NRI Secure SANS NewsBites 日本版

Vol.5 No.26 2010年7月6日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.26 2010年7月6日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
Lieberman-Collins法案に停止スイッチはない。しかしながら、テレコム1996
年法には、1つ停止スイッチがあったようだ。

Lieberman-Collins法案は、インターネットサービスプロバイダが日々行って
いる標準的なフィルタリングについては許可しているが、その許可は、国がと
りまとめている。しかし、それを停止するための停止スイッチのような条項は、
テレコム1996年法の706(c)セクションにしか存在しない。同法では、国家の安
全を脅かす緊急事態が発生した際に、インターネット通信を停止させる権限、
もしくは、阻害する権限を大統領にすでに与えている。Lieberman-Collins法
案には、似たような停止スイッチはないが、効果をより測定しやすいだけでな
く、効率性も考慮された内容の法案になっている。これら両方の法律の該当す
るセクションを一読すればわかると思うが、プレスは、IT企業および電話会社
のロビイストや、CNETのリポーターの不正確な記事(一体誰が正しくないデー
タを彼に渡したのだろう?)に完全に騙されてしまったようだ。そして、これ
をもとにした間違ったレポートが、繰り返し報道されてしまった。あなたがジャー
ナリストなら、次回ロビイストが「予期せぬ結果」もしくは「停止スイッチ」
という言葉を発したときには、次のことを思い出してほしい。かつて、自動車
会社は、シートベルト必須化の動きを阻止するために、「車が火事になったと
きにシートベルトをしていると、あなたの奥様とお子さんは、車の外に間一髪
で逃げ出せなくなってしまいますよ」と言っていたことを。また、ギャリソン
・ケラーの不滅の名セリフ、「Liar, liar, pants on fire」(「あなたはう
そをついている」などの意味の子どものはやし言葉。)を思い出すのもありだ
ろう。

P.S.
米国国土安全保障省(DHS)のMatt Cooseと政府のJohn Streufertを迎えて、継
続的なFISMAの報告業務・監視業務についての素晴らしいWebキャストをたった
今終えたところだ。このトピックに関してすでに耳にしたことがあったとして
も、今回のWebキャストの内容の方が、情報が最新で、かつ、実行に移せるよ
うな情報を提供できていると思う。ご覧になりたい方はこちらで:
https://www.sans.org/webcasts/revolution-federal-cyber-security-continuous-automated-fisma-reporting-required-o-93453

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~20日(土)■
!!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.50-51
(原版:2010年6月25日、6月29日配信)

◆サイバーセキュリティ法案には「停止スイッチ」なし (2010.6.23-24)
サイバーセキュリティ法案に誤解が生じていることを受けて、米国のJoseph
Lieberman上院議員(コネチカット州無所属)、Susan Collins上院議員(メイン
州共和党)、Thomas Carper上院議員(デラウェア州民主党)は、問題を明らか
にし、同法案が与えている権限についての噂を抑えるために概況報告書を発表
した。懸案のサイバースペースを国家資産として保護する法では、大統領に、
インターネットをコントロールする、もしくは閉鎖する権限を与えていない。
http://cybersecurityreport.nextgov.com/2010/06/cyber_bills_welcomed_scrutiny.php
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=225701368
http://www.pcworld.com/businesscenter/article/199825/senate_panel_approves_controversial_cybersecurity_bill.html
http://hsgac.senate.gov/public/?FuseAction=home.Cybersecurity
────────────────

◆Twitter 連邦取引委員会によるプライバシー嫌疑で調停成立 (2010.6.24)
Twitterのアカウントを侵害する攻撃が2件あったが、それらの攻撃でプライバ
シーの問題が生じていた。この問題でTwitterは、米国連邦取引委員会(FTC)と
調停を成立させた。FTCの申し立てによると、Twitterが当時主張していたプラ
イバシーポリシーには、ユーザーが実際の保護対策よりも強力な措置が施され
ているように信じてしまうような記述があったという。2009年には、アタッカー
がTwitterサービスの管理コントロールへの未承認アクセスを得てしまった経
緯が2回ある。まず、2009年1月には、アタッカーは、ブルートフォース攻撃で
管理アクセスを獲得している。このアタックでは、侵入者はユーザーのパスワー
ドをリセットし、そのパスワードをWebサイトに掲示した。そして他の人が、
これらのパスワードを使用してアカウントにアクセスし、そのアカウントから
偽のメッセージを送信していた。2度目の2009年4月には、Twitter社員のアカ
ウントが侵害され、Twitterユーザーの個人情報が侵害されたほか、メッセー
ジも送信されてしまっている。攻撃が発生した当時、Twitterには簡単に想像
できるような管理パスワードに対するポリシーがなかっただけでなく、何度か
ログインを試みて失敗した場合にそのアカウントへのアクセスを拒否・無効に
する対策もとられていなかった。現在では、TwitterもFTCが推奨するセキュリ
ティ推奨策の多くを導入している。今回の調停の合意事項で、Twitterは「セ
キュリティ、プライバシー、非公表の消費者情報の機密性を維持・保護できる
程度について、消費者に誤解を招くような行為」を禁じられた。また、サード
パーティのセキュリティ監査を受けるように義務付けられている。
http://voices.washingtonpost.com/posttech/2010/06/twitter_settles_charges_by_ftc.html
http://www.wired.com/threatlevel/2010/06/twitter-settles-with-ftc/
http://www.msnbc.msn.com/id/37903432/ns/technology_and_science-security/
http://www.computerworld.com/s/article/9178473/Twitter_settles_FTC_privacy_complaint

【編集者メモ】(PescatoreとPaller)
2007年にFTCは、Microsoft Passportのプライバシープラクティスを問題視し、
Microsoftと同様の合意に達している。FTCが、新法や新規制を必要とせずに、
効果的な規制局として作用していることに、お気づきになっただろうか?
FTCよ、あっぱれ。
────────────────

◆連邦取引委員会 少額を狙うサイバー窃盗犯を厳しく取り締まる
(2010.6.28)
米国連邦取引委員会(FTC)は、少額を狙う手法のサイバー窃盗犯の一団の取締
りを強化している。この一団は、偽の事業または取引の口座を設け、小口の不
正請求を多数回、100万件以上の決済カードに行っていた。一団は総計で1,000
万ドル近くを盗み出している。この詐欺犯らは、正規に存在する会社に近い名
前で偽会社を設けていたようだ。問題の詐欺請求は、20セントから10ドルの範
囲で行われており、多くの場合、カード1件につき1回だけの請求で終わってい
る。イリノイ州の米国地方裁判所判事は、容疑者の身元は不明なままであるが、
このスキームに関わっている一団の資産を凍結する裁判所命令を発行した。盗
み出された金は、マネーミュールが設けた銀行口座に自動的に移動され、その
後キプロス、エストニア、リトアニアやその他の東欧諸国の口座に移されてい
た。詐欺請求のなんと90%については、カード所有者から何の異議申請もあがっ
ていないという。
http://www.wired.com/threatlevel/2010/06/ftc-sues-scammers/
http://www.scmagazineus.com/judge-halts-fraud-racket-that-went-undetected-for-years/article/173473/
http://www.theregister.co.uk/2010/06/28/ftc_micro_payment_scam/
http://www.computerworld.com/s/article/9178560/FTC_says_scammers_stole_millions_using_virtual_companies?taxonomyId=17
────────────────

◆ホワイトハウス 国家的なオンラインIDについての原案を発表
(2010.6.26-28)
ホワイトハウスは、オンライン取引の際に個人情報を保護するためのプランの
原案を発表した。今回提案された、サイバースペースでの信頼できる身元情報
についての国家戦略は、詳細なプランが提示されたわけではなく、大まかな内
容になっている。提案内容としては、消費者にスマートアイデンティティカー
ドやデジタル証明書など、安全な識別子を使わせることや、オンライン取引が
行われる前にアイデンティティを認証することなどがあった。このプランは自
主的なものであり、消費者は、公共サービスから民間サービスまでの範囲で識
別子を選択できるようにするという。ホワイトハウスは、この提案についてコ
メントを求めている。
http://www.msnbc.msn.com/id/37943900/ns/technology_and_science-security/
http://www.computerworld.com/s/article/9178537/White_House_seeks_comment_on_trusted_ID_plan?taxonomyId=145
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=225701456&cid=RSSfeed_IWK_News
http://www.nextgov.com/nextgov/ng_20100628_8259.php?oref=topnews
http://www.govinfosecurity.com/articles.php?art_id=2694
http://www.whitehouse.gov/blog/2010/06/25/national-strategy-trusted-identities-cyberspace
http://www.dhs.gov/xlibrary/assets/ns_tic.pdf

【編集者メモ】(Schultz)
この提案には、多くの賛成意見と反対意見がある。信頼できる身元情報という
概念は、セキュリティの観点から見れば、原則的によしとされるが、その身元
情報が侵害されてしまうと、パンドラの箱が開けられる形となる。米国政府は、
個人の身元情報を安全に保護するという点で、すばらしい経歴があるとは言い
難い。このことをまず念頭に置くのが重要だ。
────────────────

◆米国上院議会・委員会、サイバーセキュリティ法案を可決 (2010.6.25)
米国上院国土安全保障政府問題委員会は、国家資産としてサイバースペースを
保護する2010年法を全会一致で可決した。この法案については、デマによって
論争が生じた経緯がある。同法案においては、インターネットの制御・閉鎖の
権限が大統領に与えられていない。つまり、サイバーアタックが差し迫った場
合に緊急措置を命令する大統領の権限を認めていないのである。この法案は、
上院議会で投票にかけられる予定だ。
http://www.scmagazineus.com/senate-committee-passes-major-cybersecurity-legislation/article/173297/
http://www.nextgov.com/nextgov/ng_20100625_7788.php?oref=topnews
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年6月25日 Vol.9 No.26)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Other Microsoft Products            1
Third Party Windows Apps            9
Mac Os                     2
Linux                      3
Novell                     1
Cross Platform                 23 (#1,#2,#3)
Web Application - Cross Site Scripting     11
Web Application - SQL Injection        24
Web Application                28
Network Device                 1
======================================================================
1.危険度【高】:Mozilla製品にさまざまな脆弱性

<影響のある製品>
Mozilla Firefox 3.5.x
Mozilla Firefox 3.6.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 3.x

<詳細>
Mozilla Firefox、SeaMonkey、およびThunderbirdにはさまざまな脆弱性があ
る。これらの脆弱性の中には、ターゲットのマシンに任意のコードを実行する
のに使われてしまうものもある。ブラウザエンジンには詳細不明の問題がいく
つかあるほか、特定のタイプのメニューの処理、DOMノードとその動作、複数
のプラグインで共有しているリファレンス、XML文書に適用されるXSLT変換の
処理に問題がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.mozilla.org
Mozilla Firefoxのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2010/mfsa2010-25.html
http://www.mozilla.org/security/announce/2010/mfsa2010-26.html
http://www.mozilla.org/security/announce/2010/mfsa2010-27.html
http://www.mozilla.org/security/announce/2010/mfsa2010-28.html
http://www.mozilla.org/security/announce/2010/mfsa2010-29.html
http://www.mozilla.org/security/announce/2010/mfsa2010-30.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/38952
http://www.securityfocus.com/bid/41087
http://www.securityfocus.com/bid/41099
http://www.securityfocus.com/bid/41100
http://www.securityfocus.com/bid/41102
http://www.securityfocus.com/bid/41082
http://www.securityfocus.com/bid/41090
http://www.securityfocus.com/bid/41093
http://www.securityfocus.com/bid/41094
http://www.securityfocus.com/bid/41099
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-113/
────────────────

2.危険度【高】:Apple iPhone/iPod Touchにさまざまな脆弱性

<影響のある製品>
Apple iOS 4までのバージョン

<詳細>
Apple iOSはiPhoneやiPodプラットフォームで広範に使用されているOSだが、
これには、さまざまな脆弱性がある。これらの脆弱性の中には、アタッカーが、
ターゲットのマシンに任意のコードを実行できるようになってしまうものもあ
る。これらの脆弱性のほとんどにおいて、アタッカーは、悪意のあるページに
誰かを誘い込まなくてはならないが、中には、ほか複数のアタック手法が可能
なものもある。例えば、libSystem内でバイナリ浮動小数点をテキストに変換
する際に使用するコードは、バッファオーバーフローのアタックに脆弱である。
そのため、ユーザーが定義したインプットでこのコードを呼び出すアプリであ
れば、それは脆弱なである可能性がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.apple.com
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT4225
共通の脆弱性および公表情報
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0689
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2195
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0043
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0046
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0047
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0048
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0049
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0050
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0052
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0053
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0054
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1119
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1387
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1392
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1396
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1397
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1398
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1399
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1400
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1401
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1402
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1403
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1404
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1405
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1410
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1414
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1415
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1417
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1752
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1758
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1759
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1761
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1769
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1774
────────────────

3.危険度【高】:Apple Flash Playerにメモリ崩壊のリモートのコード実行の
脆弱性

<影響のある製品>
Adobe Flash Player 10.0.45.2までのバージョン

<詳細>
Apple Flash playerには、メモリ崩壊の脆弱性がある。ActionScriptのnative
object 2200が、異なる文字列に複数回呼び出されると、この脆弱性が引き起
こされる。悪意のあるページを開くようにターゲットを誘導すれば、アタッカー
は、この脆弱性を悪用して、現在ログインしているユーザーの許可で任意のコー
ドを実行できるようになってしまう。

<現状>ベンダーはこの問題を認識しており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.adobe.com
Adobeのセキュリティ更新
http://www.adobe.com/support/security/bulletins/apsb10-14.html
Zero DayイニシアチブのアドバイザリZDI-10-111
http://www.zerodayinitiative.com/advisories/ZDI-10-111
SecurityFocus BID
http://www.securityfocus.com/bid/40798

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。