NRI Secure SANS NewsBites 日本版

Vol.5 No.9 2010年3月9日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.9 2010年3月9日発行
**********************************************************************
■■SANS NewsBites Vol.12 No.16-17
   (原版:2010年2月26日、3月2日配信)

◆上院委員会 サイバー戦争への準備不足を指摘(2010.2.23-24)
前米国家情報長官(DNI)Mike McConnellは、商業、運輸および技術を監督する
上院委員会に、「もし米国が今日サイバー戦争で攻撃されたら、負けるであろ
う」と述べた。McConnellは、壊滅的なサイバー攻撃(いつかやってくると予
測している)を受けてからでないと、国はITシステムを保護する対策をとらな
いだろうとも述べた。大統領のためのサイバーセキュリティに関する戦略・国
際問題研究所(CSIS)のJimLewis委員会議長はMcConnellと同意見で、民間企業
は国家の重要インフラを支えるITシステムを攻撃から守るには、決定的な手段
をとる必要があるが、連邦政府の調達制度や規定により、必要に迫られないと
実行しないと述べた。
http://www.washingtonpost.com/wp-dyn/content/article/2010/02/23/AR2010022305033.html
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=223100425

【編集者メモ】(Paller)
McConnell前長官がサイバー戦争に負けるだろうと言ったときの上院議員たち
の表情を見れば、それは強力な目覚ましであったことがわかる。彼らはまった
く知らなかったのだ。議長と有力メンバーは、昨年まで上院情報委員会と同じ
役割を担い、極秘情報を得ていたが、その他の商業委員会メンバーは、米国が
どれだけ遅れているか認識していなかった。彼らの知識不足は、なぜ議会が
(FISMAの)ひどい法律を通過させたのか、なぜ決して修正しなかったのか、な
ぜ同様に忘れられている行政管理予算局担当者は、連邦システムのセキュリティ
リスクを減らすために必要な、明確で実証された手段をとろうとしないのかを
説明している。

【編集者メモ】(Schultz)
残念ながら、米国商業部門の上級管理者は、McConnellの警告を傾聴しそうに
ない。ましてや行動を起こすことはないだろう。著名なCIOの言葉が、その問
題をうまく表現している。「あなた方セキュリティ担当者は、世の終わりにつ
いて語り続けている。その日はやって来ないだろう」
────────────────

◆サイバー戦争に勝つためのMike McConnellの戦略(2010.2.28)
Mike McConnellは、米国は「サイバー戦争という課題に対処するための統括的
戦略」が必要だと述べている。政府と業界は、国家がサイバースペースで直面
する課題に、より積極的に取り組む必要がある。さまざまな脅威に直面してい
るため、効果的な戦略は抑止力と先取りの両方を取り入れることだ。抑止力と
は、政策と国際協定に裏付けられた明確な意思の表明、サイバースペースのリ
アルタイムでの監視、攻撃を見つけ、その発生源を突き止める能力である。先
取りは、強欲でなくイデオロギーを動機とする敵を特定し、攻撃を仕掛ける能
力を弱体化させる対策をとることである。
http://www.washingtonpost.com/wp-dyn/content/article/2010/02/25/AR2010022502493.html
────────────────

◆イタリアのGoogle判決 言論の自由に影(2010.2.24)
イタリアの裁判所は、問題のあるビデオの掲載をめぐる裁判で、3人のGoogle
役員をイタリアのプライバシー法違反で有罪とした。その判決は、「3人の役
員は会社のシステムに掲載するコンテンツに対し責任がある」としている。検
察官は、それらの役員は10代の若者が自閉症の少年をいじめているビデオを削
除するため、素早く対処しなかったと述べた。そのビデオは、イタリア警察か
ら公式の苦情を受けた後2時間以内に削除されたが、2ヶ月間見られる状態になっ
ていた。3人はそれぞれ6ヶ月の執行猶予付きの刑を言い渡された。その判決に
対し、世界中で強い反響が起きた。その決定は「郵便局を“ポストに送られた
嫌がらせの手紙”のために起訴する」ことに例えられている。
http://www.nytimes.com/2010/02/25/technology/companies/25google.html?ref=technology
http://news.bbc.co.uk/2/hi/technology/8533695.stm
http://www.technewsdaily.com/italian-conviction-of-employees-threatens-entire-internet-100224-0245/
http://www.informationweek.com/news/hardware/utility_ondemand/showArticle.jhtml?articleID=223100601

【編集者メモ】(Honan)
このケースは、サービスプロバイダがEU内で運営する方法に多くの悪影響を及
ぼす可能性がある。EU電子商取引指令(E-Commerce Directive)は、Googleのよ
うなサービスプロバイダは、第三者によって作成されたいかなるマテリアルに
対しても責任を免除され、単にそれらを保存または送信すると定めている。し
かし、プロバイダがマテリアルのコンテンツを監視している場合、または通知
後直ちにそのマテリアルを取り除かなかった場合、責任は免除されない。その
判決の核となるのは、このビデオはその時Googleビデオで最も視聴されていた
ビデオの1つであり、Googleはその人気により得られる広告収入のため、その
ビデオに気づいていたことだ。この裁判に対する抗議は、大いに関心を持って
見守られることだろう。
────────────────

◆Google 中国で雇用(2010.2.24)
Googleは、中国から撤退するという噂を鎮静化し、中国の人々を雇用している。
今年初め、Googleシステムへの攻撃を公表した後、Googleはインターネット検
索を検閲しないと述べ、中国での業務を停止する可能性をほのめかした。
Googleは、現在検索結果に関する中国の法律に従っており、業務変更について
中国政府と交渉中である。
http://www.bloomberg.com/apps/news?pid=newsarchive&sid=arbc4_ButJTs
http://www.itproportal.com/portal/news/article/2010/2/25/google-bets-china-advertise s-more-positions/

【編集者メモ】(Northcutt)
しかし、この話の続きがEconomistの最新号にあった。それによると、Google
がその大きな発表をした後、Microsoftのような他のIT企業は、Google China
に勤務している人々の採用を開始した。中国からの撤退発表の前の時点で社員
がGoogleに対して絶対的に忠実であったとしても、発表後にその忠誠心が減退
したことは明らかだ。
────────────────

◆Schmidt サイバーセキュリティ戦略の機密解除を発表(2010.3.1)
ホワイトハウスのインターネットセキュリティアドバイザーHoward Schmidtは、
2010年3月2日、サンフランシスコのRSA Conferenceの冒頭で、Comprehensive
National Cybersecurity Initiative(包括的国家サイバーセキュリティイニ
シアティブ)の一部の機密解除を発表する予定であると述べた。このイニシア
ティブは、ブッシュ政権の下で公共および民間のITネットワークを保護するた
めに制定された。その機密解除は、現政権の透明化推進を明示することが目的
である。Schmidtは「政府、業界および米国市民」の間にパートナーシップを
築く重要性も訴えていくつもりである。
http://www.nytimes.com/2010/03/02/science/02cyber.html?ref=todayspaper
http://blogs.govinfosecurity.com/posts.php?postID=467
────────────────

◆国防総省 機密扱いされていないネットワークでのソーシャルネットワーキ
  ング許可(2010.2.26-27)
ペンタゴンの新しい方針は、全職員にFacebookやTwitterのようなソーシャル
ネットワーキングサイトを機密扱いされていないネットワークで利用すること
を許可する。国防総省のDave Wennergren副CIOはインタービューで、「サービ
スメンバーは自分たちの仕事を改善し、ミッションパートナーや組織外の人々
と協力するために、これらのツールを使用している」とし、その方針は、新た
なツールを使用するリスクを利益と比較し、7ヶ月間検討された結果であると
述べた。この方針はすべての部署に適用される。
http://www.washingtonpost.com/wp-dyn/content/article/2010/02/26/AR2010022606091.html
http://www.msnbc.msn.com/id/35611063/ns/technology_and_science-security/
http://www.informationweek.com/news/government/policy/showArticle.jhtml?articleID=223100879&cid=RSSfeed_IWK_News

【編集者メモ】 (Northcutt)
全体的に一歩前進だ。

【編集者メモ】(Shultz)
良いニュースは、ペンタゴンが対価と利益を注意深く評価したことだ。
────────────────

◆控訴裁判所 ファイル共有をめぐる裁判で罰金増額(2010.2.26)
米国連邦控訴裁判所は、Whitney Harper(現在22歳、テキサス工科大学3年生)
に、高校時代に共有した37の音楽ファイルに対し、2万7,750ドルを支払うよう
命じた。その判決は、1曲ごとに200ドル、つまり7,400ドルの罰金を科すとい
う下級裁判所の決定を覆すものだ。Harperと弁護士は、音楽をLimewireで共有
したとき、法律に違反したことを知らなかったと主張している。下級裁判所は、
米国の著作権法の「無知侵害者」であることを認め、低い罰金が科された。控
訴裁判所は、音楽を共有したCDには著作権表示があったため、「無知侵害者」
という弁護は無効であるとした。Harperの弁護士は、米国最高裁判所への上告
を考慮している。
http://www.wired.com/threatlevel/2010/02/former-teen-cheerleader-dinged-27750-for-infringing-37-songs/
http://arstechnica.com/tech-policy/news/2010/03/judges-you-cant-claim-innocence-of-musical-copyrights.ars
────────────────

◆上院サイバーセキュリティ法案 統括的緊急対応計画の策定目指す
  (2010.2.26)
米上院で現在審議されている法案には、国家規模のサイバー攻撃を受けた際、
国の重要なITインフラをどのように守るかが詳述されている。
Jay Rockefeller上院議員(共和党、ウェストバージニア州)とOlympia Snowe上
院議員(民主党、メイン州)から提出されたその法案は、連邦政府にサイバー攻
撃に対する緊急対応計画を策定するよう要求している。そのような攻撃が発生
した場合には、大統領に計画を実施する権力を与えている。RockefellerとSnowe
の両氏は、現在のサイバーセキュリティ対策はまとまりがなく、適切に防御で
きないと述べている。
http://thehill.com/blogs/hillicon-valley/technology/83961-forthcoming-cybersecurity-bill-to-give-president-new-powers-in-cyberattack-emergencies

【編集者メモ】(Pescatore)
この法案の以前のバージョンは、戦略の寄せ集めで、その多くはほとんど変化
をもたらさなかった。最新版が「現実的な」インターネットインシデント対応
と連邦政府の能力に重点を置くのであれば、素晴らしい考えだ。
────────────────

--- 【SecureCube / Labeling Personal】キャンペーンのお知らせ ---------
アンケートにお答えいただいた方のなかから抽選でQUOカード3000円分を進呈!

SecureCube / Labeling Personalをインストール(無償)してお試しいただき、
皆様のご意見、ご感想を、お寄せください!(応募期間:2/23~3/31)
http://www.nri-secure.co.jp/opinion/labeling/index.html

※SecureCube / Labelingとは・・・
「極秘」「関係者限」「社内限」といった重要度を示すラベルを簡単に付与して、
社内の機密情報を効率的に管理できるクライアントPC向けソフト(無償)です。
http://www.nri-secure.co.jp/service/cube/labeling.html?aid=a00050260000140
----------------------------------------------------------------------
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年2月26日 Vol.9 No.9)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            6(#4)
Linux                      5
Cross Platform                 44 (#1, #2, #3)
Web Application - Cross Site Scripting     16
Web Application - SQL Injection        21
Web Application                26
Network Device                 9
======================================================================
1.危険度【重要】:複数のMozilla製品に複数の脆弱性

<影響を受ける製品>
Firefox 3.6以前のバージョン
Firefox 3.5.8以前のバージョン
Firefox 3.0.18以前のバージョン
Thunderbird 3.0.2以前のバージョン
SeaMonkey 2.0.3以前のバージョン

<詳細>
一般的なWebブラウザFirefox、インターネットスイートSeaMonkey、および
emailクライアントThunderbirdのようなMozila Foundationのいくつかの製品
に複数の脆弱性が含まれている。最初の問題は、ブラウザエンジンのメモリー
破損のエラーによって引き起こされ、任意でコードが実行される可能性がある。
2番目の問題は、送られたメッセージを処理する際、Mozilla Web Workersイン
プリメンテーションにおけるヒープ破損のエラーで、アレイデータタイプを不
適切に処理することにより引き起こされる。3番目の問題は、すでに使用され
たメモリーを不正に解放することにより引き起こされるHTMLパーサーの
use-after-freeのエラーである。4番目の問題は、showModalDialogに送られる
オブジェクトの読みとりアクセスを不適切に制限することによって引き起こさ
れる同一生成元ポリシーの違反であり、細工されたdialogArguments値によっ
て引き起こされる可能性がある。5番目の問題は、SVGドキュメントのエラーに
よって引き起こされる。SVGドキュメントは、コンテントタイプ(アプリケー
ションまたはオクテットストリーム)によって送信、処理、最終的に同一生成
元ポリシーをバイパスするようにリードする。脆弱性に関するすべての技術的
詳細は、ソースコード分析を通じて公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Mozilla Security Advisories
http://www.mozilla.org/security/announce/2010/mfsa2010-01.html
http://www.mozilla.org/security/announce/2010/mfsa2010-02.html
http://www.mozilla.org/security/announce/2010/mfsa2010-03.html
http://www.mozilla.org/security/announce/2010/mfsa2010-04.html
http://www.mozilla.org/security/announce/2010/mfsa2010-05.html
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-10-019
ベンダーホームページ
http://www.mozilla.org
SecurityFocus BID's
http://www.securityfocus.com/bid/38285
http://www.securityfocus.com/bid/38286
http://www.securityfocus.com/bid/38287
http://www.securityfocus.com/bid/38288
http://www.securityfocus.com/bid/38289
────────────────

2.危険度【高】:Mozilla Firefoxコード実行の脆弱性

<影響を受ける製品>
Mozilla Firefox 3.6

<詳細>
Mozilla Firefox(Mozilla Application SuiteのオープンソースWebブラウザ)
は24.43%のシェアを占め、2番目に人気のあるブラウザである。伝えるところ
によると、特定されていないエラーによって引き起こされる欠陥があり、それ
を悪用して任意のコードが実行される可能性がある。この脆弱性に関する技術
的詳細は公開されていないが、概念実証はなく、悪用は野放しでは行われてい
ないという。VulnDisco Packから商用に悪用されるケースがあるという。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Intevydis blog
http://intevydis.blogspot.com/2010/02/new-versions-of-dbjit-and-vulndisco.html
Mozilla Firefoxに関するWikipedia記事
http://en.wikipedia.org/wiki/Mozilla_Firefox
製品ホームページ
http://www.mozilla.org/
SecurityFocus BID
http://www.securityfocus.com/bid/38298/
────────────────

3.危険度【高】:NOS Microsystems getPlus Download Managerにインプット検
  証の脆弱性

<影響を受ける製品>
NOS Microsystems getPlus Download Manager 1.5.2 .35
NOS Microsystems getPlus Download Manager 1.2.2 50
NOS Microsystems getPlus Download Manager 0
Adobe Download Manager on Windows (2010.2.23以前)
<詳細>
NOS Microsystems getPlus DownloadおよびInstallation Managerは、ActiveX
コントロールの形式で配信され、Adobe Systems Incにより、Adobe Readerの
インストールにも使用されている。特徴の1つは、事前設定されたサイトから
アプリケーションをダウンロード・実行することで、Adobeの場合、adboe.com
とそのサブドメインである。脆弱性は、getPlus Downloaderに報告され、ドメ
インを不適切に検証することによって引き起こされる。アプリケーションは、
そのドメインからダウンロードされ、実行される。具体的な欠陥は、getPlus
Downloaderがリクエストされたドメインはサブドメインであると見なし、論理
エラーになる。悪用が実現すると、攻撃者はログオンしたユーザーの権限で、
任意のコードを実行できるようになる。その脆弱性に関するいくつかの技術的
詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
iDefense Labs Security Advisory
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=856
Adobe Security Bulletin
http://www.adobe.com/support/security/bulletins/apsb10-08.html
製品ホームページ
http://www.nosltd.com/get.html
http://www.adobe.com/
SecurityFocus BID
http://www.securityfocus.com/bid/38313
────────────────

4.危険度【高】:Symantec製品 Client Proxyにバッファオーバーフローの脆弱
  性

<影響を受ける製品>
Symantec AntiVirus versions 10.x
Symantec Client Security versions 3.x

<詳細>
Symantec AntivirusおよびSymantec Client Securityのような複数のSymantec
製品に、バッファオーバーフローの脆弱性がある。細工されたWebページは、
閲覧するとこの脆弱性が引き起こされる可能性がある。その問題は、Symantec
Client Proxy、CLIproxy.dll、ActiveX controlのバウンダリエラーによって
引き起こされる。具体的な欠陥は、"SetRemoteComputerName()"メソッドにあ
り、提供されたインプットのバウンドチェックを適切に行わない。悪用が実現
すると、攻撃者は影響を受けたアプリケーションを利用して、任意のコードを
実行できるようになる。その脆弱性に関するいくつかの技術的詳細は公開され
ている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。ユーザーは
Microsoftの"kill bit"メカニズムを通じて、影響を受けたコントロールを無
効にすることにより、この脆弱性の影響を緩和することができる。これは通常
のアプリケーション機能に影響する可能性があることに注意する。

<参考>
Symantec Security Advisory (SYM10-004)
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2010&suid=20100217_02
Microsoft Knowledge Base Article ("kill bit" メカニズムを詳述)
http://support.microsoft.com/kb/240797
ベンダーホームページ
http://www.symantec.com/
SecurityFocus BID
http://www.securityfocus.com/bid/38222

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。