NRI Secure SANS NewsBites 日本版

Vol.5 No.42 2010年10月26日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.42 2010年10月26日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
Stuxnetは、重大なシステムを管理している全ての組織に対して警鐘を鳴らし
た。SANSのトップインストラクターの一人であるJohn Strandは先日、このワー
ムが、システムをどのように侵害し、感染を拡大していくかについて、Webキャ
ストで講演を行った。また、あなたの組織の環境下で、これらのアタックの検
知を今後促進する方法についても語った。このWebキャストは、SANSがサンディ
ア国立研究所で開発したHuman Sensor Networkのトレーニングプログラムのアッ
プデートの1つである。このプログラムは、システム管理者がハッカー検知の
第一線に立てるよう訓練する目的で作成されたものである。もしあなたがこの
プログラムの恩恵を享受できる組織の一員であり、この教育プログラムのサン
プルをご覧になりたいなら、Scott Weil(sweil@sans.org)にメールで問い合
わせていただきたい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 Autumn トレーニングイベント
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
【開催まであとわずか 申込みはお早めに!】

        ■2010年11月15日(月)~ 20日(土)■
!!世界中で最も受講されている2コースを実施!!

    SANSトップインストラクター Mike Poorの講義は必見!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.82-83
(原版:2010年10月15日、10月19日配信)

◆DHSとNSA サイバーディフェンスでパートナーシップ (2010.10.13-14)
米国国土安全保障省 (DHS)と国家安全保障局(NSA)は、同国のコンピュータシ
ステムをサイバー攻撃から守るために、協力して取り組んでいく意向を発表し
た。両局は、相手局を拠点として業務にあたる小さなチームを編成するという。
一般の人権監視団体からは、「市民のプライバシー権利が侵害される可能性が
ある」とこの協調に懸念が示されている。なぜなら、このパートナーシップに
よる計画の中に、法律やプライバシーの専門家らによる監視が盛り込まれてい
るからだ。とはいえ、このパートナーシップによって、双方におけるサイバー
セキュリティ上の取り組みが共有され、無駄が省かれることが期待されている。
http://www.npr.org/templates/story/story.php?storyId=130546958
http://www.govinfosecurity.com/articles.php?art_id=3010
http://www.nextgov.com/nextgov/ng_20101013_7867.php?oref=topstory
http://www.dhs.gov/ynews/releases/pr_1286984200944.shtm
────────────────

◆Facebook ワンタイムパスワードサービスを開始 (2010.10.13-14)
Facebookは、公共のコンピュータで常用のパスワードを使用せずに、ユーザー
が自分のアカウントにログインできるように、ワンタイムパスワードサービス
を開始した。このシステムは、Facebookに正確に携帯電話番号を登録している
ユーザーに限って使用できる。Facebook(32655)から提供された番号に"OTP"と
メールを送ると、20分間だけ有効なワンタイムパスワードが送られてくる。こ
のアイデアによって、ユーザーの常用のパスワードが、公共のコンピュータに
仕組まれたキーストロークロギングソフトウェアにキャプチャされることを阻
止できる。Facebookは同時に、リモートでログアウトできる機能や、セキュリ
ティ情報を更新できるサービスも開始した。
http://www.theregister.co.uk/2010/10/13/facebook_one_time_passwords/
http://www.bbc.co.uk/news/technology-11535370
http://www.h-online.com/security/news/item/Facebook-introduces-one-time-passwords-for-insecure-computers-1108163.html

【編集者メモ】(Pescatore)
携帯電話を認証トークンとして使用する素晴らしいところは、それだけを持ち
運べばよいという点だ。SMSが安全だとは言わないが、YATTCを回避し、パスワ
ードを窃盗するアタックに対してハードルを上げることにはなろう。つまり、
このアプローチ(以前にGoogleもこれを実行している)は、素晴らしい前進の一
歩になる。
────────────────

◆Adobe Reader 10 サンドボックスを組み込む予定 (2010.10.12-13)
Adobeは、年末までに今以上に安全なバージョンのReaderをリリースする計画
である。Adobe Readerは、エクスプロイト作成者にとって、ますますターゲッ
トになりやすくなっている。Adobe Reader 10には、コンピュータに危害を加
えるアタックを阻止するように設計されたサンドボックス機能が組み込まれる
予定だ。この機能は、デフォルトで装備されるようだ。Adobeのプロダクトセ
キュリティ&プライバシーのBrad Arkinシニアディレクターは、「悪者や研究
者らは、新バージョンをエキサイティングな挑戦のターゲットとして捕える」
だろうことから、Readerは新バージョンになっても、セキュリティ上の課題に
免疫のあるバージョンになるとは考えていないという。
http://www.v3.co.uk/v3/news/2271459/adobe-confirms-reader-before
http://www.computerworld.com/s/article/9190679/Adobe_More_secure_version_of_Reader_out_by_year_end?taxonomyId=145
────────────────

◆米国エネルギー省:報告書にスマートグリッドのプライバシー推奨策
(2010.10.15)
米国エネルギー省(DOE)の報告書は、スマートグリッド技術に関するデータプ
ライバシーの問題対して、法的に対処する必要を述べている。この技術によっ
て収集された家庭のエネルギー消費データは、「消費者のエネルギー消費を大
幅に削減する」ことに利用できるが、データの使用や共有がプライバシーの権
利を侵害するような形で行われないようにするためのコントロールの必要性を
認識し、それに対して法的に対処する必要がある。情報は、ユーザーの日々の
スケジュールや活動の実態を描き出し、それに見合った家庭のデバイスのタイ
プを特定するために用いられるべきである。DOEは、収集した情報がサードパー
ティと共有される範囲を、ユーザー自身が決定できるようにする必要があると
述べている。
http://www.computerworld.com/s/article/9191220/Energy_Department_warns_over_smart_grid_privacy?taxonomyId=84
http://www.gc.energy.gov/documents/Broadband_Report_Data_Privacy_10_5.pdf
────────────────

◆Facebook またもやプライバシー侵害 (2010.10.18)
Facebookのユーザーの多くのプライバシーが、このソーシャルネットワークサ
イトで広範に使用されている多数のアプリによって侵害されている。今回は、
ウォールストリートジャーナル紙の調査で、プライバシーの設定が、同ソーシャ
ルネットワーク内に限られ、一番厳しい設定になっていたとしても、Facebook
のメンバーの個人の詳細情報にアクセスできるアプリが多数特定された。報告
書によると、最多で25の広告およびデータ収集機関がこの問題を悪用し、特定
のアプリを使用して個人の氏名にアクセスしているという。なかには、その個
人の友人の氏名にまでアクセスしていたケースもあった。そのなかの一社、
Rapleafという企業が、Facebookでアクセスしたデータを、同社のインターネッ
トユーザーのデータベースと結合していたことがわかった。Rapleafは、サード
パーティに送信した情報もあることを認めたが、送信行為自体は偶然の事故だっ
たと主張している。一連の問題に対してFacebookは、ユーザーのデータへこの
ような形でアクセスされることを阻止するために、解決策を導入すると応じて
いる。
http://online.wsj.com/article/SB10001424052702304772804575558484075236968.html
http://www.theregister.co.uk/2010/10/18/facebook_apps_privacy_breach
http://www.bbc.co.uk/newsbeat/11565948
http://www.net-security.org/secworld.php?id=10005
────────────────

◆英国政府談:サイバーアタック 新たな脅威のなかでは最大(2010.10.18)
英国政府の新しい国家セキュリティ戦略において、コンピュータネットワーク
への攻撃は、英国のセキュリティに対する新たな脅威の中では最大のものであ
ると認識されている。英国政府は、サイバー戦争を「英国にとって、最優先に
するべき国家的なセキュリティリスクの1つ」と言及し、他国や犯罪者、テロ
リストからの脅威に対処する政策を作成することを誓っている。中国で開催さ
れた北京オリンピックでは、1日1,200万件ものサイバー攻撃が仕掛けられてい
たことを引き合いに出し、2012年のロンドンオリンピックは「巨大な脆弱性」
になり得るとして、大会を混乱させるなどの悪意をもった人物がサイバー攻撃
を仕掛けた場合、その攻撃には深刻なリスクがあると述べている。この新たな
脅威に対処するために、英国政府は5億ポンド(7億99万ドル)の予算を組み、
最近編成されたサイバーセキュリティ事務局を中心に戦略を練っていく意向だ。
http://www.bbc.co.uk/news/uk-11562969
http://www.independent.co.uk/news/uk/home-news/cyberattacks-are-key-threat-to-uk-security-2109628.html
http://www.computerworlduk.com/news/security/3244646/government-allocates-500m-to-fighting-cyber-attacks/

【編集者メモ】(Honan)
英国は、冷戦以来続いていた従来の国防予算を大幅に削減する一方で、サイバー
セキュリティ予算を拡大するようだ。その様子を目の当たりにすれば、英国が
サイバーの脅威をどれほど重要視しているか、また、今の時代の兆候がよくわ
かる。
http://www.ft.com/cms/s/0/80eff352-daa6-11df-81b0-00144feabdc0.html
────────────────

◆米国政府 ソーシャルネットワークをスパイ活動に使用 (2010.10.15)
プライバシー監視機関の電子フロンティア財団(EFF)は、複数の米国政府局か
ら得た多数の文書において、政府局が活発にソーシャルネットワーキングサイ
トを使用して、個人にスパイ行為を行っていると強調している。この問題に関
連している政府局としては、米国の市民権を申請している人々の活動を監視し
ている市民権移民局、オバマ大統領の就任式の最中にソーシャルネットワーク
に書き込まれたコメントを監視していた国土安全保障省(DHS)などがあげられ
ている。DHSは、自局がソーシャルネットワークを監視していた行為は正当だ
と主張しているものの、EFFは、「DHSが問題のプロジェクトの構造について、
公正な情報プラクティスの原則に言及することはあっぱれだが、そのターゲッ
トとなったサイトの範囲の広さが気になる」と述べている。
http://www.v3.co.uk/v3/news/2271580/dhs-running-social-network
http://www.net-security.org/secworld.php?id=9998

━【セミナー案内】━━━━━━━━━━━━━━━━━━━━━━━━━
「事例から学ぶ特権ID管理実践セミナー」<好評につき、日程追加!>
11月18日(木)・12月6日(月)・17日(金)15:00~17:10

基本的なセキュリティマネジメントの一つであり、IT全般統制でも監査人から
指摘を受けやすい特権ID管理。
IT全般統制の事例とエージェントレスの特権ID監視アクセス制御・監査ツール
「SecureCube / Access Check」の導入事例をもとに、効率的かつ効果的な特
権ID運用のポイントをご紹介。

http://www.nri-secure.co.jp/seminar/2010/0907.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年10月14日 Vol.9 No.42)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    10 (#1)
Microsoft Office                2
Other Microsoft Products            1
Third Party Windows Apps            1
Linux                     10
BSD                       1
Cross Platform                 13 (#2)
Web Application - Cross Site Scripting     2
Web Application - SQL Injection         1
Web Application                 4
======================================================================
1.危険度【高】:Microsoftにさまざまな脆弱性

<影響のある製品>
Microsoft Windows XP
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows 7

<詳細>
Microsoftは、定例の火曜日に発信するパッチとして同社製品のさまざまなパッ
チをリリースした。脆弱性の中には、Microsoftのオープンタイプフォントエ
ンジンにあるinteger overflowの脆弱性、Microsoft Windows Common Control
Libraryにある詳細不明のコード実行の脆弱性、Windows Media Player
Network Sharing Serviceにあるuse-after-freeの脆弱性、Media Playerにあ
る詳細不明のさらなる脆弱性、Internet Explorerにあるメモリ破壊の脆弱性、
Microsoft Officeにある複数のコード実行の脆弱性などがある。これらの脆弱
性を悪用するには、アタッカーは、ターゲットに悪意のあるファイルを開くよ
うに仕向けなくてはならない。Windows Media Player Network Sharing
Serviceにあるuse-after-freeの脆弱性は、唯一、これに該当しない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS10-071.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-075.mspx
http://www.microsoft.com/technet/security/bulletin/ms10-076.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-079.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-080.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-081.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-082.mspx
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/43655
http://www.securityfocus.com/bid/43695
http://www.securityfocus.com/bid/43704
http://www.securityfocus.com/bid/43705
http://www.securityfocus.com/bid/43707
http://www.securityfocus.com/bid/43717
http://www.securityfocus.com/bid/43754
http://www.securityfocus.com/bid/43760
http://www.securityfocus.com/bid/43765
http://www.securityfocus.com/bid/43766
http://www.securityfocus.com/bid/43767
http://www.securityfocus.com/bid/43769
http://www.securityfocus.com/bid/43770
http://www.securityfocus.com/bid/43771
http://www.securityfocus.com/bid/43775
http://www.securityfocus.com/bid/43776
http://www.securityfocus.com/bid/43782
http://www.securityfocus.com/bid/43783
http://www.securityfocus.com/bid/43784
────────────────

2.危険度【高】:OracleのJavaにさまざまな脆弱性

<影響を受ける製品>
Windows、Solaris、Linux Java SE用JDKおよびJRE 6のUpdate 21までのバージョ
ンSolaris Java SE用のJDK 5.0のUpdate 25までのバージョン
Windows、Solaris、Linux Java for Business用JDKおよびJRE 6のUpdate 21
Windows、Solaris、Linux Java for Business用のJDKおよびJRE 5.0のUpdate 25
Windows、Solaris、Linux Java for Business用SDKおよびJRE 1.4.2_27 までの
バージョン

<詳細>
Oracleはこのほど、さまざまなセキュリティの脆弱性に対処するために重大な
アップデートをリリースした。Oracleによると、このパッチは29の脆弱性に対
処しており、そのうち28の脆弱性は、コード実行の脆弱性につながるおそれが
あるという。これらの脆弱性の中には、Java Runtime Environment(JRE)の
low-levelの実装にある欠陥が原因で生じるという。Javaは、安全にタイピン
グされるよう作られているが、低水準のコードは、時々、ユーザーが定義した
文字列をCバッファに書き込むことがある。そのため、攻撃者に対し、返信ア
ドレスを上書きしてコードを実行する機会を与えてしまう。このような脆弱性
によって、Javaアプレット(ターゲットが悪意のあるサイトに行った場合に、
ユーザーの操作なしに動作するアプレット)は、それ自身を運用するJavaプロ
セスの許可で実行できるようになってしまう。通常、アプレットは制限された
権限で動作する。


<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.oracle.com
Oracleのアップデートのアドバイザリ:2010年10月
http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/36935
http://www.securityfocus.com/bid/40235
http://www.securityfocus.com/bid/43965
http://www.securityfocus.com/bid/43971
http://www.securityfocus.com/bid/43979
http://www.securityfocus.com/bid/43985
http://www.securityfocus.com/bid/43988
http://www.securityfocus.com/bid/43992
http://www.securityfocus.com/bid/43994
http://www.securityfocus.com/bid/43999
http://www.securityfocus.com/bid/44009
http://www.securityfocus.com/bid/44011
http://www.securityfocus.com/bid/44012
http://www.securityfocus.com/bid/44013
http://www.securityfocus.com/bid/44013
http://www.securityfocus.com/bid/44014
http://www.securityfocus.com/bid/44016
http://www.securityfocus.com/bid/44017
http://www.securityfocus.com/bid/44020
http://www.securityfocus.com/bid/44020
http://www.securityfocus.com/bid/44021
http://www.securityfocus.com/bid/44023
http://www.securityfocus.com/bid/44024
http://www.securityfocus.com/bid/44026
http://www.securityfocus.com/bid/44027
http://www.securityfocus.com/bid/44028
http://www.securityfocus.com/bid/44030
http://www.securityfocus.com/bid/44032
http://www.securityfocus.com/bid/44035
http://www.securityfocus.com/bid/44038
http://www.securityfocus.com/bid/44038
http://www.securityfocus.com/bid/44040
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-202/
http://www.zerodayinitiative.com/advisories/ZDI-10-203/
http://www.zerodayinitiative.com/advisories/ZDI-10-204/
http://www.zerodayinitiative.com/advisories/ZDI-10-205/
http://www.zerodayinitiative.com/advisories/ZDI-10-206/
http://www.zerodayinitiative.com/advisories/ZDI-10-207/
http://www.zerodayinitiative.com/advisories/ZDI-10-208/

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、 info@sans-japan.jp まで返信してください。