NRI Secure SANS NewsBites 日本版

Vol.5 No.41 2010年10月19日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.5 No.41 2010年10月19日発行
**********************************************************************
今週は少なくとも、3つのストーリーで同じ結論が導きだされた。その結論と
は、組織で開発、購入されるハードウェアやソフトウェアが、許容できないほ
どのサイバーリスクをもたらさないようにするためのスキルを、セキュリティ
チームが確実に備えている必要があるということだ。
セキュリティ業務従事者らが始めに行えるステップは、組織内の開発者や調達
担当員と提携できるセキュアな開発および調達のプログラムを設けることであ
る。安全な開発という観点で素晴らしい前進をとげている組織はたくさんある。
しかし、その多くが、「開発者のセキュリティに対する自覚」という点で行き
詰っているというのも現実なのだ(つまり、ほとんどの組織が上手くいってい
ないのである)。
おそらく、Ciscoにあるセキュアプログラミング開発モデルが最良であろう。
しかし、ほかにも良いモデルがあれば、ぜひコミュニティで共有したいと考え
ている(ご存じの方は、apaller@sans.orgまでご一報を)。あなたの組織のプ
ログラマーに、必要なスキルを身につけさせるには、以下のコースを受講させ
るとよいだろう。
http://www.sans.org/security-training/category.php?c=DEV
・Secure Coding in Java/JEE: Developing Defensible Applications
・Secure Coding in .NET: Developing Defensible Applications
・Defending Web Applications Security Essentials
・Essential Secure Coding in Java/JEE
・Essential Secure Coding in ASP.NET

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 Autumn トレーニングイベント
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
【開催まであと1か月 申込みはお早めに!】

        ■2010年11月15日(月)~ 20日(土)■
!!世界中で最も受講されている2コースを実施!!

    SANSトップインストラクター Mike Poorの講義は必見!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.80-81
(原版:2010年10月8日、10月12日配信)

◆MicrosoftのScott Charney PC保護についての公衆衛生モデルを提案
(2010.10.6-7)
MicrosoftのScott Charney(Trustworthy ComputingコーポレートVP)が、イ
ンターネット接続によるPCのボット感染を阻止するプランを提案した報告書を
発表した。Charneyはこの提案を、「ワクチンや隔離対策などの公衆衛生措置」
と比較し、この考えを「集団防衛」と呼んだ。PCのパッチがどれほど最新か、
PCがセキュリティソフトウェアを運用しているかどうか、マルウェアがあるか
どうか、などの情報を提供する健康診断書をPCに発行することが、この考えで
は求められている。隔離対策は、マシンにパッチを適用したり、アンチウィル
スプログラムを更新したりした後の最終措置となる。しかし、批評家らは、情
報の乱用の可能性があることなど、この提案の問題点を列挙している。
http://arstechnica.com/security/news/2010/10/are-botnets-the-second-hand-smoke-of-computer-security.ars
http://www.computerworld.com/s/article/9189838/Microsoft_pitches_PC_isolation_ward_to_defeat_botnets?taxonomyId=84
http://content.usatoday.com/communities/technologylive/post/2010/10/microsoft-proposes-public-health-approach-to-internet-infections/1
http://www.bbc.co.uk/news/technology-11483008
http://www.pcworld.com/article/206981/microsoft_wants_sick_pcs_banned_from_the_internet.html
http://www.microsoft.com/mscorp/twc/endtoendtrust/vision/internethealth.aspx

【編集者メモ】(Pescatore)
公衆衛生モデルは、非常に後ろ向きなアプローチだ。ワクチンの必須化は、静
的な脅威に対してはうまく作用するが、常に変わりゆく脅威には作用しない。
ここ数年のインフルエンザワクチンを見ていても、それがよくわかるだろう。
エンドポイントのセキュリティ状況を継続的に監視するために、企業やISPが、
ネットワークアクセスコントロールのプロセスを使用するのはよいことである
(しかし、ターゲットをしぼった脅威が広がる現在では、エンドポイントには、
パッチやセキュリティソフトウェアよりも重要なパラメータがある)。しかし、
2011年の公衆衛生モデルであるならば、2003年に攻撃を仕掛けていたSlammerや
Blasterなどのような脅威に対する守りを義務化するようなものになるだろう。
技術の提供企業により安全な製品を構築して販売するように動機づけできる
政策に注力する方がよいだろう。
────────────────

◆ワシントンDC セキュリティ侵害発生後にオンライン投票システムを保留
(2010.10.5-6)

ワシントンDCの選挙倫理委員会は、海外の有権者がインターネットで投票でき
るシステム、The Digital Vote by Mailの始動を保留した。委員会は、The
Digital Vote by Mailのシステムは安全であり、ハッカーを使ってそのセキュ
リティも検査していたと考えられていた。しかし、ミシガン大学の学生がプロ
グラムにセキュリティホールを見つけ、システムで投票が行われると学校の応
援歌が流れるように、システムを改変した。侵入者らはシステムの制御を完全
に奪わなくては、このような改変を行うことはできない。このシステムには、
データベースのユーザー名、パスワード、暗号化キーが脆弱なサーバに保管さ
れていたようだ。
http://www.computerworld.com/s/article/9189578/Security_concerns_prompt_D.C._to_suspend_Web_based_overseas_voting?taxonomyId=208
http://gcn.com/articles/2010/10/05/sl-dc-voting-system-hacked.aspx?admgarea=TC_SECURITY
http://voices.washingtonpost.com/debonis/2010/10/hacker_infiltration_ends_dc_on.html
http://www.wired.com/threatlevel/2010/10/voting-system-hacked/
http://www.computerworld.com/s/article/9189718/D.C._Web_voting_flaw_could_have_led_to_compromised_ballots?taxonomyId=17
http://www.theregister.co.uk/2010/10/06/net_voting_hacked/
【編集者メモ】(Pescatore)
シロアリを一匹みつけたら、必ず腐食した木の中にかなりの大群がいるという。
たぶんオンラインの投票ソフトウェアを購入する前に、受け入れ基準の一部と
して専門家によるソフトウェアのセキュリティテストを必須化する方が、より
よい戦略とは言えないだろうか?
────────────────

◆Stuxnet SCADAのセキュリティを再度アタックの焦点に (2010.10.6-7)
Stuxnet SCADAワームは、世界の重大なインフラの要素をコントロールするシ
ステムのセキュリティを、再度、攻撃の焦点にしているようだ。豪ビクトリア
州の給水施設で行われた監査によると、未承認のアクセスが行われるリスクが
高いということのほか、運営者には「インフラのコントロールシステムに対す
るリスクを管理する効果的なプロセス」が欠如していることが判明したという。
別件で、北米電気信頼性評議会は「業界は、より一層安全なソフトウェアを求
める必要性がある」と述べている。
http://www.zdnet.com.au/audit-finds-vic-scada-systems-vulnerable-339306439.htm
http://download.audit.vic.gov.au/files/20100610_ICT_report.pdf
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1521466,00.html?track=NL-102&ad=790320&asrc=EM_NLN_12635984&uid=1308899

【編集者メモ1】(Schultz)
Mark Weatherfordは、100%正しい。電力産業が、より品質の高いソフトウェ
アを求めるようになるまで、業界が現在使用しているバグだらけのソフトウェ
アは、その状態を継続していくだろう。
【編集者メモ2】(Honan)
Stuxnetは、マルウェア開発における重要な分岐点となるであろう。Stuxnetが、
SCADAシステムをターゲットにしていたからだけではなく、今後のマルウェア
開発における非常に効果的な計画案を実証、提供しているからである。
このレポートに書かれている内容は、残念なことにその他多くのSCADA運営者
らにもあてはまることだ。したがって、教訓が多数盛り込まれているので、ぜ
ひきちんと読んでいただきたい。
ENISA(欧州ネットワークおよび情報セキュリティ局が作成したStuxnetの素晴
らしい分析があるので、そちらも、あなたの週末の読書リストに加えていただ
きたい。リンクはこちら:
http://www.enisa.europa.eu/media/press-releases/stuxnet-analysis
────────────────

◆英国の男性 パスワードの引き渡し拒否で拘留 (2010.10.5-6)
19歳の男性、Oliver Drageが、当人のコンピュータのコンテンツ解読に必要な
パスワードの引き渡しを拒否したため、4か月間の拘留措置に科せられた。
彼は、コンピュータにある違法コンテンツへアクセスできるようにするパスワー
ドを警察に提供するのを拒否し、捜査権限規制法(RIPA)違反と見なされて有罪
となった。彼には、2009年に、児童性的虐待の画像に関する捜査の一環で逮捕
された経緯もある。
http://www.out-law.com/page-11424
http://www.theregister.co.uk/2010/10/06/jail_password_ripa/
http://www.bbc.co.uk/news/uk-england-11479831
────────────────

◆欧州委員会談:情報システムの攻撃に関する指示を整備する時期
(2010.10.11)
欧州委員会(EC)は、5年前に下された情報システム攻撃の枠組みに関する「決
定」を、加盟国全てのサイバーアタック関連法を調和できる「指示」に差し替
えたい意向だ。2009年12月1日に有効となったリスボン条約により、EU閣議の
ルールが変更されるため、提案の可決には、満場一致の賛成ではなく過半数の
賛成でよいことになる。つまり、一国がその法案の可決を阻止する可能性がな
くなる。今回、決定を指示に高めることで、全てのEU加盟国が、新たなサイバー
セキュリティ上の脅威(特にボットネットなど)に適切に対処できる法を必ず
設けられるようにしたい考えだ。
http://www.theregister.co.uk/2010/10/11/eu_new_cybercrime_law/
http://www.scmagazineuk.com/european-commission-to-take-cyber-crime-seriously-with-proposal-to-change-framework-to-directive/article/180795/
────────────────

◆アイルランドの高等裁判所 ISPに対して著作権侵害における三振即アウト法
を強制できず (2010.10.11)
4つの大手レコード会社は、アイルランドのインターネットサービスプロバイ
ダ(ISP)Eircomと法廷外で和解できたにもかかわらず、もう一方のISPである
UPCにはEircomと同様のポリシーの設置を強要することができなかった。高等
裁判所は、非合法的にファイルの共有を行っている疑いのあるインターネット
ユーザーの身元を特定し、彼らに対するサービスを絶つことができるようにす
る法律は、アイルランドには存在しないという裁定を下した。この件に関して
Peter Charleton判事は、「音楽産業は、オンラインの著作権侵害で多大な財
務的損失を被っている。しかしながら、レコード会社が求めるようなシステム
を強制できる法は整備されていない」と述べている。さらに、同判事は、「関
連する法律が存在しないという状態は、EU法にも準じていないことを意味する」
と言及した。UPCは、「同社は著作権侵害の行為は支援していないほか、大前
提として、また、抗弁として、ISPにはそのネットワークで送受信されている
コンテンツに責任は負わないという大原則に焦点を絞っているだけだ」と陳述
している。
http://www.independent.ie/national-news/upc-scores-landmark-victory-in-illegal-downloads-case-2374221.html
http://www.siliconrepublic.com/new-media/item/18232-record-labels-fail-in-bid/
【編集者メモ】(Honan)
一見したところ、この判決でUPCは勝利したように思えるが、判事のコメント
が大いに興味深い。きっと、レコード会社らはアイルランド政府に対し、検討
課題に見合うような法を導入するように働きかけを始めるに違いない。
────────────────

◆市町村や学区を銀行詐欺から守る法案 (2010.10.8-11)
米国の上院議会で、電子資金移動法(EFTA)で、個人にはすでに提供されている
保護と同様に、サイバー上の窃盗で財務的損失が保護される措置を、市町村や
学区に与える法案が提案されている。この法案は、Charles Schumer上院議員
(ニューヨーク州民主党)が提案したもので、EFTAのE(電子)規制を修正し、サ
イバー上の窃盗がタイムリーに報告された場合に限り、負債を免除するとして
いる。EFTAは、未承認の電子資金移動(EFT)一件あたりに生じる消費者の負債
上限を50ドルとしている。しかし、同法案でも、詐欺取引で生じた数千万ドル
について、直接銀行とやりとりしている中小企業については救済措置を提供し
ていない。サイバー上の窃盗犯は、有効な認証情報を使用しているため、それ
で生じた損失について銀行には責任はないという姿勢だ。
http://krebsonsecurity.com/2010/10/bill-would-give-cities-towns-and-schools-same-e-banking-security-guarantees-as-consumers/
http://www.computerworld.com/s/article/9190103/Bill_would_protect_towns_schools_from_cybertheft_losses?taxonomyId=17
http://www.scmagazineus.com/banking-bill-would-treat-schools-towns-like-consumers/article/180818/
法案の本文こちら:
http://krebsonsecurity.com/wp-content/uploads/2010/10/A-BILL-To-amend-the-Electronic-Fund-Transfer-Act-Schumer-as-of-October-6-2010-AYO10H67.pdf
────────────────

◆ほとんどの米国政府局 サイバースコープの期日である11月15日には間に合
わない見込み (2010.10.8-11)
連邦情報セキュリティマネジメント法(FISMA)への法遵守に関連するデータを
サイバースコープに送信する自動セキュリティ監視ツールを導入する期日は、
2010年11月15日となっていたが、連邦政府の関係者らによると、米国の政府局
は、その期日に間に合うようにそれを導入できない可能性が高いと述べている。
このプログラムは、FISMAの報告に関するプラクティスによって生じた異質の
事務処理を減らすために設計された。これによって政府局が、自局のネットワー
クにリアルタイムの監視を実施するようにさせるのが目的である。しかしなが
ら、連邦政府のサイバーセキュリティのマネージャの85%が、まだサイバース
コープのソフトウェアを導入していないという。リアルタイムの監視システム
がない政府局は、特定の情報を記録し、それをデジタル形式にしてサイバース
コープに提出しなければならない。11月15日という期日は、米国行政予算管理
局(OMB)によって設定されたものである。
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=227701081&cid=RSSfeed_IWK_All
http://www.nextgov.com/nextgov/ng_20101008_1048.php?oref=topnews
────────────────

【セミナー案内】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ログ管理から始まるIT統制「統合ログセキュリティセミナー」
10月20日(水)14:00~17:30(東京城山トラストタワー)

各種ログ管理、監視ソリューションをご紹介し、それらがセキュリティ強化
にもどのように効力を発するのかを解説

https://event.panasonic-denkois.co.jp/public/seminar/view/123
主催:パナソニック電工インフォメーションシステムズ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「事例から学ぶ特権ID管理実践セミナー」<好評につき、日程追加!>
11月18日(木)・12月6日(月)・17日(金)15:00~17:10

基本的なセキュリティマネジメントの一つであり、IT全般統制でも監査人から
指摘を受けやすい特権ID管理。
IT全般統制の事例とエージェントレスの特権ID監視アクセス制御・監査ツール
「SecureCube / Access Check」の導入事例をもとに、効率的かつ効果的な特
権ID運用のポイントをご紹介。

    http://www.nri-secure.co.jp/seminar/2010/0907.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年10月7日 Vol.9 No.41)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            3
Linux                      4
Novell                     2
Cross Platform                 21 (#1)
Web Application - Cross Site Scripting     9
Web Application - SQL Injection        10
Web Application                 9
Network Device                 2
======================================================================
1.危険度【高】:Adobe AcrobatやReaderにさまざまなコード実行の脆弱性

<影響を受ける製品>
Windows、Macintosh、UNIX用Adobe Acrobat/Reader 9.3.4までのバージョン
Windows、Macintosh用Adobe Acrobat/Reader 8.2.4

<詳細>
Adobeは、以前公表された脆弱性に対し、最近パッチをリリースした。問題の
脆弱性は、Adobe AcrobatおよびReaderに影響を及ぼす。これらの脆弱性の多
くは、リモートのコード実行につながるおそれがある。また、問題の脆弱性全
てにおいて、これらを悪用するには、アタッカーは、悪意のあるファイルを閲
覧するようにターゲットを誘導しなくてはならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb10-21.html
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/43057
http://www.securityfocus.com/bid/43205
http://www.securityfocus.com/bid/43740
http://www.securityfocus.com/bid/43739
http://www.securityfocus.com/bid/43723
http://www.securityfocus.com/bid/43722
http://www.securityfocus.com/bid/43724
http://www.securityfocus.com/bid/43725
http://www.securityfocus.com/bid/43726
http://www.securityfocus.com/bid/43729
http://www.securityfocus.com/bid/43731
http://www.securityfocus.com/bid/43736
http://www.securityfocus.com/bid/43730
http://www.securityfocus.com/bid/43727
http://www.securityfocus.com/bid/43746
http://www.securityfocus.com/bid/43734
http://www.securityfocus.com/bid/43732
http://www.securityfocus.com/bid/43737
http://www.securityfocus.com/bid/43733
http://www.securityfocus.com/bid/43735
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。