NRI Secure SANS NewsBites 日本版

Vol.5 No.50 2010年12月21日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.5 No.50 2010年12月21日発行
**********************************************************************
■■SANS NewsBites Vol.12 No.97-98
(原版:2010年12月10日、12月14日配信)

◆ウィキリークスへの攻撃に関連があるとみられる16歳の少年 オランダで逮
捕される (2010.12.9)
オランダの機関は、ウィキリークスとの取引を止めたサイトへのDDoS攻撃に関
連があるとみられる16歳の少年を逮捕した。問題の少年は、決済処理企業に対
する攻撃に関わっていたことを認めている。この件で、少年のコンピュータ機
器は押収された。少年は、問題の攻撃に関連している一団の1人だと思われる。
http://online.wsj.com/article/SB10001424052748704720804576009723632691988.html?KEYWORDS=cassell
http://www.csmonitor.com/USA/2010/1209/Anonymous-How-dangerous-is-hacker-networkdefending-WikiLeaks
http://www.csmonitor.com/USA/2010/1209/How-pro-WikiLeaks-hackers-wage-cyberwar-without-hijacking-your-computer
http://www.computerworld.com/s/article/9200641/Dutch_arrest_16_year_old_related_to_WikiLeaks_attacks?taxonomyId=82
http://www.dutchnews.nl/news/archives/2010/12/dutch_police_arrest_16yearold.php
http://www.wired.com/threatlevel/2010/12/wikileaks_anonymous_arrests/
【編集者メモ】(Honan)
そして、オランダ警察のWebサイトが攻撃されている。
http://www.breakingnews.ie/world/hackers-attack-dutch-police-website-485170.html
────────────────

◆ウィキリークスの支援者ら 「敵」サイトにDDoS攻撃を仕掛ける
(2010.12.8-9)
内部告発のWebサイト、ウィキリークスの支援者らは、ウィキリークスと取引
を止めた企業のWebサイトに対して、DDoS攻撃を仕掛けるという行動に乗り出
した。今回、DDoS攻撃の対象となった企業には、Amazon.comや、PayPal、
MasterCard、Visaなどがある。ウィキリークスは、DDoS攻撃のターゲットになっ
たために一度Amazonにサイトを移動したが、その後、Amazonのサービス契約条
件の不履行にあたる行為がみられたという理由で、サーバから除去されている。
PayPalは、ウィキリークスへの寄付金の受付を止め、MasterCardは、ウィキリー
クスへの寄付金の決済処理を停止している。ウィキリークスのアイスランドの
決済業者は、サービスを停止したMasterCardとVisaを起訴する可能性もあると
述べている。今年初めに反海賊行為のWebサイトを攻撃したと主張している匿
名の団体が、ウィキリークスを支援する一連の攻撃の背後にいると思われる。
http://www.computerworld.com/s/article/9200598/Group_used_30_000_node_botnet_in_MasterCard_PayPal_attacks?taxonomyId=17
http://www.nytimes.com/2010/12/09/world/09wiki.html?_r=1&partner=rss&emc=rss
http://www.theregister.co.uk/2010/12/08/datacell_vows_visa_lawsuit/
http://www.wired.com/threatlevel/2010/12/pro-wikileaks-vigilantes-down-visa-com/
http://www.computerworld.com/s/article/9200521/Update_MasterCard_Visa_others_hit_by_DDoS_attacks_over_WikiLeaks?taxonomyId=17

【編集者メモ】(Honan)
スペインのアンチウィルス会社であるPanda Secyrity Labsは、ウィキリーク
スに関連する攻撃の概要を賛否両サイドからまとめた素晴らしいブログ記事を
下のリンクに掲載している。
http://pandalabs.pandasecurity.com/tis-the-season-of-ddos-wikileaks-editio/.
ネットワーク通信のログを調べて、あなたのネットワークからLOICツール(前
述の匿名団体が使用しているDDoSツール)がサイトの攻撃に使用されていない
ことを確かめた方が賢明である。
────────────────

◆サイバーセキュリティに「スプートニク」のアプローチ (2010.12.8)
国家情報長官事務局の元国家情報副長で著者でもあるPatrick Gormanは、「米
国はサイバーセキュリティの取り組みをデジタル版の真珠湾攻撃や9.11として
考えるのではなく、むしろ、eスプートニクと考えるように見直していくべき
だと主張している。Patrick Gormanによれば、「比喩表現によって、難題に対
する人の取り組み方や重要な意思決定の方法が変わってくる」ため、アプロー
チの転換が重要だという。ソビエト連邦が1957年に有人宇宙飛行に初めて成功
した国となり、米国を打ち負かした時代においては、それが引き金となって科
学教育に対する投資が大幅に増加し、同国の国家安全保障や経済の促進に好影
響をもたらした。したがって、サイバーセキュリティにおいても、米国は同分
野で有能な専門家を育成するための措置をとる必要がある。
http://www.govexec.com/story_page.cfm?filepath=/dailyfed/1210/120810mm.htm&oref=search

【編集者メモ】(Schultz)
私はGorman氏に部分的には賛同しているが、実際の問題はこれよりも深い。先
日、世界各国の子供の学力テストの結果が発表されたが、米国の順位は下の方
だった。つまり、米国の一般的な教育水準はあまりよいとはいえない。となる
と、米国の最優先事項は全体的な教育水準を引き上げることだと思う。論理的
に考えれば、まずそれが出来てから次のステップとして、技術的に抜きん出た
人間がサイバーセキュリティの専門家になれるように支援する方が望ましいだ
ろう。
【編集者メモ】(Northcutt)
まあまあ面白い記事だが、あまりきちんと調査されているとは言えない。スプー
トニク1は、私が2歳のときに打ち上げられた。そして、私が小学2年生のとき、
先生がスプートニクのことを話していたときの彼女の恐怖の表情がいまだに忘
れられない。彼女の眼に現れていた恐怖はすさまじいもので、今でもありあり
とその表情を思い出せる。そして、自分の家にあった防空壕も思い出してしま
う。私の父はセールスマンだったので、そこに商品サンプルを保管していた。
今日のもので、防空壕に似ているものは一体何だろうか? 1か月分の食糧と水
だろうか? どちらにしても、防空壕の発想は、デジタル版の真珠湾攻撃や
9.11に近いように思える。この記事には、国家防衛教育法(NDEA)やNASAのこと
が言及されている。どちらも重要だが、スプートニクがもたらした直接的かつ
最も重要な結果としては、国防総省高等計画研究局(ARPA)が創設されたことが
あげられる。また、同研究局の公式綱領が「技術上の予期せぬ驚きを阻止する
こと」もその結果の1つだ。そうすれば、小学2年生の先生もそこまで恐怖を感
じなくて済むであろう。そして今日、我々はNASAを骨抜きにし、NDEAをも過去
の亡霊にしてしまおうとしている。もし「Rising Above the Coming Storm
Revisited」を読まれたことがあるなら、NDEAのような取り組みで成功する確
率は、日に日に低くなっていくことがわかるだろう。私は、記事に書かれてい
ることに全て賛同するわけではないが、少しでも脳を働かそうとするのなら、
ここに隠れたメッセージを熟考すべきである(この記事は、本を買って読むよ
りもずっと簡単だ。下のリンクにて記事を無料で読むことができる)。
http://www.nap.edu/catalog.php?record_id=12999
────────────────

◆IE 9に「追跡禁止」技術を導入 (2010.12.7-8)
Microsoftは、Internet Explorer 9 (IE 9)に「追跡保護」という追跡禁止技
術を組み込む計画だという。この技術は、ユーザーが追跡保護リストを作成す
るようになっており、このリストを使えば第三者のWebサイトが収集する可能性
のある内容の情報をコントロールできるようになる。IE 9は、2011年初めに出
荷される予定だが、β版はすでに9月にリリースされている。この追跡検知機
能はデフォルトではオフになっているため、ユーザーはそれを意図的に有効に
して利用しなければならない。インターネットユーザーの多くは、訪問するサ
イトで収集された情報が第三者と共有されていることを知らない。
http://www.bbc.co.uk/news/technology-11939223
http://www.computerworld.com/s/article/9200298/Microsoft_spells_out_anti_tracking_tool_in_IE9?taxonomyId=84
http://www.scmagazineus.com/internet-explorer-9-to-include-privacy-opt-in-feature/article/192345/
http://www.nextgov.com/nextgov/ng_20101208_2770.php?oref=topnews
http://www.nytimes.com/2010/12/08/business/media/08soft.html?_r=2&nl=todaysheadlines&emc=a26

【編集者メモ】(Pescatore)
IE6には、いまだにあまりにも色々ありすぎる。IE 9の取り組みは、ITがより
一層安全で近代的なブラウザを目指す何よりの理由になる。
────────────────

◆アラブ首長国連邦の監督機関 裁判所命令でBlackBerryの通信が解読可能に
(2010.12.12)
アラブ首長国連邦(UAE)の通信規制監督機関は現在、Blackberryサービスの鍵
を握っている。つまり、同機関は裁判所命令を獲得した後に、BlackBerry通信
の解読と監視が可能になったということだ。BlackBerryの親会社である
Research in Motion (RIM)は、インドの監督機関とも同様の合意に達している。
http://www.alarabiya.net/articles/2010/12/12/129379.html
────────────────

◆コネチカット州検事総長 Google Street Viewのデータの提出を求める
(2010.12.11-13)
コネチカット州のRichard Blumenthal検事総長は、Googleに対し、同社が
Street View用に画像などのデータを収集していた際に保護されていないWi-Fi
ネットワークから収集した個人情報を提出するように求めている。Blumenthal
検事総長はこの件に関して、召喚令状に類似した民事捜査要請を発行した。ま
た、「Googleに科す処罰を決定するためには、データを提出してもらう必要が
ある」とも述べている。Googleが対象のデータを提出する期限は12月17日となっ
ていたようだ。
http://www.eweek.com/c/a/Security/Connecticut-AG-Demands-Google-Street-View-WiFi-Data-234961/
────────────────

◆米国 Assangeの送還を求める可能性も (2010.12.10-13)

米国の機関は、ウィキリークスの創始者であるAssangeがスウェーデンに一旦
送還された後、米国への送還を求めることができるという。Assangeは先週、
英国に従う形で投降し、現在同国で身柄を拘束されている。彼は、スウェーデ
ンの法廷で婦女暴行および性的虐待の嫌疑を受けて、今は保釈されることなく
拘束の身となっているという。バージニア州アレクサンドリアの連邦大審問は、
どのような罪状でAssangeを刑事起訴できるかを考えているところだ。可能性
としては、彼を諜報活動取締法で告発することができる。しかしこの場合、合
衆国憲法修正第1条(言論の自由)の関連で、何らかの問題が浮上するおそれ
がある。また、コンピュータ不正行為防止法の下、共謀容疑にかけることも可
能だ。だが、この場合は米国権利章典の第1条(言論の自由)に関連した問題
で、議論をする余地が出てくるだろう。
http://www.wired.com/threatlevel/2010/12/assange-grand-jury/
http://www.computerworld.com/s/article/9200764/U.S._indictment_of_WikiLeaks_Assange_reportedly_imminent_?taxonomyId=144
http://www.computerworld.com/s/article/9200698/Prosecuting_WikiLeaks_Assange_could_be_difficult_case?taxonomyId=144

【編集者メモ1】(Schultz)
前述の裁判に発展しそうなケースは、今までにない種類のもの(少なくともか
なり新しい種類のもの)で、他の何よりも今後発生し得る典型としての役割を
果たすだろう。世界中の全ての人があらゆる情報を利用できるようにしようと
いうこの動きは、現在、法的な領域でも、それを阻止することが難しいほどの
力強い推進力となっている。あまり遠くない未来においては、政府やその他の
機関の機密文書が公表されるのも、よくありがちなこととなり、そのような情
報を個人で獲得してどこかに掲示したとしても、少なくとも個人に大きな自由
度が与えられている国においては、法違反として告発されることもなくなるだ
ろう。
【編集者メモ2】(Ranum)
報道陣に対して、このケースについての推測内容を告げるのはよくない。
Assangeを告発するか否か、証拠をあげて政府機関の正当性を証明するかしな
いか。このような手の内をメディアにさらせば、政府が弱々しく、優柔不断に
見えてしまうのだから。

======================================================================
<お得なキャンペーン実施中!>
Webアプリケーションセキュリティ実習(オープン開催)(1/12・2/25開催)
がいまだけの特別価格!

Webアプリケーション設計・開発セキュリティガイドライン、PCI DSS ASV
スキャンもいまだけのキャンペーン価格でご提供中!

詳細・お問い合わせは
http://www.nri-secure.co.jp/whats_new/2010/1210.html

======================================================================
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年12月9日 Vol.9 No.50)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            10 (#2)
Linux                      1
HP-UX                      1
Cross Platform                 25 (#1)
Web Application - Cross Site Scripting     5
Web Application - SQL Injection         4
Web Application                 4
======================================================================
1.危険度【高】:Google Chromeにさまざまなセキュリティの脆弱性

<影響を受ける製品>
Google Chrome 8.0.552.215より前のバージョン

<詳細>
Googleは、同社製のChromeブラウザにある複数の脆弱性にパッチをリリースし
た。問題の脆弱性としては、履歴の処理を担うコードにあるuse-after-freeの
エラー、SVGアニメーションの処理を担うコードにあるuse-after-freeのエラー、
XPathの処理を行うコードにある二重解放のエラーなどがあげられる。これらの
脆弱性の中には、リモートのコード実行につながるものがいくつかある。一方、
全ての脆弱性において攻撃者が悪用するには、ターゲットに悪意のあるページ
を閲覧するよう仕向けなくてはならないという。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Stable Channelのアップデート
http://googlechromereleases.blogspot.com/2010/12/stable-beta-channel-updates.html
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45170
────────────────

2.危険度【高】:WinampのMIDIタイムスタンプの分析にバッファオーバーフロー
の脆弱性

<影響を受ける製品>
Nullsoft Winamp 5.601より前のバージョン

<詳細>
Nullsoftは、広範に使用されているWinAmpマルチメディアプレーヤにある脆弱
性に対処できる更新をリリースした。問題の脆弱性は、"in_midi.dll"プラグ
イン内の悪意のあるMIDI(Musical Instrument Digital Interface)楽曲のバウ
ンダリーチェックが欠如しているために引き起こされる。攻撃者がこの脆弱性
を悪用してターゲットのマシンに任意のコードを実行するためには、悪意のあ
るMIDIファイルを開くようにユーザーを仕向けなければならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.winamp.com
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45221
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。