NRI Secure SANS NewsBites 日本版

Vol.5 No.43 2010年11月2日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.43 2010年11月2日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
コミュニティに何か恩返しをしたいと考えていらっしゃる方はいるだろうか?
中規模および大規模組織でリスクを削減する効果を実感できるセキュリティツ
ールをご存知なら、それを教えていただけると大きな貢献になるだろう。この
ようなインタビューを40-50件、www.sans.org/whatworksのツールクラスごと
に掲載しているのでご覧になっていただきたい。ユーザーがツールを使用した
体験談を語れば、どのツールを購入するか、または、今あるツールをより一層
活用する方法を模索している組織にとって大きな助けとなろう。セキュリティ
における困難な問題を実際に解決できるツールをすでに導入している方は是非、
apaller@sans.org までご一報を。そうすれば、そのツールを使用する際に役
に立ちそうなアドバイスをくれる方に連絡をとれるようにしよう。(ツールの
開発者やコンサルタントからのメールはお断り。中規模もしくは大規模組織の
エンドユーザーのみからの連絡を受け付ける。)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 Autumn トレーニングイベント
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
【早期割引 11月8日まで!! 申込みはお早めに!】

        ■2010年11月15日(月)~ 20日(土)■
!!世界中で最も受講されている2コースを実施!!

    SANSトップインストラクター Mike Poorの講義は必見!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.12 No.84-85
(原版:2010年10月22日、10月26日配信)

◆Google Street Viewのデータ収集行為 カナダとスペインで違法
(2010.10.19-21)
Googleは、Street View機能用の情報を収集中にWi-Fiデータをうっかり収集し
ていたことで、カナダとスペインの監督機関から非難を浴びている。スペイン
の捜査で、Googleは同国のデータ保護法に違反していたことがわかった。その
ため、スペインデータ保護機関は、Googleに対する懲戒手続きを始めている。
これによって、Googleには、各違反行為につき6万から60万ユーロ(8万3000ドル
から83万4000ドル)の罰金が課せられることになる。カナダのプライバシー長官
のJennifer Stoddartは、同国の捜査によって、Googleがカナダのプライバシー
法に違反していたことが分かったと述べている。Stoddartは、Googleに対し、
同国内で収集したデータを2011年2月1日までに削除するように求めている。
http://news.cnet.com/8301-31921_3-20020112-281.html
http://www.msnbc.msn.com/id/39745736/ns/technology_and_science-security/
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=227900433&subSection=Security
────────────────

◆裁判所 Googleにサイバーストーカーの容疑者身元情報の公開を求める
(2010.10.20)
ニューヨーク州の裁判所は、Googleに対し、ビジネスコンサルタントのCarla
Franklinの、本人による承諾のない動画やコメントを掲示している個人、もし
くはグループの身元情報、および連絡先情報を公開するように命令した。
Franklinは、「これは安全上の問題である」ため、問題として追及することに
したと述べている。昨年、Googleは、モデルのLiskula Cohenについての中傷
的なコメントを掲示したブロガーの身元情報を提供するように命令を受けた経
緯がある。しかし、問題のブロガー、Rosemary Portは、その時の情報開示に
よって彼女のプライバシーが侵害されたと主張している。
http://www.msnbc.msn.com/id/39767076/ns/technology_and_science-security/
http://www.telegraph.co.uk/technology/google/8078326/Google-ordered-to-reveal-identity-of-cyberstalker.html
────────────────

◆Javaアタックの頻度 急増中 (2010.10.18-20)
Microsoftの上級プログラムマネージャー、Holly Stewartは、2010年の第3四
半期にJavaの脆弱性が600万回悪用されたとブログに記している。これらの攻
撃アタックの多くは、たった3つの欠陥に集中して仕掛けられたものであるが、
Oracleは、それらに対してすでにパッチをリリースしていた。2010年第1四半
期におけるアタック(未遂も含める)件数は50万件以下だった。このアタック
の件数は、Adobe製品にある欠陥に対する攻撃の件数を上回っている。
ユーザーは、定期的にJavaを更新していないため、ユーザーのコンピュータの
保護を強化するために、更新を、Microsoftのセキュリティ更新サービスに抱
き合わせて行うことが提案されている。PCの80%において、少なくともJavaの
バージョンのどれか1つが運用されている。それらのうち40%は、古いバージョ
ンで使われている。Javaの更新サービスはあるものの、ユーザーに対する通知
が遅いほか、PCで複数のバージョンの製品を運用してもよい状態になっている。
そのため、ユーザーのコンピュータは、より新しいJavaのバージョンを運用し
ていたとしても、それよりも古いアタックに対して脆弱な場合もある。
http://krebsonsecurity.com/2010/10/microsoft-a-tidal-wave-of-java-exploitation/
http://www.eweek.com/c/a/Security/Oracle-Java-Attacks-Reach-Unprecedented-Levels-Microsoft-Reports-471320/
http://www.scmagazineus.com/microsoft-warns-of-unprecedented-java-exploitation/article/181205/
http://www.computerworld.com/s/article/9191640/_Unprecedented_wave_of_Java_exploits_hits_users_says_Microsoft?taxonomyId=208s
http://www.computerworld.com/s/article/9192098/Users_neglect_Java_patches_leave_attack_door_wide_open?taxonomyId=17
────────────────

◆Wiseguy TicketsのCAPTCHAのケース 裁判に持ち込まれる (2010.10.19)
連邦政府の判事は、Wiseguy TicketsとSeats of San Franciscoに対する起訴
の棄却を拒否した。同社らには、技術を駆使してCAPTCHAの安全措置を回避し
てイベントのチケットを真っ先に買い集め、それらを再販して大きな利益を得
ていた疑いがある。被告の弁護人らは、この問題は契約不履行の民事問題であ
り、刑事問題ではないと主張し、コンピュータ詐欺乱用対策法の違反と有線通
信不正行為に対する告訴の棄却を求めていた。このケースは、2011年3月1日に
裁判にかけられる。問題のグループは、同一の団体による大量購入を防ぐため
の保護措置を回避するために、個人の購入者(数千人分)のふりをして購入す
るシステムを設けていたようだ。
http://www.wired.com/threatlevel/2010/10/hacking-captcha/
【編集者メモ】(Schultz)
Java、Office、Adobeのどれだろうが、その他の製品だろうが関係なく、脆弱
性の氾濫は続く。大きな商業企業であれば、少しはこのような戦いに勝てる見
込みもあろう。しかし、中小企業や非営利団体にとっては、類をみないほど献
身的で、知識の豊富な、かつ、自身の時間を大いに割いてくれるようなセキュ
リティおよびシステムの管理者がいない限り、勝てる見込みはない。
────────────────

◆協調行動計画で大電力システムのセキュリティのリスクに対処 (2010.10.20)
北米電気信頼度協議会(NERC)や米国エネルギー省などが、2009年11月に共同で
ワークショップを行い、「北米大電力システムに対する頻度の低いリスク、影
響度の高いリスク」という概要報告書を発表した。その後、NERCの電力副部門
調整委員会が、重大インフラ戦略のロードマップを作成し、NERCは指摘された
リスクに対処する目的で、電力公共事業産業と共同で協調行動計画を作成した。
この計画には、4つの具体的なシナリオに加えて、それぞれのシナリオに対処
するための戦略的イニシアチブの解説、および、具体的な道しるべが記されて
いる。
http://www.scmagazineus.com/unknown-unknowns-and-the-electric-grid/article/181292/
http://www.nerc.com/files/HILF.pdf

【編集者メモ】(Northcutt)
2つめのリンクで、この計画そのものを閲覧できる。これは、あなたの組織の
COOP/DR/BCPプランを2つの観点で評価する際に大いに役立つだろう。まず1つ
目の観点として、問題の脅威をあなたの組織に直接照らし合わせることができ
る。2つ目においては、これらの脅威のどれかが、電力網に大きな影響を与え
た場合、発電機や電池でどれだけ事業を存続できるかを考えさせられるだろう。
────────────────

◆Facebook ユーザーIDを保護するために暗号化を施行 (2010.10.25)
Facebookは、ユーザーの情報がサードパーティと共有されているという報告を
受けて、暗号化とその他のデータ保護措置を使用する意向であることを表明し
た。Facebookのポリシーでは、アプリケーション開発者に対し、Facebookのユー
ザーIDをサードパーティと共有することを禁じている。しかし、同社によると、
「中には、HTTPリファラヘッダを介してデータをうっかり共有してしまってい
る開発業者がいた」と指摘。関連のニュースとして、ミネソタ州の女性が、
Zyngaに対し集団訴訟を起こした。Zyngaは、Facebookで広範に使用されている
FarmVilleやMafia Warsのゲームを担当する企業だが、サードパーティとユー
ザー情報を共有していたという。また、データ集積業者のRapleafは、広告ネッ
トワークとのユーザー識別子の共有は止めたと述べている。
http://dns.tmcnet.com/topics/internet-security/articles/111215-facebook-beefs-up-security-after-privacy-concerns-surface.htm
http://blogs.sfweekly.com/thesnitch/2010/10/zynga_facebook_lawsuit.php
http://business.financialpost.com/2010/10/22/13072/
http://www.computerworld.com/s/article/9192862/Rapleaf_says_it_has_fixed_privacy_issue_with_Facebook?taxonomyId=203

【編集者メモ】(Pescatore)
広告収入で運営しているサイトに関しては、真の顧客は広告業者であって、そ
のサイトのユーザーではないのだ。その遺伝子がある限り、セキュリティ関連
の決定内容は、広告の完全性とその供給力の維持を保証する方に優位に傾くだ
ろう。ユーザー情報の機密性の保証ではなく…。
────────────────

◆イランのサイバー軍 ボットネットのレンタルサービスを提供?
(2010.10.25)
研究によると、the Iranian Cyber Army「イランのサイバー軍」と称される
ハッカーグループが、ボットネットを運用しているほか、悪意のあるインター
ネット活動を行っているという。問題のグループは最近、DNSの記録を改変して
ユーザーを他のサイトをリダイレクトするという攻撃をTwitterやBaiduに仕掛
けた。調査会社のSeculertが調査したところ、the Iranian Cyber Armyがボッ
トネットのレンタルサービスを提供していると思われるページを発見したとい
う。管理パネルのメールアドレスが、BaiduやTwitterに対する攻撃の後に表示
されたアドレスと同じであることから、ボットネットのレンタルというこのス
キームは、問題のグループの仕業だと考えられている。
http://www.computerworld.com/s/article/9192800/Iranian_Cyber_Army_running_botnets_researchers_say?taxonomyId=17
http://www.techeye.net/security/iranian-cyber-army-providing-botnet-for-rent
━【セミナー案内】━━━━━━━━━━━━━━━━━━━━━━━━━

○「クラウド時代の情報セキュリティ」セミナー     【11/10(水)】
~情報資産の送受信、保存に関する新たなアプローチ~
http://www.nri-secure.co.jp/seminar/2010/1110.html?xmid=23&xlinkid=04

○「機密情報の効果的な防衛策とは           【11/26(金)】
~法対応等のためのベストプラクティス~<第二弾>
http://www.nri-secure.co.jp/seminar/2010/1126.html?xmid=24&xlinkid=04

○「事例から学ぶ特権ID管理実践セミナー」<好評につき、日程追加!>
【11/18日(木)・12/6(月)・17(金) 15:00~17:10】
http://www.nri-secure.co.jp/seminar/2010/0907.html?xmid=24&xlinkid=05

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年10月21日 Vol.9 No.43)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            11
Linux                      4
Cross Platform                 26 (#1,#2,#3)
Web Application - Cross Site Scripting      8
Web Application - SQL Injection         3
Web Application                 4
Network Device                  2
======================================================================
1.危険度【高】:Adobe Shockwave Player

<影響を受ける製品>
MacintoshおよびWindows用 Adobe Shockwave Playerの11.5.8.612までのバージョン

<詳細>
Adobe Shockwave Playerには、アタッカーに悪用されるとターゲットのマシン
に任意のコードを実行されてしまうという詳細不明なゼロデイの脆弱性がある。
この脆弱性を悪用するには、アタッカーは、悪意のあるサイトを閲覧するよう
に、ユーザーに仕向けなければならない。Adobe Shockwave Playerは、HTTP上
でYouTubeなどのストリーミング動画を閲覧できるようにするために、広範で
インストールされている。また。この脆弱性のエクスプロイトが公表されてい
るという。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
ベンダーのサイト
http://www.adobe.org
Adobeのセキュリティ警告
http://www.adobe.com/support/security/advisories/apsa10-04.html
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/44291
────────────────

2.危険度【高】:Mozillaのさまざまな製品にセキュリティアップデート

<影響を受ける製品>
Firefox 3.6.11
Firefox 3.5.14
Thunderbird 3.1.5
Thunderbird 3.0.9
SeaMonkey 2.0.9

<詳細>
Mozillaはこのほど、さまざまなセキュリティの脆弱性に対してパッチをリリー
スした。それらのうちいくつかは、コードの実行に悪用されるおそれのあるも
のだ。Mozillaの開発者によって判明した複数あるメモリセーフティのバグの
ほかにも、document.writeのJavascript機能に関連する脆弱性にもパッチが適
用されている。過剰に長い文字列によって、その機能が呼び出されると、同機
能は、テキスト・レンダリングのルーティンに、一貫性のない状態を生みだし
てしまう。Javascript windowオブジェクトのロケーションバープロパティに
アクセスすると、use-after-freeの状態が発生し、window._lookupGetter_が、
use-after-freeの状態をもう1つ生みだす目的で、引数なしに呼び出される。
これらの脆弱性は全て、コードの実行につながるおそれがあるという。アタッ
カーがこれらを悪用するには、ターゲットを悪意のあるサイトを訪問するよう
に誘導しなくてはならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2010/mfsa2010-64.html
http://www.mozilla.org/security/announce/2010/mfsa2010-65.html
http://www.mozilla.org/security/announce/2010/mfsa2010-66.html
http://www.mozilla.org/security/announce/2010/mfsa2010-67.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-219/
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/44243
http://www.securityfocus.com/bid/44245
http://www.securityfocus.com/bid/44246
http://www.securityfocus.com/bid/44247
http://www.securityfocus.com/bid/44248
http://www.securityfocus.com/bid/44249
────────────────

3.危険度【高】:RealNetworks RealPlayerにセキュリティアップデート

<影響を受ける製品>
RealPlayer SP 1.0.2, 1.1, 1.1.1, 1.1.4, 1.1.5
RealPlayer 14.0 Beta
RealPlayer Enterprise 2.1.2
RealPlayer Enterprise 2.1.3
Mac RealPlayer 11.0 - 12.0
Linux RealPlayer 11.0.2.1744

<詳細>
RealNetworksはこのほど、広範にインストールされている同社製のメディアプ
レーヤー、RealPlayerにあるさまざまな脆弱性にパッチをリリースした。最初
の問題は、RealPlayerのメディアファイルにある論理ストリーム内のName
Value Pairsに関連している。2つめの問題は、RealPlayerのActive X Control
にあるインジェクションの脆弱性に関連している。3つめの脆弱性には、CDDA
URIの解析が正しく行われないことが関係している。4つめの脆弱性は、不正形
式のサンプルデータにあるIVRファイルに関連があるようだ。これらの脆弱性
は全て、アタッカーがそれらを悪用する目的で、ターゲットに悪意のあるファ
イルを開くように仕向けることができれば、コード実行につながってしまうお
それがある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.real.com
RealNetworksのセキュリティアップデート
http://service.real.com/realplayer/security/10152010_player/en/
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-209/
http://www.zerodayinitiative.com/advisories/ZDI-10-210/
http://www.zerodayinitiative.com/advisories/ZDI-10-211/
http://www.zerodayinitiative.com/advisories/ZDI-10-212/
http://www.zerodayinitiative.com/advisories/ZDI-10-213/
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/44241
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。