NRI Secure SANS NewsBites 日本版

Vol.5 No.12 2010年3月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.12 2010年3月30日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
Kevin Mandiaは、巧妙で執拗な脅威の仕組み、対策について見事なウェブキャ
ストを行った。重要インフラ関連の業務に従事、またサポートしている方であ
れば、これは知りたい情報に違いない。
http://www.sans.org/scada-security-summit-2010/
また、北米電力信頼性評議会 重要インフラ保護基準(NERC CIP)が、今後数
ヵ月でどのように変更されるかについてもご説明する。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS ローカルメンタープログラム 申込み受付中!
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    2010年5月11日からの全10回コース(毎週火・木曜 18:30~20:30)
  !!業務後の時間を有効に利用して、高度なセキュリティスキルを習得!!

◆コース:SEC504 Hacker Techniques, Exploits & Incident Handling
  講師:Tyson Kopczynski
  会場:NRIセキュアテクノロジーズ 汐留オフィス

         ↓↓↓詳細&お申込みはこちら↓↓↓
       http://www.sans.org/mentor/details.php?nid=21594
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.22-23
   (原版:2010年3月19日、3月23日配信)

◆サイバーセキュリティ改正法案 官民の連携要求(2010.3.17-18)
上院サイバーセキュリティ法案の最新版では、国家がサイバー攻撃を受けた場
合、大統領がサイバーセキュリティ緊急事態宣言を発令する権限は保持される
が、大統領にインターネットのアクセスやトランジットを遮断する権限を与え
る条項は削除される。この法案は、政府役人に重要インフラシステムの責任者
およびオペレーターと連携してサイバー攻撃の対応策を策定するよう義務付け
ている。その法案は、Jay Rockefeller上院議員(バージニア州・民主党)や、
Olympia Snowe上院議員(メイン州・共和党)により提出された。今回が4回目の
改正案となる。
http://www.informationweek.com/news/security/cybercrime/showArticle.jhtml?articleID=224000085
http://www.nextgov.com/nextgov/ng_20100317_1762.php?oref=topnews
http://www.scmagazineus.com/revised-draft-of-cybersecurity-act-introduced-in-senate/article/166049/
【編集者メモ】(Paller)
この法案はサイバーセキュリティの大変化の前触れである。特に、自分自身を
セキュリティ「専門家」と呼ぶ人々が変化する。大学の核となる講義で、セキュ
アコーディングを軽視している現在の状況から、コーディングを学ぶすべての
卒業生がセキュアコードの書き方を確実に習得するよう、国家に指導するよう
になる。超党派の真の偉業だ。
────────────────

◆英国25%の学童 他人のオンラインアカウントへのアクセス認める
  (2010.3.18)
英国の4分の1の生徒が、他人のFacebookやWebベースの電子メールアカウント
にアクセスしたことを認めた。生徒の78%は他人のアカウントに侵入すること
は悪いことだと述べ、53%は違法であると述べた。不正にアカウントにアクセ
スする理由のほとんどは、単に面白半分やいたずらである。生徒の20%は他人
のアカウントに侵入すると金儲けができると信じ、5%はサイバー攻撃を生涯
の仕事とすることを思い描いている。
http://www.theregister.co.uk/2010/03/18/uk_teenage_hacker_survey/
【編集者メモ】(Schultz)
これらの調査結果を見ると憂鬱になるが、若者へのサイバーセキュリティ教育
をどの程度行うべきか示しているという点では貴重である。
────────────────

◆英国上院 懸案のデジタルエコノミー法案承認(2010.3.16-18)
英国上院はデジタルエコノミー法案を承認した。下院は総選挙の前に本法案を
承認すると予想されている。この法案は、違法なファイル共有に対して罰金を
科し、政府にWebサイトを閉鎖する権限も与える。また、著作権法に違反して
執拗にデジタルコンテンツを共有する人々のインターネットアカウントを中断
することも盛り込まれている。British Telecom、GoogleおよびFacebookは、
違法なファイル共有“者”に罰金を科すべきだとし、その法案に反対している。
http://news.bbc.co.uk/2/hi/uk_news/politics/8569750.stm
http://www.eweekeurope.co.uk/news/digital-economy-bill-approved-by-lords-5919

【編集者メモ】(Honan)
英国保安局は、この法案の導入により、より多くの人々が暗号化や匿名化サー
ビスを利用し、自分たちの活動を隠すようになるため、サイバー犯罪者やテロ
リストを追跡するのが難しくなると懸念している。
http://www.timesonline.co.uk/tol/news/uk/crime/article6885923.ece]
────────────────

◆ロシア警察 RBS WorldPay ATM詐欺の主犯格とされる容疑者逮捕(2010.3.22)
ロシア警察はRBS WorldPay口座からATMを使って950万ドルを盗んだ詐欺の首謀
者とされるViktor Pleshchukを逮捕した。Pleshchukと他3名は、昨年秋、告訴
された。サイバー窃盗グループは、RBS WorldPayシステムへのアクセス権を入
手し、キャッシュカード情報とそれに関連する個人情報(暗証番号)をリバー
スエンジニアリングによって盗んだ。また、改ざんされた口座の資金と1日に
利用可能な引き出し限度額を変更し、関連するデータベースにアクセスしたと
されている。偽造カードを使い、12時間の間に世界中の280都市の2,000台以上
のATMから金を引き出したという。
http://www.wired.com/threatlevel/2010/03/alleged-rbs-hacker-arrested
http://edition.cnn.com/2010/BUSINESS/03/22/moscow.cybercrime.ft/
http://www.securecomputing.net.au/News/170201,russia-and-us-working-together-to-shut-down-stock-hacker.aspx
────────────────

◆Google 中国のユーザーを検閲のない香港のサイトにリダイレクトか
  (2010.3.22)
Googleは、中国ユーザーのインターネット検索結果の検閲を中止する。代わり
に、ユーザーはGoogleの香港ベースの検索エンジンにリダイレクトされる。
Googleはフィルタリングされていない検索結果について中国政府と交渉してき
たが、中国政府は「自己検閲は交渉の余地のない法的必要条件であることは明
白だ」としてこれを拒否した。香港は中国の行政区であるが、独自の経済・政
治システムがある。Googleは中国の研究開発チームと営業チームは維持する計
画である。
http://www.washingtonpost.com/wp-dyn/content/article/2010/03/22/AR2010032202041.html
http://www.informationweek.com/news/software/open_source/showArticle.jhtml?articleID=224000379
http://www.nytimes.com/2010/03/23/technology/23google.html?hp
http://www.securecomputing.net.au/News/170153,google-reportedly-planning-april-shutdown-in-china.aspx
BRIAN HONANからの追加情報:中国はGoogleの行動に素早く対応し、現在、
Google.com.hkへのアクセスをブロックしている。
http://www.techradar.com/news/internet/the-great-firewall-of-china-blocks-google-com-hk-678781?src=rss&attr=all.
Googleのサイトに関する興味深いページ。中国が何をブロックしているかがわ
かる。
http://www.google.com/prc/report.html
────────────────

◆控訴裁判所 Webサイト上の脅しは言論の自由で保護されない(2010.3.19)
カリフォルニア控訴裁判所は、十代の若者に対するWebサイト上の脅しは言論
の自由で保護されるものではないとした。その判決は、中傷するコメントや憎
悪犯罪が進むような掲載をした者に対し、訴訟を起こすことを認めている。意
義を唱える判事は、判決は「法の景観を変え、米国憲法修正第1項で保障され
た権利を侵害する」と記述した。
http://www.wired.com/threatlevel/2010/03/cyberbullying-not-protected/
────────────────

----------------------------------------------------------------------
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年3月18日 Vol.9 No.12)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
Other Microsoft Products             1
Third Party Windows Apps            11
Linux                      4
BSD                       1
Unix                       1
Novell                      1
Cross Platform                 51 (#1)
Web Application - Cross Site Scripting     21
Web Application - SQL Injection         51
Web Application                 53
Network Device                  5
======================================================================
1.危険度【重要】:Apple Safariに複数の脆弱性

<影響を受ける製品>
Safari 4 (Windows)
Safari 4 (Mac OS X 10.6)
Safari 4 (Mac OS X 10.5)
Safari 4 (Mac OS X 10.4)
<詳細>
Safari(Mac OS XおよびMicrosoft Windows向けAppleのWebブラウザ)はさま
ざまなインプットを処理する際、複数の脆弱性がある。
・ColorSyncにおけるインテジャーオーバーフローの脆弱性であり、カラープロ
  ファイルが埋め込まれた細工されたイメージにより引き起こされる
・ImageIOがTIFFイメージを処理する際のバッファアンダーフローの脆弱性
・ImageIOにおける初期化されないメモリーアクセスエラー(細工されたBMPイ
  メージにより引き起こされる)
・特定のTIFFイメージを処理する際のメモリー破損のエラー
・RSSおよびAtomフィードにより設定されたcookiesが処理される際のインプリ
  メンテーションエラー
・外部のURLスキームの処理におけるエラー(ローカルファイルが開かれる可
  能性がある)
・WebKitがHTMLオブジェクトエレメントフォールバックコンテンツを処理する
  際におけるuse-after-freeエラー
・WebKitがXNLドキュメントを解析する際におけるuse-after-freeのエラー
・WebKitが不正にright-to-left textのあるHTMLエレメントを処理する際の
  use-after-freeのエラー
・WebKitがネストのあるHTMLタグを不正に処理する際のuse-after-free のエラー
・WebKitがcross-origin stylesheetリクエストを処理する際のインプリメン
  テーションエラー
・WebKitが特定のHTMLエレメントのコールバックを処理する際のuse-after-free
  のエラー
・WebKitが"run-in"に設定されたCSSディスプレイプロパティセットのあるコ
  ンテンツをレンダリングする際のuse-after-freeのエラー
・WebKitがHTMLイメージエレメントを処理する際のuse-after-freeのエラー
ほとんどの場合、悪用が実現するとリモートでコードが実行できるようになる。
それらの脆弱性に関するいくつかの技術的詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Apple Security Bulletin
http://support.apple.com/kb/HT4070
Zero Day Initiative Advisories
http://www.zerodayinitiative.com/advisories/ZDI-10-029
http://www.zerodayinitiative.com/advisories/ZDI-10-030
http://www.zerodayinitiative.com/advisories/ZDI-10-031
ベンダーホームページ
http://www.apple.com/safari/download/
SecurityFocus BID's
http://www.securityfocus.com/bid/38673
http://www.securityfocus.com/bid/38674
http://www.securityfocus.com/bid/38676
http://www.securityfocus.com/bid/38677
http://www.securityfocus.com/bid/38683
http://www.securityfocus.com/bid/38684
http://www.securityfocus.com/bid/38686
http://www.securityfocus.com/bid/38687
http://www.securityfocus.com/bid/38688
http://www.securityfocus.com/bid/38689
http://www.securityfocus.com/bid/38690
http://www.securityfocus.com/bid/38691
http://www.securityfocus.com/bid/38692

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。