NRI Secure SANS NewsBites 日本版

Vol.5 No.19 2010年5月19日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.19 2010年5月19日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
現在、(重要なコントロールについて)継続的なセキュリティの監視に素早く
移行する必要性を理解する人々と、時代遅れな紙ベースのセキュリティ報告書
を作成するという今や信頼性のない習慣にしがみついている人々との間に興味
深い論争が繰り広げられている。米国行政管理予算局の主導による、政府機関
がサイバー脅威を評価するための評価指標を改善する取り組みは、50%成功で
あったが、50%は報告書作成者により阻害された。今朝、すべての連邦政府の
CISO(情報セキュリティ最高責任者)は評価指標の策定を支援するよう依頼さ
れた。私達が毎週、その論争の進展をお知らせしよう。(宣誓議会証言による
と)信頼性のない報告書に数十億ドルも浪費されていて、問題となっている。
連邦政府が自動化に移行すれば、防衛産業基盤、その他の米国の重要なインフ
ラストラクチャも素早く移行するであろう。リスクを削減できる人の就職の見
込みは、単にリスクを記述する人と比較して格段に上がるだろう。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 申込み受付開始!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■2010年 7月12日(月)~17日(土)■
    SEC401 Security Essentials Bootcamp Style

   ■2010年11月15日(月)~20日(土)■
    SEC401 Security Essentials Bootcamp Style
    SEC504 Hacker Techniques, Exploits and Incident Handling

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.36-37
   (原版:2010年5月7日、5月11日配信)

◆FISMA 2.0 米下院小委員会通過

FISMA(連邦情報セキュリティマネジメント法)を事務処理の推進からセキュ
リティの自動監視に変換させる法案が下院小委員会で承認された。その法案は
ホワイトハウスのサイバー責任者および最高技術責任者(CTO)の職務を常勤と
することも求めており、上院で審議される。
http://www.nextgov.com/nextgov/ng_20100505_8690.php?oref=topnews
───────────────

◆FCCブロードバンド規制計画公表(2010.5.6)

米連邦通信委員会(FCC)のJulius Genachowski議長は、ブロードバンドインター
ネットサービスを規制する委員会の計画を公表した。今春初め、米連邦控訴裁
判所は、FCCがBitTorrentからのインターネットトラフィックを調整したこと
に対して、Comcastに制裁を課したことは越権行為であるとの判決を下した。
判決が下された直後、FCCはブロードバンドを通信サービスとして再分類し、
FCCの監督下にしようとしているという憶測が流れた。5月6日、Genachowskiは、
ブロードバンドネットの中立性を「規制する取り組み」を支持すると述べた。
「第3の道」と称されるその計画は、FCCはブロードバンドを情報サービスとユー
ティリティとの中間であると見なしているため、現在の法律の下で、すでにブ
ロードバンドを規制するのに十分な拘束力があるという考えに基づいている。
FCCの方針は、ブロードバンドをすべてのアメリカ人に提供し、消費者を保護
し、公正な競争を保証し、自由でオープンなインターネットを守ることなどで
ある。
http://www.informationweek.com/news/government/policy/showArticle.jhtml?articleID=224700985
http://www.nytimes.com/2010/05/06/technology/06broadband.html?ref=technology
http://www.washingtonpost.com/wp-dyn/content/article/2010/05/05/AR2010050505323.html?wprss=rss_technology
http://www.usatoday.com/tech/news/2010-05-05-fcc-broadband-rules_N.htm

【編集者メモ】(Pescatore)
私は1980年代初めから1990年代初めまで、GTEで働いていた。電話番号を「ダ
イヤルする」と言うと当惑する人のために、GTEは大きな電話会社だった。電
話事業が厳しく規制されていた時代から最も規制が緩和された時代まで続いた。
私には、ブロードバンドに法令を設けて解決しなければならないというような
問題が実際にあるとは思えない。
───────────────

◆米下院 情報保護法案(2010.5.4 & 5)

米国の国会議員により提出された情報保護法案は、組織が顧客から収集した個
人情報を収集、保管および使用できる方法を規制するものである。その法案は
オプトアウトである保護情報とオプトインである機密情報を明確に区別してい
る。保護情報とは氏名、番地、電話番号、電子メールアドレスおよび社会保障
番号(SSN)のような政府が発行するID番号などである。機密情報とは医療記録、
人種および民族性、性的指向、財務記録および地理位置情報などである。その
提案は「顧客より企業の利益のためにある現在のオンラインプライバシー慣行
を法令化するものだ」と批判されている。法案は両サイドから批難を浴びてお
り、消費者の権利擁護者は十分ではないと主張し、企業は行き過ぎだと主張し
ている。
http://fcw.com/articles/2010/05/04/web-consumer-privacy-bill.aspx?admgarea=TC_SECCYBERSEC
http://arstechnica.com/tech-policy/news/2010/05/religion-sex-money-location-bill-makes-them-sensitive-info.ars
http://www.computerworld.com/s/article/9176311/Lawmakers_unveil_online_privacy_bill?taxonomyId=84
http://www.theregister.co.uk/2010/05/05/us_privacy_bill/
http://www.scmagazineus.com/congressmen-propose-draft-online-privacy-bill/article/169522/
http://news.cnet.com/8301-13578_3-20004165-38.html?part=rss&subj=news&tag=2547-1_3-0-20
【編集者メモ】(Schultz)
この法案への反応は、米国を麻痺させている政治的分断を映し出している。
───────────────

◆下院法案 サイバースペースオフィスとサイバースペースディレクター創設
  (2010.5.7)
米下院に提出された法案は、ナショナル・サイバースペースオフィスと、サイ
バースペースディレクター(上院が承認)の職務を創設し、連邦機関がネット
ワークを適切に保護しない場合、罰金が科せられる。Executive Cyberspace
Authorities Actは、Jim Langevin(民主党 ロードアイランド)および
Michael McCaul(共和党 テキサス)により提出された。Langevinは、大統領
により設立されたサイバーセキュリティコーディネーターは「ネットワークを
適切に保護し、政府全体でポリシーを調整する適切な権限」を持たないと述べ
た。
http://www.nextgov.com/nextgov/ng_20100507_4986.php?oref=topnews
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=224701133&subSection=News
http://fcw.com/articles/2010/05/07/web-cyber-coordinator-bill.aspx?admgarea=TC_SECCYBERSEC
───────────────

◆攻撃はほとんどすべてのアンチウィルスプログラムに影響(2010.5.7 & 9)

研究者たちは、今までのほとんど全てのアンチウィルスプログラムをひそかに
持ち出す攻撃を考案した。攻撃は、System Service Descriptor Table(SSDT)
フックを使用してWindowsカーネルを変更するアンチウィルスソフトに影響を
及ぼす。その欠陥を悪用するため、攻撃者は安全なコードをドライバのフック
に送り、セキュリティチェックを通過した後、悪意のあるコードと交換する。
その方法はアドミニストレーターの権限がなくても使用できる。
http://www.theregister.co.uk/2010/05/07/argument_switch_av_bypass/
http://www.examiner.com/x-39728-San-Jose-Technology-Examiner~y2010m5d9-Researchers-use-new-exploit-to-bypass-100-percent-of-tested-AV-software
───────────────

◆ワシントン州裁判所 ライブラリのインターネットフィルターに合憲判決
  (2010.5.6)

ワシントン州最高裁判所は、公共のライブラリがコンテンツフィルターを使用
することは州の憲法に違反しないとの判決を下した。6対3で過半数が、ライブ
ラリは物理的に収集する内容を決定する裁量があるように、その施設でオンラ
インによって使用可能なコンテンツを決定することもできると記述した。成人
が要求した場合、ライブラリは、憲法で保護された言論を含む特定のWebサイ
トへのアクセスへのブロックを除去することができるとも記述した。その判決
に反対する裁判官は、憲法で保護された言論の自由を制限すると述べた。
American Civil Liberties Union(ACLU)を代表する弁護士はその判決に異議を
唱えている。
http://www.msnbc.msn.com/id/37001589/ns/us_news/
【編集者メモ】(Schultz)
これはまた興味深い判決だ。多数のフィルタリングがセキュリティの名の下に
行われている。例えば、ISPは電子メールを選択的にフィルタリングし、ファ
イアウォールとIPSは受信および発信のネットワークトラフィックを選択的に
フィルタリングする。別のフィルタリングの形式、セキュリティのためのネッ
トワークトラフィックのフィルタリングが将来裁判で検討されるだろう。

----------------------------------------------------------------------
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年5月6日 Vol.9 No.19)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
他のMicrosoft製品               2
Third Party Windows Apps           15
Linux                     2
BSD                      1
Cross Platform                24 (#1)
Web Application - Cross Site Scripting    11
Web Application - SQL Injection        27
Web Application                35
Network Device                 2
======================================================================
1.危険度【高】:Adobe Photoshop TIFF バッファオーバーフローの脆弱性処理
  (apsb10-10)
<影響を受ける製品>
Adobe Photoshop CS4 version 11.0.0

<詳細>
Adobe Photoshopは、Adobe Systemsにより開発された一般的なイメージ編集ソ
フトである。複数の脆弱性がAdobe Photoshop Creative Suite (CS) 4
Editionsに特定された。問題は、Adobe Photoshop CS4がTIFFファイルを処理
する際の特定されていないエラーによって引き起こされる。細工されたTIFFファ
イルがPhotoshop CS4の無防備なユーザーによって開かれると、これらの脆弱
性が引き起こされる。悪用が実現すると攻撃者は影響を受けたアプリケーショ
ンの権限を利用して、任意のコードを実行できるようになる。これらの脆弱性
に関する技術的な詳細は公開されていない。

<詳細>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Adobe Security Advisory
http://www.adobe.com/support/security/bulletins/apsb10-10.html
Adobe Photoshopに関するWikipedia記事
http://en.wikipedia.org/wiki/Adobe_Photoshop
製品ホームページ
http://www.adobe.com/products/photoshop/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/39849

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。