NRI Secure SANS NewsBites 日本版

Vol.5 No.33-34(合併号) 2010年9月2日発行

**********************************************************************
         NRI Secure Security Information
        (SANS NewsBites、@RISKサマリー版)
              Vol.5 No.33-34(合併号) 2010年9月2日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
ワシントンDCで12月10日から17日まで開催される「SANS Cyber Defence
Initiative 2010」のプログラム情報がWebで公開された。このイベントでは、
軍や重要インフラ事業者でセキュリティ上の重要な役割を担う人々のために、
最新かつ非常に高度なコースを多数提供する。これらのコースは、世界中のど
のトレーニングと比較しても、最も高度で実践的なセキュリティトレーニング
だ。詳しくはこちら:
http://www.sans.org/cyber-defense-initiative-2010/
また、9月19日から27日に「SANS Network Security 2010」がラスベガスで開
催される。講習コースは40あり、ボーナスとして開催される午後のプレゼン
テーションには、「The Return of Command Line Kung Fu」、「Cyberwar or
Business as Usual?」「The State of US Federal CyberSecurity Initiative
s」などの興味深いセッションが多数。
http://www.sans.org/network-security-2010/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~20日(土)■
!!世界中で最も受講されている2コースを実施!!

     SANSトップインストラクター Mike Poorの講義は必見!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.66-67
(原版:2010年8月13日、8月17日配信、2010年8月20日、8月24日配信)

◆インド ブラックベリー通信へのアクセスを求める (2010.8.12)
インド政府は、ブラックベリーの親会社のResearch in Motion(RIM)に対し、8
月31日までに、インド警察がブラックベリー・エンタープライズ・サーバ
(BES:BlackBerry Enterprise Server)とブラックベリー・メッセンジャー
(Blackberry Messenger)からのデータストリームへアクセスできるようにする
よう申し入れた。8月31日までに適切な準備が整わなかった場合、インドは同
国内におけるブラックベリーの電子メールとインスタントメッセージサービス
をブロックする意向。サウジアラビア国内にサーバを設置するということで、
RIMは最近サウジアラビアと合意に達しているが、インドにおいてもこのアイ
デアを示し、実行可能な解決策を提案していく可能性がある。
http://www.computerworld.com/s/article/9180563/Indian_government_to_meet_operators_over_the_BlackBerry?taxonomyId=145
http://www.v3.co.uk/v3/news/2268076/india-wants-access-blackberry
http://news.cnet.com/8301-30686_3-20013451-266.html?tag=nl.e703

【編集者メモ1】(Pescatore)
RIMは、「特定の国だけを特別に扱うような行為はしないという合法的なアク
セス要件を、一貫的かつグローバルな基準として維持する」と、発言の中で述
べている。いずれにしろ、現在、ブラックベリーのメッセンジャーサービスは
強力に保護されているわけではないのに、どうしてこの問題が何度も浮上して
くるのかがわからない。しかしながら、特定者がBESにアクセスできるような
るというのは、大きな問題である。
【編集者メ2】(Skoudis)
ああ、とうとうダムが崩れてしまった。現在はほとんどの国で同様のことが推
進されているのだろう。国家を統治するうえでの利益が根底にあるのだとは思
うが……。
【編集者メモ3】(Honan)
インド政府も、SkypeやGoogle、その他の通信サービスへ介入したいようだ。
http://www.itworld.com/security/117278/india-may-put-restrictions-skype-and-google?source=itw_rss&utm_source=twitterfeed&utm_medium=twitter
────────────────

◆投票マシン製造企業 票の抜け落ちでオハイオ州市町村に和解金の支払い
(2010.8.12)
Premier Election Solutionsは、2008年3月に行われたオハイオ州の予備選挙
で票が抜け落ちていたために発生した損害について和解するため、マシンの差
し替えや、無償のソフトウェアライセンス、保守管理契約の割引などを通じて
総額240万ドルを支払うことに合意した。この和解は、故障が発生したマシン
や、票が抜け落ちた投票マシンに関して、オハイオ州のJennifer Brunner州務
長官が起こした訴えを受けて行われたものだ。この和解内容は、欠陥のあるマ
シンを使用した47の市町村に適用される。合意内容の条項を受け入れるか否か
を決めるのは、各市町村に委ねられている。Premier社は以前、Diebold社の一
部であったが、Election Systems & Softwareに買収された経緯がある。
http://www.computerworld.com/s/article/9180612/Former_Diebold_e_voting_unit_settles_Ohio_lawsuit?taxonomyId=144
http://www.businessweek.com/ap/financialnews/D9HHUHRG1.htm
────────────────

◆ICO談:GoogleのWi-Fiデータ収集のケースはまだ解決せず (2010.8.12)
英国の情報長官事務局(ICO)は、GoogleがStreet View用に情報や画像を収集
しながら個人情報も収集していた件に関して、他国で判明した事項も議論して
いく意向だと述べている。この発言は、数週間前にICOが述べた発言とは立場
を変えているようにも見受けられる。先の発言でICOは、Googleが収集してい
たデータのいくつかを検査し、それらは危害のないものだと見なしたと述べて
いた。ICOは、自局にはGoogleが侵害したと思われる法や規則(通信の傍受)
について、それらに準拠するように強制する権限が欠如していることを挙げ、
今回の新しい発言で姿勢を変えたことを弁明している。この違反行為は、捜査
権限規制法(RIPA:the Regulation of Investigatory Powers Act)違反に該当
する。ICOにこのケースについての権限が欠如していることで、英国のプライ
バシーおよびセキュリティ法に、一層根深い問題があることが浮き彫りになっ
た。英国政府が、民間企業による通信傍受を規制する権限を確立しなければ、
Googleは欧州委員会(EC)の法的措置を受けることになろう。
http://www.theregister.co.uk/2010/08/12/ico_google/
【編集者メモ】(Honan)
法の規制や施行の責任を担う人が、善悪の区別がはっきりつかないのに、企業
に法に従うようにどうやって求めることができようか? 英国のデータ保護法
の第一原則では、企業に対して個人情報を正当かつ法的に処理することを義務
付けている。誰かのワイヤレスネットワークを告知・許可なしに利用して、デ
ータを傍受し個人情報を収集する行為は、この原則に則っていないように思え
るのだが……。
────────────────

◆判事 米国セキュリティレターの異議申立てにあるかん口令の一部解除を許
可(2010.8.10)
あるインターネットサービスプロバイダ(ISP)とセキュリティコンサルティン
グ企業のオーナーが、2004年2月に特定の顧客の記録の提出を求める米国セキュ
リティレター(NSL)に応じた。今になって、NSLに伴うかん口令の一部が解除と
なったため、関係者のNicholas Merrillが、そのケースについて話をすること
が可能となった。NSLを受け取った者は、当該機関が求めた内容についての詳
細はもとより、その通知を受け取った事実すら認めてはいけないことになって
いる。今回のケースでNicholas Merrillは、彼に執行されたNSLについての訴
訟を起こした。Merrillは、レターにおいて弁護士に連絡しないように強要さ
れているにもかかわらず、レターを受け取った後弁護士に連絡をとった。彼曰
く、「私は米国民であるのだから、いつでも弁護士に連絡をとる権利がある」
とのこと。Merrillの訴えは匿名の下に行われ、顧客記録は憲法上保護される
べき情報であることから、レターの合法性を問うている。NSL関連の法は、レ
ターを受け取った者がレターやそのかん口令に対して異議申し立てできるよう
に、最近変更された経緯がある。そのためFBIは、裁判所に対してNSLについて
の情報開示が米国の安全保障において有害であることを証明できるものを提出
しなくてはならない。
http://www.wired.com/threatlevel/2010/08/nsl-gag-order-lifted/
http://www.washingtonpost.com/wp-dyn/content/article/2010/08/09/AR2010080906252_pf.html
────────────────

◆Network Solutionsのホスティングサイト マルウェア感染の温床に!?
いた(2010.8.16)

Network SolutionsがホスティングしていたWebサイトのうち50万から500万件
が、マルウェアをサイトの訪問者に供給してしまうウィジェットに感染してい
た。問題のウィジェットは、パーキングサイトの全てにデフォルトでインストー
ルされていた。これに感染した各ドメインは、Drive-byアタックのサイトに変
えられてた。Network Solutionsは、パークドメインにある"Small Business
Success Index"ウィジェットを無効にしたが、ウィジェットが手動でダウンロー
ドされたケースもあるという。これらのサイトのオーナーは、なるべく早くウィ
ジェットを除去するように要請されている。
http://krebsonsecurity.com/2010/08/networksolutions-sites-hacked-by-wicked-widget/
http://www.computerworld.com/s/article/9180783/Malicious_widget_hacked_millions_of_Web_sites?taxonomyId=17
http://news.cnet.com/8301-27080_3-20013751-245.html?tag=mncol;title
Update: Network Solutions pulls widget that tainted up to 5m websites
http://www.theregister.co.uk/2010/08/17/net_sol_tainted_widget/
────────────────

◆Rim インド政府にメッセージ監視機能を提供 (2010.8.16)

ウォールストリートジャーナル誌によると、ブラックベリーの親会社の
Research in Motion (RIM)は、インド政府に対し、ブラックベリーのデバイス
で送信されたメールやテキストメッセージを監視できるツールを提供したとい
う。このツールでは、政府がメッセージを全て読むことはできないようになっ
ている。Blackberry Enterprise Serverは、全てのメッセージを暗号化してい
るが、RIMにはその暗号を解読する能力はない。しかし、Blackberry Internet
Serviceメッセージは圧縮されてはいるものの、ユーザーが暗号化ソフトウェ
アを使用しなければ暗号化されない。インド政府は、政府の求めるデータへの
アクセス条件が満たされなければ、同国内でのRIMサービスを禁止するとRIMを
脅した経緯がある。
http://www.h-online.com/security/news/item/RIM-offers-Indian-government-surveillance-tools-1059387.html
http://www.thestar.com/business/companies/rim/article/848624--rim-to-give-india-partial-access-reports
────────────────

◆研究者ら 車の警報システムをワイヤレスでハッキング (2010.8.12-13)
研究者らによると、動いている車のワイヤレス警報システムにアクセスできる
アタックを開発したという。この実験では、偽のタイヤ圧警報メッセージを車
に送信した。2008年より米国では、タイヤ圧監視システムが必須となっている。
今回の実験で、最長40メートルの距離で、走行中の車2台の間で前述のメッセー
ジが送信された。先週ワシントンDCで開催されたUnsenixセキュリティシンポ
ジウムで、この研究結果が発表された。今年始め、他の研究者グループも、エ
ンジン、ブレーキ、その他のシステムをコントロールする車搭載のコンピュー
タネットワークに対するアタックを開発したと発表している。
http://www.csmonitor.com/USA/2010/0813/Scientists-hack-into-cars-computers-control-brakes-engine
http://www.theregister.co.uk/2010/08/13/car_sensor_wireless_hack/
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=226700146&subSection=All+Stories
────────────────

◆GAOの報告書:官民のサイバー脅威情報の共有 期待値には達せず
(2010.8.17-18)
米国政府説明責任局(GAO)の報告書によると、産業界と政府間での情報共有は、
期待値に達していないという。民間団体によると、政府は「利用可能でタイム
リーかつ実行可能なサイバー脅威情報や警告」を提供していないため、情報を
得たとしてもそれを利用するにはあまりにも内容が曖昧とのこと。政府が民間
部門と共有してよい情報に制限があることが、一部として問題につながってい
るようだ。米国の重要インフラのほとんどは民間が運営しているため、官民の
情報共有が必要だ。情報共有の監査は、2009年6月と2010年7月に実行された。
http://fcw.com/articles/2010/08/17/web-cybersecurity-information-sharing.aspx?admgarea=TC_SECCYBERSEC
http://www.nextgov.com/nextgov/ng_20100818_4830.php?oref=topnews
http://www.gao.gov/new.items/d10628.pdf
────────────────

◆Google スペインでプライバシーの苦情申立てを受ける (2010.8.17-19)
スペインの判事はGoogleの代表者に対し、同国のStreet Viewデータ収集プラ
クティスに対する正式な苦情に対応すべく10月に出廷するように命令した。問
題の苦情は、スペインの民間の監視団体Apedanicaによるもので、同団体は
「Googleの行動は、承認なしの通信データの傍受・収集を禁じるスペインの法
に違反している」と主張している。判事は、収集されたデータの内容、収集方
法、このデータ収集で影響を受ける人の人数を把握したい意向だ。
http://www.securecomputing.net.au/News/229231,spain-hits-google-with-street-view-lawsuit.aspx
http://www.nytimes.com/2010/08/18/technology/18google.html?src=busln
────────────────

◆ドイツ Street View問題を受けて新ルールを考慮 (2010.8.17-19)
ドイツ政府は、GoogleのStreet Viewのデータ収集のプラクティスに問題があ
ることが発覚したため、新ルールを設ける可能性があるという。政府は、
Googleや他社の代表者らと会合を行う計画だ。Googleは、ドイツ市民が
「Street Viewにある自宅の画像の除去をリクエストできる」ように、ドイツ
でオンラインのツールをリリースした。公的圧力を受け、Googleはこのツール
の利用期間を2010年10月15日までに延長した。
http://www.msnbc.msn.com/id/38756064/ns/technology_and_science-security/
http://www.zdnet.com/blog/google/germany-gets-new-privacy-tool-from-google/2382
http://www.google.com/hostednews/ap/article/ALeqM5jEzBqjxVsTYM7m6Q2LXRSWN9_YDQD9HMLJM00
────────────────

◆判事 Spanairの航空機墜落死亡事故に関連したマルウェアの証拠を捜査
(2010.8.20-23)
スペインの判事は、2008年に搭乗客172名中154人が死亡した航空機墜落事故の
発生前にシステムの障害で警告が発せられていたことと、Spanairのコンピュー
タシステムにあったマルウェアとの関連性を捜査する意向だ。この墜落事故の
正式な原因とされているのは、パイロットのミスである。パイロットが、機体
の離陸用フラップとスラットを伸ばしていなかったことが判明した。しかし、
捜査によって、パイロットにフラップとスラップが伸ばされていないことを警
告する警告システムが事件当日に発せられていなかったことが明らかになった。
さらに、この事故以前にも2回、同様に警告が発せられていなかったことがわ
かった。それぞれの障害のケースがログに記録されているとされるSpanairの
管理維持システムが、マルウェアに感染していたようだ。問題が修正されるま
で航空機が離陸できないように警告を発せなければならないところ、それがで
きなかった回数が3回もあったことになる。判事は、Spainairに事故発生前の
数日間のコンピュータのログを提出するように要請。マルウェアの感染は、フ
ラッシュドライブを介して広がっているもよう。
インターネットストームセンター:
http://isc.sans.edu/diary.html?storyid=9433
http://www.securecomputing.net.au/News/229633,trojans-linked-to-spanish-air-crash.aspx
http://www.informationweek.com/news/security/management/showArticle.jhtml?articleID=226900089
http://content.usatoday.com/communities/technologylive/post/2010/08/infected-usb-thumb-drive-implicated-in-deadly-2008-spanair-jetliner-crash/1?loc=interstitialskip
http://www.theregister.co.uk/2010/08/20/spanair_malware/
http://www.msnbc.msn.com/id/38790670/ns/technology_and_science-security/
http://news.cnet.com/8301-1009_3-20014237-83.html?tag=mncol;title

【編集者メモ】(Schultz)
これは、とても重要な事態の変化になりうる。154名の死が、マルウェアの存
在によるものだとすると、企業の役員や政府の関係者らも、今よりも一層真剣
にセキュリティのリスク管理に乗り出すようになるだろう。
────────────────

◆議員ら 保存されていた身体のスキャン画像について米国連邦保安局から回
答を求める (2010.8.20)
米国議会議員らは、なぜフロリダ州の裁判所で撮影された身体のスキャン画像
が米国連邦保安局に保存されていたのかを知りたいようだ。Joe Lieberman上
院議員(コネチカット州無所属)とSusan Collins議員(メーン州共和党)は保安
局に対し、市民のプライバシーが侵害された可能性があるという懸念を示した
レターを送付した。このレターには、ほかにDaniel Akaka上院議員(ハワイ州
民主党)、Thomas Carper上院議員(デラウェア州民主党)、Saxby Chambliss上
院議員(ジョージア州共和党)、Johnny Isakson上院議員(ジョージア州共和党)
の署名もあった。同局が電子プライバシー情報センター(EPIC)の情報公開法
(FOIA)リクエストを受け取るまで、保存された画像情報にアクセスされること
はなかったようだ。保安局は、問題の画像は管理パスワードなしに閲覧するこ
とはできないと述べている。また、同局は画像はぼやけているので個人の特定
や性別もできないと断言しているが、議員らは、なぜその画像が保存されるに
至ったのかという理由を知りたいもよう。そのほか、身体スキャン技術が使用
された場所が他にもあるのかどうか、それらの場所でも画像は保存されたのか、
そして保存されたのであればその理由も知りたいようだ。
http://www.nextgov.com/nextgov/ng_20100820_1563.php?oref=topnews
http://hsgac.senate.gov/public/index.cfm?FuseAction=Press.MajorityNews&ContentRecord_id=8c23ed55-5056-8059-761a-a21459c5b48f
────────────────

**********************************************************************
情報セキュリティソリューションセミナーin大阪<9/8開催>
http://www.nri-secure.co.jp/seminar/2010/0908.html?xmid=18&xlinkid=01
第一部:中国における情報セキュリティ
第二部:クラウドでの情報セキュリティ、ソリューション紹介
**********************************************************************
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年8月19日 Vol.9 No.34)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    4
Third Party Windows Apps            3
Linux                     1
Cross Platform                19 (#1)
Web Application - Cross Site Scripting     4
Web Application - SQL Injection        8
Web Application                14
Network Device                 4
======================================================================
1.危険度【高】:Operaにヒープのバッファオーバーフローの脆弱性

<影響のある製品>
Opera 10.61より前のバージョン

<詳細>
Opera Softwareが、ヒープバッファオーバーフローの脆弱性に対処するために
同社製Webブラウザにパッチをリリースした。問題は、HTML5キャンバスにおけ
るペインティングオペレーションに関連している。Operaによると、さらなるテ
クニックを使えば、アタッカーはこの脆弱性を使用してターゲットのマシンに
任意のコードを実行できるようになってしまうという。アタッカーがこの脆弱
性を悪用するには、悪意のあるサイトにユーザーを誘導しなくてはならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.opera.com
Operaのセキュリティアドバイザリ
http://www.opera.com/support/kb/view/966/
────────────────

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。