NRI Secure SANS NewsBites 日本版

Vol.5 No.32 2010年8月18日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.32 2010年8月18日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
セキュリティのヒーローになりたいのなら、あなたの組織でセキュリティの常
時監視を可能にすることが一番簡単な方法だ。これに関しては、米国政府が一
歩進んでいるようだ。現段階では、3局を除くそのほかすべての連邦政府部局
が、常時監視の計画・導入において前進している。少なくとも2つのシステム
インテグレータは、形式的な報告書作成の業務から、実際に新技術の導入を促
進する動きに転じている。この行動の変化もソリューションの1つであろう。
上下両院ともに強力なサポート体制でお互い連携しているほか、行政予算管理
局(OMB)や国土安全保障省(DHS)の行動内容も変化してきている。上下両院が新
サイバーセキュリティ法案で協力するようになれば、有効な対策が法制面にお
いても体系化されるだろう。しかし、見当外れの主張がまだ出回っているよう
だ。最新の議論では、常時監視の導入は、取って代わろうとしている報告業務
に比べるとコストが一層高くなると言われている。もしそうだとしても、増え
た分のコストに見合う価値があるのだ。しかし実際のところは、今までの報告
業務よりも7%コストが少なくなる。少なくとも、米国国務省においてはそう
だ。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~20日(土)■
!!世界中で最も受講されている2コースを実施!!

【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.62-63
(原版:2010年8月6日、8月10日配信)

◆RBS IT統制が手薄で罰金 (2010.8.5)
The Royal Bank of Scotland(RBS)は、IT統制に過失があっため5,600万ポンド
(8,900万ドル、8億5,000万円)の罰金を課された。RBSは、2006年に国境間取引
を検査するためにITシステムを導入したが、開始以来システムの正確性をテス
トしていなかったという。2年間で、問題のシステムは外国から入ってくる支
払い処理だけでなく、出て行く支払い処理についても、米国に向かうもの以外
は大半を見逃していた。
http://www.securecomputing.net.au/News/223608,bank-fined-97m-over-poor-it-governance.aspx

【編集者メモ1】(Schultz)
規制関連機関では、統制が欠如するという事態をますます深刻に取り扱ってい
る。不幸にも、情報セキュリティプラクティスについては、適切な情報セキュ
リティの統制がなされているところの方が稀である。
【編集者メモ2】(Paller)
組織は、実際にシステムを運用している人間をプログラムに関与させない状態
に置けば、その状態が「法に遵守している状態」になると考えている場合が多
いと私は思う。しかし、システム運用者に主導権がなければ、物事の検証もな
かなか行われないし、検証すらされないこともある。これこそ、常時監視に移
行するという動きが、今日のセキュリティで非常に重要視されるようになった
中心的な理由なのだ。セキュリティ従事者と法遵守(コンプライアンス)要員、
システム運用者間にパートナーシップを形成することこそが重要である。
────────────────

◆セキュリティのチェックポイントでボディスキャナー画像が保存される
(2010.8.4)
米国運輸保安局(TSA)が「ボディスキャン画像は保存・記録してはならない」
と請け合ったにもかかわらず、米国の空港や裁判所、その他の高度なセキュリ
ティ環境で撮られた身体スキャン画像が保存されていたケースが判明した。TSA
は、ある時点で、マシンが画像を保存してそれを送信できるように義務付ける
ことには合意したが、その機能は、デフォルトで有効にしてはならないと述べ
ていた。この問題は、情報公開法(FOIA)の電子プライバシー情報センター
(EPIC)が痕跡を入手したことで明るみなった。米国連邦保安局によると、同局
はフロリダ州の裁判所のチェックポイントでスキャンされた画像数万件をミリ
波デバイスから受け取り、それらを保存していたという。また、ワシントンDC
の連邦裁判所でテストされたマシンは、製造者に返却されたが、そこに保存さ
れていた画像はその製造者が保持しているという。
http://news.cnet.com/8301-31921_3-20012583-281.html
http://www.nextgov.com/nextgov/ng_20100804_3502.php?oref=topnews
────────────────

◆RIM 監視機能を求める政府に譲らず (2010.8.3-5)
ブラックベリーの親会社であるResearch in Motion(RIM)のプラクティスが、
サウジアラビアの規制に準拠していないため、サウジアラビアは、同国の携帯
端末プロバイダに対し、ブラックベリー端末へのサービスを8月5日で停止する
よう命じた。RIMの役員の1人は、「政府の圧力には屈するつもりはなく、政府
がブラックベリーの通信に介入できるようにすると、その他の顧客との関係に
損害を被る」と主張。今週はじめに、アラブ首長国連邦(UAE)も、セキュリティ
上の懸念が解決されない限り、10月11日付けでブラックベリーサービスのブロッ
クを開始すると発表。インドネシアもRIMに対し、政府が通信を監視できるよ
うに要請した。RIMのCo-CEOであるMichael Lazaridisは、「インターネットに
あるものは全て暗号化されている。したがって、これはブラックベリーだけの
問題ではない。インターネットに対応できないのなら、インターネット自体を
閉鎖するべきだ」と述べている。
http://www.computerworld.com/s/article/9180145/BlackBerry_maker_to_UAE_Saudis_No_3rd_party_can_access_encrypted_data_not_even_us?taxonomyId=17
http://www.nytimes.com/2010/08/04/technology/04rim.html?_r=1&partner=rss&emc=rss
http://money.cnn.com/2010/08/03/technology/Saudi_halts_BlackBerry_service.cnnw/index.htm
http://www.computerworld.com/s/article/9180182/Indonesia_presses_RIM_over_its_BlackBerry_service?taxonomyId=17
http://news.cnet.com/8301-1035_3-20012749-94.html

【編集者メモ】(Schultz)
サウジアラビアにとってのRIMは、中国にとってのGoogleと同様だ。

 <続報>
◆RIM サウジアラビアにサーバを3つ設置 (2010.8.6-9)
ブラックベリーの親会社、Research in Motion (RIM)は、サウジアラビアにサ
ーバを3つ設置し、これらのサーバをサウジアラビア政府管轄に置くことを許
可する意向だ。これによって、ブラックベリーのデバイスは、同国で使用禁止
となる見込みだったが、それが回避される可能性が高い。当局は、サーバをテ
ストしてそのアクセスのしやすさを確認し、それが当局の必須要件を満たして
いるかどうかを確かめる計画だ。レバノンも、RIMとの話し合いに乗り出し、
同国のセキュリティ関連当局が、ブラックベリーネットワークで行われた通信
を監視できるようにする意向だ。RIMは、カナダにあるサーバでブラックベリー
のデータを処理・保存していた。
http://www.theregister.co.uk/2010/08/09/rim_saudi_arabia/
http://abcnews.go.com/Business/wireStory?id=11361312
http://www.bloomberg.com/news/2010-08-09/research-in-motion-saudis-reportedly-reach-messaging-agreement-u-s-says.html
http://news.techworld.com/mobile-wireless/3234550/lebanon-also-looks-at-encrypted-blackberry-services/
【編集者メモ】(Honan)
これもまた、ドイツ政府が同国の大臣らがブラックベリーやiPhoneを使用する
ことをよく思っていないことに似ている。
https://red002.mail.emea.microsoftonline.com/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fred002.mail.emea.microsoftonline.com%2fowa%2f
────────────────

◆議員ら Webサイトのデータ収集についての回答を求める (2010.8.5)
米国下院議員Ed Markey(マサチューセッツ州民主党)とJoe Barton(テキサス
州共産党)が、15の主要Webサイトに対し、サイトが保持しているユーザー情報
の量とその情報の用途についての詳細情報を求めるレターを送付した。特に両
議員は、サイトが収集している情報の内容、その情報をどのように追跡に用い
ているか、サイトがその情報を販売しているかどうか、もし販売しているなら
いくらで販売しているかを知りたいようだ。議員らは、データプライバシーの
プラクティスについてウォールストリートジャーナル誌がまとめた最新のレポ
ートを受け、懸念を示したようだ。この議員らは、今年、プライバシー関連の
法案を推進しようと考えている下院エネルギーおよび商業対策委員会の上級メ
ンバーでもある。
http://www.computerworld.com/s/article/9180209/Lawmakers_question_data_collection_at_major_sites?taxonomyId=84
────────────────

◆コンピュータ修理エンジニア のぞき見で9ヶ月の懲役 (2010.8.6-9)
Grzegorz Zachodniが、詐欺未遂で9ヶ月の懲役に科されることとなった。
Zachodniはコンピュータの修理エンジニアで、おとり捜査で逮捕された。メモ
リに問題があるノートパソコンを修理に出すため、Zachodniの店に持ちこむと
いう形でその捜査は行われた。その際、そのコンピュータは、修理を行う人間
の動画を撮影し、アクセスされたファイル全てのログ記録がとれるように細工
されていた。Zachodniは、個人的な画像を閲覧し、ファイル内に見つけたパス
ワードを使用してオンライン銀行の口座にアクセスしようとしていたところで
捕まった。また、Webカメラの画像を見ても、Zachodniがアカウントへログイ
ンするための詳細情報と写真画像2つをフラッシュドライブにダウンロードし
ている姿が映っていたという。
http://www.finextra.com/news/fullstory.aspx?newsitemid=21680
http://www.techwatch.co.uk/2010/08/09/laptop-repair-hacker-caught-out-by-sky/
http://www.theregister.co.uk/2010/08/09/corrupt_comp_repair_tech_jailed/
【編集者メモ】(Northcutt)
コンピュータ修理店に関して、私もいつも懸念してはいたが、実際には今回の
事件以外にもいろいろあるのだろう。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年8月5日 Vol.9 No.32)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
Third Party Windows Apps           11
Linux                     2
Unix                      1
Novell                     1
Cross Platform                31 (#1,#2,#3)
Web Application - Cross Site Scripting    17
Web Application - SQL Injection        26
Web Application                34
Network Device                 2
======================================================================
1.危険度【高】:Adobe AcrobatおよびReaderのフォント解析にリモートのコー
ド実行の脆弱性

<影響のある製品>
Adobe Reader 9.3.3 までのバージョン
Adobe Acrobat 9.3.3 までのバージョン
Adobe Reader 8.2.3 までのバージョン
Acrobat 8.2.3 までのバージョン

<詳細>
Adobe AcrobatおよびReaderはinteger overflowのエラーに脆弱だ。ユーザー
を、悪意のあるPDFのダウンロードや閲覧をするよう誘い込み、アタッカーが
この脆弱性を悪用すると、任意のコードを実行できるようになってしまう。こ
のエラーは、ReaderのコードがTureTypeのフォントを解析する際に生じるエラー
が原因で引き起こされる。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
ベンダーのサイト
http://www.adobe.com
SecurityFocus BID
http://www.securityfocus.com/bid/42203
────────────────

2.危険度【高】:Apple iOSにセキュリティ回避とPDFファイル処理の脆弱性

<影響のある製品>
iOS 4.0.1 までのバージョン

<詳細>
Apple iPhoneのiOSには、権限のエスカレーションにより任意のコードを実行
できるようにしてしまう脆弱性がある。1つ目の脆弱性は、iOSがPDFファイル
にある特定のフォントをロードする方法にあるエラーが原因で生じる。2つ目
の脆弱性はカーネルにあり、権限の昇格ができるようになってしまうものだ。
ターゲットにファイルをダウンロードして閲覧するように仕向けることによっ
て、アタッカーは、これらの脆弱性を悪用し、iPhoneをジェイルブレイクする
のに十分な権限で実行できるコードを挿入できるようになってしまう。実際、
これらの脆弱性が、この目的で悪用されたケースもある。Appleは、この問題
を認めており、手軽に悪用できてしまうこの脆弱性のためにパッチのリリース
を準備しているとのこと。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
ベンダーのサイト
http://www.apple.com
SecurityFocus BID
http://www.securityfocus.com/bid/42151
────────────────

3.危険度【高】:Apple WebkitのSVGにさまざまな脆弱性

<影響のある製品>
Apple Safari 5.0.1より前のバージョン
Apple Safari 4.1.1より前のバージョン

<参考>
Apple WebKitは、Apple SafariやGoogle Chromeなど、広範に使用されている
Webブラウザで使用されているブラウザエンジンである。Appleはこのほど、こ
のWebKitにある2つのコード実行の脆弱性にパッチを適用した。このうち1つ目
の脆弱性は、WebKitのCSSの先頭文字のスタイルの処理に関連している。特定
の状況に置かれると、このスタイルのアプリは、メモリ破壊を引き起こすか、
コードを実行される状態に陥る。2つ目の脆弱性は、WebKitが行う特定のSVGタ
グの処理に関連している。これも特定の状況に置かれると、メモリ破壊やコー
ド実行に発展するおそれがある。ほか、WebKitにおいては、エレメントフォー
カス、インラインエレメント、テキストノードへの動的改変、SVC文書のフロー
ティングエレメント、SVG文書の'use'および'font-face'エレメント、
JavaScript文字列オブジェクト、ジャストインタイムに応じるJavaScriptのス
タブ、JavaScript配列、正規表現の処理が原因で引き起こされるメモリ破壊の
脆弱性もある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
SecurityFocus BID
http://www.securityfocus.com/bid/42020
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-141/
http://www.zerodayinitiative.com/advisories/ZDI-10-142/
■■ お知らせ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■

○情報セキュリティソリューションセミナー(8/25開催)
~クラウドの利用拡大とセキュリティ対策、次の一手~
http://www.nri-secure.co.jp/seminar/2010/0825.html?xmid=13&xlinkid=01

○クラウドサービス導入時のセキュリティコンサルティングおよび運用状況の
セキュリティ評価サービスを開始
~クラウドコンピューティングのあらゆる不安をワンストップで解決~
http://www.nri-secure.co.jp/news/2010/0728.html?xmid=13&xlinkid=02

○「サイバーセキュリティ 傾向分析レポート2010」を公開
http://www.nri-secure.co.jp/news/2010/0706_report.html?xmid=13&xlinkid=03

○SecureCube / Labeling Personal 新Versionリリース!無償配布中。
http://www.nri-secure.co.jp/service/cube/labeling.html?xmid=13&xlinkid=04

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。