違法
行為の証拠を流したり、威嚇的な発言をする人は、スカイライティングで空中
文字を書いているのも同然だ。実際、空中文字を覚えている人はいるだろうか?
フットボール試合中の上空で、小型飛行船に電子広告を載せているのと同じだ。
────────────────

◆判事はファイル共有の罰金を承認したが、言論を制限する要求は却下
(2009.12.7)

米国地方裁判所判事Nancy Gertnerは、違法なファイル共有を行ったため、ボ
ストン大学の学生Joel Tenenbaumに67万5,000ドルの罰金を科す判決を下した。
その訴訟はアメリカレコード協会(RIAA)により起こされた。Gertner判事は判
決の中で、現行の著作権法の下で音楽会社に「天文学的な金額の罰金」が認め
られていることは不適切であると感じていることを表明した。また、Tehenbaum
の弁護団が、公正使用をめぐる議論をTenenbaum自身の行為にとどめ、「個人
で楽しむためにはすべてのファイル共有を許可するべきであると主張」しなかっ
たら、その議論は検討する余地があっだろうと述べた。Gertner判事は、
Tenenbaumがさらにファイル共有をすることを禁じる差し止め命令を出したが、
「原告は法廷損害賠償の権利があるが、被告人がそのような損害賠償の支払い
義務を負う法廷制度を批判することをやめさせる権利はない」として、被告人
がファイル共有を奨励することを禁止させるべきだというRIAAの要求には応じ
なかった。
http://www.computerworld.com/s/article/9141914/Update_Judge_affirms_675K_verdict_in_RIAA_music_piracy_case?taxonomyId=146
http://www.wired.com/threatlevel/2009/12/piracy-verdict-finalized/
http://www.boston.com/news/local/breaking_news/2009/12/judge_wont_stop.html
http://www.wired.com/images_blogs/threatlevel/2009/12/tenenbaumfinal.pdf
────────────────

◆FTC(連邦取引委員会)は、第1回プライバシー研究会を開催(2009.12.7)

12月7日に開催された米国連邦取引委員会(FTC)プライバシー研究会で、FTC委
員、Jon Leibowitzは、FTCは消費者プライバシー基準の実施を検討すると述べ
た。特にオンライン上の消費者データをめぐり急成長をしている産業は、オン
ラインプライバシーの問題に対応する必要性があることを強調している。
Leibowitzは、ほとんどの消費者は、どんな情報が収集され、誰に共有されて
いるのか知らないことを述べた。次のFTCプライバシーフォーラムは2010年1月
28日に予定されている。
http://www.computerworld.com/s/article/9141911/FTC_to_consider_stricter_online_privacy_rules?taxonomyId=17
http://mediadecoder.blogs.nytimes.com/2009/12/07/at-ftc-conference-concerns-about-advertising-and-privacy/
http://money.cnn.com/news/newsfeeds/articles/djf500/200912071829DOWJONESDJONLINE000372_FORTUNE5.htm

【編集者メモ】Northcutt:
これは、何年も前に行うべきことだったが、FTCがこのトピックを取り上げた
ことは賞賛する。Sears Kmartショッピングクラブのプライバシー侵害が発端
となっていることは明らかだ。
http://voices.washingtonpost.com/securityfix/2008/01/searss_privacy_promises_broken_1.html

英国の読者で、BT(British Telecom)がユーザーのネットサーフィンの傾向を
記録した結果、何か対策が取られたという情報をご存知だったら、ぜひ伺いた
い。(Stephen@sans.edu)
http://blog.taragana.com/index.php/archive/bt-shelves-phorms-web-usage-monitoring-for-targeting-ads-to-personal-surfing-patterns/ ]
────────────────

◆電子データの編集は常に効果的とは限らない(2009.12. 4 & 7)

米国運輸保安局(TSA)は、審査手順文書の一部を編集したが、黒で塗りつぶさ
れたデータは、PDF文書を切り貼りすることにより、閲覧できるようになって
しまった。また、HSBC Bankは、誤ってデータが漏洩したのは、使用している
イメージングソフトの欠陥によるものだとしている。HSBC Bankは、破産の債
権証明から情報を編集したが、オンラインで閲覧すると、編集された情報は見
えるようになってしまったと述べている。銀行は今秋初め、影響を受けた顧客
に通知した。
http://www.theregister.co.uk/2009/12/07/tsa_redaction_fail/
http://www.computerworld.com/s/article/9141834/HSBC_exposed_sensitive_bankruptcy_data?taxonomyId=17

【編集者メモ 1】Schultz:
ソフトウェアの世界では、不可解なこと(セキュリティ関するものを含み)が
続けざまに起こっている。セキュリティに精通している開発者によるコード検
査が不十分なことが一番の問題だ。

【編集者メモ 2】Pescatore:
この「編集」の問題は、ビーチで海に入る時に、ビーチブランケットの上のス
ニーカーの下に財布を隠すようなものだ。問題は「redaction」という言葉の
使い方にあると思う。「redaction」という言葉は、実際には単に「編集
(editing)」を意味する。機密データの編集(redaction)を禁止し、「削除
(deletion)」または「消去(elimination)」を義務付けるべきだろう。
────────────────

◆英国のパブ 顧客のWi-Fi Hotspotによる違法ダウンロードを告訴される
  (2009.11.27)

この種のケースでは初めてと言われているが、何者かがWi-Fi Hotspotを使用
して著作権で保護されたコンテンツをダウンロードしたため、パブへ8,000ポ
ンド(1万3,000ドル)の罰金が課せられた。今後、英国のDigital Economy
Billが施行されれば、おそらく同様な事件は予防されるであろう。その法案は、
Wi-Fi Hotspots を「公共の通信サービス」と定義し、ユーザー側に接続行為
の責任があり、接続プロバイダに責任はないとしている。また同法案は、イン
ターネットサービスプロバイダ(ISP)が、顧客のネットワークの使用を監視す
るよう義務付けているため議論を巻き起こしている。
http://news.zdnet.co.uk/communications/0,1000000085,39909136,00.htm?tag=mncol;txt
http://www.eweekeurope.co.uk/news/wi-fi-security--home-nets-are-wide-open--pub-gets--8000-fine-2613
http://www.v3.co.uk/v3/news/2254180/pub-fined-customer-uses-wi

【編集者メモ】(Pescatore)
誰かがパブの店の中にある公衆電話(公衆電話がまだあるとして)を使って脅
迫電話をしたら、パブに罰金を請求できるだろうか?
  (Schultz)
これは、無防備な無線ネットワークが関連しているという点においてのみ、最
初のケースと言える。結局はダウンストリームの法的責任問題になるという観
点では、別に新しいことではない。
  (Northcutt)
SANS London 2009に参加し、NewsBitesや多くの英国の情報を知ることは素晴
らしい。パブが告訴されたニュースは本当に重要だ。オープンホットスポット
の数が大幅に制限される可能性がある。無償のホットスポットを提供または許
可している組織の情報セキュリティ担当者は、賛否を問わず、会社の弁護士に
通知し、相談するべきだ。
────────────────

◆政府はサイバー証拠収集についての判決の取り消しを求める(2009.11.25)

米国訟務長官(US Solicitor General) Elena Kagan と司法省役員は、政府
のサイバー捜査押収権限を制限する連邦控訴裁判所判決の取り消しを求めてい
る。8月、裁判所は、連邦検事が10人のプロ野球選手の薬物検査結果の捜査令
状で、104人の選手の検査結果を押収したことは越権行為であると判決を下し
た。その判決から、コンピュータのハードドライブのすべてのデータをコピー
するのではなく、令状の範囲のデータのみを押収するという修正4条の権利を
遵守して、サイバー証拠を収集するガイドラインが定められた。それが不可能
な場合、独立したサードパーティが、裁判所の監督の下に情報を収集し、令状
の範囲の情報のみを提供する。現政権は、その規則のために、何件かのコンピュー
ター証拠捜査は行き詰っていると主張している。
http://www.wired.com/threatlevel/2009/11/obama-wants-computer-privacy-ruling-overturned/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

 !!超人気インストラクター: Eric Cole、Bryce Galbraith 来日!!

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年12月4日 Vol.8 No.49)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティWindowsアプリ           3
Linux                      5
BSD                       1
Solaris                     1
Cross Platform                  6 (#1, #2)
Web アプリ- Cross Site Scripting        10
Web アプリ - SQL Injection           10
Web アプリ                    8
======================================================================

1.危険度【高】: BlackBerry 製品 Attachment Service PDF Distillerに複
  数の脆弱性

<影響のある製品>
Research In Motion Blackberry Professional Software 4.1.4
Research In Motion Blackberry Enterprise Server 4.1.7
Research In Motion Blackberry Enterprise Server 4.1.6 MR5
Research In Motion Blackberry Enterprise Server 4.1.6 MR4
Research In Motion Blackberry Enterprise Server 4.1.6
Research In Motion Blackberry Enterprise Server 4.1.5
Research In Motion Blackberry Enterprise Server 4.1.4
Research In Motion Blackberry Enterprise Server 4.1.3
Research In Motion Blackberry Enterprise Server 5.0

<詳細>
Research In Motion BlackBerryは、一般的な携帯電話およびメッセージング
デバイスである。BlackBerryのハンドレルドデバイスは、BlackBerry
Enterprise Serverにより企業のメッセージングインフラストラクチャに統合
されている。このサーバーソフトとBlackBerryのProfessional Software
Versionは、BlackBerry Attachment Service(さまざまなファイルフォーマッ
トの閲覧に使用されるサービス)に詳細不明の脆弱性がある。エラーは
Attachment ServiceのPDF distillerコンポーネントにある。
BlackBerry Smartphoneで細工されたPDFファイルを開くとこの脆弱性が引き起
こされ、メモリーが破壊する。悪用が実現すると、任意のコードが実行される
可能性がある。ユーザーは最初にBlackBerryのハンドヘルドデバイスでPDFを
開かなければ悪用されない。技術的詳細は公表されていない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Research In Motion Security Advisories
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19860
BlackBerryに関するWikipedia 記事
http://en.wikipedia.org/wiki/BlackBerry
ベンダーホームページ
http://www.blackberry.com
SecurityFocus BID
http://www.securityfocus.com/bid/37167

────────────────

2.危険度【高】: Novell eDirectoryにヒープオーバーフローの脆弱性

<影響のある製品>
全プラットフォーム向けNovell eDirectory 8.7.3.10 ftf1およびそれ以前
全プラットフォーム向けNovell eDirectory 8.8.5 ftf1およびそれ以前

<詳細>
Novellの eDirectory、マルチプラットフォームディレクトリサービスは、ア
イデンティティを管理し、ネットワーク内のネットワークリソースへのアクセ
スを確保する。Novell eDirectoryは、ヒープバッファーオーバーフローの危
険にさらされ、細工されたサービスリクエストにより引き起こされる可能性が
あることが報告された。そのセキュリティの欠陥は、受信NDSVerb 0x1 サービ
スリクエストを処理する際に、アプリケーションが行うチェックが不適切なた
めに引き起こされる。リクエストの大きなインテジャーのために、インテジャー
ラップになり、オーバーフローの状態になる可能性がある。悪用が実現すると、
アタッカーは影響を受けたアプリケーションのコンテクストで任意のコードが
実行できるようになる。脆弱性のいくつかの技術的詳細は公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Novell - Security Bulletin
http://www.novell.com/support/viewContent.do?externalId=7004912
IBM Internet Security Systems Protection Advisory
http://www.iss.net/threats/356.html
製品ホームページ
http://www.novell.com/products/edirectory/
SecurityFocus BID
http://www.securityfocus.com/bid/37184

-----------------------------------------------------------------------
           ■SANS ウェブキャストシリーズ■
           2009年12月16日(水)19:00~20:00

    高度なMan-In-The-MiddleアタックとIDS/IPS/AV回避テクニック
(Advanced Man-In-The-Middle Attacks & IDS/IPS/AV Evasion Techniques)

           スピーカー:Bryce Galbraith

 このウェブキャストでBryceは、ますます悪質・巧妙化する攻撃の最新トピッ
  クを紹介します。SSL、RDP、VPNなどの暗号化メカニズムや、OTPなどの強固
  な認証システムでさえも破るman-in-the-middleアタックについて知識を深
  めていただけます。また、アンチフィッシング対策など、エンドユーザの知
  識不足に起因する課題も取り上げます。
  さらに、攻撃者がどのようにして最新のIDS/IPS/AVシステムを迂回してマル
  ウェアを仕込むかについても解説します。
  攻撃者が私たちより多くを知ってしまったとき、私たちの敗北が決まります。
  事実から目をそむけずに、とにかく参加してください。

 詳しいイベント情報はこちらをご覧ください。
   http://www.sans.org/info/51624
            ※ウェブキャストは英語コンテンツのみとなります。
-----------------------------------------------------------------------

【通訳付きでウェブキャストを視聴したい方はぜひご参加を!】

12月16日(水)のライブウェブキャストの時間中、NRIセキュアテクノロジー
ズの会議室をご利用いただけます。
来場された方は、同時通訳での視聴が可能です。
ウェブキャスト終了後に、SANSトレーニングに関する質問等もお受けいたしま
す。

■日時:2009年12月16日(水)19:00-20:30(開場 18:45)

■会場:NRIセキュアテクノロジーズ 汐留オフィス会議室
     東京都港区東新橋1-5-2 汐留シティセンター13F
      http://www.nri-secure.co.jp/company/access.html

■定員:20名(参加無料)
     定員を超える場合は、お断りすることもございます。
-----------------------------------------------------------------------

Bryce Galbraithのプロフィール:
SANS認定インストラクター、Layered Security主席コンサルタント。
10歳の頃よりITの世界に足を踏み入れる。国際的ベストセラー「Hacking
Exposed: Network Security Secrets & Solutions」の著者として、ハッキン
グという秘密の世界を暗闇から陽の当たる場所へと導いた貢献者。グローバル
なISPやフォーチュン500にあがる企業で地位を築くと同時に、ペネトレーショ
ンチームで名を馳せるFoundstoneのシニアメンバーとして、「Ultimate
Hacking:Hands-On」シリーズの執筆に携わる傍ら、エシカルハッキングとそ
の対策について、世界各国の政府機関、金融機関、その他民間の大企業などを
中心に1,000人以上のITプロフェッショナルを指導してきた実績をもつ。
数々のセキュリティ関連団体のメンバーとして活躍。様々なイベント・カンファ
レンスにおいて講演活動も行っている。GCIH、GSEC、CHFI、 CEH、CISSP、
Security+、CCNAなど取得資格多数。

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。