NRI Secure SANS NewsBites 日本版

Vol.5 No.15 2010年4月20日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.15 2010年4月20日発行
**********************************************************************
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS ローカルメンタープログラム 申込み受付中!
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    2010年5月11日からの全10回コース(毎週火・木曜 18:30~20:30)
  !!業務後の時間を有効に利用して、高度なセキュリティスキルを習得!!

◆コース:SEC504 Hacker Techniques, Exploits & Incident Handling
  講師:Tyson Kopczynski
  会場:NRIセキュアテクノロジーズ 汐留オフィス

         ↓↓↓詳細&お申込みはこちら↓↓↓
       http://www.sans.org/mentor/details.php?nid=21594
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.28-29
   (原版:2010年4月9日、4月13日配信)

◆FCCの制裁をめぐる裁判 Comcastに有利な判決(2010.4.8)
先日、米国連邦控訴裁判所は、「連邦通信委員会(FCC)がインターネットサー
ビスプロバイダー(ISP)に対してネットの中立性を強制する権限はない」とい
う判決を下した。具体的には、ComcastがBitTorrentのWebサイトからのインター
ネットトラフィックを調整したことに対し、FCCが制裁を科すことは越権行為
であるとの判断が下されたわけである。Comcastは、トラフィックの調整はコ
ンテンツではなく、ボリュームに基づいて行っていると述べている。この判決
により、インターネットトラフィックにおけるFCCの役割は曖昧なままになっ
た。場合によってはFCCは、高速インターネットを情報サービスではなく、電
気通信サービスとして分類することにより、規定を回避する可能性もある。
FCC委員が高速インターネットを法律上別の範疇に分類すれば、プロバイダー
はより厳しい制約を受けることになる。FCCは全米ブロードバンド計画をさら
に推進するつもりだ。
http://www.washingtonpost.com/wp-dyn/content/article/2010/04/06/AR2010040600742.html
http://www.washingtonpost.com/wp-dyn/content/article/2010/04/07/AR2010040704866.html?wprss=rss_technology
http://www.msnbc.msn.com/id/36276758/ns/technology_and_science-tech_and_gadgets/
http://www.latimes.com/news/opinion/editorials/la-ed-neutral9-2010apr09,0,1445436.story
http://www.npr.org/templates/story/story.php?storyId=125709802
────────────────

◆英国下院 デジタルエコノミー法案通過(2010.4.8)
英国国会は、今週デジタルエコノミー法案を承認したが、著作権侵害防止条項
が議論を呼んでいる。インターネットサービスプロバイダー(ISP)や人権擁護
団体は法案が急遽通過したことに不満で、詳細を吟味する十分な時間がなかっ
たと主張している。問題となっている条項は、Ofcom(英国の通信サービス規
制当局)がISPに対して、常習的に違法なダウンロードをしているユーザーの
インターネットアクセスを切断する権限を与えるというものである。下記リン
クの中のGuardian.co.ukには、先日下院を通過した法案の逐条審議のリンクが
貼られている。
http://www.mcvuk.com/news/38382/Digital-Economy-Bill-is-passed
http://www.v3.co.uk/v3/news/2261005/passing-digital-economy-bill
http://www.siliconrepublic.com/news/article/15789/digital-21/digital-britain-bill-now-likely-to-pass-into-law
http://www.guardian.co.uk/media/pda/2010/apr/08/digital-economy-bill-quick-guide-45-measures
http://www.rogerdarlington.me.uk/Ofcom.html
http://www.ofcom.org.uk/about/
────────────────

◆海軍サイバー指令部 2年以内に予測能力求められる(2010.4.6)
海軍中将Bernard McCullough(海軍サイバー指令部司令官)は、司令部は2010
年10月までに積極的な防衛姿勢を確立すると予想している。戦略国際問題研究
所(Center for Strategic and International Studies)においてMcCulloughは、
軍隊は伝統的に受動的・静的であるが、積極的・動的・予測的になる必要があ
ると述べた。ネットワークを兵器システムとし、ドメインを戦場として考え始
めなくてはならないと述べた。McCulloughは見識を変えるには時間がかかると
認めているが、司令部は2年以内に予測能力を持つであろうと信じている。
http://gcn.com/Articles/2010/04/06/Navy-cyber-command-update.aspx?Page=1

【編集者メモ】(Ranum)
「積極的」で「動的」なのはいいが、「予測的」なのは問題だ。最終的に
McCulloughはその計画は将来を予測することだと主張している。私はそうは行
かないと予測する。
────────────────

◆連邦機関 FDCCおよびTICの導入失敗

政府説明責任局(GAO)は、連邦機関がFederal Desktop Core Configurationの
導入で、組織的に失敗していることを発見した。特別な構成が必要なコンピュー
タに関してはFDCCを大きく変更し、この重要な国の政策により提供されるセキュ
リティの価値を損なっている。
http://fcw.com/Articles/2010/04/12/Web-GAO-FDCC-TIC.aspx?p=1

【編集者メモ】(Paller)
GAOの発見はよく書かれており重要であるが、GAO研究者は、FDCCの最も重要な
コントロールは全く導入されておらず、NISTが承認したツールによってテスト
すらされていないことには全く気付いていなかった。
────────────────

◆英国デジタルエコノミー法案制定(2010.4.8 & 12)
英国下院はデジタルエコノミー法案を承認し、懸案となっていた法律を制定し
た。法案は、違法なファイル共有のために大きな経済的損失を被ったと主張す
るエンターテイメント産業の代表者に大いに支持されている。新しい法律によ
り、英国では違法なファイル共有者に対し、三振即アウトのポリシーが適用さ
れる。常習犯はインターネットのアクセスを中断されることもある。ISP
TalkTalkは、デジタルエコノミー法を利用してインターネットサービスプロバ
イダーの顧客情報を入手しようとする音楽および映画会社に対しては法的措置
をとると述べている。
http://www.nytimes.com/2010/04/09/technology/09piracy.html?partner=rss&emc=rss
http://www.scmagazineuk.com/talktalk-claims-that-it-will-seek-a-court-order-before-surrendering-customer-details-under-the-digital-economy-act/article/167759/
http://www.pcpro.co.uk/blogs/2010/04/12/digital-economy-bill-mps-didnt-know-what-they-were-talking-about/
【編集者メモ】(Schultz)
音楽と映画を著作権侵害から守るアイデアとしては良い。私がこの法律が悪影
響をもたらすと恐れているのは、これらの産業がしばしば誤った警告を発する
ということだ。たとえば、TCPポート4662が空いていると、eDonkeyを利用して
著作権のある作品を違法にダウンロードしているなどと決め込む類のものだ。
────────────────

◆ISPの顧客情報保護提案 スパム・マルウェア対策の妨げ(2010.4.7)
American Registry for Internet Numbers (ARIN)は、インターネットサービ
スプロバイダーに、彼らの企業顧客の連絡先情報を開示させないようにする提
案を検討している。セキュリティ専門家は、その提案はユーザーをスパムやマ
ルウェアから保護するのをより困難にすると懸念している。最近は「いかなる
ビジネスにおいても極秘情報の一つ」と考えられる顧客情報の開示を求められ
る傾向にあるため、ISPはこの提案を支持している。
http://krebsonsecurity.com/2010/04/isp-privacy-proposal-draws-fire/
https://www.arin.net/policy/proposals/2010_3.html

----------------------------------------------------------------------
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年4月8日 Vol.9 No.15)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Microsoft Office                1
Third Party Windows Apps            2
Mac Os                     20
Linux                      4
Novell                     2
Cross Platform                 47 (#1, #2)
Web Application - Cross Site Scripting     8
Web Application - SQL Injection         8
Web Application                24
======================================================================
1.危険度【高】:Mozilla Firefoxにリモートコード実行の脆弱性

<影響を受ける製品>
Mozilla Firefox version 3.6.2
Mozilla Firefox version 3.6

<詳細>
Mozilla Firefox(Mozilla Application SuiteのオープンソースWebブラウザ)
は、24.52%のシェアを占める2番目に人気のあるブラウザで、さらに増えつつ
ある。use-after-freeの脆弱性がFirefoxに特定され、細工されたWebページに
より悪用される可能性がある。悪用が実現すると、攻撃者は影響を受けたアプ
リケーションを利用して任意のコードを実行できるようになる。これらの脆弱
性に関する技術的詳細がソースコード分析を通じて入手できる。

<現状>
ベンダーはこの問題を認めており、更新がリリースされている。

<参考>
Mozilla Security Advisories
http://www.mozilla.org/security/announce/2010/mfsa2010-25.html
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-10-063/
ベンダーホームページ
https://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/38952
────────────────

2.危険度【高】:Foxit Reader 埋め込まれた実行可能ファイル実行の脆弱性

<影響を受ける製品>
Foxit Reader 3.2.1 0401より前のバージョン

<説明>
Foxit Readerは、多言語対応のPortable Document Format(PDF)リーダーであ
り、ドキュメントの読み込みや保存が素早く、容易で、ファイルサイズが小さ
いことで知られている。Foxit Readerに脆弱性が特定され、細工されたPDFファ
イルにより引き起こされる可能性がある。具体的な欠陥は、ユーザーの許可な
く、脆弱なアプリケーションが、PDFドキュメントに埋め込まれた実行可能な
プログラムを自動的に実行してしまうことである。これは、"Launch Action"
コマンドを使用し、埋め込まれた実行可能なファイルを実行することにより引
き起こされる。この脆弱性に関する全ての技術的詳細が概念実証とともに公開
されている。

<現状>
ベンダーはこの問題を認めており、更新がリリースされている。

<参考>
Foxit Software Security Bulletin
http://www.foxitsoftware.com/pdf/reader/security.htm#0401
"Escape From Foxit Reader" Didier Stevens著
http://blog.didierstevens.com/2010/03/31/escape-from-foxit-reader/
Foxit Readerに関するWikipedia記事
http://en.wikipedia.org/wiki/Foxit_Reader
製品ホームページ
http://www.foxitsoftware.com/pdf/reader/
SecurityFocus BID
http://www.securityfocus.com/bid/39109

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。