NRI Secure SANS NewsBites 日本版

Vol.6 No.12 2011年3月22日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.6 No.12 2011年3月22日発行
**********************************************************************
■■SANS NewsBites Vol.13 No.20-21
(原版:2011年3月11日、3月15日配信)

◆米国議会・分科委員会 「ネットの中立性」ルールを無効にする法案を承認
(2011.3.9-10)
米国下院エネルギーおよび商業対策委員会・通信および技術についての分科委
員会は、連邦通信委員会(FCC)の「ネットの中立性」ルールの無効を可決した。
議会再審査法を用いた法案について、分科委員会が承認したためにこの一連の
動きに転じた。「ネットの中立性」ルールについての決定は今後、委員会での
論議に持ち込まれる。
http://voices.washingtonpost.com/posttech/2011/03/house_panel_votes_to_invalidat.html
http://www.nextgov.com/nextgov/ng_20110310_3084.php?oref=topnews
────────────────

◆研究者の発表:自動車のコンピュータシステムにある脆弱性についての調査
結果 (2011.3.9-10)
カリフォルニア大学サンディエゴ校、ワシントン大学の研究者らは、新しいモ
デルの自動車のコンピュータのシステムに、Bluetoothや携帯ネットワークシ
ステム、自動車整備の診断ツールを使用して侵入する方法を見出したという論
文を発表した。昨年は、同じ研究者らによって、自動車のエンジンを切ったり、
ドアをロックしたり、ブレーキが効かない状態にしたり、走行距離計の測定値
を改ざんしたりする方法を説明した調査結果が発表されている。問題の攻撃を
実行するには、ノートパソコンを自動車の診断システムに接続しなくてはなら
ない。今回の論文では、リモートで自動車のコンピュータシステムにアクセス
することに焦点があてられていた。研究者のStefan SavageやYoshi Kohnoによ
ると、この攻撃は難易度が高いが、「皆がPCをインターネットにつなげ始めた
当初は脅威などなかったが、脅威とは徐々に明らかになってくるものである。
したがって、自動車産業にとって我々が行った実験はためになるはすだ。」と
Savageは述べている。
http://www.usatoday.com/tech/news/2011-03-09-car-hackers_N.htm
http://www.computerworld.com/s/article/9214167/With_hacking_music_can_take_control_of_your_car?taxonomyId=17&pageNumber=2

【編集者メモ】(Honan)
上の記事で、Stefan Savageが「皆がPCをインターネットにつなげ始めた当初
は脅威などなかったが、脅威とは徐々に明らかになってくるものである。した
がって、自動車産業にとって、我々が行った実験はためになるはすだ。」と述
べたと言われている。残念ながら、侵入にも使用されてしまうスマートフォン
のプラットフォームの観点から考えると、Savageの発言は、事実を打ち負かそ
うと躍起になっている楽観主義的思考のよい例であろう。
────────────────

◆米国連邦取引委員会 ツイッターの捜査を終了 (2011.3.11-14)
米国連邦取引委員会(FTC)は、ツイッターの有名人のアカウントが侵害された
ことについての2件の捜査を終了した。2009年、攻撃者がツイッターのシステ
ムに侵入し著名人や著名な組織のアカウントを乗っ取り、偽のメッセージをそ
こから発信した。ツイッターは、間違ったログインが何度も試みられたにもか
かわらず、そのアカウントをロックする措置をとっていなかった。FTCの見解
は、ツイッターが「ユーザーのプライバシーを保護するのに適切なセキュリティ
措置をとっている。」とユーザーに主張をして誤解を与えたというものである。
ツイッターとFTCは、2010年6月に一時的に和解している。そして、先日その和
解において最終的な合意に達した。ツイッターは、和解条件において、「総括
的な情報セキュリティプログラムを設置し、今後10年間2年毎に独立監査人に
それを検査させる」ことが求められた。また、ツイッターのプライバシーポリ
シーは修正され、「同社は、ユーザーの情報を未承認のアクセスから保護でき
るように設計された管理的、物理的、電子的措置を設置している」という文言
が除外された。
http://www.computerworld.com/s/article/9214238/FTC_officially_closes_Twitter_security_investigation?taxonomyId=17
http://www.theregister.co.uk/2011/03/14/twitter_ftc_celeb_hack_settlement/
http://latimesblogs.latimes.com/technology/2011/03/ftc-settles-with-twitter-on-misleading-security-practices.html
http://www.eweek.com/c/a/Security/Twitter-Settles-with-FTC-Over-Privacy-Breach-and-Account-Hacking-151625/
【編集者メモ】(Schultz)
プライバシーに対する慣行やコントロールは、ほとんどの場合、深刻に不足し
ているか、もしくは、ソーシャルネットワーキングという領域では全く足りて
いない状況にある。ソーシャルネットワーキングにこそ、それらが一番必要だ
というのに。
────────────────

◆判事 ツイッターのアカウント情報を求める命令の取り消し要求を「却下」
(2011.3.11)
米国政府は、ウィキリークスの共同経営者3人のツイッターのアカウント情報
を収集するために、ツイッターに情報提供を要求していたが、先日、その要求
を拒否する申し立てがなされ、それを連邦判事は却下した。Theresa Buchanan
米国判事は、「政府はアカウントの中身の情報を求めているわけではないため、
問題の共同経営者らには、この要求に対して異議を申し立てる立場にはない」
と述べた。政府命令については、ツイッターからの要求で公開扱いとなったが、
判事は、政府によるこの命令の申請については、公開の申し立てを却下した。
前者の公開命令によれば、政府は特定のアカウントやそれらのアカウントへの
アクセスに用いられたIPアドレス、接続記録、データ転送の情報、宛先のIPア
ドレスなどを提供するようにツイッターに求めていたという。判事は、「その
要求自体は、アカウント所有者の憲法修正第1項(言論の自由)もしくは第4項
(不法な捜査や差し押さえの禁止)の権利に違反していない」という決定を下
した
http://news.cnet.com/8301-31921_3-20042277-281.html
http://www.wired.com/threatlevel/2011/03/judge-denies-on-twitter-case/
http://www.bbc.co.uk/news/world-us-canada-12720631
────────────────

◆Research in Motion インドの傍受要請に不意を突かれる (2011.3.14)
Research in Motion(RIM)の幹部は、「インドの内務省が、BlackBerryの端末
上で送信された電子メールの通信についての情報を傍受する機能を求めてきて
いる」と述べた。同省はそのデータをプレーンテキストで求めているようだ。
RIMは、「そのようなことをすれば、ユーザーのプライバシーに対する同社の
献身姿勢に傷がつくのではないか」と懸念している。また、RIMの産業・政府
関係幹部のRobert Crowは、「この要請によって、政府が"傍受する権利があ
る"と考えている通信の種類がさらに広範囲に広がってしまう可能性がある」
と指摘している。
http://www.techeye.net/security/india-demands-more-access-to-blackberry-emails
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年3月11日 Vol.10 No.10)

<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
Other Microsoft Products            3 (#1)
Third Party Windows Apps            1
Linux BSD                   1
Novell                     1
Cross Platform                17 (#2)
Web Application - SQL Injection        2
Web Application                1
Network Device                 1
======================================================================
1.危険度【高】:Google Chromeにさまざまなセキュリティの脆弱性

<影響のある製品>
Google Chrome 10.0.648.127より前のバージョン

<詳細>
Googleは、Chrome 10.0.648.127をリリースした。このバージョンには、
ChromeのWebブラウザにあるさまざまなセキュリティの脆弱性に対するパッチ
が含まれている。脆弱性としては、メモリ崩壊の脆弱性や、コードの実行に至
るようなポインタの陳腐化による脆弱性などがある。問題は、DOMの処理、テー
ブルペインティング、テキストレンダリング、SVGレンダリング、ブラウザ内
の、これら以外の部分にあるという。これらの脆弱性の悪用が実現するには、
攻撃者は悪意のあるページを閲覧するようにターゲットを仕向けなければなら
ない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Chrome Stable Release
http://googlechromereleases.blogspot.com/2011/03/chrome-stable-release.html
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/46785
────────────────

2.危険度【高】:Microsoft Windows Mediaに'.dvr-ms'の脆弱性

<影響のある製品>
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP
Microsoft Windows Vista
Microsoft Windows Vista Home Premium
Microsoft Windows Vista Home Basic
Microsoft Windows Vista Enterprise
Windows Vista用Microsoft Windows Media Center TV Pack
Microsoft Windows 7

<詳細>
Microsoftは、同社のメディアプレーヤー製品に影響を及ぼす脆弱性に対して、
パッチをリリースした。悪意のある'.dvr-ms'ファイルを閲覧するようにター
ゲットを仕向けられれば、攻撃者はこの脆弱性を悪用して、ターゲットのマシ
ンに任意のコードを実行できるようになる。問題のコードは、悪意のあるファ
イルを閲覧したユーザーと同じ許可を使用して実行される。DVR-MSとは
Microsoftのファイルフォーマットのことで、ASF(Advanced Systems Format)
コンテナに動画を入れておく際に用いられる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS11-015.mspx
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/46680
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。