NRI Secure SANS NewsBites 日本版

Vol.5 No.45 2010年11月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.5 No.45 2010年11月16日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
Ed Skoudisがデモンストレーションを行っているSANSのトレーニングコース
「SEC560:Network Penetration Testing and Ethical Hacking」をiPadで見
た。iPadはたいへん効果的なポータブル学習ツールである。また、エシカルハッ
キングの講師として、Edに勝る人はいないだろう。出張費に予算を割けない方
に、SANS OnDemand(遠隔研修)受講は、価値ある選択肢となろう。OnDemand
はすでにTivo効果(講師が数秒前に言ったことを確認するために、少し戻って
再生することもできる)ゆえに、ライブ研修(集合研修)と同等の評価をいた
だいている。また、各モジュールに付属しているチェックテストも、授業内容
をマスターできたかどうかを確認する手助けとなっている。現在、Edのコース
を受講すれば、iPadが無料で付いてくる。詳細はこちら:
http://www.sans.org/ondemand/discounts.php#current

■■SANS NewsBites Vol.12 No.88-89
(原版:2010年11月5日、11月9日配信)

◆英国の情報コミッショナー事務局(ICO) Googleはデータ保護法を侵害し
たと述べる (2010.11.3)
Google Street Viewの捜査を受けて、英国の情報コミッショナー事務局(ICO)
は、「Googleは、データ保護法に違反していた」ことがわかったと述べている。
その結果、Googleは監査の対象となるほか、「データの保護を確実に強化でき
る対策をとる」と約束した保証文書にサインするように義務付けられることと
なった。ICOは、罰金は科さないようだ。このほかGoogleは、英国のStreet
View用に画像を収集していた際に集めたデータを削除しなくてはならない。数
週間前、ICOは、Googleが収集した情報には個人情報はなかったと発表してい
るものの、他のプライバシー関連機関がGoogleに対し一層厳しい対策をとり始
めたことを機に、捜査を再開すると決断した。
http://www.theregister.co.uk/2010/11/03/ico_google_streetview/
http://www.scmagazineuk.com/ico-finds-google-in-breach-of-the-data-protection-act-over-street-view-but-has-no-intention-to-issue-a-fine/article/190072/
http://www.computerworld.com/s/article/9194619/UK_Google_Wi_Fi_collection_violated_data_protection_laws?taxonomyId=144
──────────────

◆US CERT SCADAシステムの特定を簡略化できる検索エンジンについて警告
(2010.11.2)
US CERTは、サーバやその他のデバイスをインデックス化するSHODANと称され
る検索エンジンは、アタッカーによってサイバーアタックに脆弱な産業用のコ
ントロールシステムの特定に使用される可能性があると警告した。アドバイザ
リでは、管理者に対して以下を推奨している。
1.全てのコントロールシステムをファイアウォールの後ろ側に配置する。
2.デフォルトのシステムアカウントを排除する、無効にする、もしくはアカウ
ント名を変える。
3.ブルートフォースのパスワード攻撃からシステムを保護するために、ロック
アウト・ポリシーを設ける。
http://www.h-online.com/security/news/item/Attackers-set-sights-on-online-industrial-control-systems-1129859.html
http://www.theregister.co.uk/2010/11/02/scada_search_engine_warning/
http://www.us-cert.gov/control_systems/pdf/ICS-Alert-10-301-01.pdf

【編集者メモ】(Honan)
SCADAシステムやその他の重要ネットワークインフラの運営者ら全てに対して、
警鐘が鳴らされた。SHODANが、あなたのデバイスを見つけたからといって何な
のだ? もともとあなたのデバイスはインターネットに接続されているのだか
ら、守っていくしかないのだ。
──────────────

◆スマートフォンのバンキング・アプリにセキュリティ欠陥 (2010.11.5)
研究者らは、AndroidとiPhone用の複数のバンキングアプリケーションに、プ
レーンテキストで、口座情報を保存してしまうというセキュリティ欠陥がある
ことを発見した。アタッカーは、対象の情報を見つけ出すために、ユーザーを
細工されたWebサイトに誘い込み、そこで機密情報を盗み出していた可能性が
ある。調査で検査した7つのアプリのうち、Vanguard Group製の1つだけが、そ
ういった情報をプレーンテキストで保存していなかった。アプリの作成に携わっ
ている機関には、この問題について通知され、対策がとられているようだ。
http://www.wired.com/threatlevel/2010/11/bank-apps-for-phones/
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=228200291&cid=RSSfeed_IWK_News

【編集者メモ】(Pescatore)
Androidフォンの世界では、「限定的なApp Storeに対して、Droidでは何でも
できる」といううたい文句で、iPhoneと競争しようとしているようだ。しかし、
実際には、AppleのiPhone側も、ただ、iPhoneアプリ用の制限(アプリが、口
座情報やパスワードを携帯電話にプレーンテキストで保存するといった愚かな
ことをしないようにする制限)を高くすれば、その競争を受けて立つのも簡単
なのだ。ユーザー側も、20種類くらいのゲームアプリを搭載すれば、それで満
足なのではないだろうか。その20のゲームの中に、個人情報を身元情報窃盗犯
に送信するものが1つもないとわかっていれば……。
──────────────

◆サイバーヨーロッパ 2010 サイバー・ディフェンス・セキュリティ演習
(2010.11.4-5)
EU加盟22か国とアイスランド、ノルウェー、スイスが、「サイバー ヨーロッ
パ 2010・サイバーセキュリティ演習」に参加した。このイベントでは、通信
の改善と重要インフラの構成要素の保護対策の改善の必要性が強調された。演
習の参加者には、コンピュータ緊急対応チーム関連の省庁や、国の規制機関な
どの顔ぶれも見られた。今回、このイベントの管制センターは、ギリシャのア
テネに設けられている。
http://www.theregister.co.uk/2010/11/05/euro_cyber_security_exercise/
http://www.bbc.co.uk/news/technology-11696249

【編集者メモ】(Schultz)
私の知る限りでは、この類の演習に、これだけ広範にわたる国や組織が関わっ
たことは、いまだかつてない。

━【セミナー案内】━━━━━━━━━━━━━━━━━━━━━━━━━

○「機密情報の効果的な防衛策とは           【11/26(金)】
~法対応等のためのベストプラクティス~<第二弾>
http://www.nri-secure.co.jp/seminar/2010/1126.html?xmid=24&xlinkid=04

○「事例から学ぶ特権ID管理実践セミナー」<好評につき、日程追加!>
【11/18日(木)・12/6(月)・17(金) 15:00~17:10】
http://www.nri-secure.co.jp/seminar/2010/0907.html?xmid=24&xlinkid=05

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年11月4日 Vol.9 No.45)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    2 (#1)
Third Party Windows Apps            2
Linux                     1
Cross Platform                21 (#2)
Web Application - Cross Site Scripting     2
Web Application                5
Network Device                 1
Hardware                    1
======================================================================
1.危険度【高】:Internet ExplorerのCSS Tag解析にコード実行の脆弱性

<影響を受ける製品>
Internet Explorer 6.0 SP1、7.0、8のバージョン

<詳細>
Microsoftの主要なブラウザであるInternet Explorerには、メモリ崩壊の脆弱
性がある。カスケーディング・スタイルシート(CSS)のタグの解析を担うコー
ドが、バーチャル機能へのポインタを上書きするように仕向けられ、コードの
実行に至るおそれがある。Internet Explorer 9のベータバージョン以外は、
これに脆弱だ。アタッカーはこの脆弱性を悪用して、ターゲットのマシンに任
意のコードを実行するには、悪意のあるサイトを閲覧するようにターゲットを
誘い込まなくてはならない。この脆弱性は、巷で活発に悪用されているものの、
今のところ、更新はリリースされていない。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
ベンダーのサイト
http://www.microsoft.com
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/44536
──────────────

2.危険度【高】:Adobe Shockwaveにさまざまな脆弱性

<影響を受ける製品>
Adobe Shockwave Player 11.5.9.615より前のバージョン

<詳細>
Adobeは、同社製のマルチメディアプレーヤのShockwaveに影響を及ぼす複数の
脆弱性にパッチをリリースした。どの脆弱性も、ディレクタ動画ファイルの解
析に用いられるコードにあるエラーが関係している。Directorプロジェクトは、
Adobe Director(旧Macromedia Director)で作成される。これらのプロジェ
クトには、動画再生のためのスクリプト、リンク、リソースが含まれている。
1つめの脆弱性は、コードに解析のエラーがあるために生じる。任意の長さの
文字列が、固定の長さのバッファに直接コピーされると、単純なスタックのバッ
ファオーバーフローに発展してしまう。2つめの脆弱性については、メモリを
割り当てるのにuser-controlled lengthsを用いて、バッファオーバーフロー
に至らせるおそれがある。どちらの脆弱性も悪用されると、ターゲットのマシ
ンに任意のコードが実行されるおそれがある。いずれも悪用するには、アタッ
カーは、ターゲットを悪意のあるサイトに訪問するように仕向けなければなら
ない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb10-25.html
Zero Dayイニシアチブ
http://www.zerodayinitiative.com/advisories/ZDI-10-227/
http://www.zerodayinitiative.com/advisories/ZDI-10-228/
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/44516
http://www.securityfocus.com/bid/44515
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。