NRI Secure SANS NewsBites 日本版

Vol.5 No.36 2010年9月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.36 2010年9月14日発行
**********************************************************************
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~20日(土)■
!!世界中で最も受講されている2コースを実施!!

     SANSトップインストラクター Mike Poorの講義は必見!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.70-71
(原版:2010年9月3日、9月7日配信)

◆判事談:FBIは容疑者の携帯電話の位置情報をリクエストする前に令状を取
得しなくてはならない (2010.8.31)
ニューヨーク州の連邦判事は、政府捜査員が、容疑者の追跡に携帯電話情報を
使用するには、事前に令状をとらなくてはならないという判決を下した。
James Orenstein判事のこの判決は、控訴裁判所の「連邦捜査官が内密に容疑
者の車にGPSデバイスを付け、大まかな居場所を突き止めようとするのは容疑
者の権利の侵害に値する」という判決に引き続いて下されたものだ。検察側は
自宅外にいる個人の位置を追跡する行為も物理的な偵察と同等だという1983年
の判例を引用したが、これに対しOrenstein判事は、「令状なしでの位置追跡
を様々な方法で行えるという、司法当局の一方的なリクエストを提出された判
事は、その捜査方法の合憲性を慎重に再精査しなければならないと考える。ま
た、そのような分析の必要性がないと主張するには、判例を持ち出すだけでは
十分とは言えないだろう」と述べた。
http://www.theregister.co.uk/2010/08/31/cellphone_data_protected/
http://regmedia.co.uk/2010/08/31/orenstein_csi_ruling.pdf
────────────────

◆コネチカット州保険局 厳格なデータ侵害ルールを新しく設置 (2010.8.30)
コネチカット州保険局が新たに導入したポリシーによると、コネチカット州で
事業を行っている保険会社は全て、5日以内に州の当局にデータ侵害発生の旨
を報告しなくてはならないという。この新ポリシーは、侵害されたデータが暗
号化されていたかどうかに関係なく、紙の記録と電子記録どちらも対象にして
いる。このルールは、健康保険情報が侵害された際に60日以内にその旨を報告
するように義務付けているものの、暗号化されたデータが侵害された場合、企
業にその報告を義務付けていないHITECH法よりも優先される。コネチカット州
は、健康保険情報の侵害には厳しいことで知られている。また、同州の司法長
官Richard Blumenthalは、最近初めて、HIPAAの違反容疑で保険会社を訴えた。
このポリシーは、健康管理機関、優先医療給付機構、損害保険会社、その他の
健康保険会社などに適用されるが、医師や病院はポリシーの要件の適用となっ
ていない。新ポリシーでは、侵害の及ぶ範囲を見て、それが通知に値するかど
うかを決定する選択肢を企業には与えていない。つまり、全ての侵害が通知の
対象になる。
http://www.govinfosecurity.com/articles.php?art_id=2880&rf=2010-09-01-eg
────────────────

◆ルートキット 64ビットのWindowsに感染(2010.8.26-30)
研究者らは、64ビットのWindowsの実装へ感染を広げるTDL3ルートキットの亜種
を検知した。TDL3はAlureonとしても知られており、今年はじめにユーザーが特
定のWinodwsパッチをインストールした際に次々に発生したWindowsクラッシュ
の原因である。Microsoftは、ルートキットの有無を検知できる新しいバージョ
ンのパッチをリリースし、ユーザーのコンピュータからマルウェアを除去する
パッチを提供している。64ビットのバージョンは、32ビットのバージョンより
も安全だと考えられているため、今回発見された64ビットのWindowsを感染させ
るルートキットの深刻度は高い。この特定のルートキットの新バージョンが、
巷でも検知されている。
http://www.esecurityplanet.com/features/article.php/3900936/New-64-Bit-Windows-Rootkit-Already-In-The-Wild.htm
http://www.dslreports.com/forum/r24720761-1st-x64compatible-kernel-mode-rootkit-infection-in-the-wild
http://blog.emagined.com/2010/08/30/what-next-a-64-bit-windows-rootkit/
【編集者メモ】(Schultz)
これは深刻に考えるべきことであり、ネガティブな動きである。64ビットの
Windowsシステムは、TDL3の最新のバージョンが出てくるまで、ルートキットの
感染には耐性があった。それは、Windows OSには以下の2つの保護対策があっ
たからだ。
1.電子署名チェックによって、悪意のあるドライバがカーネルメモリに入り込
むのを防いでいた。
2.Windowsカーネルパッチプロテクションによって、カーネルモードのドライ
バがWindowsのカーネルに変更を加えないようにしていた。
今回のルートキットがこの2つの保護対策を回避したということは、64ビット
のWindowsシステムのマルウェアに関するパンドラの箱が開けられてしまった
ことを意味する。
────────────────

◆Google Buzzを巡る訴訟の和解で850万ドル支払う (2010.9.3-6)
Googleには、2010年2月のGoogleのソーシャルネットワークサービス「Buzz」
のリリース時にユーザーのプライバシーを侵害していた疑いがかけられており、
団体訴訟を起こされていたが、このほど、850万ドルを支払って和解をしようと
している。この団体訴訟は、Googleに対する複数の民事訴訟を集約したもので
ある。この和解金は、その大部分が、主にインターネットプライバシーを扱う
団体に寄付されるようだ。この和解の提案内容については、これから連邦判事
の承認が必要になる。
http://www.theregister.co.uk/2010/09/05/google_buzz_suit_settlement/
http://www.bbc.co.uk/news/technology-11198297
http://www.computerworld.com/s/article/9183638/Google_settles_Buzz_privacy_lawsuit?taxonomyId=17

【編集者メモ1】(Pescatore)
この罰金額は、Googleの2010年度第2四半期の広告利益総額の0.12%程度か、
もしくはGoogleの一株あたりの配当2セントを総額換算で少し超えるくらいで
ある。つまり、さほど高い金額のようには思えない。しかし、罰金よりも重要
なのは、GoogleのBuzzは市場で失敗し、それ自体が絶滅してしまったというこ
とだ。プライバシー侵害の余波が、Buzzの失墜に一役買ったのだと思いたい。
【編集者メモ2】(Liston)
Googleは、初期こそは次々と成功をあげていったが、このところ、プライバシー
侵害事件や「製品」の失敗が目立つようになってきている。前述の2つの問題
は、実はたった1つの根底要因から来ている。その要因は、その昔「傲慢」と
呼ばれていたものだ。世論として「検索の最大手企業が手を広げすぎた」とい
う声が高まってきている。Googleは、この声を考慮しながら同社の方向性を再
考していく必要性があるだろう。
【編集者メモ3】(Schultz)
Googleの使命は、大衆があらゆる情報にアクセスできるようにすることだ。こ
れは立派な目的だが、Googleは、それを達成しようとして、厄介な法的障壁や
その他の障壁にますますぶつかるようになってきた。つまり、Googleの上級管
理職らは、同社のビジョンを改変する時期に来ているのだ。
────────────────

◆NIST スマートグリッドのセキュリティガイドラインを発行 (2010.9.2-3)
米国国立標準技術研究所(NIST)は、「スマートグリッド・サイバーセキュリティ
のためのガイドライン」を発表した。この3巻・537ページに及ぶ報告書は、
「阻止、検知、レスポンス、復元を集中的に行う各組織独自のスマートグリッ
ド・サイバーセキュリティ戦略の実行を容易にする」ことを目的としている。
この文書には、「ハイレベルなセキュリティ要件、リスク評価のフレームワー
ク、住宅でのプライバシー問題の評価、近代化するパワーグリッド(電力網)
をアタックや悪意のあるコード、カスケード故障、その他の脅威から防御でき
る戦略を作成するために事業や組織が使えるその他の情報」が掲載されている。
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=227300159
http://gcn.com/Articles/2010/09/03/NIST-Smart-Grid-security-guidelines.aspx?admgarea=TC_SECURITY&p=1
http://www.nist.gov/public_affairs/releases/nist-finalizes-initial-set-of-smart-grid-cyber-security-guidelines.cfm
http://csrc.nist.gov/publications/PubsNISTIRs.html#NIST-IR-7628

【編集者メモ1】(Liston)
残念ながら、「スマートグリッド」は、後知恵の産物としてセキュリティを配
備した一連の技術の最新版にすぎない。我々のインフラを一層安全なものにし
ようという取り組みこそは賞賛に値するが、この期に及んで「セキュリティ戦
略」を持ち出すのには少し遅すぎたようだ。重要なのは、素晴らしい推奨策の
中に、既存の施行モデル用に改変できるものがあるかどうかである。
【編集者メモ2】(Pescatore)
スマートグリッドにより安全なセキュリティを内蔵する機会はまだあると考え
るか、それとも、NERC(電気信頼性評議会)/CIP(重要インフラ保護)のような法
遵守の管理団体が今後それを強制してくるだろうと思って放置するか。3巻の
第7章には、攻撃側の分析が掲載されているので、手はじめにそれを読まれる
とよいだろう。
【編集者メモ3】(Paller)
John Pescatoreのコメントには、NISTのSP800-53のような文書が、サイバー上
のリスク緩和に役立っているというよりは、むしろそれを悪化させているとい
う理由が説明されている。NISTは、3巻の第7章にある攻撃側の重要な情報を埋
もれさせてしまった(しかも、長々と350ページ以上におよぶ、197の各コント
ロールの非具体的な解説の後に……)。効果的なセキュリティの中心的信条は、
「攻撃発生を受けて防御を行う」ということ。つまり、最も重要なことを真っ
先に行わなければならない。言い換えると、ガイダンスはアタック側から始ま
り、それを基点に物事を整理整頓すべきなのである。197ある推奨策のうち、
一番重要なものはどれなのだ? 一体どれを一番始めに導入すればよいのだ?
どうすれば、それらが効果的に導入されていることがわかるのだ? NISTが、
このあまりに基本的な質問への答えを知らないのなら、なぜ彼らがガイダンス
を書くのだ? ガイダンスの内容の優先順位づけをせずに、さほど差し迫って
いないものについての情報をあふれんばかりに読者に与えてしまったというこ
とで、この新レポートのNISTの成績は「D」どまりだろう。
────────────────

**********************************************************************
---特権ユーザのアクセス管理に待ったなし!---
 ≫ 監査法人からアクセス管理の不備を指摘され、すぐに対応したい!
≫ 内部犯行による情報漏えいをなんとかしたい!
≫ PCI DSSのデータ・セキュリティ要件に準拠したい!
≫ オフショア先の海外からのアクセス統制を実現したい!
≫ システム管理の運用負担を減らしたい!

        ▼▼▼それらのお悩みを解決▼▼▼

     「事例から学ぶ特権ID管理実践セミナー」開催中!
http://www.nri-secure.co.jp/seminar/2010/0907.html
**********************************************************************
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年9月2日 Vol.9 No.36)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            5 (#2)
Mac Os                     1
Linux                      3
HP-UX                      1
Novell                     1
Cross Platform                 16 (#1)
Web Application - Cross Site Scripting     1
Web Application - SQL Injection         5
Web Application                 5
Network Device                 2
======================================================================
1.危険度【高】:RealNetworks RealPlayerおよびRealPlayer SPにさまざまな
セキュリティの脆弱性

<影響のある製品>
RealPlayer 11.1およびRealPlayer SP 1.1.4より前のバージョン

<詳細>
RealNetworksは、RealPlayerにあるさまざまな脆弱性に対処できる更新をリリー
スした。MP3、MPEG-4、およびQuickTimeなど、さまざまなビデオやオーディオ
形式を再生できるマルチメディアプレーやとして広範にインストールされてい
る。問題となっている脆弱性には、不正形式のポインタ、QCPファイルの解析
時にRealPlayerのコードに生じるintegerオーバーフロー、および、ヒープベー
スのオーバーフロー、RealPlayerがMP4コンテンツをYUV420に転換する処理時
に生じる詳細不明の脆弱性、FLVファイルの解析時にRealPlayerのコードに生
じるさまざまなintegerオーバーフローの脆弱性などがある。アタッカーがこ
の脆弱性を悪用するには、悪意のあるファイルを開くようにターゲットを誘導
しなくてはならない。

<現状>
ベンダーはこの問題を認識しており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.realnetworks.com/
RealNetworksの更新
http://service.real.com/realplayer/security/08262010_player/en/
SecurityFocus BID
http://www.securityfocus.com/bid/42775
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-166/
http://www.zerodayinitiative.com/advisories/ZDI-10-167/
────────────────

2.危険度【高】:Apple QuickTimeのActiveX_Marshaled_pUnkにリモートのコー
ド実行の脆弱性

<影響のある製品>
Apple QuickTime

<詳細>
Apple QuickTime QTPlugin.ocxのActiveXコントロールには、コード実行の脆
弱性がある。このコントロールは、ユーザーが提供する_Marshaled_pUnkパラ
メータを正式なポインタとみなすため、アタッカーは、そのパラメータ用の値
として不正形式のポインタを引き渡せば、この脆弱性を悪用できるようになる。
アタッカーがこの脆弱性を悪用するには、悪意のあるWebサイトにターゲット
を誘導しなくてはならない。Appleは、この脆弱性にはまだ更新をリリースし
ていない。

<現状>
ベンダーはこの問題を認めているものの、更新はリリースしていない。

<参考>
ベンダーのサイト
http://www.apple.com/
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-168/
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。