NRI Secure SANS NewsBites 日本版

Vol.5 No.39 2010年10月6日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.39 2010年10月6日発行
**********************************************************************
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込みはお早めに!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~ 20日(土)■
!!世界中で最も受講されている2コースを実施!!

    SANSトップインストラクター Mike Poorの講義は必見!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.76-77
(原版:2010年9月24日、9月29日配信)

◆判事の見解:Hannafordのケースでは悪意・損傷どちらもなし(2010.9.22)
メーン州最高裁判所は、食品スーパーのチェーンであるHannaford Bros.で発
生したセキュリティ侵害について、個人情報を侵害された人は、それにより具
体的な財務的損失を被っていない限り、損害賠償を求めてはならないとの判決
を出した。侵害発生後に決済カードや銀行口座を変えるなど、影響を受けた顧
客は、時間と労力を費やしたということで賠償を求めていたが、この判決によっ
て顧客らによる集団訴訟に終止符が打たれたことになる。これにより、このケー
スを当初審理した判事は、ある女性一人以外の全ての苦情を却下することになっ
た。その女性は、彼女のカードに生じた不正請求について銀行から払い戻しを
まだ受けていないために苦情を申し立てていた。
http://www.computerworld.com/s/article/9187340/Maine_court_limits_damage_claims_in_data_breach_cases?source=rss_news
────────────────

◆T-Mobile メールブロックについての訴えの却下を求める (2010.9.22-23)
T-Mobileは、携帯メール企業 Ez Textingがワイヤレスプロバイダに対して起
こした訴えを却下するように求めている。EZ Textingによると、T-Mobileは、
医療用大麻のサイトからのメールをブロックし、これが連邦通信ルールを侵害
したという。しかしT-Mobileによると、問題のメールをブロックする決断は、
コンテンツを理由に下されたのではなく、Ez Textingが、問題視されているサ
イトのショートコードについて承認を求めなかったことで、問題の契約の条項
に違反したからだという。T-Mobileは、ネットワーク上で、どのメールを送信
するかを決める権利は同社にあると主張している。問題となっているのは、無
線のキャリアが、有線電話サービスプロバイダの統制に使用されている「運ば
なければならないもの」の必須要件の対象となるかどうかである。
http://www.wired.com/threatlevel/2010/09/text-message-censorship/
http://voices.washingtonpost.com/posttech/2010/09/t-mobile_asks_court_to_reject.html
────────────────

◆無料アンチウィルスソフトウェアの精度向上で有料製品の精度向上も促進さ
れる (2010.9.22)
無料のアンチウィルスソフトが増加しているため、有料のアンチウィルス製品
のベンダーらは、自社製品の精度向上に励んでいる。無料のアンチウィルス対
策で得られる最も重要な利益としては、アンチウィルス技術の利用者が増加す
ることによって、サイバー犯罪者らの活動の場が縮小することが挙げられる。
この傾向によって、有料製品のプロバイダは、なぜ「有料」なのかを実証する
必要性が出てきた。USA Todayが行ったアンチウィルスプログラムについての
調査によると、無料パックには、ファイアウォールやWebサイトの安全度チェッ
ク、自動更新、カスタマーサポートがない場合があるという。有料のシステム
の中には、予測技術やクラウドコンピューティングを使用しているものもある。
つまり、アタックを認識してブロックする際に使用される処理用のリソースが、
ユーザー自身のシステムから移動されているのだ。本年度、ユーザーらは、ア
ンチウィルス対策に72億ドルを費やすことになると考えられている。
http://lastwatchdog.com/anti-virus-protection-case-paid-vs-free/
【編集者メモ】(Schultz)
AVソフトウェアの製品を買うか、無料バージョンを使用するかを迷う前に、
NSSラボが多数の製品のテストを個々に行っているので、その結果を吟味して
みてはいかがだろう。結果を見ると、テストされたAVツールのほとんどが、ト
ロイの木馬などのマルウェアを検知し、根絶する機能が十分に備わっていない
ことがわかる。
────────────────

◆オバマ政権:傍聴ルールの対象に新技術も組み入れる変更を求める
(2010.9.27)
オバマ政権は来年、傍聴命令に適合できるよう全ての通信サービスにテクノロ
ジーの導入を義務化する法案を、議会に提出する意向だ。この法案の対象には、
Blackberry、Facebook、Skypeも含まれる。同政権は、オンライン通信の利用
が拡大したため、犯罪者やテロ容疑者の通信を傍受する能力が低下したと述べ
ている。今回提案されている法案で、必須化する要件としては、①暗号化を提
供している通信サービスに対しては、暗号の解読法を把握すること、②米国内
で事業を展開する外資系企業に対しては、要求された通信について、傍受が可
能になるように米国内にオフィスを構えること、③ピアツーピアのソフトウェ
ア開発業者に対しては、傍受ができるように製品を設計し直すこと、などが挙
げられている。関係者によると、この法案では、権限の拡大を求めているとい
うよりは、傍受ルールができた当初はなかった技術に対して傍受を行う方法が
明確化されているのだという。しかし、この法案は批判を受けている。コロン
ビア大学のコンピュータ科学のSteven M. Bellovin教授は、「政権がこのよう
な通用口を全てのものに構築するようになると、その通用口が今度は悪用の対
象になる」と述べている。このほか、Center for Democracy and Technology
のJames X. Dempsey副センター長も、「現政権は、ただ時間を巻き戻して、イ
ンターネットのサービス機能を、かつての電話システムに戻したいだけなのだ」
と言及している。
http://www.nytimes.com/2010/09/27/us/27wiretap.html?_r=2&hp=&pagewanted=all

【編集者メモ1】(Northcutt)
Steven Bellovinの言うとおりだ。警察がこれを導入して、犯罪組織がこれを
悪用できないなどあり得ない。つまり、全ての面でマイナスな法案なのだ。
【編集者メモ2】(Pescatore)
1994年に、電話回線がデジタルに変わったときにも同じマニュアルに従った。
そのときも、警察コミュニティ支援法(the Community Assistance to Law
Enforcement Act)が、法的な監視ができるように、テレコム業者に通用口を
構築させている。いつの時代においても、常に技術によって可能になることと、
社会が警察にやらせてよいことのバランスをとらなくてはならない。
────────────────

◆RIMの重役 暗号化の問題で侵害の可能性を示す (2010.9.27)
BlackBerryの親会社、Research in Motion (RIM)の共同CEO、Jim Balsillieは、
システム上で送信されている通信を解読する暗号化キーを政府に提供する能力
はないが、暗号化を行う企業が、キーを求める政府に対して自社のキーを提供
することはできると、ますます重大になりつつある問題について言及した。ま
た、「政府がそのキーを求めると、その国での事業展開を敬遠する企業が出て
くるだろう」との見解も述べている。ここ数カ月、複数の国の政府が、RIMネッ
トワーク通信のプレーンテキスト・バージョンにアクセスできないことに対し
て懸念を表明していた。現米国政権は、BlackBerryのようなサービスに対し、
傍受命令(1つ上のストーリーを参照のこと)に従えるように用意することを
義務付ける法案を議会に提出する意向だ。
http://www.msnbc.msn.com/id/39387290/ns/technology_and_science-security/
【編集者メモ】(Pescatore)
法的な捜査命令で、ロックしているキャビネットの鍵や、金庫の鍵の番号など
を渡さなければならなかった企業が前例としてあったように、全く同じことが
なされてきた。ただ、その監視の対象になる者がそれに気付くことなく監視が
できるようにしたいと政府が考えているのは、重大な問題である。

【10月開催のセミナー案内】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ログ管理から始まるIT統制「統合ログセキュリティセミナー」
10月20日(水)14:00~17:30(東京城山トラストタワー)

各種ログ管理、監視ソリューションをご紹介し、それらがセキュリティ強化
にもどのように効力を発するのかを解説

   https://event.panasonic-denkois.co.jp/public/seminar/view/123
主催:パナソニック電工インフォメーションシステムズ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「クラウド導入最適化セミナー」
~セキュリティで差がつくクラウド導入・活用の勘所~
10月18日(月)14:00~16:40(ヒルトン大阪 金山の間)

クラウド時代に必要な情報セキュリティのポイントと対策を総括するとともに
社内システムとの並行運用や運用上の統合等導入・活用法を紹介

    http://www.nri-secure.co.jp/seminar/2010/0927.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
機密情報の効果的な防衛策とは~法対応等のためのベストプラクティス~
10月22日(金)14:00~17:00(丸の内北口ビル9F セミナールーム)

企業内の機密情報、営業秘密を守るためには、どのような対策が必要かを
ご紹介

    http://www.nri-secure.co.jp/seminar/2010/1022.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年9月23日 Vol.9 No.39)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    3 (#1)
Third Party Windows Apps            4
Mac Os                     1
Linux                     7
Novell                     1
Cross Platform                15
Web Application - Cross Site Scripting     9
Web Application - SQL Injection        7
Web Application                19
Network Device                 4
======================================================================
1.危険度【高】:MicrosoftのDRM技術 (msnetobj.dll)のActiveXオブジェク
トにさまざまな脆弱性

<影響を受ける製品>
詳細不明

<詳細>
Microsoft Windowsのmsnetobj.dllに対応するActiveXのオブジェクトには、バッ
ファオーバーフローやinteger overflowなど、さまざまな脆弱性がある。この
ActiveXコントロールは、デジタル著作権管理で保護されているメディア用に
ライセンスを獲得する役割を担うものだ。同コントロールは、個別のスレッド
にあるGetLicenseFromURLを呼び出す。影響を受けるActiveXコントロールの
classidは、A9FC132B-096D-460B-B7D5-1DB0FAE0C062である。アタッカーは、
ユーザーを悪意のあるページに訪問するように仕向けることによって、この脆
弱性を悪用し、ターゲットのマシンに任意のコードを実行できるようになる。
今のところ、この脆弱性に対処できる更新はリリースされていない。

<現状>
ベンダーはこの問題を認めているが、更新をリリースしていない。

<参考>
ベンダーのサイト
http://www.microsoft.com
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/43345
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。