NRI Secure SANS NewsBites 日本版

Vol.5 No.23 2010年6月15日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.23 2010年6月15日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
ここで少し笑っておこう:サイバーセキュリティの多層防御についてのディル
バート(アメリカの有名なコマ漫画。皆に好かれるが、トコトン間抜けな会社
人を描いている。)はこちら。
http://www.dilbert.com/dyn/str_strip/000000000/00000000/0000000/000000/30000/4000/000/34008/34008.strip.zoom.gif

とある大手金融機関のCIOから興味深い質問をいただいた。彼は、「アラン、
社内システムにアクセスできるように役員や技術系社員にiPhoneを渡していて、
かつ、夜ぐっすり眠れるように技術的な安全対策も実施している企業を知らな
いか?」と聞いてきた。NewsBitesの読者で、この質問に答えられる方がいらっ
しゃったら、ぜひその情報を共有していただきたい(apaller@sans.orgへご一
報を)。その際、情報源として匿名性を保ちたいかどうかの希望も添えていた
だきたい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【7月開催まであと1か月!!】
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年 7月12日(月)~17日(土)■
SEC401 Security Essentials Bootcamp Style

   ■2010年11月15日(月)~20日(土)■
SEC401 Security Essentials Bootcamp Style
SEC504 Hacker Techniques, Exploits and Incident Handling

        ↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.44-45
(原版:2010年6月4日、6月8日配信)

◆米国サイバー指令部 リモートのネットワークの妨害工作を警告:継続的な
監視の必要性を定義 (2010.6.3)
国防総省サイバー指令部のKeith Alexander大将は、先月以来、初の公共での
発言にて、「米国軍のネットワークは、リモートで行われる妨害工作のターゲッ
トになっている兆しがあり、妨害工作や破壊行為が行われる可能性があるため、
それに真剣に対応する必要がある」と述べた。6月1日、Alexander大将は、サ
イバースペースの交戦規則の設置とリアルタイムでの監視、脅威データの共有
の必要性を、ワシントンDCの戦略国際問題研究所(CSIS)で説いた。Alexander
大将は、米国国家安全保障局(NSA)の局長でもある。
http://www.washingtonpost.com/wp-dyn/content/article/2010/06/03/AR2010060302355_pf.html
http://www.businessweek.com/news/2010-06-03/cyber-command-director-alexander-warns-of-network-sabotage-.html
http://www.executivegov.com/2010/06/general-keith-alexander-speaks-on-cybersecurity-landscape/
http://www.google.com/hostednews/afp/article/ALeqM5gu7-0iyRZOhNeGQq0hD-_mqwwpQg

【編集者メモ1】(Pescatore)
国防総省は、同省のネットワークで発生した最近のインシデントの原因となっ
た継続的に存在する「脆弱性」の排除、およびその効力の軽減に注力する必要
がある。それらの問題を解決すれば、アタックはブロックされ、存在する全て
の脅威の威力も大幅に減るだろう。国防総省の脆弱性の排除に注力せずして、
脅威やアタックの監視を集中的に行ったとしても、アタックが成功する状態が
続くだけだ。
【編集者メモ2】(Paller)
CSISでAlexander大将は、サイバーセキュリティにおける注意義務の新基準を
定義した。この基準は今後新たなレベルの脅威の発生に対応するために必要な
基準となる。同氏は、「我々のネットワークにおいてリアルタイムで状況に応
じた認識を行い、何かよからぬことは起きていないかを調査し、瞬時に行動を
起こす」ことを新しい目標に据えている。「通信速度と同じスピードでアドバ
イスや脅威データの警告情報を共有しなくてはならない」とも述べている。つ
まり、いつの時点でもネットワーク上の各マシンの状況を把握し、セキュリティ
について情報が必要な場合はすぐ各マシンにアクセスし、瞬時に問題を排除す
る行動に踏み切る状態にしなくてはならない、ということだ。海軍第10艦隊
(サイバー艦隊)のMcCullough司令官は、海軍作戦本部長に対し、今夏末まで
に動的なセキュリティを設置することを約束した。その期限が年末に延びてし
まう可能性はあるものの、McCullough司令官のリーダーシップは賞賛に値する。
軍と同様に深刻な問題を抱えている民間機関も、スピードこそはそれぞれ違う
ものの(キビキビとしたスピードから無気力なスピードまでさまざまだが)、
動的なセキュリティに取り組み始めている。今夏の終わり頃には、各局の得点
表が公開され、どこの連邦政府のCIOが動的なセキュリティに向けて一番前進
したのかがわかるようになるだろう。現段階での早期データによると、2つの
民間機関と、2つの軍サービスが先んじているようだ。この得点システムのコ
ピーを御所望の方は、apaller@sans.orgまでメールでご一報を。
────────────────

◆カナダ GoogleのWi-Fiデータ収集の捜査に乗り出す (2010.6.1-2)
Googleが安全でないワイヤレスネットワークからうっかりデータを収集してい
た件で、カナダもドイツ、イタリア、フランスに続き捜査に乗り出すこととなっ
た。Googleは、4月にストリートビューサービス用の画像を収集している最中
に、偶然にも他のデータを収集していた。しかし、ドイツ当局が行った監査に
よれば、Googleはペイロードデータも収集していたという。Googleは、この事
実を5月に認めている。米国連邦取引委員会(FTC)も非公式ではあるが捜査を開
始。複数の国がGoogleに対し刑事起訴の可能性で捜査を行っているが、その間
は問題のデータを一切破壊することを禁じている。Googleは、収集したデータ
は全て保管のためにサードパーティ企業のISEC Partnersに引き渡したという。
また、Googleは複数の起訴を受けている状況だ。
http://www.computerworld.com/s/article/9177583/Google_faces_privacy_investigation_in_Canada?taxonomyId=84
http://www.msnbc.msn.com/id/37455927/ns/technology_and_science-security/
http://lastwatchdog.com/googles-wifi-data-harvest-draws-widening-probes/
【編集者メモ】(Pescatore)
「機能やマーケットへの対応の速さがセキュリティよりも重要である」と、
1990年代初期のソフトウェア企業のDNAには埋め込まれている。同様に「ユー
ザーの情報を収集・漏えいせよ」という考えが、他人のデータを機軸に広告を
販売する現在の企業世代のDNAにも埋め込まれているようだ。
────────────────

◆英国国民健康保険(NHS) 情報長官局によせられた侵害報告で首位に (2010.6.1)
情報長官局(ICO)の統計によると、英国国民健康保険(National Health
Service)から、2007年11月以降に寄せられたデータセキュリティ侵害の件数は
305件にのぼったという。同期間において、民間セクターからの報告は228件、
地方政府で132件、中央政府で81件であった。NHSで発生した侵害で最もよくあ
る原因としては、「ハードウェアが盗まれる」が116件、その次に「ハードウェ
アの紛失」が87件だった。また、「情報が正しくない形で外部に漏れた」が43
件、「移動中にデータを紛失」が17件、「技術廃棄を正しく行わなかった」が
13件だった。全てをあわせると、ICOに1,000件以上のデータ侵害が報告された
ことになる。4月にICOは、深刻なデータ侵害が発生した場合、最高で50万ポン
ド(73万ドル)の罰金を科す権限が与えられている。
http://www.kable.co.uk/nhs-data-losses-information-commissioners-office-01jun10
http://www.zdnet.co.uk/news/compliance/2010/06/01/nhs-top-culprit-as-uk-data-breaches-exceed-1000-40089098/
http://www.ico.gov.uk/upload/documents/pressreleases/2010/1000_data_breaches280510.pdf
http://www.ico.gov.uk/upload/documents/library/corporate/research_and_reports/breach_notification_spreadsheet_may2010.pdf

【編集者メモ】(Honan)
50万ドルの罰金を科すとなると、ICOは実際に罰金を科す前に考慮しなければ
ならない事項がいくつか出てくる。まず、その組織におけるデータコントロー
ルに関してデータ保護のルールがあると思うが、それを大きく違反するような
行為があったかどうか。その違反によって、相当な損害や苦痛が与えられた者
がいるか、その違反が意図的なものかどうか。組織がこのような違反を認識す
るか、もしくは違反が発生し、他人に相当な損害や苦痛を与えることを予測で
きたにもかかわらず、その違反を阻止するためにふさわしい措置をとらなかっ
たかどうか、である。
────────────────

◆オーストラリアのISPにサイバーセキュリティの行動規範基準 (2010.6.7)
オーストラリア政府と同国のインターネット産業協会(IIA:Internet Industry
Association)は、インターネットサービスプロバイダとその顧客のための自主
的な実施基準の原案を作成した。そのほか、感染したコンピュータを使用して
いるユーザーのインターネット接続の速度を調整するように推奨しているアド
バイスも記載されている。文書には、推奨事項として顧客教育、悪意のある活
動や感染したマシンに対して何らかの措置をすること、オーストラリア連邦警
察やオーストラリアのCERT(コンピュータ緊急事態対策チーム)に報告するこ
とがあげられている。オーストラリアの通信技術相であるStephen Conroyは、
ISPがこの基準を自主的に遵守しない場合は、これを義務化することも視野に
いれている。
http://www.computerworld.com.au/article/349071/zombie_pcs_quarantined_under_new_isp_code/
http://www.securecomputing.net.au/News/214257,zombie-pcs-to-be-throttled-isolated-under-new-isp-code.aspx
行動規範基準の文書: http://iia.net.au/images/resources/pdf/icode-v1.pdf

【編集者メモ】(Pescatore)
これには良い点がたくさんある。また、インターネット産業協会は、すでに
ISPらが従わなくてはならない同様のスパム対策の実施基準も発行している。
しかし、この基準には大きな弱点がある。それは、ISPは4つの行動のうち1つ
だけをすればよいという点だ。そして、4つのうちの1つは単に、「エンドユー
ザーに対するさらなるユーザー教育」というもの。つまりISPらは、これさえ
しておけば、他の3つ(検知、ブロッキング、報告)はしなくてよいことにな
る。どちらかというと教育は必須化し、その他に残りの3つのうち少なくとも1
つを行うようにした方がよいと私は思う。米国のISPはこのアプローチで対応
し、インターネットの中立性問題を先取りしていくべきだ。
────────────────

◆NATOの報告書 サイバーアタックに対する軍事報復を正当化する可能性
(2010.6.6)
NATO(北大西洋条約機構)の専門家グループは、加盟国にサイバーアタックが仕
掛けられた場合、それに対する報復を正当化する可能性を示した。「NATOの指
揮管理系統、また、エネルギー網に対して大規模なアタックが行われた場合、
第5条の共同防衛措置を行う可能性もある」とのこと。さらに、「NATO加盟国1
国に対する軍事攻撃は、NATO全体に対する攻撃」と見なすと主張。その次のス
テップとしては、報復を正当化するに値するアタックの深刻度レベルはいかほ
どか、報復にどのような軍事力を使うか、ほか、その場合に何をターゲットに
するかを決めることである。NATOの弁護士団によると、サイバーアタックは場
合によっては、身体的な暴行と似た影響を及ぼすので、既存の条約を書き直す
必要性はないと考えているという。米国のサイバー司令部の長、Keith
Alexander大将は、「防衛行動に乗り出してもよい攻撃内容が明記されたわか
りやすい交戦規則が必要」と、先週コメントを発表したが、前述の「次のステッ
プ」は、このコメントに同調した形となった。
http://www.timesonline.co.uk/tol/news/world/article7144856.ece
────────────────

◆控訴裁判所 データ漏えいのケースで損害賠償を却下した判決を維持
(2010.6.4)
米国第9巡回控訴裁判所は、社会保険番号などの個人情報がサードパーティに
よって外部に漏えいされてしまった男性に対し、この侵害で同人は実質的に損
害を受けていないことから、損害賠償を求める法的権利はないとの判決を下し
た。この男性、Joel Ruizは、個人情報を仕事の応募書類に添えて提出したと
いう。しかしこの応募書類を処理した企業、Vangentにおいて、そのデータを
保存していたノートパソコンが盗まれてしまった。控訴裁判所は、「Ruizは、
カリフォルニア法下で過失の素因を正当化するのに十分な、"それ相当の、推
測ではない現在ある損害"を証明できなかった」という下級裁判所の判決を維
持した。
http://www.theregister.co.uk/2010/06/04/privacy_suit_absolution/
http://www.leagle.com/unsecure/page.htm?shortname=infco20100528188
────────────────

◆ICO談「暗号化されていないUSBドライブの紛失はデータ保護法違反になる」
(2010.6.4)
英国情報長官局(ICO)は、ウェールズの医療法人を、データ保護法に違反して
いると見なした。問題の医療法人、Lampeter Medical Practiceの職員は、USB
ドライブに暗号化していない患者情報をダウンロードしたという。そして、そ
のデバイスは2010年3月に、郵便でHealth Boards Business Service Centreに
送付されたが、その小包は届かなかった。取り外し可能な保管デバイスに暗号
化されていないデータをダウンロードする行為は、この医療法人のデータセキュ
リティのポリシーに違反している。同医療法人の代表は、同様のインシデント
が今後再発しないように安全対策を導入することに同意。ノートパソコンなど、
全てのモバイルデバイスを暗号化し、職員に対してもデータセキュリティポリ
シーについての再教育を行う。この侵害で影響を受けた患者数は8,000人にの
ぼる。
http://www.scmagazineuk.com/welsh-medical-practice-hit-by-ico-after-losing-unencrypted-memory-stick/article/171692/
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年6月3日 Vol.9 No.23)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            9
Linux                      2
BSD                       1
Aix                       1
Unix                      1
Novell                     2 (#1)
Cross Platform                 21
Web Application - Cross Site Scripting     14
Web Application - SQL Injection        11
Web Application                15
Network Device                 3
======================================================================
1.危険度【高】:Novell ZENworksのConfiguration Management Preboot
Serviceにリモートのコード実行の脆弱性

<影響のある製品>
Novell ZENworks 10.3以前のバージョン

<詳細>
Novell ZENworksは、ソフトウェアの更新、インストール、マイグレーション
をオートメーション化する設定管理製品だが、リモートのバッファオーバーフ
ローの脆弱性の影響を受ける。悪意のあるリクエストを送信すれば、アタッカー
は、この脆弱性を悪用して、システムレベルの許可で任意のコードを実行でき
るようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.novell.com
ベンダーによるパッチ
http://www.novell.com/support/viewContent.do?externalId=7005572&sliceId=1
Zero Dayイニシアチブのアドバイザリ(DI-10-090)
http://zerodayinitiative.com/advisories/ZDI-10-090
SecurityFocus BID
http://www.securityfocus.com/archive/1/511600
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。