NRI Secure SANS NewsBites 日本版

Vol.5 No.28 2010年7月21日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.28 2010年7月21日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
サイバーセキュリティについての米国戦略・国際問題研究委員会から、第44代
大統領へのコンピュータセキュリティ関連職者の課題および解決策についての
待望の報告書が、7月13日に公表された。この報告書で明らかになった情報を
広範に広め、推奨策を迅速に導入すれば、米国のサイバーセキュリティの有効
性に大きな変化をもたらすことができる。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~20日(土)■
!!世界中で最も受講されている2コースを実施!!

【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.54-55
(原版:2010年7月9日、7月13日配信)

◆英国のISP デジタル経済法に挑む (2010.7.8)
英国のインターネットサービスプロバイダ(ISP)2社が、同国のデジタル経済法
に挑んでいる。同社らは高等裁判所に、同法が有効になる前にその合法性の判
断を望む考えだ。同法は、総選挙の直前に国会で急いで審議されたため、十分
に精査されなかったようだ。つまり、同法の中身や、条項文の言い回しを徹底
的に細かく議論する時間がなかったのだ。同法では、ISPに対し、違法なファ
イル共有の常習犯のインターネット接続を外し、著作権所有者が、違法なコン
テンツをホスティングしているサイトへのアクセスをブロックできるようにす
ることを義務付けている。また、接続を外すことに関しての条項を導入する前
に新たに別の立法や協議を行う措置も組み込まれている。ヨーロッパの電子商
取引の法令によると、ISPは、ただの通路に過ぎないので、通信のコンテンツ
についての責任は問われないとなっている。
http://news.bbc.co.uk/2/hi/technology/10542400.stm
────────────────

◆欧州議会 米国による欧州のバンキング情報へのアクセス許可の是非につい
て投票 (2010.7.8)
欧州議会のメンバーらは、欧州市民の財務情報に米国がアクセスしてもよいか
どうかについて、投票を行った。Swift協定は、テロリストの金融取引追跡プ
ログラムでテロリストと交戦することを目的としているプランである。欧州議
会は、市民の自由に関する懸念があるため、今年このプランを却下した。しか
し、欧州委員会や欧州理事会がこのプランを承認したため、議会は却下の姿勢
を変える方向に傾いた。新しいプランでは、米国の捜査行動を欧州連合関係者
が監視できるようになっている。
http://news.bbc.co.uk/2/hi/world/europe/10552630.stm
http://www.computerworld.com/s/article/9178979/Europe_votes_to_send_secret_bank_data_to_U.S._authorities?taxonomyId=17
────────────────

◆Facebook ドイツでデータプライバシー法違反の嫌疑に (2010.7.8)
Facebookは、Facebookのメンバーではない人の個人情報を保存していたことで、
数十万ユーロの罰金に課せられる可能性がある。ドイツの関係者は、同国のデー
タプライバシー法に違反しているソーシャルネットワーキングサイトに対して
法的措置に乗り出している。Facebookは日常的に、メンバーに対し、携帯電話
やメールアカウントから連絡先リストをアップロードするように求めていた。
それにより連絡先リストにいる人を、Facebookに参加するように招待できるか
らだ。Facebookは、その人がFacebookに参加しないと選択し、Facebookに自分
の個人情報の保存も許可していないにもかかわらず、獲得した連絡先情報を保
持しているという。ハンブルグのデータ保護監督機関の長、Johannes Caspar
氏は、自分の個人情報がサードパーティと共有されたとの苦情を複数人から受
けているという。
http://news.bbc.co.uk/2/hi/technology/8798906.stm
http://www.computerworld.com/s/article/9178984/Germany_may_fine_Facebook_over_privacy_issues_?taxonomyId=17
────────────────

◆米国国家安全保障局 ネットワークのアタック監視プログラムを開発
(2010.7.8)
ウォールストリートジャーナルの報告書によると、米国国家安全保障局(NSA)
は、「完璧な市民」と呼ばれるプログラムを開発している。このプログラムは、
政府局や同国の重要インフラ事業者のコンピュータネットワークに対するアタッ
クを監視するプログラムだ。同プログラムについては支持者もいるが、対象と
なる組織の内部事情に侵入してしまうのではないかと懸念の声をあらわにして
いる者もいる。このプログラムでは、サイバーアタックがあった痕跡を検知す
るとアラームを発するセンサーがネットワーク中に設置される。また、インター
ネットアクセスを伴わない旧式のネットワーク、およびセキュリティが念頭に
置かれていない旧式のネットワークに集中的に働きかけるプログラムにもなっ
ている。政府は民間企業に対し、センサーを導入するよう強制はできないが、
同プログラムへの参加を後押しするために、何らかのインセンティブを提供す
るようだ。
http://news.cnet.com/8301-1009_3-20009952-83.html
http://www.pcworld.com/businesscenter/article/200706/nsa_perfect_citizen_raises_big_brother_concerns_in_private_sector.html?tk=hp_blg
本日のアップデートでは、このトピックが浮き彫りにされ、このプロジェクト
を1つの研究として特徴付けしている。
http://www.eweek.com/c/a/Security/NSA-Cyber-Security-Program-Details-Revealed-275248/
────────────────

◆Microsoft ロシアの諜報機関とWindows 7のソースコードを共有 (2010.7.8)
Microsoftは、ロシアの諜報サービスとWindows 7のコードを共有することに合
意した。Vedomostiの報告によると、Microsoftは、ロシア連邦セキュリティサー
ビスが、Microsoft Windows Server 2008 R2、Microsoft Office 2010やMicrosoft
SQL Serverのソースコードへアクセスできるようにするという。目的は、ロシ
ア政府に対するMicrosoftの売り上げの促進を図るためとのこと。この合意は、
2002年にロシアと交わした政府セキュリティプログラム協定の延長だという。
http://www.zdnet.co.uk/news/security/2010/07/08/microsoft-opens-source-code-to-russian-secret-service-40089481/
────────────────

◆中国 Googleのインターネットコンテンツプロバイダとしてのライセンスを
更新(2010.7.9-10)
中国とGoogleは、お互いにGoogleが営業を再開してもよいという合意に達した。
2010年1月、Google内部のサーバと中国の人権活動家のメールアカウントがア
タックによって侵害された。そのためGoogleは、中国が問題のアタックの背後
に潜んでいると考えるようになった経緯がある。それからまもなく、Googleは
中国国内の検索結果の検閲を止めると発表。3月になって、Googleは、
Google.cnのサイトのユーザーを香港にあるサイトにリダイレクトするように
なった。そして現在は、中国での営業許可証を更新。これを受けてGoogleは、
Google.cnのユーザーを香港のサイトに向けて別のルートに切り替えるのを止
める意向だという。今は、Googleの香港のサイトを訪問したいユーザーは、ク
リックしないとそこには辿りつかないようになっている。Googleは今回、「中
国の法に従う」ことにも同意した。
http://www.mercurynews.com/business/ci_15492959?source=rss&nclick_check=1
http://www.washingtonpost.com/wp-dyn/content/article/2010/07/09/AR2010070902137.html?wprss=rss_technology
http://darkreading.com/insiderthreat/security/privacy/showArticle.jhtml?articleID=225702845&subSection=Privacy
────────────────

◆上院議員ら サイバーセキュリティをけん引するように米国や中国に求める
(2010.7.9)
サンフランシスのコクロニクル紙で公表された公開書簡によると、米国の
Dianne Feinstein上院議員(カリフォルニア州民主党)、Mark Udall上院議員
(コロラド州民主党)、Kay Hagan上院議員(ノースカロライナ州民主党)は、米
国と中国に対し、サイバーセキュリティのリーダーを担うように求めていると
いう。また、この問題は、中国の国家主席のワシントンへの公式訪問のアジェ
ンダに組み込むべきだとも述べている。訪問の日程は、今のところ定まってい
ない。上院議員らは、銀行や技術企業、政府、軍のネットワークに対するアタッ
クも引き合いに出している。彼らは6月初旬に中国を訪問し、中国の呉邦国
(Wu Bangguo)議員と会談している。呉氏は、中国と米国の間で行われる年次
戦略経済対談に、サイバーセキュリティをトピックとして盛り込むべきだと示
唆した人物である。
http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2010/07/09/ED541EBDSD.DTL
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年7月8日 Vol.9 No.28)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    3
Microsoft Office                1
Third Party Windows Apps            4
Cross Platform                13 (#1)
Web Application - Cross Site Scripting     9
Web Application - SQL Injection        15
Web Application                14
Network Device                 3
======================================================================
1.危険度【高】:Google Chrome 5.0.375.99以前のバージョンにさまざまなセ
キュリティの脆弱性

<影響のある製品>
Google Chrome 5.0.375.99以前の製品

<詳細>
Google Chromeには、さまざまなセキュリティ脆弱性がある。Googleは通常、
脆弱性が報告され、それにパッチが適用されてからずいぶん時間が経過しない
とその脆弱性の詳細公表しないので、問題の深刻度を測ることはんできない。
これらの脆弱性のうち4つは、メモリ崩壊と関連しているため、いくつかの脆
弱性は、コードの実行に悪用されるおそれがある。バグのうち3つは、Chrome
のSVGおよびPNG画像、CSSススタイルシートの処理に特に関連性がある。ほか、
Chromeの双方向アルゴリズムと関連性のあるバグもあるようだ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.google.com
Google Chrome Stable Channelのアップデート
http://googlechromereleases.blogspot.com/2010/07/stable-channel-update.html
SecurityFocus BID
http://www.securityfocus.com/bid/41334/
────────────────

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。