NRI Secure SANS NewsBites 日本版

Vol.5 No.51 2010年12月28日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.5 No.51 2010年12月28日発行
**********************************************************************
■■SANS NewsBites Vol.12 No.99-100
(原版:2010年12月17日、21日)

◆米国のサイバーセキュリティ法案 2010年中には可決されず

米国のサイバー関連の法案は、今年中に議論が進む見込みはない。米国国防権
限2011年法(DAA)に対するサイバーセキュリティの付帯条項草案を作成した
Langevin下院議員は、この付帯条項を同法の改正版に抱き合わせたいとは思っ
ていないようだ。この付帯条項とは別にDAAには、サイバーセキュリティの実
証プロジェクトに資金提供を行うための条項、サイバーセキュリティの調達プ
ロセスを改良するための条項、ソフトウェアの脆弱性や供給プロセスのリスク
を緩和する方法を思案するための条項、国防総省(DoD)に同省の情報システム
に継続的な監視を義務付ける条項などが含まれている。
http://www.govinfosecurity.com/articles.php?art_id=3184

【編集者メモ】(Paller)
政府全体に関するサイバーセキュリティ法案は、2010年中に1つも通らなかっ
た。そうなってしまったのは、ホワイトハウスによる強力な指導なしでは議会
が行動に移そうとしないことが主な理由だ。2011年が始まると同時に、超党派
の取り組みが行われるようになることが望ましい。そのときはぜひとも、ホワ
イトハウスの先導の下、総括的なサイバーセキュリティの法案の成立にこぎ着
けてもらいたいものだ。それまでの間にできることとして、ほぼリアルタイム
の継続的なモニタリングなど、上下院の2011年度のサイバー法案に対する重要
な改正のいくつかの導入作業が、連邦政府局で現在行われている。これらの作
業は、米国行政予算管理局や政府局のCISOやCIOのリーダーシップの下、特別
な法的権限を伴わずに実行されている。
────────────────

◆Assage 制限付きだが保釈金で保釈される (2010.12.16-17)
Julian Assangeは、英国の拘置所で9日間を過ごした後に保釈された。保釈期
間中Assangeは友人宅に滞在するが、監視装置を身に付けながら行動範囲が限
定される。また、午前10時から午後2時、午後10時から午前6時までの間は屋敷
内に滞在し、毎日警察を訪問するように義務付けられている。また、Assange
はスウェーデンで性的虐待および婦女暴行の嫌疑で告発される見込みだが、ス
ウェーデンへの送還をどうするか議論されている。同人は、その身柄引き渡し
闘争でも戦わなければならない。Assangeは、2011年1月11日に法廷に戻る見込
みだ。同人の身柄引き渡しの審理は、2011年2月7日、8日に予定されている。
http://www.nytimes.com/2010/12/17/world/europe/17assange.html?hp
http://www.wired.com/threatlevel/2010/12/assange-freed-from-prison/
http://news.smh.com.au/breaking-news-world/jubilant-assange-celebrates-bail-20101217-18ztc.html
────────────────

◆米国司法省 Assangeの共謀事件での立件を試みる (2010.12.15-16)
米国の連邦検事は、ウィキリークスの創始者であるJulian Assangeに対して共
謀事件を立件する目的で証拠を収集している。司法省の職員は、Assangeが米
国一等兵のBradley Manningに、政府のコンピュータシステムからデータを盗
むようにけしかけたか、もしくは援助したかどうかの見定めを行っている。
もしそのような事実があれば、Assangeは共謀者として告訴される。検察側は、
ManningとAdrian Lamo(Manning曰く、Adrian LamoはAssangeと直接やりとりを
していた人間で、Assangeは盗み出したデータをアップロードできるように彼
にサーバへのアクセスを提供していたという)が交わしたオンラインチャット
のログを検査しているところだ。FBIは、チャットのログがあるコンピュータ
のハードドライブをすでに押収している。Manningは、諜報活動取締法とコン
ピュータ不正行為防止法の下に告発されている。Asssangeを諜報活動取締法で
告訴すれば、合衆国憲法改正第1条(言論の自由)の問題が浮上し、検察は「文
書を公表・漏えいした報道機関」ではなく、「Assange」を標的にしていると
いう事実に注目が集まるようになる。元連邦検察官は、ウィキリークスは、従
来の報道機関とは「基本的に違う」ため、改正第1条の問題を回避できること
を実証しなければならないとの意見を議員に告げているようだ。
http://www.wired.com/threatlevel/2010/12/wikileaks-conspiracy-case/
http://www.wired.com/threatlevel/2010/12/wikileaks-and-espionage-act/
http://www.nytimes.com/2010/12/16/world/16wiki.html?_r=2&src=twt&twt=nytimes
────────────────

◆HP MSA2000 G3デバイスにある隠しユーザーとデフォルトパスワードの問題
に対処 (2010.12.14)
HPのMSA2000 G3のモジュラーストレージアレイにセキュリティの欠陥が発見さ
れた。問題の欠陥には隠しユーザーがあり、それはユーザーマネージャに現れ
ないという。この隠しユーザーのためのユーザー名やパスワードは、ハードコー
ドされているため、変更したり削除したりすることはできない。しかも、その
ユーザー名もパスワードも、どちらも非常に単純だという。HPはこの問題に対
して、パスワードの変更方法を示したサポート文書をリリースしている。この
プロセスは、管理者が出荷時設定(デフォルトのコマンドを復元できるように
なっている設定)を復元するたびに行わなくてはならない。なぜなら、システ
ムは出荷時設定を復元すると、デフォルトユーザー名とパスワードに戻ってし
まうからだ。
Internet Storm Center:
http://isc.sans.edu/diary.html?storyid=10090
http://www.securityweek.com/backdoor-vulnerability-discovered-hp-msa2000-storage-systems
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c02662287

【編集者メモ】(Paller)
HPの問題は、氷山の一角である。ストレージデバイス、プリンタ、その他ネッ
トワークに接続して使用する機器によって、多くの組織にバックドアがインス
トールされてしまっているのだ。しかし、その事実を機器の購入者は知らない。
────────────────

◆米国連邦通信委員会(FCC) ネットの中立規則の可決を目指す
(2010.12.20)
米国連邦通信委員会(FCC)は、先日ネットの中立性に関する規則を可決したも
ようだ。これによって、インターネットサービスプロバイダ(ISP)は、家庭へ
のインターネット回線上で、特定のWebサイトに出入りする通信をブロックし
たり、優先的に通したりすることが禁止される。サイトにおける配信速度をアッ
プするために、そのWebサイトから別料金を徴収することは禁じられないもの
の、このルールによって、そのようなプラクティスは今後抑制されていくだろ
う。ワイヤレスネットワークについての規則は、これよりは若干制限的になる。
ブロードバンドのプロバイダも、顧客に対してネットワーク管理プラクティス
の内容を開示することが義務付けられるようになる。このネットの中立性に関
する規則を支持している者からは、FCC会長のJulius Genachowskiの提案内容
ではまだ足りないとの非難の声もあがっている。
http://mediadecoder.blogs.nytimes.com/2010/12/20/f-c-c-poised-to-pass-net-neutrality-order/
http://voices.washingtonpost.com/posttech/2010/12/fcc_copps_to_vote_in_favor_of.html
http://www.computerworld.com/s/article/9201818/Net_neutrality_plan_has_the_votes_at_FCC?taxonomyId=16
────────────────

◆議会 国防権限法案のサイバーセキュリティの条項の効力を弱める
(2010.12.17)
2011年米国国防権限法案の効力を弱めたバージョンが、米国下院議会で可決さ
れた。この法案には、同法案の支持者が望んでいたような適用範囲には到底及
ばないが、軍システムのサイバーセキュリティ上の懸念事項に対処できるルー
ルがいくつか含まれている。この法案では、ITの調達に注力する職員のグルー
プが結成されることになる。このチームに必要な人員の人数と、チームの一員
が持つべき資格や認定内容については、国防総省(DoD)が定義していく。当初
の原案の条項では、企業が供給プロセスにおいてサイバーセキュリティ上の脅
威を与えるようなら、その企業を調達の入札から外すという権限を、国防総省
の職員に与えていた。しかし、この条項の効力は弱められ、「国防総省は企業
に対し、その企業の製品やサービスが与えうるリスクについて説明し、企業と
ともにその脅威を緩和するように努めなければならない」となった。国防総省
の上級職員の決定によっては、問題の企業は契約の入札から外される可能性が
ある。その場合、上級職員は、その企業を「入札から外した」旨を議会に報告
することになる。この法案が成立するには、上院でも可決されなければならな
い。
http://washingtontechnology.com/Articles/2010/12/17/House-passes-defense-authorization-act-for-2011.aspx?Page=1
http://fcw.com/articles/2010/12/17/federal-cybersecurity-removed-from-defense-authorization.aspx?admgarea=TC_SECCYBERSEC
http://www.govinfosecurity.com/articles.php?art_id=3184

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃いまだけのお得なキャンペーン実施中!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
WEBからの脅威防止に役立つサービスをいまだけのお得な料金でご提供
<1>セキュアWebアプリケーション構築のためのハンズオントレーニング
<2>Webアプリケーションを安全に設計・開発するためのガイドライン
<3> PCI DSS準拠に必要なASVスキャン

詳細・お問い合わせは
http://www.nri-secure.co.jp/whats_new/2010/1210.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃近日開催予定のセミナー
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2011年1月14日(金)大阪開催
機密情報の効果的な防衛策とは~法対応等のためのベストプラクティス~
http://www.nri-secure.co.jp/seminar/2011/0114.html?xmid=30&xlinkid=02

----------------------------------------------------------------------
○2011年1月19日<東京>・24日<名古屋>・25日<大阪>・28日<福岡>
特権ID管理・ログ管理ソリューション セミナー
http://www.nri-secure.co.jp/seminar/2011/0119.html?xmid=30&xlinkid=03

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年12月16日 Vol.9 No.51)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    7 (#2)
Microsoft Office                1
Other Microsoft Products            5
Third Party Windows Apps            4
Novell                     1
Cross Platform                12 (#1)
Web Application - Cross Site Scripting     4
Web Application                2
Network Device                 1
======================================================================
1.危険度【高】:Microsoft Internet Explorerに脆弱性

<影響を受ける製品>
Microsoft Internet Explorer 6.0, 7.0, 8.0

<詳細>
Microsoft Internet Explorerには、カスケーディング・スタイル・シート
(CSS)の解析を行うコードにuse-after-free(解放後使用) の脆弱性がある。
これは、2010円12月8日に全面開示された"sec yun"によって初めて報告された。
当初、この脆弱性は悪用されることはないと思われていたが、その後、詳細情
報の付いたエクスプロイトが公表されている。アタッカーがこの脆弱性を悪用
するには、ターゲットに悪意のあるサイトを閲覧するように仕向けなければな
らない。

<現状>
ベンダーはこの問題を認めているが、更新をリリースしていない。

<参考>
ベンダーのサイト
http://www.microsoft.com
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45246
────────────────

2.危険度【高】:Microsoft 火曜の月例パッチでさまざまな製品にパッチを
リリース

<影響を受ける製品>
Microsoft Windows XP
Microsoft Windows Vista
Microsoft Windows Server 2003
Microsoft Windows Server 2008
Microsoft Windows 7
Microsoft Works 9.0
Microsoft Office XP
Microsoft Office 2003
Microsoft Publisher
Microsoft SharePoint Server 2007

<詳細>
火曜の月例パッチプロセスの一環として、Microsoftはさまざまな製品に影響
を及ぼす脆弱性にパッチをリリースした。脆弱性の中には、Windowsの
OpenTypeフォントドライバにあるコード実行の脆弱性、Office XP TIF Image
Converterにあるバッファオーバーフロー、Microsoft Publisherにあるメモリ
破壊の問題などがある。ほか、Microsoft SharePointには、input validation
の問題があり、リモートでのコードの実行や、任意のファイルのアップロード
やダウンロードにつながるおそれがある。これらの脆弱性のどれかが悪用され
ると、コードが実行されてしまう可能性がある。攻撃者がこれらの脆弱性を悪
用するには、悪意のあるファイルを閲覧するようにターゲットを誘い込まなく
てはならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS10-091.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-103.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-104.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-105.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-287/
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45264
http://www.securityfocus.com/bid/45273
http://www.securityfocus.com/bid/45274
http://www.securityfocus.com/bid/45275
http://www.securityfocus.com/bid/45277
http://www.securityfocus.com/bid/45278
http://www.securityfocus.com/bid/45279
http://www.securityfocus.com/bid/45280
http://www.securityfocus.com/bid/45282
http://www.securityfocus.com/bid/45283
http://www.securityfocus.com/bid/45285
http://www.securityfocus.com/bid/45311
http://www.securityfocus.com/bid/45315
http://www.securityfocus.com/bid/45316
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。
日本語版の無料購読を希望される方は、弊社ホームページの以下のページより
お申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。