NRI Secure SANS NewsBites 日本版

Vol.5 No.14 2010年4月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.14 2010年4月14日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
SANSFIREの登録受付を開始した。これは米国の首都で開催される最大のサイバー
カンファレンスで、Internet Storm Centerのスターたちが最近の攻撃動向を
ご紹介する。SANSFIREのコースに登録して、無料のStorm Centerセッションに
参加していただきたい。
https://www.sans.org/sansfire-2010/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS ローカルメンタープログラム 申込み受付中!
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    2010年5月11日からの全10回コース(毎週火・木曜 18:30~20:30)
  !!業務後の時間を有効に利用して、高度なセキュリティスキルを習得!!

◆コース:SEC504 Hacker Techniques, Exploits & Incident Handling
  講師:Tyson Kopczynski
  会場:NRIセキュアテクノロジーズ 汐留オフィス

         ↓↓↓詳細&お申込みはこちら↓↓↓
       http://www.sans.org/mentor/details.php?nid=21594
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.26-27
   (原版:2010年4月2日、4月7日配信)

◆米国裁判所 従業員の電子メールはパーソナル情報との判決(2010.3.31)

米国ニュージャージー州最高裁判所は、Loving Care Agency社が前従業員
Marina Stengartから弁護士宛てに送られた電子メールを検索した件に関し、
たとえ会社のコンピュータシステムを使って送られたとしても、同社の行為は
不適切であるとの判決を下した。2008年、Marina Stengartは同社に対し、性
別、宗教、国籍に対する差別を主張し、訴訟を起こした。退職する前に会社の
コンピュータから自身のYahooメールアカウントにアクセスして、弁護士と多
数の電子メールのやりとりをした。Loving Care社はシステムからそれらの電
子メールのコピーをとり、法廷で、「いかなる社員であっても、電子メールは
従業員個人の私的なものとはされないとする会社のポリシーに違反して送られ
た」とし、「いつでも会社のメディアシステムおよびサービス上のすべての事
象を調査、監査、傍受、アクセスおよび開示する権利を有する」と主張した。
一審ではLoving Care社に合意する判決が下されたが、州最高裁判所は7対0で
その判決を覆し、同社に電子メールのすべてのコピーを引き渡し、記録を削除
するよう命じた。
http://abcnews.go.com/Technology/wireStory?id=10248507
http://www.nj.com/news/index.ssf/2010/03/nj_supreme_court_rules_employe.html
http://www.northjersey.com/news/033010_State_court_rules_company_shouldnt_have_read_ex-staffers_private_emails.html

【編集者メモ1】(Schultz)
これは大変重要な判決で、事実上「依頼人と弁護士の権利」が「プライバシー
への期待を打ち負かすこと」にとって代わるということだ。

【編集者メモ2】(Northcutt)
私はプライバシーの権利を擁護する主義だ。今回のケースは、企業側にポリシー
があってもそれがすべて正しいとは言えないことを証明した形となった。顧問
弁護士からのアドバイスに基づいてポリシーを変更するであれば、新しいポリ
シーに注意書きを添えたい。
────────────────

◆NSA 2人のアメリカ人の盗聴は違法(2010.3.21)
連邦判事Vaughn R. Walkerは、アメリカ国家安全保障局(NSA)による令状な
しの監視プログラムは違法との判決を下した。NSAは、監視プログラムに基づ
き、Foreign Intelligence Surveillance Act(FISA)に義務付けられた裁判所
の承認なしにアメリカ市民の国際電子メールメッセージと電話を監視した。そ
の判決は、ブッシュ政権が2001年9月11日のテロ攻撃の後、戦時下の大統領権
限を利用して行った監視プログラムの合法性を弱体化するものである。Walker
判事は、2004年、政府がオレゴンを拠点とするAl Haramainイスラム慈善団体
の電話とその慈善団体を代表する2人の弁護士の電話を傍受していた件につい
て、監視活動に裁判所の承認を義務付けた1978年連邦法規に違反したとの判決
を下した。Walker判事は、原告は「違法な監視を受けた」ため、政府は損害賠
償を支払う義務があるとも宣言した。
http://www.wired.com/threatlevel/2010/03/bush-spied/
http://www.nytimes.com/2010/04/01/us/01nsa.html
http://www.wthitv.com/dpps/news/national/west/Judge-Feds-wiretapped-without-warrant_3297308

【編集者メモ】(Northcutt)
悪人がはびこるには、善人が黙ることだ。誰かがこのことを知り、黙っている
ことは悪いことだと悟らなければならない。愛国者法を利用して、ラスベガス
のストリッパーを盗み見することに優るものはないが。
http://www.boston.com/news/nation/articles/2003/11/08/patriot_act_gets_mixed_review_in_vegas/
【編集者メモ】(Schultz)
9.11の攻撃後、米国政府(及び法執行機関)に、かつてない権力を付与する規
定その他の法律は、ゆっくりではあるが確実に弱体化されつつある。個人と米
国政府の権利の均衡は再び修復されつつある。
────────────────

◆ジャーナリストのYahooメールアカウントがハッキング (2010.3.31)
中国に拠点を置く多数の外国人ジャーナリストは、自分たちのYahooメールア
カウントがハッキングされていると主張している。中国の外国特派員協会(FCCC)
は、8人のジャーナリストのYahooメールアカウントがハッキングされたことを
確認した。Yahooはその訴えについて直接のコメントは避けたが、「ユーザー
のセキュリティとプライバシーの保護を約束する」と述べている。今年初め、
中国の反体制派のGoogleメールアカウントは、Googleへの攻撃の標的となった。
FCCCはユーザーに、特にセンシティブな問題に関する電子メールを使用する際
には注意をするように勧告した。「電子メールは中国では安全ではないような
ので、代わりの手段として、面談の機会を設けたりすることが望ましい」と警
告した。
http://news.bbc.co.uk/2/hi/technology/8596410.stm
http://www.nytimes.com/2010/03/31/world/asia/31china.html
http://www.businessweek.com/news/2010-04-01/journalists-demand-yahoo-explain-hacked-china-e-mails-update2-.html
────────────────

◆ボーイング社と米国政府 「サイバー戦士」の募集増やす(2010.4.6)
Cal Poly Pomona(カリフォルニア州Polytechnic大学)は、全米大学サイバー
競技会のサイバーセキュリティ地域大会開催地であったが、"2010 US Cyber
Challenge"の一環として今年の夏に行われる"カリフォルニアサイバーキャン
プ"の開催地となる。ボーイング社は、その大会の最優秀者を雇用する。ボー
イング社は、同社の情報セキュリティ分野で働く社員を、連邦サイバーセキュ
リティ基準に規定されるソフトウェアスキルを持つ者にシフトさせるべく、技
術的才能を必要としているためである。また、いずれこれをボーイング社と契
約するすべてのパートナー企業にも展開する予定であるという。
http://www.bloomberg.com/apps/news?pid=20601100&sid=abmfWsuQyyk0

【編集者メモ】(Paller)
コンピュータに詳しい高校生や大学生は、奨学金とインターンシップ、サイバー
キャンプの参加資格を獲得できる。www.uscyberchallenge.orgを参照。
────────────────

◆ドメイン名登録機関 中国から撤退(2010.4.2-5)
最近、3つのドメイン名登録機関が中国からの撤退を発表した。先月、Go Daddy
とNetwork Solutionsは中国から撤退すること決定をし、先週、オーストラリ
アのNet Registryは、現在の.cnサイトは維持するが、中国の新しいアカウン
トは受け入れないと発表した。別の話だが、中国の外国特派員協会は、Webサ
イトは攻撃を受けた後、削除されたと発表した。同協会は、「誰がDos攻撃を
仕掛けたか知らないが、攻撃は米国と中国のコンピュータにリンクされていた」
と述べている。この事件はジャーナリストのYahooメールアカウント侵害疑惑
の後に続いて起きた。
http://ibtimes.com.au/articles/20100402/foreign-journalists-site-china-attacked.htm
http://voices.washingtonpost.com/posttech/2010/04/another_incident_another_compa.html
http://news.cnet.com/8301-30684_3-20001095-265.html
http://www.washingtonpost.com/wp-dyn/content/article/2010/03/29/AR2010032903511.html

【編集者メモ】(Northcutt)
これは大問題になり得る。中国は将来インターネットを動かすようになるのか?
おそらくそうだろう。あなたが25歳以下であれば、中国語を勉強するのが賢明
かもしれない。私たちはしばらく現状を維持できるが、永久にではない。
────────────────

◆英国デジタルエコノミー法案 ユーザーに無線ネットワーク保護の責任
  (2010.4.3)
国会を通過する予定のデジタルエコノミー法案は、英国のインターネットユー
ザーに求められるWi-Fiセキュリティを定めている。多数のユーザーは、Wi-Fi
接続を保護するルーターへ70ポンド(107ドル)を支払わなくてはならない。
ルーター料金を支払わず、攻撃者が保護されていない接続を使用して違法なファ
イル共有を行った場合には、そのユーザーは罰金を支払うかインターネットを
切断される。古いノートパソコンを所有しているユーザーは、侵入からコンピュー
タを保護するために20ポンド(30ドル)のWi-Fiカードを購入しなければなら
ない可能性がある。無償の無線インターネットを提供しているコーヒーショッ
プなどの店は、そのネットワークで行われた違法なファイル共有の責任を負わ
なければならない可能性がある。これらのことから、同法案は公共アクセス
Wi-Fiに「死を告げる鐘」とも称されている。
http://business.timesonline.co.uk/tol/business/industry_sectors/technology/article7086250.ece

【編集者メモ】(Pescatore)
両面に愚かさを感じる。オープンなWiFiによって家庭が攻撃される可能性は、
マルウェアが有線のインターネットから侵入してホームネットワークを侵害す
る可能性より低い。リスクが過剰に伝えられているが、家庭のWiFiをセキュア
にするコストも過剰に宣伝されている。より大きな問題はインターネットサー
ビスプロバイダーに著作権、デザインおよびパテントの侵害を「実質的に」許
可するサイトを閉鎖する責任を負わせようとする文言である。これは本当のい
ばらのパッチだ。

----------------------------------------------------------------------
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年4月1日 Vol.9 No.14)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
他のMicrosoft製品                9 (#1)
Mac Os                     1 (#2)
Linux                      5
HP-UX                      2
Solaris                     1
AIX                       1
Novell                     1
Cross Platform                 32 (#3, #4)
Web Application - Cross Site Scripting     9
Web Application - SQL Injection        14
Web Application                16
Network Device                 12
======================================================================
1.危険度【重要】: Microsoft Internet Explorerに複数の脆弱性

<影響を受ける製品>
Internet Explorer version 5.01
Internet Explorer version 6
Internet Explorer version 7
Internet Explorer version 8

<詳細>
いくつかのリモートコード実行の脆弱性が、Microsoft Internet Explorer
に特定された。6つの脆弱性が初期化されないメモリー破損、1つが競合状態、
残りの1つがバッファオーバーフローの原因によるものである。これらの脆弱
性すべては、ユーザーに悪意のある細工されたWebページに誘導する必要があ
る。悪用が実現すると、攻撃者は現在のユーザーの権限を用いて任意のコード
を実行できるようになる。

<現状>
ベンダーは確認済みで、更新はリリースされている。

<参考>
Microsoft Security Bulletin MS10-018
https://www.microsoft.com/technet/security/bulletin/ms10-018.mspx
ベンダーホームページ
http://www.microsoft.com
SecurityFocus BID's
http://www.securityfocus.com/bid/38951
http://www.securityfocus.com/bid/39023
http://www.securityfocus.com/bid/39024
http://www.securityfocus.com/bid/39025
http://www.securityfocus.com/bid/39027
http://www.securityfocus.com/bid/39028
http://www.securityfocus.com/bid/39030
http://www.securityfocus.com/bid/39031
────────────────

2.危険度(重要): Apple Mac OS Xに複数の脆弱性

<影響を受ける製品>
Apple Mac OS X

<詳細>
複数の脆弱性がAppleのMacintosh OS X(Appleコンピュータに広くデプロイさ
れているOS)に報告されている。これらの脆弱性の1つの悪用が実現すると、
攻撃者はさまざまな情報侵害の状況を作り出せるようになる。脆弱性はバッファ
オーバーフロー、セキュリティ制限の回避、特権のエスカレーション、メモリー
破損からDoSに及ぶ。脆弱性は多数のMac OS Xアプリケーションに影響を及ぼ
す。攻撃者は、これらの脆弱性のいくつかを利用して、脆弱なマシンで任意の
コードを実行する可能性がある。

<参考>
Apple Knowledge Base Article
http://support.apple.com/kb/HT4077
ベンダーホームページ
http://www.apple.com
SecurityFocus BID
http://www.securityfocus.com/bid/39020
────────────────

3.危険度【高】: Mozilla製品に複数の脆弱性

Mozilla Firefox 3.6.2以前
Mozilla Firefox 3.5.9以前
Mozilla Firefox 3.0.19以前
Mozilla Thunderbird 3.0.4以前
Mozilla SeaMonkey 2.0.4以前

<詳細>
Firefox(2番目に広く使用されているウェブブラウザ)を含むMozilla
Foundation製品に複数の脆弱性が報告されている。そのうち3つの脆弱性によ
り、リモートでコードが実行されてしまう可能性がある。最初の脆弱性は、最
近発見されたバグで、Firefoxをクラッシュする。これらのバグを再生するプ
ロセスで、メモリー破損の証拠が発見された。攻撃者はこれらの脆弱性のいく
つかを悪用して、コードを実行する可能性がある。他の2つのuse-after-free
の脆弱性はコードを実行するために悪用される可能性がある。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Mozilla Foundation ecuritAdvisories
https://www.mozilla.org/security/announce/2010/mfsa2010-16.html https://www.mozilla.org/security/announce/2010/mfsa2010-17.html https://www.mozilla.org/security/announce/2010/mfsa2010-18.html https://www.mozilla.org/security/announce/2010/mfsa2010-19.html https://www.mozilla.org/security/announce/2010/mfsa2010-20.html https://www.mozilla.org/security/announce/2010/mfsa2010-21.html
ベンダーホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/38952
Secunia Advisories
http://secunia.com/advisories/39240/
http://secunia.com/advisories/39136/
http://secunia.com/advisories/39242/
http://secunia.com/advisories/39243/
────────────────

4.危険度【高】: Sun Java Runtime Environmentに複数の脆弱性

<影響を受ける製品>
Sun Java JDK 1.6.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.4.x

<詳細>
SunのJava Runtime Environment(多数のプラットフォームで作動するバーチャ
ルマシン)は、複数のリモートのコード実行の脆弱性がある。JavaのMIDI
soundbanks処理に2つのバッファオーバーフローの脆弱性が存在する。さらに
特定のイメージファイルの処理にインプット検証エラーが存在する。すべての
これらの脆弱性は、ユーザーが悪意のあるアプレットを含みデータファイルが
添付されているWebページを訪問するように誘導することにより、悪用するこ
とができる。JREのさまざまな他の脆弱性も報告され、修正されている。これ
らの脆弱性に関するいくつかの技術的詳細が公開されている。

<現状>
ベンダーはこの問題を認め、更新はリリースされている。

<参考>
Oracle Java Critical Patch Update Advisory - March 2010
http://www.oracle.com/technology/deploy/security/critical-patch-updates/javacpumar2010.html
ベンダーホームページ
http://www.oracle.com/index.html
Secunia Advisory
https://secunia.com/advisories/37255/
SecurityFocus BID's
http://www.securityfocus.com/bid/39062
http://www.securityfocus.com/bid/39065
http://www.securityfocus.com/bid/39067
http://www.securityfocus.com/bid/39068
http://www.securityfocus.com/bid/39069
http://www.securityfocus.com/bid/39070
http://www.securityfocus.com/bid/39071
http://www.securityfocus.com/bid/39072
http://www.securityfocus.com/bid/39073
http://www.securityfocus.com/bid/39075
http://www.securityfocus.com/bid/39077
http://www.securityfocus.com/bid/39078
http://www.securityfocus.com/bid/39081
http://www.securityfocus.com/bid/39083
http://www.securityfocus.com/bid/39084
http://www.securityfocus.com/bid/39085
http://www.securityfocus.com/bid/39086
http://www.securityfocus.com/bid/39088
http://www.securityfocus.com/bid/39089
http://www.securityfocus.com/bid/39090
http://www.securityfocus.com/bid/39091
http://www.securityfocus.com/bid/39093
http://www.securityfocus.com/bid/39094
http://www.securityfocus.com/bid/39095
http://www.securityfocus.com/bid/39096

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。