NRI Secure SANS NewsBites 日本版

Vol.5 No.35 2010年9月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.35 2010年9月8日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
警察当局は、犯罪者が犯罪の証拠をコンピュータから計画的に消去してしまっ
た後に、その捜索を行わざるを得ないことが多々ある。先日我々は、SANSのフォ
レンジックコースの受講者から印象的な話をいただいた。フォレンジック分野
で働く人々や、この分野に進みたいと考えている皆様に役立つように、以下に
ご紹介する。
「フォレンジック捜査員がSANSのフォレンジックコース(Forensics508:Computer
Forensic Investigations and Incident Response 6日間コース)を受講中、
重要な事件が発生したので、受講途中で現場のフォレンジック捜査に戻らなけ
ればならなくなった。現場においてコンピュータの解析作業を行ったが、決定
的な証拠が見つからず困っていた。とりあえず、まだ開講していたコースに戻
り受講を続けたところ、何をすればいいかがつかめた。さっそくそれを捜査で
試みたところ、証拠として採用され得るものが見つかったとのことだ」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~20日(土)■
!!世界中で最も受講されている2コースを実施!!

     SANSトップインストラクター Mike Poorの講義は必見!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.68-69
(原版:2010年8月27日、8月31日配信)

◆国防総省 2008年にサイバーアタックがあったことを打ち明ける
(2010.8.25)
国防総省は、2008年に発生したサイバーアタックによって、ある外国の諜報機
関に米国軍のコンピュータシステムへのアクセスを獲得された経緯があるとい
う事実を認めた。このアタックは、中東にある米国軍のコンピュータに差し込
まれたUSBドライブから仕掛けられたことが追跡調査でわかった。国防副長官
William J.Lynn 3世がForeign Affairsに書いた記事によると、「問題のコー
ドは機密用システムと機密外システムの両方に検知されないまま広がり、デジ
タルの上陸拠点(バックドア)を設置後、そこから外国で制御しているサーバ
にデータを移行していた」という。
http://www.washingtonpost.com/wp-dyn/content/article/2010/08/24/AR2010082406528.html
http://news.cnet.com/8301-27080_3-20014732-245.html
http://www.nextgov.com/nextgov/ng_20100825_9203.php?oref=topstory
Lynn副長官の記事全容をご覧になりたい方はこちらへ:
http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain?page=show

【編集者メモ】(Schultz)
このアタックが広がった方法を見ると、SANSの「ピボットポイント」という用
語の信憑性を改めて感じる。それに、このようなアタックが機密用システムと
機密外システムの境界を越えてしまったのは問題である。
────────────────

◆サイバーセキュリティ 国防権限法案に付随される可能性高し (2010.8.25)
Tom Carper上院議員(デラウェア州民主党)は、「サイバーセキュリティ法案を
それのみで可決するのは難しい」ことを引き合いに出し、サイバーセキュリティ
法案を国防権限法案に付随させる形をとる可能性があると述べた。この法案は、
11月の中間選挙に先だって可決される見込みだ。サイバーセキュリティを国防
と組み合わせるのは理にかなっているとCarper議員は述べている。なぜなら、
サイバーセキュリティは国家のセキュリティ要素の1つだからだ。上院多数党
院内総務のHarry Reid氏は、サイバーセキュリティ法の原案作成に参加した数
々の委員会の委員長らに対し、各委員会の提案を単一の法案にまとめるように
要請した。
http://www.govinfosecurity.com/articles.php?art_id=2868&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+GovinfosecuritycomRssArticles+%28GovInfoSecurity.com+Articles+RSS%29

【編集者メモ】(Northcutt)
私の情勢分析によれば、これはLieberman、Collins、Carperの各上院議員が6
月に行った発表の派生形に思える。以下は当時発表された条項と現在のイニシ
アチブの支援者リストが見られるリンクである。これは我々の業界にとって興
味深いものになるだろう。
http://hsgac.senate.gov/public/index.cfm?FuseAction=Press.MajorityNews&ContentRecord_id=227d9e1e-5056-8059-765f-2239d301fb7f
http://www.tradingmarkets.com/news/stock-alert/msft_microsoft-corporation-others-support-lieberman-collins-carper-cybersecurity-legislation-1080748.html
────────────────

◆チューリッヒ保険 データ紛失で罰金(2010.8.24)
英国の金融サービス機構は、チューリッヒ保険の英国支店がその顧客4万6,000
人分のデータを紛失したため、同支店に対し、227万ポンド(353万ドル、約3
億円)の罰金を課した。問題のデータは暗号化されていないバックアップ用テー
プに保存されていたが、2008年8月にデータ保管センターに移行中、行方不明
となった。同社は、そのテープがなくなったことに1年も気づかなかったとい
う。この中には氏名や口座番号、クレジットカード情報、その他の財務情報な
どがあった。今回の罰金額は、本来あるべき額よりも少ない。これは調停の早
期段階で和解に合意したことによるが、そうでなければ325万ポンド(505万ド
ル、約4億3,000万円)を支払わなければならなかったことになる。
http://www.h-online.com/security/news/item/Lb2-28-million-fine-for-Zurich-Insurance-s-data-loss-1065336.html
http://www.bbc.co.uk/news/business-11070217
────────────────

◆弁護士ら Flashクッキーで訴えを起こす (2010.8.24)
プライバシー弁護士Joseph Malleyは、ユーザーが削除したクッキーを再生す
る技術をSpecifiredmedia社が使用していたとし、同社を訴えた。この告訴に
は、Quantcast技術を使用してクッキーを再生していたMTVやHuluに対する訴え
のほか、同様の処理を行うClearspringテクノロジーウィジェットを使用して
いるDisneyおよびDemandメディアに対する訴えも含まれている。これらの技術
はみな、ブラウザクッキーのコピーのストアにAdobeのFlashを使用している。
通常のクッキーを消去する作業はかなり簡単であるが、Flashクッキーについ
ては、ブラウザのプライバシーコントロールで管理できないため複雑化するこ
ともある。訴えによると、これらの企業はユーザーに対し、Flashの使用を告
知せずに情報を保存していたという。また、このようなFlashの利用は、州や
連邦政府のプライバシーやコンピュータセキュリティ法に違反しているとも主
張している。Flashクッキーによって、Webサイトは、従来のクッキーよりも25
倍多くの情報を保存できるようになるという。
http://www.wired.com/epicenter/2010/08/specificmedia-zombie-cookie/
http://www.zdnet.com/blog/btl/ad-network-at-center-of-third-flash-cookie-lawsuit/38346
http://www.wired.com/images_blogs/epicenter/2010/08/No.-1-Attachement-1.pdf
────────────────

◆ブラックベリー インドで2カ月間の一時救済措置受ける(2010.8.30)
ブラックベリーの親会社のResearch in Motion (RIM)はインド当局に対し、安
全保障局に特定のブラックベリー通信にさらに多くアクセスできるようにする
という提案をした。この提案をインド当局が吟味する間、当局はブラックベリー
サービスの使用禁止令を60日間延期することにした。インドは、暗号化された
RIMの社内メールへリアルタイムでアクセスできるように要求しているが、RIM
は、同社も暗号化キーを持っていないのでそのリクエストには応じられないと
答えている。RIMの競合他社であるNokiaは、インドにサーバを設置し、政府が
通信を監視できるようにすることに合意している。
http://www.nytimes.com/2010/08/31/technology/31rim.html?ref=technology
http://money.cnn.com/2010/08/30/technology/blackberry_india/index.htm
http://www.ft.com/cms/s/0/59b81154-b457-11df-8208-00144feabdc0.html
http://www.computerworld.com/s/article/9182679/RIM_gets_60_days_reprieve_India_evaluates_its_BlackBerry_proposals?taxonomyId=17
http://www.google.com/hostednews/ap/article/ALeqM5it_73CxzMozqkSOODLh2r7aCIlLwD9HTRNM82
────────────────

◆Horohorin  RBS WorldPayのケースで起訴される (2010.8.30)
Vladislav Anatolievich Horohorinは、RBS WorldPayに対するアタックに関連
して有線通信不正行為、およびアクセス用デバイス不正行為の嫌疑をかけられ
ている。当局によると、問題のサイバー窃盗犯グループは、「史上で最も高度
かつ組織的なコンピュータ詐欺アタック」を駆使して、決済カード処理会社か
ら950万ドル(約8億円)を盗み出したという。同グループは、RBSのシステム
に侵入して情報を盗み出し、それを使ってカードのクローンを作成してカード
の上限額を引き上げていたようだ。世界中にいるグループのメンバーの協力の
下、2008年11月8日の12時間の間でATMから現金を引き出している。Horohorin
はフランスで捕えられ、前述とは別のアクセス用デバイス不正行為の罪状で送
還を待っている状態だ。
http://www.wired.com/threatlevel/2010/08/badb-rbs-worldpay-hack/
http://www.wired.com/images_blogs/threatlevel/2010/08/rbs-supercediing-indictment.pdf
http://www.theregister.co.uk/2010/08/07/rbs_worldpay_extradition/
────────────────

◆バージニア州政府局で大規模な機能停止(2010.8.27-30)
バージニア州情報技術局(VITA)で、ストレージエリアネットワーク(SAN)のメ
モリカードに障害が発生し、少なくとも24の政府局が業務を遂行できない状態
に陥った。影響のあった政府局としては、車両関連の部局、社会事業局などが
あげられる。それぞれ、免許を発行できなかった、もしくは手当を支給できな
かったケースがあったようだ。障害が発生したデータセンターは、Northrop
Gruman社によって運営されていたという。
http://www.computerworld.com/s/article/9182719/Update_Virginia_s_IT_outage_continues_3_agencies_still_affected?taxonomyId=17
http://hamptonroads.com/2010/08/massive-computer-outage-halts-some-va-agencies
http://www2.starexponent.com/news/2010/aug/27/state-struggles-computer-failures-ar-475821/
【編集者メモ1】(Northcutt)
バージニア州は、ブレードや仮想化を早期に適用した州だ。その利点と経済的
意義は明らかである。今回の機能停止は、訓戒的なストーリーになるに違いな
い。仮想化は、小さなバスケットにたくさんの卵を詰め込む状態になるので、
運営計画の続行が不可能になると、ダウンしたときの衝撃も大きい。
【編集者メモ2】(Schultz)
これは、クラウドサービスに障害が発生するとどのような事態に陥るかを示し
たよい例だ。クラウドサービスの本当のリスクも、その可用性が失われたとき
の計画についても、一般ユーザーにはあまり認識されていない状態にある。
────────────────

**********************************************************************
---特権ID管理・アクセス管理分野でのシェアNo.1---
【 SecureCube / Access Check 】

  >> 特権ID管理と監査ログ管理を短期・安価で実現
>> しかもエージェントレス

    「事例から学ぶ特権ID管理実践セミナー」毎週開催中!
お申込みはこちら→ http://www.nri-secure.co.jp/seminar/2010/0907.html
**********************************************************************
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年8月26日 Vol.9 No.35)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            3
Linux                      4
BSD                       1
Cross Platform                 9 (#1,#2)
Web Application - Cross Site Scripting     6
Web Application - SQL Injection         1
Web Application                 7
Network Device                 2
======================================================================
1.危険度【高】:Google Chromeにさまざまな脆弱性

<影響のある製品>
Google Chrome 5.0.375.127より前のバージョン

<詳細>
Googleは、Google Chromeに影響を及ぼすさまざまな脆弱性に対し、最近更新
をリリースした。これらの脆弱性の深刻度は不明であるが、いくつかはメモリ
破壊の脆弱性で、コードの実行に悪用される場合が多々あるという。問題のメ
モリ破壊の脆弱性には、ファイル・ダイアログやスケーラブル・ベクトル・グ
ラフィックス(SVG)、MIMEタイプ処理、Rubyサポート、地理位置情報サポート
などがある。これらの脆弱性を悪用するには、ターゲットを悪意のあるサイト
に誘導しなくてはならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Stable Channelの更新
http://googlechromereleases.blogspot.com/2010/08/stable-channel-update_19.html
SecurityFocus BID
http://www.securityfocus.com/bid/42571
────────────────

2.危険度【高】Adobe Shockwave Playerにコード実行の脆弱性

<影響のある製品>
Adobe Shockwave Player

<詳細>
Adobeは、コード実行につながるようなさまざまな脆弱性に対処するために、
Shockwave Playerにパッチをリリースした。問題の脆弱性は、Shockwaveの3D
オブジェクトやディレクタ・ファイルの処理にエラーがあるために生じる。攻
撃者がコード実行に至るこれらの脆弱性を悪用するには、ターゲットを悪意あ
るサイトに誘導しなければならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb10-20.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-160
http://www.zerodayinitiative.com/advisories/ZDI-10-161
http://www.zerodayinitiative.com/advisories/ZDI-10-162
http://www.zerodayinitiative.com/advisories/ZDI-10-163
http://www.zerodayinitiative.com/advisories/ZDI-10-164
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。