NRI Secure SANS NewsBites 日本版

Vol.5 No.31 2010年8月11日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.31 2010年8月11日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
2010年のコンピュータセキュリティ関連業務従事者の給与調査を開始した。少
なくとも今週中に、この調査票にご回答いただきたい(たった5分で終わる)。
セキュリティ関連業務従事者の方々が、雇用主に自分の給料について生産的な
話を交わすうえで正式な調査のデータほど有益なツールはないだろう。この調
査にご参加いただいた方には、調査結果もお渡しする。
調査票はこちら:
http://www.surveymethods.com/EndUser.aspx?CDE9859FCC869F96CD

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~20日(土)■
!!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.60-61
(原版:2010年7月30日、8月3日配信)

◆Google Androidのアプリ データを盗難していた疑い (2010.7.30)
Google Androidデバイス用に販売されていた壁紙アプリの多くが個人情報を収
集し、収集した情報をアプリの開発者に送信していたことが明らかになった。
Googleは現在状況を調査中ではあるが、中国のサーバに収集したデータを送信
していたと見られる問題のアプリを1つ停止した。問題のアプリは、Jackeey
Wallpaperというもので、盗まれた著作権コンテンツが含まれていたという。
この問題によって、周知の信頼できるソースからのみアプリをダウンロードす
る重要性が浮き彫りになった。
http://www.telegraph.co.uk/technology/google/7918536/Google-Android-apps-collecting-personal-data.html
http://www.sfgate.com/cgi-bin/blogs/ybenjamin/detail?entry_id=68990

【編集者メモ】(Ranum)
このニュースに驚いた人はいるのか?「周知の信頼されたソースからのみダウ
ンロードする」という考え方においても解決するとは思えない。最終的に、攻
撃者はより高性能なソフトウェアを開発するようになる。そして、ソフトウェ
アの供給プロセスがコントロールできるようになると、それが論理的に次のア
タックの的となる。アプリに3-4カ月以内にデータ漏えいを引き起こすように
冬眠期間が設定されているかどうか、アプリケーションストアの管理者には知
る由もない。今我々が目の当たりにしているのは、長期的に続くひどい戦いに
おける初期段階としての序章にすぎないのだ。ソフトウェアのセキュリティと
いうのはパッチの発行だけにとどまらず、訓練を行うこと。産業界がそれに気
づけば、このような戦いは避けられるだろうに……。
────────────────

◆ホワイトハウス 国家安全保障書簡で要求される情報リストにインターネッ
ト活動を追加したい意向 (2010.7.29)
ホワイトハウスは、判事の承認なしにFBIが求めることのできるアイテムのリ
ストにルールを追加しようとしている。この新ルールによって、FBIの現地事
務所は、国家安全保障書簡を発行して企業に個人のインターネット活動の記録
を提出させることができるようになる。記録情報には、メールの送付先アドレ
ス、メールの送受信日時、閲覧履歴などが含まれる。メールメッセージの中身
は提出内容には含まれない。関係者によると、この変更によって、曖昧さが払
しょくされるとのこと。しかし、プライバシー支援者らはこの動きを、国家安
全保障書簡を通じてプライバシーが侵害されるという動向が継続するにすぎな
いと考えている。この書簡は、FBI現場事務所が当該事務所の権限で発行する
もので、そのレターの宛先の団体はリクエストされた情報をさし出すだけでは
なく、そのような要求があったことも内密にしなくてはならない。
http://www.washingtonpost.com/wp-dyn/content/article/2010/07/28/AR2010072806141_pf.html

【編集者メモ1】(Pescatore)
これは、その昔「ペンレジスタ」を使用して、裁判所命令を獲得する必要なく
通話の発着信番号を収集していた事例に似ている。これをメールアドレスにま
で範囲を広げているだけなので、何かが大きく飛躍したわけではない。しかし、
このようなルールにはもう少し明確な定義付けが必要だ。以前の定義とプライ
バシー侵害に関しては、通話内容の監視に焦点が当てられていたが、情報検索
やソーシャルネットワークにまで範囲が広がってくるとは考えられていなかっ
たようだ。
【編集者メモ】(Northcutt)
これはよくない。こういったことはいつも乱用につながるものだ。オバマ大統
領も、こういった権限の乱用には反対姿勢をとっていた。実際、彼は今でも
Webサイトで当時の約束を明言している。(少なくとも今のところは……)
http://www.nytimes.com/2010/07/30/opinion/30fri1.html?partner=rssnyt&emc=rss
http://www.barackobama.com/pdf/CounterterrorismFactSheet.pdf

【追加記事】
◆国家安全保障書簡の権限明確化でプライバシー上の懸念が浮上
(2010.8.2)
電気通信データの提出を求められるというFBIの権限内容が明確化するにつれ
て、抵抗の声が聞かれるようになった。関連のルールが変わったため、FBIは
国家安全保障書簡を使用すれば、裁判所の許可なくインターネットサービスプ
ロバイダ(ISP)から情報を獲得できるようになる。このレターの対象者となっ
た場合、対象者はその関連で何らかの嫌疑の容疑にかけられることはない。書
簡の要求で提出しなければならいものは、対敵諜報活動や対テロ捜査を行うう
えで適切と考えられる。しかし、国家安全保障書簡は近年乱用されている。上
院司法委員会委員長Patrick Leahy(バーモント州民主党)によると、「政府は、
我々の安全を確保するのに必要なツールを獲得するべきではあるが、米国市民
も個人的な電気通信やオンライン取引に対する不適切な侵害から守られるべき
である」と述べている。
http://www.washingtonpost.com/wp-dyn/content/article/2010/08/01/AR2010080103261_pf.html
────────────────

◆Webカメラで訴えを起こしたペンシルバニア州の高校2年生 (2010.7.27)
Lower Merion高校(ペンシルバニア州)の2年生が、学区とその学区の理事会、
監督者、学校職員2人を、ノートパソコンの盗難追跡プログラムを乱用して市
民の権利を侵害したとして訴えた。2010年2月、生徒の家族は同校がリモート
のWebカメラプログラムを使用して、自宅にいる彼の写真を撮影したことを受
けて訴訟を起こした。ノートパソコンの管理者らは、問題の彼は覚せい剤の錠
剤を飲んでいたと言っているが、彼の家族は「飴を食べていたに過ぎない」と
反論。同学区は、学区内の高校生に与えたノートパソコンに追跡プログラムを
インストールし、そのパソコンを紛失したり盗まれたりした場合はそれを使っ
て追跡できるようにしていたという。しかし最近になって、他の生徒がパソコ
ンをなくしたと報告。行方不明だったパソコンが見つかって彼に返されたとき
にはWebカメラの機能がオフになっていなかったため、彼の自宅でも彼の写真
が撮影されるという事態に陥ってしまった。また、このプログラムではコンピュ
ータのスクリーンショットを撮影することもできてしまうようだ。
http://www.wired.com/threatlevel/2010/07/webcam-spy-scandal-broadens/
http://www.wired.com/images_blogs/threatlevel/2010/07/hasan.pdf
────────────────

◆電力網の脆弱性 露呈 (2010.8.2)
電力網をコントロールしているコンピュータネットワークはセキュリティホー
ルだらけであることが、新しいエネルギー省の報告書で明らかになった。この
報告書は、2003年から2009年にコンピュータコントロールシステムの24の検査
結果をもとにまとめられたものだ。内容の多くは非常に基本的なことにすぎな
い。
http://online.wsj.com/article/SB10001424052748704905004575405741051458382.html

【編集者メモ】(Paller)
実際に使われているメカニズムや、SCADAの大手ベンダーがクライアントを保
護するための行っていることが、10月初旬にロンドンで開催される欧州SCADA
セキュリティサミット(Euro SCADA Security Summit)の重要なトピックになる
だろう。
http://www.sans.org/eu-scada-security-summit-2010/
────────────────

◆テキサス州の企業 詐欺取引で銀行に賠償請求を求める (2010.8.2)
テキサス州ダラスのHi-Line Supply,Inc.は銀行に対し、詐欺取引で5万ドルの
賠償請求を求めようとしている。Hi-Lineは、「銀行は、今まで企業と取引の
なかった個人に支払いが行われたのだから、その取引に対して慎重になるべき
である」と主張している。取引の要求は、銀行から物理的に1,500マイル以上
離れたIPアドレスから行われており、そのアドレスを使って取引が以前行われ
たことはなかった。しかも、取引額も通常の額ではなかったという。問題の詐
欺取引は去年の8月に行われた。Hi-Lineは裁判所に対し、問題の取引について
銀行が把握していた正確な事柄を明確にし、その内容を記した銀行の宣誓供述
書を求めさせることに成功している。
http://krebsonsecurity.com/2010/08/texas-firm-blames-bank-for-50000-cyber-heist/
【編集者メモ】(Liston)
はっきりさせておこう。自分自身を乗っ取られてしまうような状態にしてバン
キングのパスワードを盗まれたからといって、裁判所に乗り込んで、「銀行は、
もっとよく知っておくべきだった」と主張するのか?
────────────────

◆アラブ首長国連邦 10月11日付でブラックベリーサービスを禁止 (2010.8.1)
アラブ首長国連邦(UAE)の当局は、ブラックベリーのサービスのセキュリティ
についての懸念がなくなるまで、同サービスを停止すると決定した。電気通信
規制当局は、ブラックベリーメッセンジャー、ブラックベリーによるメールや
Webの閲覧を2010年10月11日付で一時停止する予定だ。ブラックベリーのデー
タが域外にエクスポートされ、外国企業がデータを管理していることで、懸念
が生じたという経緯がある。アラブ首長国連邦の報道機関によると、「今回の
決定は、特定のブラックベリーのサービスによって、ユーザーは法的責任を伴
わずに行動するようになるため、UAEにおいて、司法上、社会的、および国家
上のセキュリティの懸念が生じる」と述べている。このような統制上の問題が
あるのはUAEのみではない。ブラックベリーのデバイスによる通信ができない
と、懸念を示している国はほかにもあるようだ。
http://www.nytimes.com/2010/08/02/business/global/02berry.html?_r=1&partner=rss&emc=rss
http://www.nytimes.com/2010/08/03/technology/03blackberry.html?ref=technology
http://money.cnn.com/2010/08/01/technology/uae_blackberry/index.htm

【編集者メモ1】(Pescatore)
RIM(Research in Motion:ブラックベリーサービスを提供する企業)にとって、
自社サービスのセキュリティを示すのにこれに勝るマーケティングはないだろ
う。
【編集者メモ2】(Schultz)
噂によると、最近のブラックベリーのモデルには、対抗するソフトウェアが付
いているという。UAEは、ブラックベリーサービスを停止する前に、この可能性
を調査していたのだろうか?
────────────────

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■情報セキュリティソリューションセミナー<8月25日(水)開催>
~クラウドの利用拡大とセキュリティ対策、次の一手~
http://www.nri-secure.co.jp/seminar/2010/0825.html?xmid=12&xlinkid=01
1.次世代Firewall管理サービス~SaaS時代のインターネットアクセス環境~
2.DLP導入の勘所~情報漏洩対策の切り札~
3.WAFとDB Firewall導入の勘所~多層防衛のベストプラクティス~
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年7月29日 Vol.9 No.31)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Other Microsoft Products            3
Third Party Windows Apps            5
Mac Os                     1
Linux                      3
Solaris                     1
Unix                      1
Cross Platform                 33 (#1,#2,#3)
Web Application - Cross Site Scripting     9
Web Application - SQL Injection         6
Web Application                10
======================================================================
1.危険度【高】:QuickTime Playerのストリーミングデバッグエラーロギング
にバッファオーバーフローの脆弱性

<影響のある製品>
Windows 用 QuickTime 7.6.6 (1671)
<詳細>
Apple QuickTimeは、バッファオーバーフローのエクスプロイトに脆弱だ。こ
の脆弱性は、QuickTimeStreaming.qtx.の境界エラーに関連している。ベンダ
ーはこの脆弱性をまだ認めていないためパッチもリリースされていない。した
がって、悪用されるとコードを実行される事態に進展する恐れもある。この脆
弱性を悪用するには、攻撃者は悪意のあるファイルをダウンロードして閲覧す
るようにユーザーを誘い込まなくてはならない。これは悪意のあるサイトにタ
ーゲットを誘い込むという方法で行われる場合がある。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースされていない。

<参考>
ベンダーのホームページ
http://www.apple.com
SecurityFocus BID
http://www.securityfocus.com/bid/41962
────────────────

2.危険度【高】:Mozilla Firefoxのプラグイン引数配列処理に任意のコードを
実行される脆弱性

<影響のある製品>
Mozilla FirefoxのFirefox 3.6.8より前のバージョン

<詳細>
Mozilla Firefoxには、Invalid Freeの脆弱性がある。Firefoxのプラグインハ
ンドラーにエラーがあるため、アタッカーがそれを悪用すると現在ログインし
ているユーザー権限で任意のコードを実行できるようになってしまう。この脆
弱性は、未熟なまま解放されたプラグインインスタンスのパラメータ配列に含
まれるプロパティが原因で生じる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参照>
ベンダーのホームページ
http://www.mozilla.org
Mozilla Foundationノセキュリティアドバイザリ2010-48
http://www.mozilla.org/security/announce/2010/mfsa2010-48.html
SecurityFocus BID
http://www.securityfocus.com/bid/41933
────────────────

3.危険度【高】:Google Chromeにさまざまな脆弱性

<影響のある製品>
Google Chrome 5.0.375.125より前のバージョン

<詳細>
Google Chromeには、メモリ破壊の脆弱性2つと大きなキャンバスを処理する脆
弱性が1つある。Googleは、パッチを発行していない脆弱性の詳細をすぐには
公表しないため、これらのバグの深刻度を測るのは難しい。特に、これらのバ
グによって、任意のコード実行の可能性があるかどうかも不明なままである。
しかし、メモリ破壊の脆弱性については、コード実行に発展するおそれがある
ので注意が必要だ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.google.com
Google Stable Channelのアップデート
http://googlechromereleases.blogspot.com/2010/07/stable-channel-update_26.html
SecurityFocus BID
http://www.securityfocus.com/bid/41976
────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。