NRI Secure SANS NewsBites 日本版

Vol.5 No.21 2010年6月1日発行

***********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.21 2010年6月1日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
今週は、サイバーセキュリティに関する米国の財政支出ついて大ニュースがあ
る。今後3年間で、10億ドル以上の予算を国のサイバーセキュリティに割り当
てようというものだ。この構想は論議を呼んでいるものの、実現すれば素晴ら
しいものだ。これに関連するより詳細な情報を得られたい方は、6月15日に行
われるGovernment Executive Magazineのサイバーインサイダー朝食会(無料)
の席を確保してみるとよいだろう。
こちらで申し込み可能: http://www.govexec.com/cyber%5Finsider/
もしくは、私にメールで参加希望の旨をお知らせくだされば、参加できるよう
にしよう。

米国サイバーチャレンジにて、2つのクールなコンペが開催される。その1つと
して、新しいデジタルフォレンジックコンテストがあるが、ここではAdvanced
Persistent Threat(APT)ハッキンググループが新たな段階の成功を遂げたよう
に、この業界で進化を遂げることができるようになっている。このコンテスト
のテーマである「複雑化した脅威と戦う方法」は、"2010 What Works in
Digital Forensics and Incident Response"サミットでも明らかにされる予定
だ。このサミットについての詳細情報はこちら:
http://www.sans.org/forensics-incident-response-summit-2010
上記のコンテストについてはこちら:
http://computer-forensics.sans.org/challenges/

そしてさらに、米国司法省サイバー犯罪センターのフォレンジックチャレンジ
は、より一層取り組みがいのあるコンペを主催している。情報はこちら:
http://www.dc3.mil/challenge/2010/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付開始!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年 7月12日(月)~17日(土)■
SEC401 Security Essentials Bootcamp Style
■2010年11月15日(月)~20日(土)■
SEC401 Security Essentials Bootcamp Style
SEC504 Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.40-41
(原版:2010年5月22日、5月25日配信)

◆NASA サイバーセキュリティに関する焦点と資金を、認定および認可のプロ
セスからリアルタイムの脅威報告プロセスに移行 (2010.5.19-20)
NASA情報副主任Jerry Davisは、NASAの情報最高責任者(CIO)および情報セキュ
リティ責任者(CISO)全員あてにメモを発行した。このメモでは、「業務の焦点
や契約を、扱いにくいだけでなくコストのかかる認定・認可(C&A)関連の事務
処理から遠ざけ、今後は、実際に行動を起こすに値し、かつリスクに基づいた
システムセキュリティへのアプローチを一層支持するように」指導している。
今回のメモには、以下の内容が書かれている。「連邦情報セキュリティマネジ
メント法(FISMA)の下に、米国標準技術研究所(NIST)が導入した方法と同様の
形で認定・認可プロセス(C&A)が命令されたというわけではない。それに、こ
のFISMAによって、法遵守の実態を検査する報告書を作成するために、政府局
の時間と資金が投じられるだけで、システムの安全を図る行動そのものが必須
化されているわけではない。したがって、FISMAは単なる事務処理の蓄積場に
すぎないと、ますます批判の声が高まるばかりだ。もちろん、新しいシステム
の運用開始を承認する前に、認定・認可プロセス(C&A)を実行することは必要
だろう。しかし、このC&Aの更新作業に3年という無駄な時間を費やし、認定・
認可プロセス(C&A)に割り当てられた予算の85%を費やすなど、もはや許され
ることではない。Davisは先月、米国行政予算管理局(OMB)がセキュリティ要件
のリストを発表したことをきっかけに、今回のメモ発行に乗り切ったようだ。
http://www.nextgov.com/nextgov/ng_20100519_6677.php?oref=topstory
http://cybersecurityreport.nextgov.com/2010/05/ca_now_weightless_at_nasa.php?oref=latest_posts
記事で言及されているメモ: http://www.govexec.com/pdfs/051910j1.pdf

【編集者メモ1】(Schultz)
これはNASAにとってもよいことだ! FISMAの背景にある動機はいいものなの
だが、その仕組みとプロセスには、当初から重大な欠陥があった。
【編集者メモ2】(Pescatore)
この記事には、正しくない言い回しがたくさんある。昨年、米国標準技術研究
所(NIST)は、より一層継続的なモニタリングの必須化を図り、800-53と800-37
を率先して更新した。また、米国行政予算管理局(OMB)は、継続的な監視を行っ
て判明したことをCyberscopeというツール(これによって、政府局の提出物を
高水準で編集するプロセスを簡素化するだけでなく、それに伴って生じる各政
府局への変化もあまり大きくなくて済む)を使用して提出することを須化して
いるところである。OMBは、1つ別の報告用チャンネルの設置を必須化しただけ
で、これに基準に従っているかどうかを確かめる質問が加わり、さらに現場で
インタビューを行う可能性が増したことになる。また、監査官の事務局が各政
府局に対してまだまだ行うだろう監査に、これらが全て加わったことにもなる。
これは、米国行政予算管理局(OMB)が、そのタスクに予算を割り当てることな
しに、ただそれを命令しただけという、単なるもう1つの事例にすぎない。し
かしながら、実際のところ、通常の政府局は、NASAが必死に努力して獲得した
予算と同等の予算を得ることはできないのだ。
【編集者メモ3】(Paller)
行政予算管理局(OMB)の下層レベルのセキュリティスタッフが、12年以上も極
端にひどい見過ごしを行ってきたのだから、Johnやそのほかの人が、これもOMB
が行った予算なしの命令の一例にすぎないと考えるのも無理はない。ただ、
特徴付けとして、それは間違っているだろう。NASAの革新によって、政府の
CIOおよび主要プログラムのマネージャ全員が(ひそかに)待ち望んでいた新
風が吹き込まれたのだ。今回のこのメモによる指導は、秘密裏で遂行されなけ
ればならなかった。なぜなら、それを米国標準技術研究所(NIST)の文書でその
施行を強制すれば、OMBの下層セキュリティスタッフが無駄なOMBのポリシーに
対する懸念の声を露わにし、くってかかってくるに違いなかったからだ。
Vivek Kundra(CIO)とHoward Schmidt(米国サイバーコーディネータ)は、各政
府局に対し、無駄なものから迅速なリスク削減に役立つものに資金の投じ先を
移行させるという素晴らしい成果をあげた。ほぼリアルタイムに近い(36時間
ごとに更新を行う)セキュリティモニタリングを国務省に導入せよという命令
には、予算もしっかり割り当てられている。米国は、信頼できる方法でリスク
が測定されたら、このシステムを使えば、そのリスクを世界規模で90%以上減
少できると証明した。国務省のこの革新的なシステム(NASAの革新的行為によっ
て浮いた予算を使って導入される)が迅速に導入されれば、連邦政府もようや
く、模範として効果的なセキュリティの導入方法を示し、他を指導することが
できるようになる。そして、その効果は波及しているようだ。米国の大規模な
3つの政府局の国防産業基盤に携わる4社が、すでに国務省のこのiPostシステ
ムをしっかり適用しようと動き出している。これは、まさにめでたいことだ!
────────────────

◆米国国土安全保障省(DHS) NASAの変革を支持 (2010.5.20)
連邦ネットワークセキュリティ責任者であるMatt Coose(および行政予算管理
局(OMB)のVivek KundraからFISMA法の遵守状態の測定やその施行の主な責任を
委任されている人物)は、時代遅れの3つ穴ファイルどめ作りに投じていた資
金を、米国国務省が行っているような継続的なモニタリングに投じるようにす
るというNASAの決断を、より一層強くサポートする一言を述べた。「他の政府
局もこの先例にならうべきであり、すでに多くの政府局がそれを行っている」
と。
http://techinsider.nextgov.com/2010/05/right_along_with_security_experts.php?oref=latest_posts
────────────────

◆Microsoftのプラグラムで 脆弱性情報を早期に政府と共有 (2010.5.19)
Microsoftは、パッチがリリースされる前にセキュリティ欠陥の技術的詳細情
報を特定の組織に提供できるプログラムを世界各国の政府とともに試験する計
画だ。このプログラムは防御的情報共有プログラム(DISP)と称され、重大なイ
ンフラの保護推進を目的としている。このプログラムは今夏に始動するが、本
格的な運用開始は年内のどこかを予定しているという。このように政府に時間
的余裕を与えることによって、組織が行動の優先順位付けをできるようにする
のがその目的である。また、Microsoftには、このほかにも進めている政府プ
ログラムがある。このプログラムは、重要インフラパートナープログラムと称
され、重大なインフラの保護を推進するセキュリティポリシーについて、政府
間で情報を共有できるようになっている。
http://fcw.com/articles/2010/05/19/web-microsoft-patch.aspx

【編集者メモ】(Paller)
世界各国のどの政府も、それらの早期情報を悪い目的で獲得しようとはしてい
ないだろう。もしくは、それらの早期情報を機密施設へのひったくりのような
侵入に使わないだろう…と仮定するのは、きっとよいことなのだろう。
前述の例は、よからぬケースを考えたときの仮定ではあるが……。
────────────────

◆ドイツ当局 GoogleのWi-Fiデータ収集の捜査に乗り出す
(2010.5.19-20)
Googleのデータ収集問題が、広範で注目を集めている。Googleは、Google
Street Viewのための画像を収集中に、保護されていないWi-Fiネットワークか
らのWebサイトの断片や個人のメールメッセージをうかつに収集してしまって
いたことを認めた。ドイツの検察当局は、GoogleがWi-Fiネットワークからデー
タを収集していたことに関して捜査を開始。ドイツの関係者はGoogleに対し、
データの一部が入っているハードドライブを提出するように求めた。これに対
しGoogleは、データは同社で破壊すると述べている。また、米国議会もGoogle
のデータ収集行為が合法的なものかどうか、同社に質問しており、連邦取引委
員会(FTC)に調査を求めている。フランスとイタリアも同様の捜査を行ってい
るもよう。さらに、アイルランドのデータ保護長官は、収集したデータを破壊
するようにGoogleに求めたところ、同社はそれに応じたという。捜査に必要な
データは維持しなくてはならないという考えを推進する団体の声もあったが、
英国の情報長官事務局(ICO)は、問題のデータを削除するようにGoogleに求め
たものの、捜査を行うことは却下した。
http://www.nytimes.com/2010/05/20/business/global/20google.html?ref=technology
http://voices.washingtonpost.com/posttech/2010/05/the_anger_is_growing_over.html
http://www.pcworld.com/article/196770/google_street_view_privacy_breach_lawmakers_get_mad.html
http://www.v3.co.uk/v3/news/2263320/ico-calls-google-delete-private

【編集者メモ】(Pescatore)
FTCがこれを捜査するのはよいことだろう。FTCは何年もの間、既存法を使用し
て民間産業のプライバシーの侵害の調査を行ってきたが、それはすばらしい効
果をあげている。なぜなら、新しい法規制なしにそれが行えているのだから。
FTCには、今までと同様の方法で、広告や他人の情報を売るGoogleのような全
ての企業に対し、捜査を積極的に行ってほしい。
────────────────

◆米国下院分科委員会 FISMA改良の法案を承認 (2010.5.20)
米国下院・監視・政府改革委員会は、これまで10年近くそのままであった連邦
情報セキュリティマネジメント法(FISMA)を改正する法案を承認した。この改
正案は、2010年連邦情報セキュリティ改正法(HR 4900)と称され、これによっ
て、サイバーセキュリティ主任と最高技術責任者が恒久的な役職として設置さ
れることになる。また、事務処理に関する特定の必須要件が撤廃され、以前必
須となっていた3つ穴ファイルどめ作業の代わりに継続的なネットワーク監視
が必須となる。さらに、この法案によって、IT契約には、サイバーセキュリティ
の必須要件についての言及を盛り込むことが義務付けられる。現在、この法案
は、下院本会議での議論を待つのみとなっており、6月には成立に向けての投
票が行われる見込みだ。上院議会では、今後数週間の間に、同法案が提案され
る見込みである。
http://www.nextgov.com/nextgov/ng_20100520_4353.php
────────────────

◆Google これ以上Wi-Fiのデータを削除しない意向 (2010.5.21)
Googleは、同社のStreet View機能用に画像を収集していた際にうっかり収集
してしまったWi-Fiデータの削除に待ったをかけた。Googleは、これまで3年間、
Street Viewのデータ収集手段によって、30か国のWi-Fiのペイロードデータを
収集したことを認めている。これを受けて、Googleに対し、収集したデータの
削除を求めた国もあったが、欧州連合(EU)が問題の情報の削除をやめるように
(Googleの刑事責任の有無につていて、さらに調査できるように)求めたため、
同社は、これ以上データを削除することを停止した。Googleは、同社のネット
ワークで収集していたのはSSIDとMACアドレスのみだと先に述べたものの、ド
イツ当局の命令で行われたデータ収集システムの監査結果によれば、それとは
相容れない証拠が浮き上がってきたという。監査結果が提示されたその時点ま
でデータが収集され続けていた事実について、Googleは、それを感知していな
かったと述べている。
http://www.theregister.co.uk/2010/05/21/google_halts_wifi_payload_data_deletion/
【編集者メモ】(Pescatore)
人に情報を露出させて広告収入を得ることによって成り立っているビジネスモ
デルでは、「誤って必要な情報をあまり十分に収集しなかった」とは対照的に、
「うっかりたくさんの情報を収集してしまった」という間違いにいつも陥って
しまう傾向にあるようだ。
────────────────

◆Googleのデータ収集行為に対して集団訴訟 (2010.5.21-24)
Googleは、Street Viewのデータ収集システムによってWi-Fiデータを収集して
いたことに関して集団訴訟を受けることとなった。この訴訟では、保護されて
いない無線ネットワークから収集されたデータ1件につき1万ドルの賠償が求め
られている。この訴訟はポートランドのオレゴン州連邦裁判所で起こされた。
また、原告側はGoogleに対し、これ以上収集されたデータの削除を進めないよ
うにする一時差し止め命令を発行するよう申し立てを申請した。
http://www.computerworlduk.com/management/government-law/legislation/news/index.cfm?RSS&NewsId=20373
http://www.computerworld.com/s/article/9177271/Google_saves_secures_Wi_Fi_snooping_data?taxonomyId=17
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年5月20日 Vol.9 No.21)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            5
Unix                      1
Cross Platform                 30 (#1)
Web Application - Cross Site Scripting     8
Web Application - SQL Injection        17
Web Application                18
Network Device                 1
Hardware                    1
======================================================================
1.危険度【中】:無料のダウンロードマネージャにリモートのバッファオーバー
フローの脆弱性

<影響を受ける製品>
Free Download ManagerのFree Download Manager 3.0.Build 850
Free Download Manager のFree Download Manager 3.0.Build 848
Free Download Manager のFree Download Manager 3.0.Build 844
Free Download Manager のFree Download Manager 2.5 Build 758

<詳細>
BitTorrentのダウンロードには、さまざまなバッファオーバーフローの脆弱性
があり、これらによって、コードの実行に発展するおそれがある。細工された
WebサイトやFTPサイトを訪れるようにユーザーを誘い込むことによって、アタッ
カーは、これらの脆弱性を悪用し、現在ログインしているユーザーの許可付き
でコードを実行できるようになってしまう。Secuniaが発表した研究によると、
この問題はベンダーも認めており、バージョン3.0のBuild 852でパッチがあて
られているとのこと。バージョン3.0のBuild 852は、ベンダーのWebサイトで
入手可能ではあるものの、問題の脆弱性の存在を認めるコメントや更新につい
ての情報はそこには掲載されていない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.freedownloadmanager.org
SecurityFocus BID
http://www.securityfocus.com/bid/40146
Secuniaのアドバイザリ
http://secunia.com/advisories/39447

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。