NRI Secure SANS NewsBites 日本版

Vol.6 No.11 2011年3月15日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.11 2011年3月15日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
4月16日からワシントンで開催されるNational Cybersecurity Innovation
Conferenceに新しいスピーカーが2人登場する。2人のうち1人は原子力エネ
ルギー研究所(the Nuclear Energy Labs)の方で、上層経営陣にトレーニング
を支持してもらえるようにする方法を伝授していただける。もう1人は、州当
局の方で、高度な攻撃の仕組み、最も有効な防御措置、新しい強力な無料ツー
ル2点について驚くべきデータをプレゼンテーションしていただける。
http://www.sans.org/cyber-security-innovations-2011/
■■SANS NewsBites Vol.13 No.18-19  
(原版:2011年3月4日、3月9日)

◆Manningに 死刑相当の罪などの新たな容疑 (2011.3.2)
ウィキリークスに機密外交文書を漏えいした疑いのある兵、Bradley Manning
が、22の新たな罪状で米国政府に告訴されることとなった。これら22の罪状に
はコンピュータ詐欺罪などの罪状2つ、諜報活動取締法に違反する国防情報の
送信などの罪状8つ、米軍のコンピュータセキュリティ規制の違反などの罪状
5つ、敵対者によってアクセスされるとわかっていながらインターネットに機
密情報が公開されてしまう状態を不当に引き起こした容疑関連での罪状1つ、
そして最後に、死刑に相当する罪状が含まれている。政府の検察チームは、
「死刑は求刑しないが、死刑を科すか否かについての最終判断は、軍法会議の
招集当局 (convening authority)」に委ねられると述べている。
http://www.wired.com/threatlevel/2011/03/bradley-manning-more-charge/
────────────────

◆グーグル アンドロイド・マーケットプレイスの感染アプリを除去(2011.3.2-3)
グーグルは、マルウェアに感染している50以上のアプリをアンドロイド・マー
ケット(Android Market)から除去した。問題となっていたマルウェアには、感
染したデバイスにrootのアクセスを獲得し、情報を盗み出す能力があった。し
かしながら、ユーザーは、これらが除去される前にすでに5万から20万個の感
染したアプリをダウンロードしてしまっている。問題となっていたアプリは、
全て同じマルウェアに感染しており、アンドロイド・マーケットでダウンロー
ドできる状態が4時間ほど続いていたという。ほか、別途マルウェアに感染し
ているアプリがもう1つあり、それが最近ニュースとなっていたが、それは、
アンドロイド・マーケットというよりは、サードパーティのサイトで提供され
ていた。グーグルは、スマートフォンから自動的にアプリをアンインストール
することができる能力は備えていたものの、今回のケースでは、その手順に乗
り出していない。
http://www.bbc.co.uk/news/technology-12633923
http://www.computerworld.com/s/article/9212598/Google_yanks_over_50_infected_apps_from_Android_Market?taxonomyId=17
http://www.wired.com/threatlevel/2011/03/android-malware/
【編集者メモ】(Pescatore)
グーグルは、アップルのアップルストアに比べると、比較的強く「買い手はご
用心」というアプローチをとっている。アプリに辟易している状態がまん延し
ているようだ。アプリにパスワード盗難マルウェアやボットマルウェアが本当
に入っていないとわかっているのであれば、ミサイル戦争ゲームが1010個ある
ところからアプリを選ぶよりも、マルウェアが入っていない1000個から選ぶ方
がよいと思う人がほとんどだろう。
────────────────

◆FirefoxとChrome ハッキングトンテストに向けてアップデート (2010.3.1-3)
来週CanSecWest Securityで開催されるPwn3Ownコンテストに向けて、Mozilla
とGoogleは、自社製ブラウザのアップデートを行った。Google Chromeのアッ
プデートでは19個のセキュリティ問題が修正される。Appleは、コンテストの
前に、同社製のSafariブラウザをアップデートする可能性が高い。このコンテ
ストでは、ブラウザにある脆弱性を見つけると賞金が与えられるようになって
いる。Microsoftは、コンテストの前にInternet Explorer(IE)をアップデート
する意向はないという。
http://www.h-online.com/security/news/item/Mozilla-issues-Firefox-Thunderbird-security-updates-1200543.html
http://www.computerworld.com/s/article/9212479/Mozilla_follows_Google_patches_Firefox_as_prep_for_Pwn2Own?taxonomyId=17
http://www.h-online.com/security/news/item/19-vulnerabilities-Chrome-9-update-proves-expensive-for-Google-1199922.html
http://www.computerworld.com/s/article/9212079/Google_patches_19_Chrome_bugs_week_before_Pwn2Own_hacking_contest?taxonomyId=82
http://www.computerworld.com/s/article/9213018/Apple_to_patch_Safari_before_Pwn2Own_say_researchers?taxonomyId=17
http://www.computerworld.com/s/article/9213078/Microsoft_won_t_patch_IE_before_Pwn2Own?taxonomyId=17

【編集者メモ】(Schultz)
Microsoftは、ここ数年で、Internet Explorerのセキュリティの改善において
素晴らしい仕事をしてきた。Pwn3Ownのコンテストで、IEが勝者という立場を
得ても私にとって驚きではない。
────────────────

◆半導体ドライブのファームウェア データを破壊 (2011.3.1-2)
オーストラリアの研究者らは、現在法廷で信頼できる証拠とされている半導体
ドライブ(SSD:solid state drive)において、そのドライブに保管されたデータ
の完全性に対して疑問を投げかける研究結果を発表した。研究者らによると、
SSDに保存されたデータは、消去アルゴリズム(purging algorithm)のあるファー
ムウェアを介して自己腐食してしまう可能性があるという。消去アルゴリズム
では、「削除」マークの付いたファイルを「ゴミとして回収」するようになっ
ている。ファームウェアは、ドライブの保管効率を上げるために、データを最
適化するように設計されている。この研究結果は、「SSDからデータを消去す
るのは難しい」という研究報告とは食い違っているように思えるが、どちらの
研究においても、それらのプロセスの信頼性に疑問が投げかけられている。
http://www.cio.com.au/article/378293/ssd_firmware_destroys_digital_evidence_researchers_find/
http://www.theregister.co.uk/2011/03/01/self_destructing_flash_drives/
【編集者メモ】(Northcutt)
半導体ドライブには大きな利点があるが、その仕組みについては、本来知って
おくべきであろう程度には把握できていないのが現状だ。私は、この問題を理
解するうえで役に立つリンクを1つ見つけた。ここで、私はどちらの味方につ
くというわけではないが、このリンクにある説明がどちらも100%正確だとも
思わない。Scott Moultonは優秀な男であるが…。このリンクの記事を読めば、
大体の要点は理解できる。
http://www.myharddrivedied.com/presentations-resources/solid-state-drives-will-ruin-forensics
────────────────

◆新しいサイバー兵器競争 (2011.3.7)
リンクの記事には、サイバー戦争のプレーヤーとそのプロセスについて、広範
囲にわたる概説が書かれており、Stuxnetやその他の最近の攻撃に焦点をあて
ている。ここ数年で進んだ主要な開発について、実際に何が起きているのか実
態をまとめて説明している。
http://www.csmonitor.com/USA/Military/2011/0307/The-new-cyber-arms-race
────────────────

◆グーグル アンドロイドをベースにしたデバイスから感染したアプリをリモー
トで除去 (2011.3.7)
グーグルは、「リモート除去機能(remote removal function)」を使用して、
バージョン2.2.2以前のバージョンを運用しているアンドロイドのデバイスか
ら、感染したアプリの除去を開始した。DroidDreamと称されているマルウェア
に感染したアプリがおよそ50個発見されたからである。すでにアンドロイド・
マーケットからはそれら全てのアプリは除去された。また、グーグルは、感染
したアプリについて責任があるとみられる開発業者のアカウントを停止したほ
か、彼らを訴える意向だという。
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=229300494&subSection=Security
http://www.h-online.com/security/news/item/Google-remotely-removes-Android-malware-1203049.html
http://gcn.com/articles/2011/03/07/google-kills-droiddream-malware.aspx?admgarea=TC_SECCYBERSSEC
http://www.scmagazineus.com/google-remotely-killing-android-malware/article/197794/
http://www.computerworld.com/s/article/9213641/Google_throws_kill_switch_on_Android_phones?taxonomyId=17
http://www.theregister.co.uk/2011/03/07/google_remotely_kills_android_malware_apps/
【編集者メモ1】(Skoudis)
アンドロイド・マーケットは、アプリストアのセキュリティという観点で模範
型と言える。ここでは、その模範型が模範型として働いている姿も見られる。
しかも、特に技術的なことを行っているわけではない。開発業者に対し、プロ
グラムを販売するための登録を義務付けていれば、資金の豊かな企業(Google
やAppleなど)は有能な弁護士を使って、心得違いの開発業者を訴えることがで
きるのだ。このような措置によって、悪意のある開発業者の最も根底にある素
質をチェックすることもできる。

【編集者メモ2】(Honan)
グーグルの行動の動機は素晴らしいものの、一組織に自分のシステム上で運用
しているアプリをリモートでコントロールする能力があることに、私は当惑し
てしまう。スマートフォン・デバイスの多くに機密情報が含まれているだろう
ことを踏まえると、これもまた、こういったデバイスに保存するデータは全て
暗号化した方がよいと強く主張すべき理由になるのだ。
────────────────
.
◆アタッカー 仏財務省のシステムからG20のデータを盗み出す (2011.3.7)
仏財務省が、サイバー攻撃(中国に端を発する攻撃であるという声もある)の
最新の犠牲者となっている。攻撃者は、仏財務省のコンピュータおよそ150台
へのアクセスを獲得し、先月同国で開催されたG20サミットに関連するデータ
を盗み出した。問題の攻撃は2010年12月に始まっていたが、影響を受けたデー
タはG20のデータのみだったという。攻撃の影響を受けたシステムは、すでに
一掃された。
http://news.cnet.com/8301-1009_3-20040050-83.html?tag=mncol;titles
http://www.voanews.com/english/news/economy-and-business/Hackers-Steal-French-Finance-Ministry-Information-117521708.html
http://www.bbc.co.uk/news/business-12662596
http://www.v3.co.uk/v3/news/2275138/zeus-france-g20-hack-uk-finance
http://www.h-online.com/security/news/item/PCs-at-French-Ministry-of-Finance-infected-with-spyware-1203224.html
http://www.computerworld.com/s/article/9213559/Hackers_targeted_French_gov_t_computers_for_G20_secrets?taxonomyId=17
────────────────.
◆ソニー PS3の脱獄(jailbreak)サイトへの訪問者情報を求める召喚令状にOK
を得る(2011.3.4-5)
米国連邦治安判事は、ソニーに対し、2009年1月から現在までGeorge Hotzの
Webサイトを訪問したコンピュータのユーザーのIPアドレスを獲得する許可を
与えた。Hotzは、最近、ソニー・プレイステーション3のゲーム機用の脱獄
(jailbreak)コードをインターネットに掲示したことで悪評を得ていた。ソニー
は、ツイッターやグーグル、YouTubeに対し、Hotzのアカウント情報を獲得す
るための召喚令状を求めていたが、治安判事はこのほど、令状の発行を許可し
た。
http://voices.washingtonpost.com/fasterforward/2011/03/judge_says_sony_can_see_visito.html?wprss=fasterforward
http://www.wired.com/threatlevel/2011/03/geohot-site-unmasking/
http://www.theregister.co.uk/2011/03/05/geohot_visitors_unmasked/
http://www.bbc.co.uk/news/technology-12663410
http://news.cnet.com/8301-27080_3-20039536-245.html
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年3月4日 Vol.10 No.10)

<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Other Microsoft Products 2
Linux 2
Novel 1
Cross Platform 18 (#1,#2,#3)
Web Application - Cross Site Scripting 2
Web Application - SQL Injection 2
Web Application 1
Network Device 1
======================================================================
1.危険度【高】: Mozilla製品にさまざまな脆弱性

<影響のある製品>
Mozilla Firefox 3.6.14以前のバージョン
Mozilla Firefox 3.5.17以前のバージョン
Mozilla Thunderbird 3.1.8以前のバージョン
Mozilla SeaMonkey 2.0.12以前のバージョン

<詳細>
Mozillaは、同社製WebブラウザのFirefox、同社製の電子メールクライアント
(email client)のThunderbird、Webブラウザと電子メールクライアント、その
他のクライアントアプリを含むインターネットアプリのスイートを含む
SeaMonkeyなど、さまざまな製品に影響を及ぼす脆弱性にパッチをリリースし
た。脆弱性としては、Javascriptエンジン、および、HTMLやスタイルシート、
SVGオブジェクト、JPEG画像の処理を担うコードにある問題などがあげられて
いる。悪意のあるサイトを閲覧するようにターゲットを仕向けられれば、攻撃
者は、これらの脆弱性のいくつかを悪用し、ターゲットのマシンに任意のコー
ドを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2011/mfsa2011-01.html
http://www.mozilla.org/security/announce/2011/mfsa2011-02.html
http://www.mozilla.org/security/announce/2011/mfsa2011-03.html
http://www.mozilla.org/security/announce/2011/mfsa2011-04.html
http://www.mozilla.org/security/announce/2011/mfsa2011-05.html
http://www.mozilla.org/security/announce/2011/mfsa2011-06.html
http://www.mozilla.org/security/announce/2011/mfsa2011-07.html
http://www.mozilla.org/security/announce/2011/mfsa2011-08.html
http://www.mozilla.org/security/announce/2011/mfsa2011-09.html
http://www.mozilla.org/security/announce/2011/mfsa2011-10.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-103/
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/46643
http://www.securityfocus.com/bid/46645
http://www.securityfocus.com/bid/46647
http://www.securityfocus.com/bid/46648
http://www.securityfocus.com/bid/46650
http://www.securityfocus.com/bid/46651
http://www.securityfocus.com/bid/46652
http://www.securityfocus.com/bid/46660
http://www.securityfocus.com/bid/46661
http://www.securityfocus.com/bid/46663
────────────────.
2.危険度【高】:Apple WebKitにさまざまなメモリ崩壊の脆弱性

<影響のある製品>
WebKit Open Source Project WebKit 1.2.X
Apple iTunes 9.0
Apple iTunes 9.1
Apple iTunes 9.2
Apple iTunes 10.1
Apple iTunes 10

<詳細>
Appleは、同社製のWebKitレイアウトエンジンに影響を及ぼすさまざまな脆弱
性にパッチをリリースした。WebKitは、Apple SafariとGoogle ChromeがWebペー
ジをレイアウトするときに用いられる。脆弱性としては、フォントのレンダリ
ングやHTMLの処理に関連のある問題などがあげられる。悪意のあるサイトを閲
覧するようにターゲットを仕向けられれば、攻撃者は、これらの脆弱性のいく
つかを悪用し、ターゲットのマシンに任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-095
http://www.zerodayinitiative.com/advisories/ZDI-11-096
http://www.zerodayinitiative.com/advisories/ZDI-11-097
http://www.zerodayinitiative.com/advisories/ZDI-11-098
http://www.zerodayinitiative.com/advisories/ZDI-11-099
http://www.zerodayinitiative.com/advisories/ZDI-11-100
http://www.zerodayinitiative.com/advisories/ZDI-11-101
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/46654

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。
日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお
申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、 info@sans-japan.jp まで返信してください。