NRI Secure SANS NewsBites 日本版

Vol.5 No.6 2010年2月17日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.6 2010年2月17日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
将来アメリカのサイバーガーディアンになる可能性のある高校生、大学生のた
めのとてもクールなサマーキャンプ。場所はデラウェア、カリフォルニア、ニュー
ヨーク、それに今夏に含まれる予定の2州。2011年には全部の州で開催する予
定だ。最も才能のあるサッカー選手やバスケットボール選手のスポーツキャン
プのようなものだが、これはどのようにしたらシステムを侵害することができ、
また保護できるかということを、すでに知っている人たちのためのキャンプだ。
Randy Marchany(バージニア工科大学CISO)がキャンプを計画、実施する。
キャンプは無料だが、招待状を得るには、学生はUSサイバーチャレンジの4つ
の競技会のうちの1つで良い結果を出さなければならない。来週、その競技会
の1つである"Security Treasure Hunt"が連続して開始される。才能がある人、
またはそんな学生を知っている人は、氏名、メールアドレス、学校名、学年、
市、州を記入の上、Sonny Sandelius(ssandelius@sans.org)まで連絡していた
だきたい。Sonnyから資格選考競技会のお知らせとキャンプの日程をお送りす
る。

■■SANS NewsBites Vol.12 No.10-11
   (原版:2010年2月5日、2月9日配信)

◆NSA Googleの攻撃分析、セキュリティ改善を支援(2010.2.4)
Googleは自社および顧客を将来の攻撃から保護するという最終目的にあたり、
最近明らかにされた自社のコンピュータネットワークへの攻撃分析のため、国
家安全保障局(NSA)に協力を求めた。その取り決めはまだ最終的な詳細の策定
段階だ。GoogleとNSA間の契約条件は、Googleの顧客プライバシーの維持であ
ろう。
http://www.washingtonpost.com/wp-dyn/content/article/2010/02/03/AR2010020304057.html
http://www.nytimes.com/2010/02/05/science/05google.html?ref=technology

【編集者メモ】(Schultz)
NSAとGoogleが協力するなんて、ほんの数年前には聞いたことがなかった。こ
の関係が実りあるものとなれば、前例となり、他の企業も追随するだろう。も
ちろんNSAがGoogleの個人情報にあまり立ち入らないことが前提だ。

【編集者メモ】(Skoudis)
顧客のプライバシーを維持するために設ける手順について、もう少し情報を共
有してほしい。私が求めているのは、全詳細ではなく、将来、政府機関と付き
合うときに、どのようにユーザーデータを匿名にするのか、または他の方法で
保護するのか説明した一般的な概論である。

【編集者メモ】(Paller)
NSAには2つの側面がある。1つはデータストリームを見ることだ。(または見
ない。全く秘密である)もう1つの側面は、国防総省を保護し、今回のような
攻撃を受けた後、一掃する支援をすることだ。それはIAD(Information
Assurance Division)と称され、情報セキュリティの偉大なリーダーの一人で
あるDick Schaefferにより運営されている。NSAのIADは、他の責任ある連邦機
関(NISTやDHS、NSF)をすべて合わせた以上に、他の機関や市民を保護してき
た。企業からどの機関に支援を求めたらいいか尋ねられたら、3つの事実を提
示する。(1)NSA IADは、サイバー攻撃からすべての政府機関を保護する責任が
あり、何を見つけ、どのように対応したらいいか理解している。(2)群を抜い
て最高レベルの「内部」専門家がいる。他の機関は専門家の多くを外部契約し
ているため、他の組織に機密情報が漏れる危険がある。(3)機密保持に長けて
いる。
────────────────

◆国家情報長官 セキュリティの脅威を警告(2010.2.2 & 3)
米国上院情報委員会の証言で、国家情報長官のDennis C. Blairは、最近の
Googleのコンピュータネットワークへの攻撃を「この問題を真剣に受け止めて
いない人々への警鐘」と称した。Blairの証言はサイバー攻撃を含む一連のセ
キュリティ問題に向けられた。Blairは、「悪意のあるサイバー活動は、驚く
ほど巧妙になり、前例のない規模で発生している。政府は民間部門や国際機関
と協力して、サイバースペ―スを守る必要がある」と述べ、政府がそのような
攻撃の範囲を把握するのに役立てるため、サイバー攻撃を認識したらできるだ
け速やかに報告するよう企業に要請した。
http://www.nytimes.com/2010/02/03/us/politics/03intel.html?scp=2&sq=dennis%20blair&st=cse
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=222600872
http://www.washingtonpost.com/wp-dyn/content/article/2010/02/02/AR2010020203975.html

【編集者メモ】(Schultz)
米国政府を民間企業や国際機関と提携させる試みは、過去に何度も行われたが
成功しなかった。最終的にハイレベルの政府高官と民間企業の上級管理者を情
報セキュリティリスクに真剣に取り組む必要に目覚めさせるのは、経済の混乱
を意図した広範囲で長期にわたる組織化された一連の攻撃である。そのような
攻撃は必ず起きる。単に時間の問題だ。

【編集者メモ】(Paller)
攻撃は発生している。何千もの米国企業や機関に深く浸透している。それらの
ネットワークは「紛争地帯」であるが、一般市民には知らされていない。真相
が明らかになり、一般市民は目覚めつつある。クリスチャンサイエンスモニター
誌の1月26日社説のこの文に注目してほしい。(編集者は自称技術音痴)「世
界的なサイバー戦争の危険は、少なくとも対テロ世界戦争と同じくらい高い」
最高経営者の賛同を得られないと何年も嘆いているセキュリティ担当者は、諺
にあるトラックを追いかける犬のようだ。トラックの1台が止まると犬はトラッ
クに追いつく。ドライバーは見下ろして「さて、どうするつもりだ?」と言う。
セキュリティ担当者が最高経営者に自社のセキュリティの現状を報告すると、
「君の言うとおり確かに重要だ。それでは私たちを守るためにどうするつもり
か?」と聞かれる。解決策として、FISMA遵守の監査や他のチェックリストベー
スの監査を提案する人や、なぜ完全なセキュリティは不可能であるか説明する
ことにより自分たちは役に立っていると考える人は、セキュリティ分野でのキャ
リアを短命で終えることになるだろう。
────────────────

◆オーストラリアのISP 顧客の違法ダウンロードに責任はないとの判決
  (2010.2.4)
オーストラリアの判事は、オーストラリアで第3の規模を誇るインターネット
サービスプロバイダー(ISP)であるiiNetに対して、顧客のオンライン活動に対
して責任がないとの判決を下した。具体的にはiiNetに顧客の違法なダウンロー
ドの責任を負わせることはできないとした。Australian Federation Against
Copyright Theft (AFACT)を代表とするファイル会社のグループは、iiNetが顧
客が映画を違法にダウンロードするのをやめさせなかったとして、著作権侵害
を主張してを告訴していた。
http://news.bbc.co.uk/2/hi/technology/8498100.stm
http://www.theaustralian.com.au/australian-it/iinet-wins-court-case-against-hollywood-heavyweights/story-e6frgakx-1225826637560?from=public_rss
────────────────

◆中国警察 ハッカーサイト"Black Hawk Safety Net"を閉鎖(2010.2.8)
中国警察は、マルウェアとサイバー攻撃を仕掛けるため、何千人もの人々を募
集し、トレーニングに関わっていたとされるハッカーサイトを閉鎖した。
Black Hawk Safety Net運営者は、1万2,000人以上のVIPメンバーから会費とし
て700万元(100万ドル)を集めたとされている。さらに17万人の会員は無償で
会員登録をしていた。ウェブサイトを運営していたと思われる3人が逮捕され
た。その逮捕は、Google、その他の米国企業に対する攻撃は中国で発生したと
いう申し立てのすぐ後のことだった。中国政府はその申し立てを否定している。
http://www.theglobeandmail.com/news/technology/chinese-police-raid-hacker-hub/article1460094/
http://www.theregister.co.uk/2010/02/08/china_cybercrook_training_outfit_raid/
http://www.cnn.com/2010/TECH/02/08/china.hackers/index.html
http://www.computerworld.com/s/article/9153238/China_shuts_hacker_training_site_arrests_three_?taxonomyId=17
http://news.bbc.co.uk/2/hi/asia-pacific/8503637.stm

【編集者メモ】(Ullrich)
中国のマスコミは詳細を伝えている。
(参照:http://news.xinmin.cn/rollnews/2010/02/07/3579571.html).
例えば、このグループは中国のインターネットカフェに対する恐喝に関わって
いた。グループは、インターネットカフェに約800ドルを要求し、支払わない
場合は、DoS攻撃を仕掛けると脅した。交渉するためにインターネットカフェ
に伝えた電話番号から逮捕に至った。このグループはGoogleの攻撃者と同じ仲
間である可能性はほとんどない。

【編集者メモ】(Weatherford)
考え得る理由:Black Hawk Safety Netが中国ビジネスを揺さぶり始めると政治
的にマイナスになり、政府にとっては不必要な競争相手となった。

【編集者メモ】(Northcutt)
中国政府は1年ほど前に数人のハッカーを厳重に取り締まり始めた。たぶん今
や外国のサイト同様、中国のサイトを攻撃しているためだろう。Dark Visitor
は、いくつかのこれらの事件に関する情報を公開している。
http://www.thedarkvisitor.com/2009/07/chinese-hackers-suspected-of-breaking-green-dam-arrested/ ]
────────────────

◆PCを暗号化するセキュリティチップ 破られる(2009.2.9)
Christopher Tarnovskyは、多数の軍隊および民間セキュリティが依存するTCP
チップを侵害する方法を発見した。クライアントに堅牢なセキュリティが施さ
れていないと、通信の機密性またはインテグリティに信頼性があるはずはない。
Tarnovskyの不正侵入はチップへの物理的アクセスが必要だ。リモートで実行
することはできない。
http://abcnews.go.com/Technology/wireStory?id=9780148
────────────────

◆英国上院委員会で審議中の著作権侵害対策法に懸念を表明(2010.2.5)
英国のJoint Select Committee on Human Rightsは、審議中の著作権侵害対策
法案はインターネットユーザーの権利を侵害するものだと懸念を表明した。
Digital Economy Billは、繰り返し警告した後も著作権法を侵害してコンテン
ツをダウンロードし続けるユーザーに対しては、インターネット接続を切断す
る提案をしている。委員会は特に、その法律は「権力の拡大」を認めることに
なること、また法案の技術的手段およびそれらの手段をどのように適用するか
「十分に特定」されていないことを懸念している。
http://news.bbc.co.uk/2/hi/technology/8500876.stm
────────────────

◆FBI ISPにサイト訪問データの2年間保管を要請(2010.2.5)
FBIは、インターネットサービスプロバイダー(ISP)に、顧客がどのウェブサイ
トを訪問するか記録し、そのデータを2年間保管するように要請する。FBIはそ
の情報は、重大犯罪の調査に役立つ可能性があると確信している。既存の連邦
法規には、通信会社は18ヶ月間長距離電話の記録を保管するよう定められてい
る。記録される情報は「氏名、住所および発信元電話番号、発信先電話番号、
日付、時刻および通話時間」だ。FBIは通信の内容ではなく、「内容を伴わな
いトランザクションデータ」のみを要求している。
http://news.cnet.com/8301-13578_3-10448060-38.html

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
<2月26日開催>
クラウド時代の情報セキュリティ対策セミナー
--------------------------------------------------------------------
http://www.nri-secure.co.jp/seminar/2010/0226.html

<日時> 2010年2月26日(金) 13:40~16:40(受付開始 13:20)
<会場> ホテルモントレ大阪14F 浪鳴館(大阪府大阪市北区梅田3-3-45)
http://www.hotelmonterey.co.jp/cgi-bin/portal/cms/access.cgi?hid=monosa
<主催> 株式会社セキュアヴェイル
<協賛> NRIセキュアテクノロジーズ株式会社
<参加費> 無料 <参加定員>100名(事前登録制・先着順)
<ご質問・お問い合わせ先>
株式会社セキュアヴェイル セミナー事務局 田丸 TEL:06-6136-0020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年2月4日 Vol.9 No.6)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            3
Linux                      4
HP-UX                      1
BSD                       1
Solaris                     1
Cross Platform                 31 (#1, #2)
Web Application - Cross Site Scripting     8
Web Application - SQL Injection        14
Web Application                12
======================================================================
1.危険度【高】:Apple iPhone とApple iPod Touchに複数の脆弱性

<影響を受ける製品>
iPhone OS 3.1.3
iPhone OS 3.1.3 for iPod touch

<詳細>
Apple iPhoneとApple iPodには、オーディオファイル、イメージファイル、
USBコントロールメッセージ、FTPディレクトリのリスト、Webページコンテン
ツのような特定のインプットの処理に複数の脆弱性がある。最初の問題は、影
響を受けた製品がmp4オーディオファイルを処理する際のバッファオーバーフ
ローのエラーである。2番目の問題は、ImageIOがTIFFイメージを処理する際の
バッファアンダーフローのエラーである。3番目の問題は、特定のUSBコントロー
ルメッセージを不適切に処理するために発生するメモリー破損の脆弱性である。
4番目の問題は、FTPディレクトリの不適切な処理のために発生する。5番目の
問題は、Webkitが、HTML 5 Media要素を不適切に処理することによって発生す
る。HTML 5 Media要素が外部リソースを指している場合、最終的には自動的に
リモートサーバーにリクエストが送られる。ほとんどの場合、悪用に成功する
とリモートでコードが実行される可能性がある。それらの脆弱性に関する技術
的詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新がリリースされている。

<参考>
Apple Security Advisory
http://support.apple.com/kb/HT4013
製品ホームページ
http://www.apple.com/iphone/
http://www.apple.com/ipodtouch/
SecurityFocus BID's
http://www.securityfocus.com/bid/36995
http://www.securityfocus.com/bid/36996
http://www.securityfocus.com/bid/37868
http://www.securityfocus.com/bid/38040
────────────────

2.危険度【高】:IBM DB2にバッファオーバーフローとDoSeの脆弱性

<影響を受ける製品>
IBM DB2 version 9.7およびそれ以前

<詳細>
IBM DB2は、IBMが開発したリレーショナルデータベースモデルである。2つの
脆弱性がIBM DB2に報告されている。最初の問題は、細工されたSQLコマンドを
不適切に処理することにより発生するヒープオーバーフローの脆弱性である。
この脆弱性の悪用が実現すると、攻撃者は影響を受けたアプリケーションの特
権を使用して、任意のコードを実行できるようになる。2番目の問題は、特定
のパケットを処理する際、"kuddb2"のエラーにより生じるDoSの脆弱性である。
これらの脆弱性に関する技術的詳細が、概念実証を通じて公開されている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースされていない。

<参考>
Intevydis blogs
http://intevydis.blogspot.com/2010/01/ibm-db2-97-heap-overflow.html
http://intevydis.blogspot.com/2010/01/ibm-db2-97-kuddb2-dos.html
IBM DB2に関するWikipediaの記事
http://en.wikipedia.org/wiki/IBM_DB2
製品ホームページ
http://www-306.ibm.com/software/data/db2/
SecurityFocus BID's
http://www.securityfocus.com/bid/37976
http://www.securityfocus.com/bid/38018

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。