NRI Secure SANS NewsBites 日本版

Vol.5 No.22 2010年6月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.22 2010年6月8日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
ニュース速報:米国下院議会は、新FISMA改正法を国防予算案に添付する。プ
レスはこれに関してまだ報道はしていないが、NextGov.Comが、あとわずかで
この話題を取り上げるだろう。これによって、行政予算管理局(OMB)を無視し
続けて時代遅れのレポート作成業務に無駄なコストを費やし続けてもいいと考
えているような連邦政府のCISOやセキュリティ業務の請負業者に、とどめを差
すことができよう。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【7月開催まであと1か月!!】
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年 7月12日(月)~17日(土)■
SEC401 Security Essentials Bootcamp Style

   ■2010年11月15日(月)~20日(土)■
SEC401 Security Essentials Bootcamp Style
SEC504 Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.42-43
(原版:2010年5月25日、6月1日配信)

◆Facebook プライバシーコントロールを単純化 (2010.5.26-27).
Facebookによれば、同社はプライバシーコントロールを簡素化したという。新
しいコントロールでユーザーは、コンテンツを共有できる対象を、「友人のみ」
「友人、友人の友人までのみ」「誰とでも」の間で選べるシンプルな設定になっ
ている。より粒度の細かいコントロールを導入したいユーザーには、今までと
同様にそれができる機会が与えられており、それらのコントロールは単一のペー
ジにおさめられて設定しやすくなっている。これについて電子フロンティア財
団(EFF:The Electronic Frontier Foundations)は、これらの変化は「すば
らしい第一歩」であるが、対処すべきプライバシーの問題がまだ残っていると
指摘する。特に「必ず公共にさらされてしまうような情報がある設定など、一
切あってはならない」と言及。またその一方で、ソーシャルネットワークの存
在意義そのものが、情報の共有であるという声も聞かれる。これらの新しい機
能は、今後数週間の間に使えるようになるとのこと。
http://www.scmagazineuk.com/facebook-rolls-out-simpler-privacy-settings-with-a-single-control-for-content-controls-for-basic-information-and-a-control-to-turn-off-all-applications/article/171102/
http://news.bbc.co.uk/2/hi/technology/10171575.stm
http://www.theregister.co.uk/2010/05/26/facebook_privacy_revamp/
http://www.pcworld.com/article/197321/facebooks_privacy_changes_are_you_satisfied.html

【編集者メモ】(Ranum)
公共にさらしたくない情報があるなら、ブログを書いたり、Facebookや
Twitterのようなものを使用しないことだ。使用するのであれば、いっそのこ
と情報を公表してしまえ! 3人のグループが秘密を共有していたとしよう。
そのうち2人が死んだ場合どうなるか。ネット上で誰もそれを公表せず、かつ
彼らの「友人」と情報を共有する設定にしていなければ、秘密は守られるが…。
────────────────

◆アインシュタイン(Einstein) 重大なインフラを支えている民間ネットワー
クに使用される可能 (2010.5.26-27)
ネブラスカ州で5月26日に開催された戦略軍事サイバーシンポジウム
(Strategic Command Cyber Symposium)にて、米国国防副長官William J. Lynn
IIIは、政府システムに対するアタックを検知・防御するアインシュタイン・
コンピュータセキュリティシステムの適用範囲を広げ、公益事業や通信など、
重要インフラを支えている民間のネットワークの保護にも使用するかもしれな
いと述べた。参加は任意であるという。Lynn副長官によれば、この参加オファー
を利用しようとしない企業は、その企業のサイバー環境の無法地帯化を促すよ
うなものだと述べた。今回提案された取り決めによって、情報の共有について
問題が提起された。民間企業が、自社で収集した情報を政府と共有する意思が
あるのかどうか定かではないということだ。一方で、政府の情報は機密である
ことから、その情報を企業が他の企業と共有したがるとは考えられないため、
政府の方は、情報をある程度企業と共有してもよいと考えているようだ。
http://www.msnbc.msn.com/id/37366519/ns/technology_and_science-security/
http://www.wired.com/threatlevel/2010/05/einstein-on-private-networks/
http://www.govinfosecurity.com/articles.php?art_id=2581&rf=2010-05-27-eg

【編集者メモ】(Pescatore)
現在の配置されているアインシュタイン(Einstein)技術では、何も防御でき
ない。どちらかというとアインシュタインは、検知と報告のみを行ってきてい
たようなものだ。つまり、概して政府は、積極的な防御技術に関して民間産業
に遅れているといえる。
────────────────

◆Google Wi-Fiデータの収集でさらに激しい批判を浴びる (2010.5.25-27)
米国議会は、Google社の最高経営責任者であるEric Schmidtに対し、同社の
Wi-Fiデータ収集行為に関して多数の質問をし、その答えを求める書簡を送っ
た。Googleは3年間、同社のStreet View機能用の画像を収集しているときに、
ワイヤレスネットワークのペイロードデータをうっかり収集してしまっていた
ことを認めている。また、ドイツでGoogleは、この問題で犯罪捜査を受けてい
る。同社は、ドイツの監督機関にデータを引き渡すのを尻込みしている状態だ
が、これは同国のプライバシー保護法によって、そのような情報の引渡しが阻
まれていることを暗示している。このほか、マサチューセッツ州のインターネッ
トサービスプロバイダ(ISP)であるGalaxy Internet Servicesが、Googleに対
して集団訴訟を起こした。この訴訟でGalaxy Internet Servicesは、Googleに
対して今までに収集した問題の情報の破壊を禁じることを求めている。さらに、
オレゴン州では先週、別の集団訴訟が発生している。そしてカリフォルニア州
では、3つ目の集団訴訟が起こされたところだ。
http://www.computerworld.com/s/article/9177348/ISP_sues_Google_over_Wi_Fi_sniffing?source=rss_news
http://latimesblogs.latimes.com/technology/2010/05/legislators-grill-google-eric-schmidt-on-spyfi-privacy-issue.html
http://www.wired.com/threatlevel/2010/05/google-sued/
http://www.nytimes.com/2010/05/28/technology/28google.html?ref=technology

【編集者メモ】(Schultz)
Googleが今経験しているこの苦しみを見ると、情報時代とともにさまざまな恩
恵がもたらされたが、情報を獲得するにあたっては、法的リスクやその他のリ
スクが生じることがわかる。そういった情報の保護については、先見の明はな
かったようだ。
────────────────

◆米国の大手技術企業 データの侵害より事業の継続性に大きなリスクを感じ
る (2010.5.24)
BDOが米国の大手技術企業100社を対象に行った調査によると、企業らデータの
侵害事件発生よりも事業の継続性により大きなリスクを感じるという。このデー
タは「2009年度年次報告書」からまとめられた。この調査で、企業は純利益に
影響を及ぼしうるリスクの要素をリストアップするように求められたとのこと
だ。
http://www.computerworld.com/s/article/9177262/Business_continuity_not_data_breaches_among_top_concerns_for_tech_firms?source=rss_news

【編集者メモ1】(Pescatore)
これで、ビジネス/マーケットリスクとITリスクの間に大きな差異があること
が明らかになった。BDOが見たのは、財務報告書にある「マーケット上のリス
ク」のセクションである。これは、デリバティブの不正取引者がはびこってい
た1997年当時の米国証券取引委員会(SEC)のルールから発生したものだ。時と
ともにこの財務報告書のこのセクションは、株が暴落した場合に起訴されるの
を避ける1つの方法として、(分野を問わず)今後事業の存続にかかわるよう
な重大な出来事として可能性のあるものをリストアップするというごみ廃棄場
に変わってしまった。要は、「第7セクションにて、いつ株が暴落してもおか
しくない」と警告したはずですが? と言い逃れしたいのである。この観点で
考えると、事業自体に混乱が生じることは、データ漏えいが発生するよりも大
幅にコストがかかる。
【編集者メモ2】(Ranum)
事業の継続性も、ほとんどの事業にとってより重要性の高い問題であろう。し
かし、そうだとしてもセキュリティは生存競争の上で、せめて2番目に重要な
問題であってほしい。
【編集者メモ3】(Schultz)
多くの企業にとって今までに発生したデータセキュリティ侵害の中で最悪なも
のよりも、さらに回復にコストがかかってしまったのは、ハリケーン・カトリー
ナやウィルマによる被害だった。
────────────────

◆災害復旧プラン 十分な注目を得ず

Symantecの2010年度データセンターに関するレポートによると、少なくとも中
規模企業の3分の1が、自社の災害復旧プランを診断していないという。この調
査結果は、26か国の1,780人のデータセンターのマネージャからの回答をまと
めたものだ。災害復旧プランがこのように欠けてしまう理由としては、データ
センターの拡張が難しいこと、サーバーや保管場所のニーズが常に増加してい
くこと、などがあげられている。さらに、企業の災害復旧プランの3分の1は、
文書化されていないという。
http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=sdcreport2010
面倒のない災害復旧ソリューションを導入する方法についてはこのリンクをご
覧あれ。このソリューションでは、災害発生中、もしくは発生後も、情報にア
クセス可能な状態にすることができる。私はこのソリューションを、事業継続
のためのワンタッチの災害復旧プランと呼んでいる。
http://www.sans.org/reading_room/whitepapers/recovery/touch-disaster-recovery-solution-continuity-operations_33373
────────────────

◆英国の通信監督機関がISPに著作権侵害対策基準 (2010.5.28)
英国の通信監督機関Ofcomは、74ページにわたる実施基準の原案を発表した。
この実施基準では、英国内の大手ISPに、著作権法を侵害している顧客のリス
トの編集を義務付けている。ISPは、同法に違反した人と、その人が同法を違
反した回数を追跡するようにするとのこと。違法なファイル共有を行った疑い
のあるユーザーに対しては、何らかの行動に踏み出す前に、3回警告が与えら
れる。映画や楽曲のスタジオに対しては、違反者の匿名リストを入手可能な状
態にするという。このようにして、スタジオが侵害者に対して、法的手段に訴
えるかどうかを判断できるようにする意向だ。その後、裁判所命令を介して問
題のユーザーの身元情報を求められる。この基準は、まず加入者が40万人以上
のISPに適用される。Ofcomは、この基準の原案文書に対するコメントを2010年
7月30日まで受け付けている。
http://news.bbc.co.uk/2/hi/technology/10183820.stm
http://www.scmagazineuk.com/isps-with-fewer-than-400000-subscribers-will-not-be-initally-covered-by-the-draft-ofcom-code-of-conduct-on-online-copyright-infringement/article/171229/
http://www.guardian.co.uk/technology/2010/may/28/digital-economy-act-isps-data
http://www.ofcom.org.uk/consumer/2010/05/draft-code-of-practice-to-reduce-online-copyright-infringement/
http://www.ofcom.org.uk/consult/condocs/copyright-infringement/condoc.pdf
────────────────

◆必要なサイバーセキュリティ対策 短期的な経済的利益の二の次に
(2010.5.29)
Melissa HathawayとJack Goldsmithは、現在の政権と議会に対し、米国がます
ます依存するようになっているコンピュータシステムの保護に必要な対策の導
入を怠ったことを非難した。HathawayとGoldsmithは、「セキュリティのコス
トをないがしろにしながら情報技術の進化によって経済的利益を獲得するとい
う長期的な傾向が、重大な局面を迎えている」と述べ、「我々の経済が、壊滅
的なサイバー事件で破壊される」まで、何も具体的なことがなされる見込みが
ないことに懸念の声をあげている。Hathawayは、ハーバード大学ケネディ政治
学大学院ベルファーセンターの上級顧問を務めながら、現政権の2009年度サイ
バースペースポリシー・レビューを監督している。Goldsmithは現在、ハーバー
ド大学法学大学院の教授であり、先のブッシュ政権では、司法次官補を務めた
経験がある。
http://www.washingtonpost.com/wp-dyn/content/article/2010/05/28/AR2010052803698.html
────────────────

----------------------------------------------------------------------
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年5月27日 Vol.9 No.22)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
Third Party Windows Apps            8
Mac Os                     2 (#3)
Linux                     3
HP-UX 1                    1
Solaris 3                   3
Cross Platform 29               29 (#1,#2)
Web Application - Cross Site Scripting    20
Web Application - SQL Injection        16
Web Application                27
Network Device                 2
=====================================================================
1.危険度【高】:Google Chromeにメモリ崩壊とセキュリティ回避の脆弱性

<影響を受ける製品>
Google Chrome 5.0.375.55以前のバージョン

<詳細>
Google Chromeには、メモリ崩壊の脆弱性とセキュリティ回避の脆弱性が報告
されている。2つのメモリ崩壊の脆弱性の詳細は不明であるが、こういったメ
モリ崩壊の脆弱性は、コードの実行に発展することが多いので、真剣に取りざ
たされるべきものである。セキュリティ回避の脆弱性は、Chromeの拡張機能と
同じ許可でJavascriptを実行できるようにしてしまう。Javscriptは通常、ブ
ラウザのサンドボックス内の限定された範囲の許可で運用されるものだ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.google.com
Google Chrome・Stable Channelのアップデート
http://googlechromereleases.blogspot.com/2010/05/stable-channel-update.html
SecurityFocus BID
http://www.securityfocus.com/bid/40367/references
────────────────

2.危険度【高】:複数のベンダーの'rpc.pcnfsd'にInteger Overflowの脆弱性

<影響を受ける製品>
SGI IRIX 6.5 20
SGI IRIX 6.5 .19m
SGI IRIX 6.5 .19f
SGI IRIX 6.5
IBM Virtual I/O Server (VIOS) 2.1
IBM Virtual I/O Server (VIOS) 1.5.2
IBM Virtual I/O Server (VIOS) 2.1
IBM Virtual I/O Server (VIOS) 1.5
IBM AIX 6.1.3
IBM AIX 6.1.2
IBM AIX 6.1.1
IBM AIX 5.3.10
IBM AIX 5.3.9
IBM AIX 5.3.8
IBM AIX 5.3.7
IBM AIX 5.3 L
IBM AIX 6.1
IBM AIX 5.3
HP HP-UX B.11.31
HP HP-UX B.11.23
HP HP-UX B.11.11

<詳細>
HP-UX、SGI IRIX、および、IBM AIXに脆弱性が報告されている。この脆弱性に
よって、認証されていないアタッカーでも、ターゲットのマシンに任意のコー
ドを実行することができるようになってしまう。この問題は、rpc.pcnfsd
daemonにinteger overflowの脆弱性があるために発生する。悪用が実現すると、
ルート権限でコードを実行されてしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.hp.com
http://www.ibm.com
http://www.sgi.com
HP のセキュリティ速報
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02115103
IBM の技術情報速報
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=5088
SecurityFocus BID
http://www.securityfocus.com/bid/40248
Vupenのセキュリティアドバイザリ
http://www.vupen.com/english/advisories/2010/1212
────────────────

3.危険度【高】:Apple Mac OS X Javaにリモートでのコード実行の脆弱性

<影響を受ける製品>
Mac OS X 10.5.8 (とそれ以前のバージョン)
Mac OS X Server 10.5.8 (とそれ以前のバージョン)
Mac OS X 10.6.3 (とそれ以前のバージョン)
Mac OS X Server 10.6.3 (とそれ以前のバージョン)

<詳細>
Mac OS Xは、AppleコンピュータのOSであり、広範に使用されている。Javaア
プレットの処理に、2つの脆弱性が報告されている。1つ目の問題は、悪意のあ
る'mediaLibImage'オブジェクトであり、2つ目の問題は、window drawingが関
係しているという。この脆弱性の悪用に成功すると、影響のあるソフトウェア
の許可で、任意のコードが実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.apple.com
SecurityFocus BID
http://www.securityfocus.com/bid/40238
http://www.securityfocus.com/bid/40240
────────────────

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。