NRI Secure SANS NewsBites 日本版

Vol.5 No.27 2010年7月13日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.27 2010年7月13日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
Reid上院議員と上院の6つの委員会の議長らは共同で、大統領に対し、サイバー
セキュリティに取り掛かるように述べた。この関連で、昨日ホワイトハウスに
レターが届けられた。このレターで、議員らは大統領に対し、サイバーアタッ
クの脅威は日に日に増しているので、「すぐにでも行動に乗り出す」必要性が
あると述べている。このレターは、ホワイトハウスが重大な問題に対しての取
り組みを拒否したために送られることとなった。これは、ホワイトハウスがサ
イバーセキュリティに関して言うべきことを言ったはいいが、きちんとそれを
実行していない例として注目を浴びた。ホワイトハウスがスポーツチームだっ
たとしたら、オーナーがポジションごとにはトップスターを雇ったものの、エ
コノミストや弁護士が試合に出場し、スタープレーヤーは、ベンチにいるとい
う状態なのである。

上院議員らのレターはこちらのリンクに掲示されている。
http://www.sans.org/resources/Senate_Letter_to_Obama

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~20日(土)■
!!世界中で最も受講されている2コースを実施!!

【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.52-53
(原版:2010年7月2日、7月6日配信)

◆著作権侵害対策のプラクティスの有無 短大や大学の資金調達に影響
(2010.7.1)
2010年7月1日より、米国の短大や大学が連邦政府の補助を受けるには、著作権
侵害対策の手順を設置しなくてはならない。高等教育機関は、学校用の豊富な
通信帯域を使用して、ファイル共有ネットワークで楽曲やその他のデジタルメ
ディアをダウンロードする学生らに悩まされてきた。高等教育の機会均等2008
年法には、「学校は著作権侵害対策のガイドラインに従わなくてはならない」
とある。学校は生徒に対し、違反行為に関連する著作権法や学校のポリシーに
ついての情報を伝えなくてはならない。この義務の下、学校はキャンパスネッ
トワークでの違法なファイル共有に対し、技術的な抑止対策を施さなくてはら
ない。
http://news.cnet.com/8301-31001_3-20009386-261.html?tag=newsEditorsPicksArea.0

【編集者メモ】(Schultz)
米国の大学の悩みの種である著作権侵害の問題を大いに抑制できるなんと賢い
方法か!
────────────────

◆ロシアのスパイ組織 ステガノグラフィーで連絡を取り合う
(2010.6.29-7.1)
11人のロシア人スパイの逮捕につながった捜査で、100以上のテキストファイ
ルが、ステガノグラフィーの画像から抽出された。警察が捜査中に、ステガノ
グラフィープログラムの27文字のパスワードが書かれたメモを見つけたため、
これらのメッセージが発見されるに至った。スパイ容疑者らは、アドホック
Wi-Fiネットワークやカスタムソフトウェアを使用していたという。問題の11
人はすでに何年も米国に住んでいる経緯があり、つじつまを合わせるための経
歴も持ち合わせていた。
http://www.theregister.co.uk/2010/06/29/spy_ring_tech/
http://www.computerworld.com/s/article/9178762/Russian_spy_ring_needed_some_serious_IT_help?taxonomyId=17
http://news.cnet.com/8301-13578_3-20009101-38.html?part=rss&subj=news&tag=2547-1_3-0-20
http://www.washingtonpost.com/wp-dyn/content/article/2010/06/30/AR2010063003108.html
http://www.darkreading.com/insiderthreat/security/encryption/showArticle.jhtml?articleID=225701866
http://gcn.com/articles/2010/07/01/russian-spies-used-steganography-to-transmit-messages.aspx?admgarea=TC_SECURITY
http://documents.nytimes.com/criminal-complaints-from-the-justice-department?ref=europe#document/p36

【編集者メモ】(Ranum)
「中国のサイバースパイ」についての数々の記事に私がコメントしてきたよう
に、真のスパイは、ウィンドウ破りをインターネットでするなどといったアマ
チュアじみたことはしないのだ。情報に通じているエージェント(スパイ)は、
時間をかけて信頼される地位を築き、非常に効果的に活動する(見方を変える
と損傷を与える力があるということなのだ)。
【編集者メモ2】(Honan)
スパイだって、複雑なパスワードを選択し、書き残すことなしに覚える方法を
身につけるというセキュリティのアウェアネストレーニングをした方がよいと
思うのだが……。
────────────────

◆Apple 米国議会やドイツの司法大臣からプライバシーについて審問を受ける
(2010.6.28)
米国議会は、最近プライバシーのポリシーを変更したAppleに審問を行ってい
る。6月21日のロサンゼルスタイムズ紙では、「Appleのプライバシーポリシー
に段落が1つ加えられたが、その段落によって、Appleと特定のパートナーおよ
びライセンシーが、ユーザーのAppleデバイスの地理的な位置情報をリアルタ
イムで収集・保存できるようになる」と報道。Appleは、2008年からロケーショ
ン情報を収集していたが、最近になって、それについての通知文をエンドユー
ザーライセンス同意書からAppleの一般的なプライバシーポリシーに移動した
のだ。顧客らは、問題の条文に合意しないと、Apple iTunesストアからアプリ
やその他のメディアをダウンロードできないという。Appleへのレターで、
Edward J. Markey下院議員(マサチューセッツ州民主党)やJoe Barton議員(テ
キサス州共和党)は、「Appleのユーザーに対し、改変後のポリシーをオプトア
ウトする余地を制限的にしか与えていないだけでなく、彼らはオプトアウトし
ないままAppleの製品を利用することができてしまうので、問題のデータ収集
行為によって、顧客のプライバシーに影響が生じることを我々は懸念している」
と述べている。議員らはAppleに対し、レターへの返答期限を7月12日まで与え
ている。また、ドイツの司法大臣も、新しいiPhoneの所有者についてAppleが
データ収集を行っていることについて懸念を示している。同Sabine
Leutheusser-Schnarrenberger大臣は、Appleに対し、ドイツのデータ保護関係
者に収集しているデータの内容とそれの保管期間、収集および保管の理由につ
いて知らせるように求めている。
http://www.darkreading.com/security/privacy/showArticle.jhtml?articleID=225701616
http://www.nytimes.com/2010/06/29/technology/29apple.html?src=busln
http://latimesblogs.latimes.com/technology/2010/06/apple-location-privacy-iphone-ipad.html
────────────────

◆一般的なサードパーティWindowsアプリ 重大なセキュリティ機能を導入し
ておらず (2010.7.1-2)
Secuniaの調査によると、一般的なサードパーティWindowsアプリのいくつかは、
Windowsのデータ実行保護(DEP)、およびアドレススペースレイアウトランダム
化(ASLR)のセキュリティ機能を使用していないという。前述の2つの機能は、
不正なコード実行のアタックを阻止できる機能だ。Secuniaは、サードパーティ
のアプリを16個選択し、DEPとASLRが使用されているかどうかを調査した。16
のうち、Google Chromeのみが、DEPとASLRの両方を導入していた。Apple
QuickTimeやFoxit Reader、Google Picasa、Sun Java JRE、OpenOffice.org、
RealPlayer、VLC Media Player、AOLのWinampをテストしたところ、テストし
たバージョンにおいては、その機能をどちらも使用していなかった。しかしな
がら、この問題について、期待できるようなフィードバックを寄せた会社もい
くつかあった。Googleは将来、Picasaにこれらの機能を追加するという。
Foxit Readerも、次回の重要なバージョンをリリースする際に、2つの機能を
サポートできるようにするとのことだ。VLCの最新バージョンでは、DEPとASLR
を両方サポートするという。
http://darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=225702255&subSection=Vulnerabilities+and+threats
http://www.eweek.com/c/a/Security/ThirdParty-Windows-Apps-Not-Using-Microsoft-Security-Features-Researchers-Find-250047/
http://www.scmagazineus.com/third-party-apps-failing-to-use-windows-security-features/article/173746/
http://krebsonsecurity.com/2010/07/top-apps-largely-forgo-windows-security-protections/
http://secunia.com/blog/105
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年7月1日 Vol.9 No.27)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            4
Linux                      5
Unix                      2
Novell                     2
Cross Platform                 35 (#1,#2,#3)
Web Application - Cross Site Scripting     15
Web Application - SQL Injection        31
Web Application                23
Network Device                 5
======================================================================
1.危険度【高】:Adobe AcrobatおよびAdobe Readerにさまざまな脆弱性

<影響のある製品>
Windows、MacintoshおよびUNIX Adobe AcrobatおよびReader 9.3.2(およびそれまでのバージョン)
WindowsおよびMacintosh用Adobe AcrobatおよびReader 8.2.2(およびそれまでのバージョン)
<詳細>
Adobe Acrobatは、複数の脆弱性用にパッチをリリースした。これらの脆弱性
の中にはzero-dayもあり、それはすでにちまたで悪用されている。これらの脆
弱性が悪用されると、ターゲットのマシンに任意のコードを実行されてしまう。
アタッカーがこれらの脆弱性を悪用するには、犠牲者に悪意のあるコンテンツ
を閲覧するように仕向けなくてはならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.adobe.com
Adobe ReaderおよびAcrobat Securityの警告
http://www.adobe.com/support/security/bulletins/apsb10-15.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/40586
http://www.securityfocus.com/bid/41232
http://www.securityfocus.com/bid/41230
http://www.securityfocus.com/bid/41236
http://www.securityfocus.com/bid/41237
http://www.securityfocus.com/bid/40586
http://www.securityfocus.com/bid/41234
http://www.securityfocus.com/bid/41235
http://www.securityfocus.com/bid/41231
http://www.securityfocus.com/bid/41238
http://www.securityfocus.com/bid/41241
http://www.securityfocus.com/bid/41239
http://www.securityfocus.com/bid/41244
http://www.securityfocus.com/bid/41240
http://www.securityfocus.com/bid/41242
http://www.securityfocus.com/bid/41243
http://www.securityfocus.com/bid/41245
────────────────

2.危険度【高】:Mozilla Firefox/Thunderbird/SeaMonkeyのDOMノードに
Integer Overflowの脆弱性

<影響のある製品>
Firefox 3.6.4
Firefox 3.5.10
Thunderbird 3.0.5
SeaMonkey 2.0.5s

<詳細>
さまざまなMozilla製品に、integer overflowの脆弱性がある。この脆弱性は、
特定のタイプのDOMエレメントのテキスト値を設定するのに使用されるルーチ
ンにバグがあるために引き起こされるが、悪用されると、現在ログインしたユー
ザーの許可で任意のコードを実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.mozilla.org
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2010/mfsa2010-29.html
SecurityFocus BID
http://www.securityfocus.com/bid/41087
────────────────

3.危険度【高】:Google Chrome 5.0.375.86までのバージョンにさまざまなセ
キュリティの脆弱性

<影響のある製品>

<詳細>
Google Chromeにはさまざまな脆弱性がある。Googleは通常、脆弱性の報告が
あがってパッチが適用されてからずいぶん時間が経過しないと、その脆弱性の
詳細情報を公開しないため、問題の深刻度を今見極めるのは難しい。これらの
脆弱性のうち3つは、メモリ崩壊と関連があると思われるため、いくつかの脆
弱性はコードの実行に使用されてしまう可能性がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.google.com
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2010/mfsa2010-29.html
SecurityFocus BID
http://www.securityfocus.com/bid/41138

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。