NRI Secure SANS NewsBites 日本版

Vol.5 No.40 2010年10月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.5 No.40 2010年10月14日発行
**********************************************************************
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 Autumn トレーニングイベント
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
【開催まであと1か月 申込みはお早めに!】

        ■2010年11月15日(月)~ 20日(土)■
!!世界中で最も受講されている2コースを実施!!

    SANSトップインストラクター Mike Poorの講義は必見!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.78-79
(原版:2010年10月1日、10月5日配信)

◆ZeuSによる銀行詐欺で多数人が起訴される (2010.9.30)
Zeusのトロイの木馬プログラムを用いた大規模な銀行詐欺に関連したとみられ
る多く人が起訴されている。米国の機関は、この4年間で2億ドル以上が盗み出
されたサイバーアタックに関与したと思われる92人を起訴した。英国では、たっ
た3ヶ月でZeuSを使用して600万ポンド(950万ドル)を盗み出したと思われる20
人が逮捕されている。米国で起訴が行われたことで、この犯罪スキームの運営
自体には打撃が与えられたと考えられるが、コードの開発者、関連している末
端のサーバの運営者、犯罪スキームの黒幕は、未だ捕まっていない。
http://online.wsj.com/article/SB10001424052748704483004575523811617488380.html?mod=WSJ_hps_LEFTWhatsNews#
http://www.computerworld.com/s/article/9189019/Feds_hit_Zeus_group_but_the_brains_remain_overseas?taxonomyId=17http://www.infoworld.com/t/malware/governments-take-zeus-the-god-cybercrime-393
http://www.reuters.com/article/idUSN3019563220100930http://www.wired.com/threatlevel/2010/09/zeus-raid/
http://www.theregister.co.uk/2010/09/30/zeus_money_mules_charged/http://money.cnn.com/2010/09/30/technology/cyber_crime_charges/index.htm
http://news.cnet.com/8301-27080_3-20018177-245.html?tag=mncol;title

【編集者メモ】(Honan)
関係者のみなさんはよくやったと思う。今後、より多くの関連犯罪者が逮捕さ
れていくのを望むところだ。しかし、残念なことに、ZeuSのボットネットは、
ZeuS追跡Webサイトで、170のC&Cサーバがオンラインであることを示している
ように、まだまだ活動的なのだ。
https://zeustracker.abuse.ch/
────────────────

◆調査結果:サイバーセキュリティによって生産性が低下 (2010.9.30)
Government Business Councilが行った調査によると、米国の連邦政府局の関
係者らは、サイバーセキュリティによって、生産性が低下したと感じていると
いう。最も引き合いに出された問題としては、情報へのアクセス制限、通信の
遅延の2つである。政府局28局の回答者162人のうち3分の2近くが、セキュリティ
コントロールによって、業務に必要であるにもかかわらず、特定のWebサイト
やアプリへのアクセスが阻止されたと述べている。なかには、業務遂行のため
にセキュリティコントロールを回避しているという声もある。また、必要な情
報にアクセスするために、政府局のものではないデバイスを使ったという声も。
ほか、セキュリティ措置の導入によって、コンピュータの動作性能が低下した
との意見もある。回答者らは、セキュリティポリシーを導入する上で、最も配
慮されるべき事項は、情報へのアクセス機能の確保だと述べている。
http://www.eweek.com/c/a/Security/CyberSecurity-Cutting-Federal-Government-Productivity-Survey-744792

【編集者メモ】(Pescatore)
自分の電動のこぎりにはブレードガードが付いているので、木を切る生産性は
低下する。しかし、ブレードガードがなかったがために自分の手指を切り落と
してしまうのも、大いに生産性に影響を及ぼす。とはいうものの、確かに、セ
キュリティが向上する訳でもなく、生産性に影響を及ぼすという理由でユーザー
がITシステムを回避したくなるような非常にばかばかしいURLブロックやEメー
ルのポリシーも多数存在する。
────────────────

◆英国 不適切なプライバシー保護で欧州委員会に訴えられる
(2010.9.30-10.1)
欧州委員会は、英国がオンラインデータのプライバシールールを適切に導入せ
ず、ISPに「ユーザーのWebサイトでの行動履歴に基づいた広告」の使用を許可
していることから、同国に対する法的措置に踏み切る意向を示した。EUのルー
ルでは、EU加盟国に対し、「非合法的な傍受や監視を禁止して、通信やそれに
関する通信データの機密性を確保する」ことを義務付けている。また、ISPは、
行動ターゲティング広告用にデータを収集する場合は、消費者の同意を得なく
てはならないとなっている。しかし、英国は、まだデータ保護法を改正してEU
法に準拠するには至っていない。英国法では、国際的な傍受に対しては罰則を
科しているが、傍受者に「ユーザーの同意を得ている」と考えられるような正
当な理由があれば、通信の傍受は許可されている。今回の法的措置は、英国の
大手ISPのBTが、顧客のオンライン行動履歴に基づいた広告のパイロットプロ
グラムを顧客に通知せずに実行したというレポートがあったことを受けて喚起
された。
http://www.guardian.co.uk/technology/2010/oct/01/eu-online-privacy
http://euobserver.com/9/30935
────────────────

◆裁判所 BT社に申請された顧客データのリクエストに延期許可 (2010.10.4)
英国高等法院は、新旧問わず、顧客情報用のアプリケーションを凍結したいと
いう英国大手インターネットサービスプロバイダのBT社による要求を許可した。
先に、複数の法律事務所が、違法にファイルを共有している疑いのあるコンピュー
タユーザについて、彼らの身元を特定できる情報を求める要求書を提出してい
た。しかし、先週、法律事務所のACS:Lawは、ファイル共有者らに対する法的
措置に反対するグループによって協調分散型DoS攻撃(DDoS)を仕掛けられてし
まった。ACS:Lawが、アタックを受けた後に、法律事務所のWebサイトを復元し
ようとしたところ、暗号化されていない機密の個人情報(複数のISPから受信
していた個人情報)が、間違って漏洩されてしまったと主張している。しかし、
BTは、同社にかけられた疑いに何らかの根拠があることが証明されない限り、
情報のリクエストに異議を申し立てる意向を示した。BTは、ACS:Lawのような
法律事務所に提供するデータは必ず適切に保護していきたい意向だ。
http://www.bbc.co.uk/news/technology-11467347
http://www.guardian.co.uk/technology/2010/oct/04/intellectual-property-data-protection

【編集者メモ】(Schultz)
これは新しく、かつ、興味深い問題だ。これまでは、「ISPは、要求書の申請
者に対し、情報を提供する必要はない。なぜなら、申請者は顧客情報の保護と
いう行動に適切な配慮を行ってこなかったのだから」という、ISPにとって有
利な判決をISPはずっと獲得し続けてきた。このトピックに関して、引き続き
注目したい。
────────────────

◆国際的な詐欺事件の主犯格とみなされる容疑者ら ウクライナで逮捕され
る (2010.10.1-2)
この1年半で、米国の中小企業、市町村、その他の組織の銀行口座から7000万
ドル相当が盗み出されたオンライン銀行詐欺に関連したとみられる5人が、ウ
クライナで逮捕された。ウクライナで逮捕された5人は、この組織犯罪の
「Coders and Exploiters」と呼ばれる者、および、主犯格である。彼らは、
ZeuSのトロイの木馬プログラムのカスタムバージョンを作成し、オンラインで
の窃盗行為に利用する情報の獲得に利用していたと考えられる。先週、英国で、
ZeuSを使用したサイバー窃盗に関連して11人が逮捕された。米国では92人が起
訴され、39人が逮捕されている。ウクライナでの逮捕は、SBU(ウクライナ警察)
とFBI、オランダ警察、英国警視庁が共同で行った取り組みのおかげで実現で
きた。
http://krebsonsecurity.com/2010/10/ukraine-detains-5-individuals-tied-to-70-million-in-ebanking-heists/
http://www.wired.com/threatlevel/2010/10/zeus-ukraine-arrests/
http://www.computerworld.com/s/article/9189158/Update_Ukranian_police_arrest_5_targeting_brains_behind_Zeus_botnet?taxonomyId=85
http://www.theregister.co.uk/2010/10/01/zeus_kingpin_arrest/
【編集者メモ】(Schultz)
今回の逮捕は、決して小さな成果にとどまらない。東ヨーロッパ諸国で活動
しているサイバー犯罪者らに正義をもたらそうと、何年も取り組んできたが、
多くの障害によって阻害されてきた。特に大きな障害となったのは、国家間の
協力体制を作ることだった。
────────────────

◆BlackBerry インド政府にメッセンジャーサービスへのアクセスを許可
(2010.10.1-4)
Blackberryの親会社、Research in Motion(RIM)は、インド政府に対し、
BlackBerryメッセンジャーサービスへのアクセスを許可した。今のところ、そ
のアクセスは手作業で行われることになるが、政府関係者らは、年始までにオー
トメーション化されたアクセスを持てることを望んでいると述べている。
また、インドは、Blackberryの企業用サーバで送信されている暗号化されたメー
ル通信についてもアクセスできるようにすることを求めている。しかし、RIM
は、それらの通信に対するアクセスを許可する能力を備えていない。これらの
通信に対するアクセスは、これらのサーバのスポンサー組織から獲得しなけれ
ばならないからだ。RIMが、今月末までに、傍受したメールを読めるようでき
る有効な解決策を見出せなければ、インド国内でのBlackberryの使用は大々的
に禁止されることになる。アラブ首長国連邦においてもしかりだが、同国にお
いては、早ければ10月11日から禁止がスタートするという。
http://www.msnbc.msn.com/id/39463421/ns/technology_and_science-wireless/
http://www.theregister.co.uk/2010/10/04/rim_india_blackberry/
【10月開催のセミナー案内】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ログ管理から始まるIT統制「統合ログセキュリティセミナー」
10月20日(水)14:00~17:30(東京城山トラストタワー)

各種ログ管理、監視ソリューションをご紹介し、それらがセキュリティ強化
にもどのように効力を発するのかを解説

https://event.panasonic-denkois.co.jp/public/seminar/view/123
主催:パナソニック電工インフォメーションシステムズ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「クラウド導入最適化セミナー」
~セキュリティで差がつくクラウド導入・活用の勘所~
10月18日(月)14:00~16:40(ヒルトン大阪 金山の間)

クラウド時代に必要な情報セキュリティのポイントと対策を総括するとともに
社内システムとの並行運用や運用上の統合等導入・活用法を紹介

http://www.nri-secure.co.jp/seminar/2010/0927.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年10月2日 Vol.9 No.40)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
Third Party Windows Apps             4
Linux                      1
Unix                       1
Cross Platform                 15 (#1)
Web Application - Cross Site Scripting      7
Web Application - SQL Injection         9
Web Application                 6
Network Device                  1
======================================================================
1.危険度【高】:Google Chromeにさまざまな脆弱性

<影響を受ける製品>
Google Chrome 6.0.472.62より前のバージョン

<詳細>
Googleは、同社製のブラウザ、Google Chromeに影響を及ぼす複数のセキュリ
ティの脆弱性にパッチをリリースした。脆弱性のうち2つについては、ターゲッ
トがリモートのコード実行に脆弱になってしまうという。SPDYプロトコルに不
正形式のSVGオブジェクトやバッファの誤った管理が生じると、前述のような
不運に見舞われるおそれがある。これについての詳細は公表されていない。し
かし、Google Chromeは、新しいセキュリティパッチが検知されると、自動的
にアップデートが行われる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Stable Beta Channelのアップデート
http://googlechromereleases.blogspot.com/2010/09/stable-beta-channel-updates_17.html
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。