NRI Secure SANS NewsBites 日本版

Vol.5 No.49 2010年12月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.49 2010年12月14日発行
**********************************************************************
3月にオーランドで開催される「SANS2011」イベントの参加申込み受付が、始
まった。リバースエンジニアリングマルウェア、フォレンジック、ペネトレー
ションテストなど、すぐに満席になってしまうコースが満載の主要カンファレ
ンスである。開催される40のコースの詳細情報はこちら。
http://www.sans.org/sans-2011/event.php

■■SANS NewsBites Vol.12 No.95-96
(原版:2010年12月3日、12月7日配信)

◆ウィキリークス Amazonのサーバから除去される (2010.12.2)
オンラインの巨大小売企業であるAmazonは、「ウィキリークスはAmazonのサー
ビス契約に違反した」という理由で、ウィキリークスをサーバから除去した。
また、米国上院委員会はAmazonに対し、このところ世界中の注目を浴びている
問題のウィキリークスとの関係を説明するように求めている。ウィキリークス
は最近、米国の外交手段の極秘情報を大量に公表した。また、DDoSのターゲッ
トになったがためにAmazonにサーバを移設したという経緯が過去にある。同サ
イトは現在、スウェーデンでホスティングされている。
http://www.nytimes.com/2010/12/02/world/02amazon.html?ref=technology
http://www.scmagazineuk.com/amazon-chooses-to-stop-hosting-wikileaks-as-cables-circulate-on-bit-torrent/article/192039/
【編集者メモ1】(Pescatore)
Amazonはサービス契約にて、「コンテンツの権利を所有しているか、もしくは
コンテンツの権利を全てコントロールできること……および、提供するコンテ
ンツの用途がこのポリシーに違反せず、個人や団体に害を及ぼすものではない
ことを表明し保証する」よう、契約者に約束させている。つまり、ウィキリー
クスは、AWSのサービス契約に違反していたのは明らかである。
【編集者メモ2】(Ranum)
米国の上院委員会は、Amazonにプレッシャーを与える前に、クリントン国務長
官と確認すべきだった。どのみち彼女は、検閲行為やインターネット上の抑圧
的な反対者などの件も、人差し指を振って叱っただけであったが。
【編集者メモ3】(Schultz)
私は以前、Julian Assangeと交流があった時期があった。そのときの彼とのや
りとり(有益な情報が満載のWebサイトをサイバー上の法的問題として議論し
ていた)を思い出してみると、それは確か建設的な内容だったと思う。ただ、
彼は、リスクがあるにもかかわらず、あまりにも大きなものに飛び込んでしまっ
たように思えて、私はそれを危惧していた。つい最近まで、彼は派手に振舞っ
ていたが……今は。
────────────────

◆サイバー武装の解除を国家間で議論

ロシアが推奨していたサイバー武装解除条約は、10年間無視され続けてきたが、
ここに来て米国とその他の国々は、同条約に関心を示している。これについて
の議論は、国際電気通信連合(ITU)と国連機関の主導で推し進められている。
http://www.worldaffairsjournal.org/articles/2010-NovDec/full-Gjelten-ND-2010.html
────────────────

◆米国連邦取引委員会 追跡禁止リストを支援 (2010.12.1-2)
米国の連邦取引委員会(FTC)の報告書には、「電話発信禁止リスト」に則した
「追跡禁止フレームワーク」の作成など、顧客を保護するためのオンライン
プライバシー規則の一連の改正が説明されている。この発信禁止リストは、顧
客が登録した番号にテレマーケティング業者が電話をしないようにする目的で
作成されたものだ。このポリシーの対象となるのは、顧客情報を収集・管理し
ている組織全てである。FTCは、現行の「通知・選択」システムは効果的では
ないとしてこの提案を行った。「通知・選択」のシステムでは、データ収集の
ポリシーに関して顧客に通知することが規定されているが、そのポリシーの内
容の決定については組織の自主性に任せられている。
http://www.nytimes.com/2010/12/02/business/media/02privacy.html?ref=technology
http://www.usatoday.com/tech/news/internetprivacy/2010-12-01-do-not-track_N.htm
http://www.darkreading.com/security/privacy/228500118/ftc-proposes-privacy-reforms-for-online-business.html
http://www.informationweek.com/news/security/privacy/showArticle.jhtml?articleID=228500104&subSection=Security

【編集者メモ】(Pescatore)
インターネット上で無料で何かを得たいと思えば、「広告」に耐えなければな
らない。しかしながら、プライバシーについてはある程度あきらめなければい
けない。とはいえ、その程度に関しては制御が効かず、選択肢もないという状
態を我々は嫌悪する。この追跡禁止リストはよいアイデアだ。追跡を拒否すれ
ば無料のコンテンツが手に入らないサイトにおいて、「追跡される」ことを選
択しなくてはならないのであれば、それもありだろう。

【追加記事】
◆「追跡禁止」推奨策で懸念や問題が浮上 (2010.12.2)
連邦取引委員会の報告書で、インターネットユーザーに対する「追跡禁止シス
テム」制度の導入が推奨されたが、この制度がどのように働くのかについて、
議員から質問が出ている。このほか、この制度のメカニズムによって、広告主
から利益を得られるような形での無料コンテンツの開発が抑圧されてしまうの
ではないかという懸念の声も出ている。現在のように経済が低迷している中で
そのような動きに転じると、経済成長は阻害されかねない。
http://www.nytimes.com/2010/12/03/technology/03privacy.html?_r=1&partner=rss&emc=rss
────────────────

◆中国 2010年だけで460人以上のハッカーを逮捕 (2010.11.30-12.2)
2010年のこれまでの11カ月間で、中国の司法当局は460人以上ものコンピュー
タ犯罪に関係していた人を逮捕したという。これは、2009年12月にGoogleのコ
ンピュータシステムへの攻撃に中国政府が関係していたことを指摘する文書な
ど、米国の極秘外交電報が大量に公表されたことを受けて発表された。また、
逮捕のほか、ハッカーへのサポートを提供していたWebサイト複数が閉鎖され
た。しかし、中国の関係者は、「現状はまだ厳しいもので、中国におけるハッ
カーによる攻撃や妨害工作の件数はまだまだ多い」と述べている。
http://www.reuters.com/article/idUSTRE6B00W920101201
http://www.telegraph.co.uk/news/worldnews/asia/china/8176201/China-arrests-hundreds-of-computer-hackers.html

【編集者メモ】(Paller)
中国は、人民解放軍の各支部で、毎春夏コンペを開催して最高峰のハッカーを
複数人採用している。
────────────────

◆中国政府、著作権侵害を厳重に取り締まる (2010.12.1)
中国政府は、国や地方レベルの政府のコンピュータに、著作権を侵害している
ソフトウェアがないかどうか調べる検査を開始すると発表した。同政府は、2011
年5月までに検査を完了する見込みである。関連事項として、Microsoftは、著
作権侵害ソフトが事前にインストールされているコンピュータを販売していた
中国の企業10社を提訴すると発表。ビジネスソフトウェアアライアンスの統計
によると、昨年の中国のコンピュータにあるソフトウェアのおよそ79%が海賊
版だったという。
http://www.informationweek.com/news/government/policy/showArticle.jhtml?articleID=228500001&subSection=Security
http://www.computerworld.com/s/article/9198818/China_to_inspect_government_computers_for_pirated_software?taxonomyId=144
────────────────

◆ウィキリークスの問題 ヒートアップ

Julian Assangeとウィキリークスの話題がヒートアップしている。彼は英国で
拘束されたが、英国法廷はスウェーデン人に対する婦女暴行容疑で同人の送還
を決定する審理において、保釈金による釈放を却下した。同人は、少なくとも
12月14日まで投獄されることとなった。同人の弁護人は、「Assangeが実際に
逮捕される運びとなったら、彼の支援者らが"秘密兵器"であるさらなる機密
情報をウィキリークス上で公開するだろう」と述べている。
http://www.businessweek.com/news/2010-12-07/wikileaks-assange-denied-bail-in-u-k-extradition.html
http://www.dailymail.co.uk/news/article-1335888/WikiLeaks-Julian-Assange-release-damaging-secrets-killed-arrested.html
────────────────

◆ウィキリークスによる極秘外交電報の公表で 土壇場の法案 (2010.12.2)
先日、米国の議員らは、米国の諜報部員の氏名を公表する行為を連邦犯罪とす
る法案を提案した。この法案は、最近ウィキリークスで米国の極秘外交文書が
大量に公表されたことを受けて提案された。この法案、「人知の安全化・合法
的な普及の施行(SHIELD)」法では、人知の公表は禁止される。情報の漏えい行
為はすでに犯罪となっているが、この法案では矛先が直接その公表元に向けら
れている。しかし、この新法案をもってしても、すでに発生してしまった情報
の公表について、ウィキリークスやJulian Assangeを起訴することは出来ない
という。
http://www.wired.com/threatlevel/2010/12/shield/
SHIELD法の文言: http://www.scribd.com/doc/44561925/Shield-Act
────────────────

◆RIM BlackBerry Messengerの通信への「合法的な」アクセスをインド政府
へ与える (2010.12.6)
インドのResearch in Motion (RIM)の広報は、「同社はインド政府に対し、ケー
スバイケースで、BlackBerry Messengerで送信された通信へのアクセスを提供
する」と述べた。インド政府には常時、通信に対するアクセスが与えられてい
るわけではなく、合法的なアクセスを獲得するためには、法的手順を忠実に守
らなければならないという。RIMはインド政府に対し、「BlackBerry
Enterprise Server(BES)のシステム用の暗号化キーは、対象となる企業のみに
渡されているので、BESで送信された通信には、同社からアクセスを提供する
ことはできない」と主張してきた。インド政府は、通信へのアクセスに関して
合意に達するために、同社と対話を続けてきた。
http://www.computerworld.com/s/article/9199778/RIM_to_give_Indian_government_access_to_BlackBerry_Messenger?taxonomyId=83
http://news.cnet.com/8301-30686_3-20024694-266.html?tag=mncol;title
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年12月3日 Vol.9 No.49)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
Microsoft Office                1
Third Party Windows Apps            2
Linux                     7
BSD                      1
Cross Platform                 9 (#1)
Web Application - Cross Site Scripting     7
Web Application - SQL Injection        8
Web Application                3
Network Device                 1
======================================================================
1.危険度【中】:ProFTPDのバックドアに未承認アクセスの脆弱性

<影響のある製品>
ProFTPD 1.3.3c md5sum 8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
ProFTPD 1.3.3c md5sum 4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz

<詳細>
2010年11月28日から12月12日までにかけて、the ProFTPDのFTPサイトは、バッ
クドアがインストールされたProFTPDのバージョンを販売していたという。当
初は検知されなかったサーバが侵害されていたために、そうなってしまった。
アタッカーは、サイトに侵入して、ソフトウェアに悪意あるバージョンをアッ
プロードしてしまったようだ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.proftpd.org/
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45150

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。