NRI Secure SANS NewsBites 日本版

Vol.5 No.44 2010年11月9日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.44 2010年11月9日発行
**********************************************************************
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 Autumn トレーニングイベント
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~ 20日(土)■
!!世界中で最も受講されている2コースを実施!!

    SANSトップインストラクター Mike Poorの講義は必見!

   【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.86
(原版:2010年10月29日配信)

◆米国公正取引委員会 Google Street Viewの捜査打ち切り:議会聴聞会の開
催を要請 (2010.10.27-28)
米国連邦取引委員会は、GoogleがStreet View用に画像を収集している最中に、
保護されていない無線ネットワークから個人情報をうっかり収集していた件に
関する捜査を打ち切った。つまり、この捜査はGoogleにとって、単なる警告に
しかならなかった。FTC消費者保護局長のDavid Vladekは、Google宛ての書簡
において、「Googleは、新しいプライバシー保護対策を導入中であったため、
罰金は課せられない」ことを示唆している。消費者擁護団体は、FTCの決定を
「未熟かつ間違った」決定と称し、同局の行動の欠如について、議会聴聞会を
開くように要請。Googleへの捜査および政府による質問は、米国内で行われて
いるほか、他の国でも同様に行われているようだ。
http://www.wired.com/threatlevel/2010/10/ftc-google-wifi-sniffing/
http://www.computerworld.com/s/article/9193383/FTC_ends_probe_into_Google_s_Wi_Fi_snooping?taxonomyId=144
http://content.usatoday.com/communities/technologylive/post/2010/10/critics-call-for-congressional-hearings-on-googles-wi-fi-data-harvesting/1?loc=interstitialskip
──────────────

◆LimeWire 締め出される (2010.10.26-27)
米国ニューヨーク州の連邦政府判事は、LimeWireを事実上閉鎖する裁判所命令
を発行した。米国地方判事のKimba WoodはLimeWireに対し、ファイル共有ソフ
トウェアの販売とサポートを即座に中止するように命じている。LimeWireは2
週間以内に、問題のソフトウェアを無効にする措置について報告し、ユーザー
や社員、この命令の利害関係者に対してその旨を通知しなくてはならない。5
月にWood判事が下した判決は、著作権侵害を誘発、および可能にした責任は、
LimeWireとその社長、Mark Gortonにあると評決を下した。
http://www.bbc.co.uk/news/technology-11635320
http://www.computerworld.com/s/article/9193199/Court_orders_LimeWire_to_cease_file_sharing_business?taxonomyId=144
http://www.wired.com/threatlevel/2010/10/limewire-riaa-defeat/
──────────────

◆判決:Amazonは顧客記録を提出する必要なし (2010.10.25-27)
米国連邦判事が、「Amazonは、ノースカロライナ州税務課(DOR)に顧客情報を
提出する必要なし」という判決を下した。DORは、適正な消費税を徴収するた
めに、ノースカロライナ州のAmazonの顧客による購入記録を求めていた。しか
し、地方裁判所判事のMarsha Pechmanは判決で、「DORが求めている情報提供
の要求は、"米国憲法修正第1条に抵触する"」と述べている。Amazonは、ノー
スカロライナ州のDORに、「どのアイテムがどの郵便番号に送付されたか」を
示す匿名のリストを提供したが、DORは、各注文に対する氏名と住所を求めて
いた。
http://www.theregister.co.uk/2010/10/27/amazon_sales/
http://news.cnet.com/8301-31921_3-20020680-281.html
────────────────

◆技術と裁判 (2010.11.1)
OracleのSAPに対する企業秘密の窃盗についての裁判における陪審員の選定が
行われているが、陪審員候補者らは、「陪審員に選ばれた場合、Twitterや
Facebookに投稿を行ってはならない」と警告を受けていた。また、彼らは、こ
の論拠についてオンライン検索を行うことも禁止される。陪審員に、技術的な
行動として求めるべきことを明確化する必要があるのには、実際にそれなりの
根拠がある。ある事例では、陪審員がFacebookの友人リクエストを重要な証人
に送信していたということがあった。また、別の事例では、陪審員が裁判につ
いてTwitterにメッセージを掲示していたということもある。米国裁判官会議
は先日、このような問題に対処するために、新しい陪審員命令に対する承認を
出した。
http://www.computerworld.com/s/article/9194267/Jurors_banned_from_using_Twitter_on_Oracle_SAP_trial_?taxonomyId=17
http://www.law.com/jsp/tx/PubArticleTX.jsp?id=1202473365917&slreturn=1&hbxlogin=1

【編集者メモ】(Schultz)
ソーシャルネットワーキングが社会(裁判も含めて)をどれだけ変えているの
かを考えると、圧倒させられる。数年前と比較すると、現在その機密性は、非
常に迅速に、かつ、多くの新手法で侵害されているようだ。
──────────────

◆インド Blackberryのサポートを禁止するプランを取りやめる (2010.11.1)
インドの自治省は、10月末までに同国内におけるBlackberryのサービスを禁止
する計画だったが、その計画は行わない意向であると述べた。同省と
Blackberryの親会社であるResearch in Motion (RIM)は、BlackBerryのネット
ワークで送信されているデータへの政府によるアクセスについて、暫定的な合
意に達している。その合意では、RIMは、2011年1月31日までの最終的な提案を
行うことを約束している。インドは、BlackBerryがネットワークで送信してい
るデータを政府が監視できるようにする手段を提供できなければ、そのサービ
スを禁止すると脅している国の1つである。
アラブ首長国連邦も、同様に、RIMが実施可能な解決策を提供してきたというこ
とで、10月はじめに計画していた禁止の実行を取りやめている。
http://news.cnet.com/8301-1035_3-20021328-94.html?tag=mncol;title
──────────────

━【セミナー案内】━━━━━━━━━━━━━━━━━━━━━━━━━

○「機密情報の効果的な防衛策とは           【11/26(金)】
~法対応等のためのベストプラクティス~<第二弾>
http://www.nri-secure.co.jp/seminar/2010/1126.html?xmid=24&xlinkid=04

○「事例から学ぶ特権ID管理実践セミナー」<好評につき、日程追加!>
【11/18日(木)・12/6(月)・17(金) 15:00~17:10】
http://www.nri-secure.co.jp/seminar/2010/0907.html?xmid=24&xlinkid=05

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年10月28日 Vol.9 No.44)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Mac Os                     1
Linux                      1
Novell                     1
Cross Platform                 21 (#1,#2)
Web Application - Cross Site Scripting     3
Web Application - SQL Injection         3
Web Application                 3
======================================================================
1.危険度【高】:Adobe Acrobat、および、Reader、Flashにリモートのコード
実行の脆弱性

<影響を受ける製品>
WindowsおよびMac OS X、Linux、Solaris用Adobe Flash Playerの10.1.85.3
までのバージョン
Android用Adobe Flash Playerの10.1.95.2までのバージョン
WindowsおよびMac OS X、Unix用Adobe Readerの9.4までのバージョン
WindowsおよびMac OS X用Adobe Acrobatの9.4までのバージョン

<詳細>
Adobeによると、さまざまなAdobe製品に影響を及ぼすゼロデイの脆弱性が、巷
で活発に悪用されている。Adobeは11月はじめに、この脆弱性に対する更新を
リリースする見込みだ。攻撃者がこの脆弱性を悪用して、リモートのコードを
実行するには、犠牲者を、悪意のあるコンテンツを閲覧するように仕向けなく
てはならない。

<現状>
ベンダーはこの問題を認めているが、更新をリリースしていない。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/advisories/apsa10-05.html
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/44504
──────────────

2.危険度【高】:Mozilla製品にdocument.writeとDOMインサーションをミック
スしてしまうヒープバッファオーバーフロー

<影響を受ける製品>
Firefox 3.6.12より前のバージョン
Firefox 3.5.15より前のバージョン
Thunderbird 3.1.6より前のバージョン
Thunderbird 3.0.10より前のバージョン
SeaMonkey 2.0.10より前のバージョン

<詳細>
Mozilla Foundationは、このほど、同社製のFirefoxブラウザなど、さまざま
な製品に影響を及ぼすヒープバッファオーバーフローの脆弱性にパッチをリリー
スした。問題の脆弱性にパッチが適用される以前は、ハッカーがこれを悪用し、
ノーベル賞のサイトへの訪問者を感染させていた。Normanのマルウェア検知チー
ムが、このマルウェアを分析中に脆弱性を発見。アタッカーが問題の脆弱性を
悪用するには、ターゲットを悪意のあるサイトに訪問させる必要がある。この
場合、感染してしまったノーベル賞のサイトが悪意のあるサイトにあたる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2010/mfsa2010-73.html
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/44425/
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。