NRI Secure SANS NewsBites 日本版

Vol.5 No.25 2010年6月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.25 2010年6月30日発行
**********************************************************************
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【7月開催まであとわずか! 早期割引 7月5日まで!!】
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年 7月12日(月)~17日(土)■
SEC401 Security Essentials Bootcamp Style

■2010年11月15日(月)~20日(土)■
SEC401 Security Essentials Bootcamp Style
SEC504 Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.48-49
(原版:2010年6月18日、6月22日配信)

◆米国最高裁 警察に職員のメールを読む内部権限を許可する判決
(2010.6.17)
オンタリオ市のカリフォルニア州警察は、同警察が巡査部長に業務用として持
たせているポケベルのメッセージを閲覧したということで、巡査部長のプライ
バシーの権利を違反したかどうかを問われていたが、米国の最高裁判所は、そ
れには違反していないという判決を下した。高等裁判所は、巡査部長にも適度
なプライバシーは与えられるべきで、警察が行った業務用デバイスのメッセー
ジの監査は不適当だと判断していたた。争点となっていたのは、巡査部長が業
務用のポケベルで送受信していた個人的なメッセージを読んだ警察署長や警察、
市を訴えることができるかどうかである。警察署の暗黙の方針では、既定量以
上のメッセージの送受信については、自腹で超過分の支払いを行いさえすれば
メッセージは読まれることはないとのことだった。巡査部長は、その超過分の
支払いをたびたび行っていたという。職員のメッセージの監査は、ひと月2万
5,000文字という上限が、職員の職務遂行に十分な文字数かどうかを見極める
ために行われたようだ。
http://www.csmonitor.com/USA/Justice/2010/0617/Supreme-Court-backs-police-department-that-read-employee-s-texts
http://www.wired.com/threatlevel/2010/06/texting-privacy/
http://www.msnbc.msn.com/id/37760958/ns/business-careers/
http://www.computerworld.com/s/article/9178199/Supreme_Court_ruling_lets_employers_view_worker_text_messages_with_reason

【編集者メモ】(Schultz)
これは画期的な判決だ。オンタリオ市警察は、使用規定(容認できる使用規定)
を実際に書面に記していなかったことで、法的に隙だらけの状態にあったと言
えよう。米国の最高裁が今回、被告に有利な判決を下したことから、一定の条
件下では、暗黙の了解のようなポリシーでも十分に適用できるという前例が成
立したことになる。
────────────────

◆下院議会・国土安全保障委員会の公聴会 US-CERTの欠点に焦点をあてる
(2010.6.16)
米国のサイバーセキュリティにおける国土安全保障省(DHS)の役割を問う公聴
会が、下院議会の委員会で開かれた。国土安全保障委員会委員のPeter King下
院議員(ニューヨーク州共和党)は、米国の金融システムに対するサイバーアタッ
クが発生した場合、誰がその対応をとりまとめるのかを問うたが、それに対し
て納得がいくような答えは得られなかった。国土安全保障省(DHS)の米国コン
ピュータ緊急事態対策チーム(US-CERT)の有効性についても、公聴会で問われ
た。これに対しDHSのRichard Skinner監査官は、US-CERTには米国のコンピュー
タネットワークをアタックから守るリソースが足りないと述べたほか、その他
の政府局に対し、局システムのセキュリティ上の欠陥に対処するように強く求
めた。同委員会の議長であるBennie Thompson下院議員(ミシシッピ州民主党)
は、US-CERTには十分にスタッフがいないだけでなく、この5年間で責任者が4
回も変わっていることを指摘した。
http://www.cnn.com/2010/US/06/16/cyber.threats.report/?hpt=C1
http://www.computerworld.com/s/article/9178133/Lawmakers_question_U.S._cybersecurity_readiness?taxonomyId=17
http://www.nextgov.com/nextgov/ng_20100616_1933.php?oref=topstory
http://www.govinfosecurity.com/articles.php?art_id=2656
http://www.scmagazineus.com/report-finds-us-cert-mishandling-cybersecurity-role/article/172637/
http://fcw.com/articles/2010/06/16/web-dhs-cyber-hearing-ig.aspx?admgarea=TC_SECCYBERSEC
http://www.nextgov.com/nextgov/ng_20100616_4311.php?oref=topnews
http://www.wired.com/dangerroom/2010/06/dhs-geek-squad-understaffed-with-no-juice-and-no-plan/
【編集者メモ1】(Ranum)
DHSの問題は、資金不足ではない。資金以外で重要なこと(技術的ノウハウ、
マネジメント、および知識の集積)がすべて欠けていることが問題なのだ。
【編集者メモ2】(Schultz)
悲しいかな、US-CERTスタッフのメンバーの中には、目を見張るような努力を
している者もいる。それにもかかわらず、US-CERTは期待に応えられていない
ようだ。まあ、米国政府の政府局や省庁に広くあてはまることだが……。
【編集者メモ3】(Paller)
Phil Reitingerが、サイバー分野のリーダーシップをとったことで大きな希望
を抱いていた人たちの中で、DHSがなぜ、こうも繰り返し「一生懸命負けよう
としている」のかという疑問がこの数か月間でたびたびあがってきた。多くの
人がPhilを非難しているが、実際の理由はDHSの弁護士が混乱しているからだ
ろう。DHSの役人は皆、弁護士の同意がないと何もできない。新しいアイデア
が出てくると、まず弁護士がその実行を遅らせ、ささいなことでも大惨事になっ
てしまうかのように吹聴(例えば、プロジェクトが進むときっとよくないこと
が起きると示唆する)してしまうのだ。その後さらに、そこで働く人のエネル
ギーや熱意を疲弊させるまで、彼らはプロジェクトの進行を遅らせる。DHSの
相談役であるIvan Fongは、前政権期にこの問題を把握し、弁護士を抑制しよ
うとしたが、彼が少しほかのことに気をとられているうちに、元の状態に戻っ
てしまった。彼がこの問題を早々に修正しなければ、Napolitano長官は、サイ
バーセキュリティでへまをやらかした役人として人々の心に残ってしまうこと
になるだろう。
────────────────

◆インターネット上で盗まれたコンピュータが特定できると警報を発するシス
テム (2010.6.17)
Microsoftと米国サイバーフォレンジックトレーニング連合は、インターネッ
ト詐欺警告システムを共同で立ち上げた。これは、顧客のクレデンシャルやク
レジットカード情報が、盗まれたデータのオンラインのキャッシュ内に見つかっ
た場合に、素早く警報を発するシステムである。銀行、ソーシャルネットワー
キングサイト、小売業者、その他の企業などは、このシステムに登録すれば、
盗まれたデータのキャッシュについて警報を受けることができる。盗まれたコ
ンピュータが特定された場合に、企業に通知する正式な手順が今までなかった
ことから、これによって、そのニーズがやっと満たされることになる。
Internet Storm Center:
http://isc.sans.edu/diary.html?date=2010-06-17
http://www.scmagazineus.com/new-fraud-service-serves-as-repository-for-stolen-data/article/172716/
http://www.msnbc.msn.com/id/37753400/ns/technology_and_science-security/
────────────────

◆有能なサイバーセキュリティの専門家の育成を目指して学生を訓練する取組
み (2010.6.21)
米国中のあらゆる組織が、強力なサイバーセキュリティの専門家の一団を育て
るために協調して取組みを行っている。今年、大学生サイバーディフェンスコ
ンペティションには、計83校の大学と短大が参加している。2005年は、たった
5校の参加であった。米国サイバーチャレンジでは、「将来のサイバーガーディ
アンを生み出す経路を構築する」目的で、有能な高校生もチャレンジに参加で
きるようにするという。この動きは、なんと小学生にまで及んでいるようだ。
メリーランド州の2つの学区では、「情報保証」昇進プログラムを試験的に立
ち上げている。
http://www.usatoday.com/money/industries/technology/2010-06-21-cybersecurity21_ST_N.htm
────────────────

◆調査結果:企業取締役 サイバーセキュリティガバナンスからますます遠の
く(2010.6.21)
2010年度企業セキュリティガバナンス調査によると、企業の取締役がセキュリ
ティガバナンスに携わる例が減っているという。カーネギーメロン大学の
CyLabの報告書によれば、フォーチュン1000の企業の役員らは、情報セキュリ
ティおよびプライバシーに関する意思決定からますます遠のいているようだ。
取締役および上級役員66人のうち56%の回答者が、リスク管理の改善が取締役
会の最優先事項と述べたものの、コンピュータやデータセキュリティを最優先
事項と位置付けた者はいなかった。このほか65%の回答者が、取締役会で組織
のサイバーセキュリティインシデントにおける保険について、見直しは行って
いないと答えている。朗報としては、新しく役員を雇う際に、ITの専門知識や
リスク・セキュリティにおける実務経験が重要な評価項目になるとの回答もあっ
た。この報告書には、組織のセキュリティに対する姿勢やリスク軽減について
の10のアドバイスも掲載されている。中には、取締役会の役員資格の1つとし
て、ITガバナンスの専門知識をかかげることを推奨しているアドバイスもある。
http://www.scmagazineus.com/senior-leaders-becoming-disconnected-from-security/article/172950/
http://www.govinfosecurity.com/articles.php?art_id=2669
http://www.govinfosecurity.com/external/boards-report.pdf

【編集者メモ】(Schultz)
CyLabの研究者は、2年ほど前に始まった世界的な景気後退によって、「セキュ
リティ」ではなく「生き残る」ことが多くの企業の全体的なテーマになってい
るという事実を見逃しているようだ。
────────────────

◆ワールドカップのデータネットワーク 量子暗号で保護される
(2010.6.21)
サッカーのワールドカップで使用されているデータネットワークは、量子暗号
で保護されている。このタイプの暗号は、政府の諜報機関や軍組織によって使
われると考えられている。量子暗号の支持者らは「この技術を使えば、機密性
だけでなく、完全性も確保できる」と主張する。

【編集者メモ1】(Pescatore)
たぶんこの量子暗号システムを守っているパスワードは、「ブブゼラ!」だろ
う。
【編集者メモ2】(Northcutt)
彼らは、量子鍵配送を絶対に壊されないものだと考えているに違いない。おっ
と、でも、トロント大学から、量子鍵配送をアタックする方法を議論している
報告書が出ていたなあ。
http://www.foxnews.com/scitech/2010/06/21/world-cup-security-uses-physics-thwart-hackers/
http://www.technologyreview.com/blog/arxiv/25189/
http://physicsworld.com/cws/article/news/42667
http://www.physics.utoronto.ca/news_repository/commercial-quantum-cryptography-system-hacked
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年6月19日 Vol.9 No.25)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            14 (#1)
Mac Os                     1 (#2)
Linux                      2
Cross Platform                 32 (#3)
Web Application - Cross Site Scripting     8
Web Application - SQL Injection        33
Web Application                21
Network Device                 7 (#4)
======================================================================
1.危険度【高】:Adobe Flash Playerに複数の脆弱性

<影響のある製品>
Windows、Macintosh、LinuxおよびSolaris用でAdobe Flash Player 10.0.45.2までのバージョン
Windows、MacintoshおよびLinux用のAdobe AIR 1.5.3.9130までのバージョン

<詳細>
Adobe Flashには、さまざまなリモートのコード実行の脆弱性がある。ユーザー
に、悪意のあるサイトを訪問するように誘導すれば、アタッカーは、これらの
脆弱性を悪用して、現在ログインしているユーザーの権限で任意のコードを実
行できるようになってしまう。1つ目の脆弱性は、Flashファイルに埋め込まれ
ている画像を解析するのに使用されるコードに関連している。もう1つ脆弱性
においては、Flashファイルに悪意とともに組み込まれたMP4ファイルが関連し
ている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb10-14.html
Zero Dayイニシアチブのアドバイザリ ZDI-10-109およびZDI-10-110
http://www.zerodayinitiative.com/advisories/ZDI-10-109
http://www.zerodayinitiative.com/advisories/ZDI-10-1110
SecurityFocus BID
http://www.securityfocus.com/bid/40784
http://www.securityfocus.com/bid/40801
────────────────

2.危険度【高】:さまざまな脆弱性にMac OS Xのアップデート

<影響のある脆弱性>
Mac OS X 10.6.4以前のバージョン

<詳細>
Appleは、Mac OS Xにはさまざまな脆弱性があると報告し、それにパッチを適
用した。ユーザーに、細工されたWebサイトを訪問させれば、アタッカーは、
脆弱性のどれかを悪用して任意のコードを実行できるようになってしまう。コー
ド実行の脆弱性は、以下のとおり:
・Help Viewerにあるクロスサイトスクリプティングの問題
・TIFFファイルの処理にあるintegerオーバーフローの問題
・MPEG2でコード化されている動画ファイルの処理にメモリ崩壊の脆弱性
・AESおよびRC4の復号にintegerオーバーフロー
・KDCプロセスのチケット更新コード、および、チケット検証コードに二重解
放の脆弱性
・gzipで圧縮されているWebコンテンツを処理するlibcurlコードにバッファオー
バーフロー
・afb、cifs、およびsmbのURIに書式文字列の脆弱性

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.apple.com
Appleのセキュリティアップデート
http://support.apple.com/kb/HT4188
SecurityFocus BID
http://www.securityfocus.com/bid/40871
────────────────

3.危険度【高】:HP OpenView Network Node Managerにバッファオーバーフロー
の脆弱性

<影響のある製品>
HP OpenView Network Node Manager 7.53
HP OpenView Network Node Manager 7.51

<詳細>
HP OpenViewは、ネットワークの監視および管理用の製品だが、リモートのバッ
ファオーバーフローに脆弱である。この脆弱性は、アタッカーが悪意のある
HTTPリクエストをjovgraph.exeのCGIアプリに送信すると引き起こされる。悪
用が実現すると、リモートコードの実行につながるおそれがある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.hp.com
HPのセキュリティ警告
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02217439
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-108/
SecurityFocus BID
http://www.securityfocus.com/bid/40873
────────────────

4.危険度【高】:Novell NetwareのSMBリモートのバッファオーバーフローの脆
弱性

<影響のある製品>
Netware 6.5 SP8

<詳細>
Novell Netwareは、Novellのネットワーク用OSだが、リモートのバッファオー
バーフローの脆弱性がある。悪意のあるSMBの"Sessions and Setup AndX"パケッ
トを送信すれば、アタッカーは、この脆弱性を悪用して昇格した権限で任意の
コードを実行できるようになってしまう。"CIFS.NLM" ドライバに、この欠陥
が存在する。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.novell.com
Netware 6.5 Support Pack 8 2.0用にNSSのアップデート
http://download.novell.com/Download?buildid=tMWCI1cdI7s~
SecurityFocus BID
http://www.securityfocus.com/bid/40908

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。