NRI Secure SANS NewsBites 日本版

Vol.6 No.15 2011年4月12日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.15 2011年4月12日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
7月にワシントンでSANSFIREを開催。申し込み受付を開始している。 ここでは、SANSの集中トレーニングを受講することができるほか、夜にはインターネットストームセンターの専門家からブリーフィングを受けることができる。 このブリーフィングでは、100件以上の攻撃や新しい脆弱性の分析結果の中から、選りすぐりの情報が共有される予定だ。
さらに、NetWars競技会が開催される。この競技では参加者の侵入テストや防御技術の習得度を測定できるようになっている。

参加申し込みはこちらから:
http://www.sans.org/sansfire-2011/
SANSFIREの開催直前に1日予定を足せば、IPv6サミットにも参加できる:
http://www.sans.org/ipv6-summit-2011/
4月18日・19日にワシントンDCで開催される米国サイバーセキュリティイノベーションカンファレンスプログラム(NCIC:the National Cybersecurity Innovation Conference program)では、 連邦政府のクールで新しいアイデアがもう1つ披露される。米国サンディア国立研究所は、数百名のシステム管理者を「人間センサー」になれるように訓練しているが、その方法をここで共有する予定だ。 システム管理者はこの訓練をかなり気に入っている。他の政府局のシステム管理者らは、「セキュリティ訓練」は時間の無駄と切に感じてしまうことが多いが、そのような内容とは著しく対照的であることは認めざるをえない。 サンディア研究所では、最終結果としてセキュリティの向上と時間の無駄が縮小された。このカンファレンス(NCIC)には、ほかに連邦政府局や州政府局が見出したインパクトの強い革新的アイデアが6つ紹介される。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込み開始!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.26-27
(原版:2011年4月1日、4月6日)

◆米国・国家安全保障局(NSA) NASDAQのハッキング捜査に参加(2011.3.30)
米国国家安全保障局(NSA)は、NASDAQ株式市場を運営する企業に対するサイバー攻撃について捜査に参加していく意向だという。 捜査についての同局の役割は明確にされていないものの、同局が関与するということは、当初考えられていたよりもその攻撃が深刻なものであったこと、もしくは、その攻撃に他国の後ろ盾があった可能性を示している。 米国連邦捜査局(FBI)とシークレットサービス(US Secret Service)、および、その他複数の他国の諜報機関もこの捜査を支援していくという。 問題の攻撃は2011年2月に報告されたが、実際に発生したのは2010年10月のことだった。 NASDAQは、攻撃によって取引用のプラットフォームは侵害されなかったが、NASDAQ上場企業の取締役らのオンラインミーティングや情報共有を支援するDirectors DeskというWebアプリが影響を受けたと述べている。 攻撃者が、アプリを足がかりにしてNASDAQのシステムの深部へアクセスを図った可能性もある。

http://www.wired.com/threatlevel/2011/03/nsa-investigates-nasdaq-hack/
http://www.bloomberg.com/news/2011-03-30/u-s-spy-agency-said-to-focus-its-decrypting-skills-on-nasdaq-cyber-attack.html

────────────────

◆Google Buzzのプライバシーに関する起訴で米国連邦取引委員会(FTC)と和解 (2011.3.30-31)
Googleは、同社のソーシャルネットワーキングツールであるBuzzに関連して、不正なプライバシー慣行の嫌疑で連邦取引委員会(FTC)に訴えられていたが、3月30日(水)に委員会と和解した。 和解条件では、Googleはプライバシー保護プログラムを始動し、今後20年間、サードパーティによる定期的な監査を受けなければならないとなっている。 Googleは、この和解で罰金は科せられないものの、この和解条件に違反すれば今後罰金に科せられる可能性がある。 FTCが企業に対し包括的なセキュリティポリシーを実装するように命令する和解条件としてはこれが初めてとなる。同日、Googleは、+1という新しいソーシャルネットワーキングツールを始動した。 このツールでは検索結果に注釈を付け、そのページを友人にすすめることができるようになっている。

http://www.usatoday.com/money/industries/technology/2011-03-30-google-ftc-settlement.htm
http://www.sfgate.com/cgi-bin/article.cgi?f=/g/a/2011/03/30/businessinsider-google-were-sorry-for-privacy-problems-with-buzz-2011-3.DTL
http://www.washingtonpost.com/blogs/faster-forward/post/ftcs-lesson-for-google-defaults-design-matter/2011/03/30/AFRmwc4B_blog.html
http://news.cnet.com/8301-31921_3-20048771-281.html

────────────────

◆米軍談:「データマイニングソフトウェアをSIPRnetのワークステーションにインストール」 (2011.4.4)
米軍の主張によると、Bradley Manning上等兵が数十万件の文書をダウンロードする前に、同人のSecret Internet Protocol Router Network (SIPRnet)ワークステーションにデータマイニングソフトウェアをこっそりインストールしたかもしれないと伝えられている。 この未承認のソフトウェアは2回インストールされた。1回目は2010年2月11日から4月3日の間、そして2010年5月はじめに2回目が行われたようだ。 嫌疑が真実であることが判明すれば、Manningに対する政府の主張が有利になる。機密情報への未承認のアクセスを獲得したこと自体は単にスリルを求めていただけと見なされる可能性もあるが、 意図的に専門的なソフトウェアをインストールしたのであればそれは「予謀」となる。

http://www.wired.com/threatlevel/2011/04/manning-data-mining/

【編集者メモ】(Pescatore)
米軍のPCはロックダウン(隔離)されているとよく言われる。これが本当であれば、ユーザーはそのようなソフトウェアをインストールすることなどできないはずだ。 しかし、PCの使用を操作上の観点で現実的に見ると、このようなロックダウンは、ポリシーとして存在するだけで、実際のコントロールとして存在するわけではないようだ。

────────────────

◆上訴裁判所 令状なしでのノートパソコンの国境捜査を支持 (2011.4.4)
第9巡回上訴裁判所にて、「政府の監督機関は、米国国境で令状なしにデジタル機器を押収し、その中身の捜査中は数日間機器を預かっていてもよい」という判決が2対1で下された。 今回問題となっていたケースでは、児童ポルノの画像が入ったノートパソコンとカメラを男性が所有していたことが審理された。 移民税関捜査局(ICE:Immigration and Customs Enforcement)の捜査員は、機器を差し押さえた後、170マイル離れた場所に機器を輸送して捜査を行っていた。

http://www.wired.com/threatlevel/2011/04/border-search/
http://www.ca9.uscourts.gov/datastore/opinions/2011/03/30/09-10139.pdf

【編集者メモ1】(Northcutt)
これは、興味深いケースだ。税関での差押えについてその手順の設置を促すケー スとしてはこれが4つ目である。フォレンジック捜査員によると、問題の写真 は、未使用領域で見つかったという。
http://volokh.com/files/cotterman.pdf
http://cyb3rcrim3.blogspot.com/2009/05/border-search-fails.html
今回は問題になるものが見つかったが、2008年以降令状なしの捜査は6,500件 も行われていることをここで指摘しておきたい。
http://www.wired.com/threatlevel/2010/09/laptop-border-searches/

────────────────

◆Epsilonの侵害で数100万件の電子メールアドレスが侵害される (2011.4.4)
米国のマーケティング会社Epsilon Data Managementで発生したセキュリティ侵害で、電子メールアドレス数百万件が侵害されたようだ。 Epsilonは顧客2,500人(社)以上に代行して電子メールを送信する業務を行っていた。 このような顧客企業の多くは顧客に連絡をとり、侵害発生の旨、および受信したスパムや悪意のある電子メールによって機密情報が漏えいされてしまう可能性がある旨を通知した。 Epsilonによれば、持ち出された情報は、氏名とそれに関連する電子メールアドレスのみだったという。 この侵害事件で影響を受けた企業には、American Express、Citibank、The College Board、Best Buyなどがある。

http://krebsonsecurity.com/2011/04/epsilon-breach-raises-specter-of-spear-phishing/
http://www.computerworld.com/s/article/9215467/Expect_targeted_attacks_after_massive_Epsilon_email_breach_say_experts?taxonomyId=17
http://www.washingtonpost.com/blogs/faster-forward/post/epsilon-mail-marketing-firm-exposes-millions-of-names-addresses/2011/04/04/AFEPbabC_blog.html
http://www.eweek.com/c/a/Security/Epsilon-Data-Breach-Hits-Banks-Retail-Giants-154971/
http://www.bbc.co.uk/news/technology-12958925
http://www.h-online.com/security/news/item/Millions-of-email-addresses-exposed-in-Epsilon-breach-1221307.html

【編集者メモ】(Pescatore)
ここで学ぶべき真の教訓は、「このようなインシデントが発生した場合、非が 業務の委託先にあったとしても、顧客に対する責任は、当該企業にある」とい うことである。

────────────────

◆「ネットの中立性維持」に対する異議申し立てはタイミングが全て(2011.4.4)
米国連邦通信委員会(FCC: Federal Communications Commission)に対する法的な異議申し立て2件が技術的な理由で棄却された。 米国コロンビア地区上訴裁判所によると、Verizon CommunicationsとモバイルサービスプロバイダのMetro PCSが起こしている問題の提訴は、 FCCの「ネットの中立性維持」のルール自体が連邦公報(Federal Register)にまだ公表されていないため、提訴自体が時期尚早だと判断したという。 Verizonはルールが公表された後に再度提訴する意向だ。このルールでは、ブロードバンドのプロバイダに対し、 例えば現在既存の電話事業からウェブビデオのようなインターネットサービスへの乗り換えを促すような活動を禁止している。

http://www.usatoday.com/tech/news/2011-04-04-fcc-internet-rules_N.htm?loc=interstitialskip
http://www.computerworld.com/s/article/9215474/Update_Appeals_court_knocks_down_Verizon_net_neutrality_challenge?taxonomyId=17

【編集者メモ】(Pescatore)
ここで学ぶべき真の教訓は、「このようなインシデントが発生した場合、非が業務の委託先にあったとしても、顧客に対する責任は、当該企業にある」ということである。

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年4月1日 Vol.10 No.15)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
1 (#1)Mac Os
1
Linux
2
Cross Platform
23 (#2,#3)Web Application - Cross Site Scripting
2
Web Application
3
Network Device
1
======================================================================
1.危険度【高】: Microsoft WindowsのMedia PlayerにMonkey’s Audioの解析の脆弱性

<影響のある製品>
Microsoft Windows Media Player v11.0

<詳細>
Microsoft Windows Media Playerには、バッファオーバーフローの脆弱性がある。 この脆弱性はMonkey's Audioファイルの処理を担うコードにエラーがあるために生じる。 Monkey's Audioファイルには、「.ape」の拡張子があり、劣化せずに圧縮され、ファイル自体はFLACやAppleのLosslessに類似している。 この脆弱性を悪用するには、攻撃者は悪意のあるファイルを開くようにターゲットを仕向けなければならない。

<現状>
ベンダーはこの問題を認めておらず、更新もリリースしていない。

<参考>
ベンダーのサイト http://www.real.com
SecurityFocus Bugtraq ID http://www.securityfocus.com/bid/47012

────────────────

2.危険度【高】: RealNetworks RealPlayerにバッファオーバーフローの脆弱性

<影響のある製品>
RealPlayer 11.0、もしくは、その他のバージョンも脆弱である可能性あり

<詳細>
広範にインストールされているクロスプラットフォームのメディアプレーヤーのRealNetworks RealPlayerには、バッファオーバーフローの脆弱性がある。 この脆弱性はReal Metadata Package (RMP) ファイルの処理にエラーがあるために生じる。 脆弱性の詳細な分析情報は公表されていないが、公表用のエクスプロイトはリリースされている。 悪意のあるファイルを開くようにターゲットを仕向けられれば、攻撃者はこの脆弱性を悪用してターゲットのマシンに任意のコードを実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めておらず、更新もリリースしていない。

<参考>
ベンダーのサイト http://www.real.com
SecurityFocus Bugtraq ID http://www.securityfocus.com/bid/47012

────────────────

3.危険度【高】: VLC Media Playerに「.AMV」と「.NSV」の不正ポインタ

<影響のある製品>
VLC media player 1.1.8以前のバージョン

<詳細>
VideoLANは、同社製のクロスプラットフォーム・メディアプレーヤーVLC用のパッチをリリースした。 このパッチで複数の不正ポインタの脆弱性が修正される。問題の脆弱性はアプリを曖昧化することによって発見された。 「.AMV」ファイルにある特定のバイトを変えれば、一事例として不正なポインタをもとにVLCを機能停止に追いやることも可能である。 ヒープ・スプレー(heap spray)と併用すると、攻撃者はスタック上の命令ポインタを上書きしてコードを実行できるようになってしまうおそれがある。 この脆弱性を悪用すれば、攻撃者は悪意のあるサイトを閲覧するようにターゲットを仕向けることもできる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト http://www.videolan.org
SecurityFocus Bugtraq ID http://www.securityfocus.com/bid/47012

────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。