NRI Secure SANS NewsBites 日本版

Vol.5 No.47 2010年11月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.47 2010年11月30日発行
**********************************************************************
■■SANS NewsBites Vol.12 No.92-93
(原版:2010年11月19日、11月23日配信)

◆米国上院議会 迅速なStuxnet対策を約束:Assante氏 コントロールシステ
ムとビジネスシステムの分離を要求 (2010.11.17-18)
米国上院・国土安全保障政府問題委員会(HSGAC)で証言を行った専門家らは、
Stuxnetのワームを「大変革をもたらすもの」と称した。問題のマルウェアは、
非常に特有なシステムをターゲットにしているようだが、世界中のいたるとこ
ろで問題を引き起こすような代物に改変されてしまう恐れもあるという。脅威
が高まっているため、このような攻撃から重大なインフラを防御できる法案を
議会で可決することが極めて重要だ。そしてこのほど、最近まで北米電力信頼
度評議会(NERC)の最高セキュリティ責任者(CSO)を務め、現在は誉れ高い米国
情報セキュリティ検査官委員会の委員長のMike Assanteによって、議会がすべ
きことがかなり明確になった。Assanteは、公共事業に対し、コントロールシ
ステムとビジネスシステムを分離するように推奨した。分離を行えば、攻撃は
インターネットに接続しているビジネスシステムから、慎重に扱うべきコント
ロールシステムに飛び火することはなくなる。これを受けて、HSGACの委員長
のLieberman議員は、電力会社のセキュリティにおける対策を、1月に始まる新
議会の優先事項の1つとすることを約束した。
http://www.washingtonpost.com/wp-dyn/content/article/2010/11/17/AR2010111702516.html
http://www.nextgov.com/nextgov/ng_20101117_5600.php?oref=topnews
http://www.ctv.ca/CTVNews/TopStories/20101118/stuxnet-computer-virus-warning-101118/
http://www.cnn.com/2010/TECH/web/11/17/stuxnet.virus/index.html
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=228300167&cid=RSSfeed_IWK_All

【編集者メモ1】(Northcutt)
Michael Assanteの証言は正しい。まさに、コントロールシステムを、インター
ネットに接続されていない別のネットワークで運用することが必要なのだ。た
だし、そんなことは今までずっと考えられてきたことではなかったのか?
【編集者メモ2】(Paller)
2月に開催されるSCADAセキュリティについてのサミットで、有益なセッション
が多数開催されるが、そのうちの1つのセッションで、運用上の有効性を損な
わずにビジネスシステムをコントロールシステムから分離する方法が説かれる
ことになっている。
http://www.sans.org/north-american-scada-2011/
────────────────

◆中国電信 インターネット通信の乗っ取り疑惑を否定 (2010.11.17)
中国電信は、2010年4月8日に中国のサーバを介してインターネット通信を乗っ
取ったのではないかとの疑惑が発生していたが、その件に関与していたという
疑いを否定するコメントを発表した。この嫌疑は、米国議会に提出された米中
経済安全性検討委員会の報告書で持ち上がったものである。報告書によると、
このインシデントは18分ほど続いたようだ。中国政府は、この件に関しての正
式コメントをまだ発表していない。迂回経路に回された通信は、米国政府や米
軍組織に向かうはずのものだったようだ。報告書によると、「このインシデン
トに関係のある痕跡を見ても、それが意図的に行われたのかどうかは明確には
わからない」という。しかし、このようなインシデントがあったことで、中国
がインターネットに大きな影響を及ぼす能力を有しており、その能力の幅がま
すます拡大している事実に懸念の声が上がってくるようになった。
http://www.nytimes.com/2010/11/18/world/asia/18intel.html?ref=technology
http://www.computerworld.com/s/article/9197019/Update_Report_sounds_alarm_on_China_s_rerouting_of_U.S._Internet_traffic?taxonomyId=17
http://www.bbc.co.uk/news/technology-11773146
http://www.theregister.co.uk/2010/11/17/bgp_hijacking_report/
この問題についての言及が、報告書の243ページに掲載されている:
http://www.uscc.gov/annual_report/2010/annual_report_full_10.pdf

【編集者メモ1】(Schultz)
力の誇示だろうが自国に対する制裁への報復だろうが、中国はそう遠くない未
来に、一定期間インターネットが機能しなくなるようなDoS攻撃を一斉に仕掛け
るようになるだろう。
【編集者メモ2】(Honan)
この問題は、国家や組織が通信を乗っ取っとるという特殊能力よりも、BGPルー
ティングの不安定さの方が、関連性が高い。BGPルーティングのエラーによっ
て、過去にインターネット通信に影響が生じたことがある。例えば、2008年に、
YouTubeの通信の全てが、図らずもパキスタンに迂回されたことがあった。ネッ
トワーク通信は、いったんネットワークから出ていくと、そこから先はコント
ロールできる範疇ではなくなってしまう。通信のセキュリティが心配なら、必
ず正しく暗号化することだろう。
────────────────

◆米空軍 ソーシャルネットワーキングサイトで位置情報が露呈される可能性
を警告 (2010.11.17-18)
米国空軍は、Facebookなどのソーシャルネットワーキングサイトにおいて、ユー
ザーの位置情報が開示されてしまう恐れがあるという警告を同軍のWebサイトに
掲示した。ほとんどのサイトで、ユーザーは地理位置情報機能を無効化できる
ようになっているが、このサービスを空軍兵が不注意で使用したままになって
いると、業務のセキュリティやプライバシーの問題に支障がでるという。米国
軍は、職員に対し、同様の警告を来週にも発する見込みである。
http://www.informationweek.com/news/government/mobile/showArticle.jhtml?articleID=228300144&cid=RSSfeed_IWK_All
http://www.bbc.co.uk/news/world-us-canada-11782352
http://techinsider.nextgov.com/2010/11/note_to_airmen_dont_facebook_your_location_in_war_zone.php
────────────────

◆FBI長官 技術企業とCALEAの適用範囲拡大について談義 (2010.11.16)
FBIのRobert Mueller長官は、社内ネットワークを行き交う暗号化されたコミュ
ニケーションもカバーできるように、法執行のためのコミュニケーション支援
1994年法(CALEA)の適用範囲を広げる提案について、先日、シリコンバレーで
技術企業の役員らと談義した。現在、CALEAでは、電話やブロードバンドのプ
ロバイダは連邦傍受指令に準じることができるような技術の組み込みが義務付
けられている。FBIは、大量の通信がインターネット関連企業のネットワーク
上で交わされるため、同法の適用範囲をこれらの関連企業にまで拡大したい意
向。Mueller長官と同じくFBIのValerie Caproni相談役は、対象企業である
GoogleやFacebookと、この件に関して話し合いを進めていく計画だ。
http://www.theregister.co.uk/2010/11/17/google_facebook_wiretapping/
http://www.nytimes.com/2010/11/17/technology/17wiretap.html?_r=1&partner=rss&emc=rss
────────────────

◆Stuxnet イランの核兵器開発を失敗させた疑い (2010.11.22)
イランの核兵器プログラムは失敗したようだが、濃縮機の出力を強制的に下げ
られてしまったという問題について、外交団には具体的な情報は入ってきてい
ない。Stuxnetワームが、この問題に関係していると思われる。数百台もの遠
心分離機が、この1年半でオフラインにされてしまったようだ。
http://www.msnbc.msn.com/id/40323245/ns/world_news-mideastn_africa/
【編集者メモ】(Northcutt)
NewsBitesの読者であるMark Walkerは、「Stuxnetがリバースエンジニアリン
グされ、その情報を使って他のターゲットへ攻撃が行われるリスクがある」と
指摘。Stuxnetは1つの攻撃であるという考え方だけでなく、技術移転であると
考えることもできる。
────────────────

◆セキュリティが欠落している重大な企業に罰金を課す権限を国土安全保障省
に与える米国法案 (2010.11.19)
米国の重要インフラ要素を担う組織が、国土安全保障省(DHS)によるサイバー
セキュリティ命令に準じることができなかった場合、同組織に対し、1日で最
高10万ドルの罰金を課すことができる権限を、DHSに与えるという法案が提案
されている。国土安全保障・サイバーインフラおよび物理的インフラ保護法と
称されるこの法案によって、DHSは、同国のインフラの継続的な運営に必要不
可欠な事業を行っている企業のリストを作成することになる。リストに上がっ
た企業は、「企業のサイバーセキュリティ計画をDHSに提出して承認を得る」
ことや、「事前予告あり、もしくは抜き打ちの監査や検査を受ける」など、
DHSが設置した規則に準じるように義務付けられる。また、同法案で、DHSの
Janet Napolitano長官は、サイバーセキュリティ主任を任命するように求めら
れている。しかし、DHSにはサイバーセキュリティの必須条件を設けたり、そ
の有効性を評価したりできるほどの専門知識はないという懸念の声も多数あがっ
ている。
http://news.cnet.com/8301-13578_3-20023464-38.html

【編集者メモ1】(Pescatore)
いかなるコンプライアンス制度においても、「コンプライアンスをを整えるた
めにかける費用の方が、効果が目に見えるセキュリティを獲得するために費や
す費用よりも、まずは多くなることが通常だ」という方程式がある。一見した
ところ、新しいコンプライアンス体制が整えば、必要なセキュリティ改善策に
資金をあてるように経営陣を納得させることがやっとできるようになると考え
がちだ。しかし、翌年は、そのコンプライアンスの怪物は、一層強欲になるの
だ。毎年それが繰り返されていく。そして、セキュリティに費やす「費用」も
毎年上がっていく。実際のセキュリティのレベルはほとんど上がらないにもか
かわらず……。
【編集者メモ2】(Schultz)
DHSのサイバーセキュリティ主任と大統領直属のサイバーセキュリティアドバ
イザを両方配置しても、よいことなどない。どんなに控えめに述べても、ひっ
きりなしに衝突が起きることは必至だ。
────────────────

◆Google 英国のStreet ViewのWi-Fiデータを破棄する見込み (2010.11.19)
英国のInformation Commissioner's Office (ICO)によると、Googleは、
Street View用に英国で収集したデータを破棄する予定だという。情報副長官
David Smithは、データが悪い輩に渡ってしまったという痕跡はないと述べて
いる。また、彼は、これ以上この問題についての問い合わせには応じないと意
思を示した。
http://www.bbc.co.uk/news/technology-11797907
http://www.msnbc.msn.com/id/40280537/ns/technology_and_science-security/
━【セミナー案内】━━━━━━━━━━━━━━━━━━━━━━━━━

○「金融業界向けセキュリティ最新動向解説セミナー    【12/ 2東京】
~待ったなしの誤送信対策&メッセージログ保存・監査~」
http://www.nri-secure.co.jp/seminar/2010/1202.html

○「情報セキュリティソリューションセミナー in 名古屋」【12/3名古屋】
http://www.nri-secure.co.jp/seminar/2010/1203.html

○「事例から学ぶ特権ID管理実践セミナー」      【12/6・17東京】
http://www.nri-secure.co.jp/seminar/2010/0907.html

○「Webセキュリティ対策セミナー            【12/10東京】
~セキュリティ担当・Webサイト担当が知っておくべき処方箋~」
http://www.nri-secure.co.jp/seminar/2010/1210.html

○「PCI DSS対策セミナー                【12/14東京】
~PCI DSS v2.0の概要解説及び対策のポイント~」
http://www.nri-secure.co.jp/seminar/2010/1214.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年11月18日 Vol.9 No.47)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            1
Linux                      3
BSD                       1
Cross Platform                 6 (#1)
Web Application - Cross Site Scripting     2
Web Application - SQL Injection         1
Web Application                 6
======================================================================
1.危険度【高】:Apple Mac OS Xに複数のセキュリティの脆弱性

<影響を受ける製品>
Apple Mac OS X Server 10.6.5より前のバージョン

<詳細>
Appleは、Mac OS Xの製品に影響を及ぼすセキュリティの脆弱性に、パッチを
リリースした。問題としては、ImageIO、QuickTimeを含むMac OSXの関連製品
や、その他の製品にある複数のコード実行の脆弱性などがあり、これらはあ
る方法によって、アタッカーによって悪用される可能性があるという。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
Apple のセキュリティアップデート
http://support.apple.com/kb/HT4435
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/44778
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-248/
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。