NRI Secure SANS NewsBites 日本版

Vol.5 No.24 2010年6月22日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.24 2010年6月22日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
包括的なサイバーセキュリティを徹底的に調査する際の中心核として、新しい
上院議会の法案(4番目の記事にに掲載)が、かなりの確率で法として成立す
る見込みである。この法案は、類まれな素晴らしい法案だ。それはなぜか、ま
た、サイバーセキュリティの法案が検討されるときに舞台裏で何が行われてい
るのかの内部事情の特ダネを知りたい方は、公聴会での上院議会証言を
www.sans.org/resources/SenateTestimonyJune_15_2010でご覧あれ。この新法
案の中で最も素晴らしい要素は、毎年5億ドルを無駄にしていたようなマニュ
アルに則った報告業務を強いる内容からは、かなりかけ離れたものということ。
その代わりに、素早く脆弱性を軽減できる継続的な監視(毎日自動的にフィー
ドが提供される)を行う。同じトピックで、米国行政予算管理局(OMB)は、全
政府局用に予算ガイダンスを発表。局が予算を獲得するためには、OMBへの提
出物にて、局のITシステムのセキュリティを継続的に監視するのに必要なツー
ルを獲得する資金についても触れなくてはならない。2010年4月21日付OMBのメ
モ(M-10-15)、「連邦情報セキュリティマネジメント法および政府局のプライ
バシー管理のための2010年度の報告業務指導要綱」にも、その点が説明されて
いる。予算ガイダンス文書の全容は、こちら:
http://www.whitehouse.gov/omb/assets/memoranda_2010/m10-19.pdf

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【7月開催まであとわずか! 今すぐお申込みを!!】
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年 7月12日(月)~17日(土)■
SEC401 Security Essentials Bootcamp Style

■2010年11月15日(月)~20日(土)■
SEC401 Security Essentials Bootcamp Style
SEC504 Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.46-47
(原版:2010年6月11日、6月15日配信)

◆Adobe FlashにあるZero-Dayの欠陥を修正 (2010.6.8)
Adobeは6月10日、Flashにあるzero-dayの脆弱性に修正プログラムを発行した。
しかし、Adobe ReaderとAcrobatにある同じ欠陥に対するパッチは、今月末ま
でリリースされない。Flashの脆弱性の方がユーザーの操作なしに悪用される
可能性が高かったので、まず、この脆弱性が先に修正された。問題の欠陥はす
でに、細工されたPDF文書を介して活発に悪用されている。Adobeは、7月13日
に予定されている四半期毎の更新を、2週間早めて発行し、6月29日にReaderと
Acrobatのセキュリティ更新をリリースするという。
http://www.computerworld.com/s/article/9177811/Adobe_delays_Reader_patch_as_attacks_spread_exploit_code_goes_public?source=CTWNLE_nlt_pm_2010-06-08
http://www.theregister.co.uk/2010/06/08/adobe_flash_fix/
http://www.adobe.com/support/security/advisories/apsa10-01.html
────────────────

◆アイルランドのデータ保護長官 データセキュリティ侵害についての倫理基
準を発表 (2010.6.10)
アイルランドのデータ保護長官は、セキュリティ侵害に関する倫理基準の原案
を発表した。この基準が実際に適用されると、100人以上の情報が関係するデー
タ侵害が発生した場合、それをデータ保護長官に報告することが義務付けられ
る。しかし、侵害されたデータが、強力なセキュリティ対策で保護されていた
ことを実証できた場合や、侵害で影響を受ける情報が機密情報でない場合、も
しくは、個人情報の量が少なかった場合、組織は必ずしも報告しなくてよいと
いう。データ保護長官局はこの基準の原案に対し、2010年6月18日まで一般の
コメントを受け付けている。
http://www.scmagazineuk.com/irish-data-protection-commissioner-introduces-draft-code-of-practice-on-breach-notification/article/172079/
http://www.dataprotection.ie/viewdoc.asp?DocID=1077&m=f

【編集者メモ1】(Pescatre)
この基準には抜け穴がたくさんある。とはいえ、欧州が情報開示の必須条件を
増やすのはよいことだ。
【編集者メモ2】(Honan)
私は、アイルランドにはデータ侵害対策法が必要だと提唱していた1人として、
このような基準が提案されるのはうれしい。そして、ぜひアイルランドの方々
にこの提案を読んでいただき、コメントを提出してほしいものだ。この基準が、
欧州各国が後に続くような例になってくれることを望むばかりだ。
────────────────

◆企業ら 米国証券取引委員会への報告書にサイバーリスクを記載
(2010.6.8)
ハッカーがGoogle社の社内用コンピュータシステムへのアクセスを獲得した事
実を同社が認めたことを受けて、企業らは米国証券取引委員会への報告書に、
前述と同様のアタックによって、知的所有権の安全性や完全性が損なわれる可
能性を示す文言を記載し始めている。証券取引委員会は、事業の損益にマイナ
スの影響を及ぼし得るリスクについての情報を、文言として開示することを企
業に義務付けている。Googleは、「ハッカーが使用するテクニックは頻繁に変
わるので、ターゲットに攻撃が仕掛けられてしまう前に認識できないこともあ
る。そのため、そのテクニックを予測し、それに対する十分な防止対策を導入
することができないおそれもある」とコメントしている。
http://www.businessweek.com/idg/2010-06-08/after-google-hack-warnings-pop-up-in-sec-filings.html

【編集者メモ1】(Schultz)
正直に言って、Googleが対処しなくてはならない問題は、変わりゆくアタック
手法に対抗することではなく、むしろ、セキュリティの基本的な問題だ。
【編集者メモ2】(Paller)
私はSchultzとは違う意見だ。Googleの言葉は正しいと思う。実際、基本的な
セキュリティだけでは十分でないのだ。Googleも、今年はじめに発生したアタッ
クで、評判の高いセキュリティツールでもアタックを阻止することはできない
ことを理解しただろう。アタックの影響からGoogleは、非常に高度な技術的ス
キルを持つ技術者(空軍ではこういった技術者をハンターと呼んでいる)の集
団を採用するという素早い対応に出た。ハンターは、セキュリティの世界で最
も有益な人間だ。読者もおわかりのとおり、彼らはGoogleを侵害したような
(政府や民間企業のコンピュータを現在も侵害し続けている)高度な、かつ、
一貫して続く脅威を防御する上で、重要な核的役割を担う。
────────────────

◆2010新法案 国有財産2010年法としてサイバースペースを保護
(2010.6.10-11)
先日、米国議会Joseph Lieberman上院議員(コネチカット州無所属)、Susan
Collins上院議員(メイン州共和党)およびThomas Carper上院議員(デラウェア
州民主党)は、国有財産2010年法(S.3480)としてサイバースペースを保護する
法案を提案した。この新法案は、「連邦政府における民間機関のセキュリティ
を改革・強化・統合し、民間セクターの重要インフラ用サイバーネットワーク
を選択するための総括的な法案」と称されている。同法案が可決されれば、ホ
ワイトハウス内や国土安全保障省(DHS)の国立サイバーセキュリティ・通信セ
ンター内にサイバーポリシー局が設置されることになる。また、これによって
連邦情報セキュリティマネジメント法(FISMA)が改正され、連邦政府局は法遵
守の報告書を作成する業務から遠ざかり、リアルタイムで監視を行って、素早
い脆弱性やリスク軽減を図る方向になる。米国のこの新法案によって、アタッ
クが差し迫った状況に置かれた場合や活発にアタックが仕掛けられている場合
には特定の行動に乗り出すという緊急事態の権限が、大統領に与えられること
になる。大統領には民間のネットワークをコントロールする権限は与えられて
いないものの、ネットワークにパッチを適用させたり、特定の国から入ってく
るデータをブロックさせたりする命令を下す権限は与えられる。この命令に遵
守している組織であれば、同法案で義務化された行動で生じた法的責任を免れ
ることができる。しかし、この法案の提案を受けて、業界団体のメンバーから
「意図的ではないものの、同法案の規制的アプローチによって何らかの問題が
生じた場合はどうなるのか」という懸念の声も。規制的権限が国土安全保障省
に与えられているのも、こういった懸念事項の1つである。
http://www.cnn.com/2010/POLITICS/06/10/cyber.security/index.html
http://fcw.com/Blogs/Cybersecurity/2010/06/TechAmerica-Lieberman-Collins-Carper.aspx
http://hsgac.senate.gov/public/index.cfm?FuseAction=Press.MajorityNews&ContentRecord_id=227d9e1e-5056-8059-765f-2239d301fb7f
米国戦略・国際問題研究所の上級研究員のJames Lewis氏も、同法案の長所と
短所を分析している:
http://www.govinfosecurity.com/podcasts.php?podcastID=571
────────────────

◆英国情報長官局 侵害報告を義務化しない意向 (2010.6.10)
アイルランドの情報保護長官が、アイルランド国内では、データ侵害発生時に
その報告を義務付けたにもかかわらず、英国情報長官局(ICO)は、侵害発生の
報告を義務化しない意向。その代わりに、英国のICOは組織に対し、ベストプ
ラクティスの一環として侵害を報告するように求めているものの、報告を必須
化する計画はない。しかしながら、4月のカンファレンスで、英国情報副長官
David Smithは、2011年のどこかで有効となる欧州プライバシーおよび電子通
信指令を検討後、テレコム産業の企業だけは顧客の個人情報に関わる侵害の報
告を義務付ける可能性を示唆した。
http://www.v3.co.uk/v3/news/2264584/ico-tight-lipped-demand-changes
────────────────

◆FBI iPadによるデータ漏えいを捜査 (2010.6.10-14)
FBIは、iPadの所有者情報の漏えいについて捜査を行っている。情報漏えいに
関しては、AT&T社からiPadのユーザーにレターが送付されたが、そのレターに
よると、アタックで外部にさらされた情報はユーザーのメールアドレスのみで、
その他の情報は一切漏えいされた可能性はないとのこと。データ侵害の関係者
グループや他のセキュリティ専門家らは、欠陥から生じる「損害の可能性」を
考えると、この主張は必ずしも正しいとは言えないと述べている。そのため
FBIは、iPadのハッキングについてのストーリーが真っ先に公表されたWebサイ
ト「Gawker」に、さらなる情報を求めている。米国の連邦通信委員会(FCC)は、
iPadの侵害や保護されていないワイヤレスネットワークでGoogleが個人情報を
収集していた件など、個人情報の漏えいに関する最近のインシデントに懸念を
示している。
http://www.msnbc.msn.com/id/37621355/ns/technology_and_science-security/
http://www.networkworld.com/news/2010/061410-att-ipad-security.html
http://www.computerworld.com/s/article/9178027/AT_T_dishonest_about_iPad_attack_threat_say_hackers?taxonomyId=17
http://www.theregister.co.uk/2010/06/11/fcc_cyber_security/
http://www.executivegov.com/2010/06/fcc-warns-of-cyber-snoops/
http://money.cnn.com/2010/06/14/technology/att_ipad_hack/index.htm
http://www.informationweek.com/news/hardware/handheld/showArticle.jhtml?articleID=225600458
http://www.informationweek.com/news/storage/data_protection/showArticle.jhtml?articleID=225700056
────────────────

◆差押えから6か月経過したノートパソコンから収集した証拠を却下
(2010.6.10-14)
米国連邦判事は、2009年1月末に米国国境検問所で差し押さえたノートパソコ
ンから2009年6月に収集した証拠を採用しない可能性を示唆する判決を出した。
Andrew Hansonは米国国民で、2009年1月27日、サンフランシスコ経由で韓国か
ら米国に帰国したところ、ランダムに行われている手荷物検査の対象となった。
そこで彼のノートパソコンに児童ポルノのデータがあったため、そのパソコン
を差し押さえた。数週間後、ノートパソコンのハードディスクをスキャンした
ところ、さらに多くの証拠となるデータが見つかった。しかしながら、ノート
パソコンの中身に関しては、2009年6月まで再度閲覧されることはなかった。
判事は、捜査が妥当な期間内で行われていることから、2009年2月はじめにノー
トパソコンに発見された証拠データの採用は許可した。しかし、差し押さえか
ら6か月経過し、令状なしに行われた6月の捜査で獲得された証拠に関しては、
証拠としては認めない決断を下した。事件発生後、かなりの時間が経過した後
に捜査を行う際には、令状が必要となっている。
http://www.theregister.co.uk/2010/06/10/dhs_laptop_search/
http://www.pcmag.com/article2/0,2817,2365030,00.asp
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年6月10日 Vol.9 No.24)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
TWindows                    4 (#4,#5)
Microsoft Office                4
Other Microsoft Products            4 (#2)
Third Party Windows Apps            9
Linux                      3
Novell                     1
Cross Platform                 25 (#1, #3, #6)
Web Application - Cross Site Scripting     20
Web Application - SQL Injection         8
Web Application                22
Network Device                 1
======================================================================
1.危険度【高】:Adobeのさまざまな製品にリモートのコード実行の脆弱性

<影響のある製品>
Adobe Flash Player 10.0.45.2、9.0.262、およびそれ以前のバージョン
Windows、Macintosh、Linux、Solaris用Adobe Flash Player 10.0.xと9.0.x のバージョン
Adobe ReaderとAcrobat 9.3.2までのバージョン
Windows、Macintosh、UNIX用Adobe ReaderとAcrobat 9.xのバージョン

<詳細>
複数のAdobe製品にあるzero-dayの脆弱性が、広く活発に悪用されている。こ
のエクスプロイトコードは、公表されている。Flashのバーチャルマシンには、
不整形式のコードの処理に脆弱性がある。Adobe AcrobatとAdobe Readerの両
方に脆弱性がある。ユーザーに悪意のあるPDFやSWFファイルを開くように誘導
すれば、アタッカーは、この脆弱性を悪用して、現在ログインしているユーザー
の許可で任意のコードを実行できるようになってしまう。Adobeは現在、この
問題に対するパッチを作成中だが、更新はまだリリースしていない。下の<参
考>にあるUS-CERTのリンクには、脆弱なAdobe製品を無効にする方法が示され
ている。Flash 10.1としてのリリース版候補はこの問題に脆弱でないと、
Adobeから確認がとれている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.adobe.com
Flash Player、Adobe ReaderおよびAcrobatに関してのAdobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/advisories/apsa10-01.html
US-CERTの脆弱性ノートVU486225
http://www.kb.cert.org/vuls/id/486225
SecurityFocus BID
http://www.securityfocus.com/bid/40586
────────────────

2.危険度【高】:Microsoft Internet Explorerにさまざまな脆弱性

<影響のある製品>
Microsoft Internet Explorerの複数のバージョン

<詳細>
Microsoft Internet Explorerは、コードの実行につながってしまうようなさ
まざまな脆弱性の影響を受ける。これらの脆弱性には、初期化されていないメ
モリ崩壊の脆弱性と関連性のあるものも。悪意のあるWebサイトによってター
ゲットを開くように誘導し、実際にターゲットが開かれたときにのみ、これら
の脆弱性が全て引き起こされる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.microsoft.com
Microsoftのセキュリティ警告MS10-035
http://www.microsoft.com/technet/security/Bulletin/MS10-035.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/40410
http://www.securityfocus.com/bid/40414
http://www.securityfocus.com/bid/40416
http://www.securityfocus.com/bid/40417
────────────────

3.危険度【高】:Apple Safariにさまざまな脆弱性

<影響のある製品>
Apple Safari 4.x

<詳細>
Appleは、Apple Safariにあるさまざまな脆弱性に最近パッチをリリースした。
これらの脆弱性のうちいくつかを悪用されると、アタッカーは、コードを実行
できるようになってしまう。これらの脆弱性は、SafariのWeb関連のコンテン
ツの処理にあるので、これらの脆弱性の影響を及ぼすためには、ユーザーを悪
意のあるWebページを開くように誘い込まなくてはならない。これらの脆弱性
の多くについての情報は、Zero-Dayイニシアチブの責任情報公開によって
Appleに報告されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.apple.com
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT4196
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-091/
http://www.zerodayinitiative.com/advisories/ZDI-10-092/
http://www.zerodayinitiative.com/advisories/ZDI-10-093/
http://www.zerodayinitiative.com/advisories/ZDI-10-094/
http://www.zerodayinitiative.com/advisories/ZDI-10-095/
http://www.zerodayinitiative.com/advisories/ZDI-10-096/
http://www.zerodayinitiative.com/advisories/ZDI-10-097/
http://www.zerodayinitiative.com/advisories/ZDI-10-098/
http://www.zerodayinitiative.com/advisories/ZDI-10-099/
http://www.zerodayinitiative.com/advisories/ZDI-10-100/
http://www.zerodayinitiative.com/advisories/ZDI-10-101/
────────────────

4.危険度【高】:Microsoft IISの認証にリモートのコード実行の脆弱性

<影響のある製品>
IIS 6.0, 7.0および7.5.

<詳細>
MicrosoftのHTTPサービス、Internet Information Services (IIS)には、リモー
トでのコード実行の脆弱性がある。悪意のある認証トークンを送信すれば、ア
タッカーは、この脆弱性を悪用して、脆弱性の影響を受けるプロセスの許可で
コードを実行できるようになってしまう。IISは、IISの認証用拡張保護機能が
インストールされて有効になっている場合のみ、影響を受ける。この機能は、
デフォルトではインストールされていない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<影響のある製品>
ベンダーのホームページ
http://www.microsoft.com
Microsoftのセキュリティ警告 MS10-040
http://www.microsoft.com/technet/security/Bulletin/MS10-040.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/40573
────────────────

5.危険度【高】:Microsoft Data AnalyzerのActiveXコントロールにリモート
のコード実行の脆弱性

<影響のある製品>
Microsoft Data Analyzer

<詳細>
Microsoft Data Analyzerは、Microsoft Excelでのデータ分析に使用されてい
る。しかし、これには、ターゲットを悪意のあるページを訪問するように仕向
け、ターゲットが実際に訪問すると引き起こされるコード実行の脆弱性がある。
この脆弱性は、製品のActiveXコントロールにある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.microsoft.com
Microsoftのセキュリティ警告(MS10-008)
http://www.microsoft.com/technet/security/Bulletin/MS10-008.mspx
SecurityFocus BID
────────────────

6.危険度【高】:HP OpenViewのNetwork Node Manageにバッファオーバーフロー
の脆弱性

<影響のある製品>
HP OpenView Network Node Manager 7.53
HP OpenView Network Node Manager 7.51

<詳細>
HP OpenViewは、監視・管理ネットワーク用製品であるが、これには、2つのバッ
ファオーバーフローの脆弱性がある。これらの脆弱性は双方とも、アタッカー
が、ovgraph.exe CGIアプリに悪意のあるHTTPリクエストを送信すると引き起
こされる。悪用が成功すると、リモートのコード実行につながってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.hp.com
HPのセキュリティ報告
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02217439
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-105/
http://www.zerodayinitiative.com/advisories/ZDI-10-106/
SecurityFocus BID
http://www.securityfocus.com/bid/40637
http://www.securityfocus.com/bid/40638

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。