NRI Secure SANS NewsBites 日本版

Vol.6 No.16 2011年4月19日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.16 2011年4月19日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込み開始!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.28-29
(原版:2011年4月1日、4月6日)

◆Chrome 疑わしいダウンロードを行ったユーザーに警告する見込み (2011.4.6-7)
Googleは、同社製のChromeブラウザに新しい機能を加える計画だという。この新機能は、ユーザーがマルウェアを含んでいる疑いのあるファイルをダウンロードしようとした場合に警告を発するというもの。 本機能はGoogleのSafe Browsingサービスに依存しており、Safe Browsingのブラックリストに載っているURLがあるEXEファイルをユーザーがダウンロードしようとすると、 「このファイルは悪意があると思われます。それでも続行したいですか?」というメッセージが表示される。ユーザーには、選択すればそのままダウンロードを続行できる選択肢も与えられる。 この新サービスは、まずChromeブラウザのDevバージョンを使用しているユーザーの一部でテストされ、その後、Chromeの安定的なバージョンに組み込まれる。

http://www.h-online.com/security/news/item/Chrome-to-block-downloads-of-hazardous-exe-files-1222643.html
http://www.computerworld.com/s/article/9215593/Chrome_tips_users_to_dangerous_Windows_downloads?taxonomyId=17
http://www.msnbc.msn.com/id/42456782/ns/technology_and_science-security/
http://www.eweek.com/c/a/Security/Google-Chrome-Security-Feature-Targets-Driveby-Downloads-651449/

────────────────

◆Epsilon 数か月前に「侵害が発生した可能性がある」と警告されていた(2011.4.7)
Epsilonのデータ侵害は、スピアフィッシングアタックによるものだった可能性が高い。しかし、同社は数ヶ月前に、この攻撃による侵害の警告を受けていたという。 Epsilonの技術パートナー企業のReturn Pathは、社員がフィッシング攻撃に騙され、攻撃者に電子メールアドレス数千件を漏えいしてしまった後、2010年11月に警告を送信している。 しかし、皮肉なことにEpsilonの顧客2,500社(Epsilonが代理として電子メールを送信している企業)の一部の顧客に対し、この攻撃で盗まれた情報がスペアフィッシングアタックに利用されてしまった。

http://www.itnews.com.au/News/253712,epsilon-breach-used-four-month-old-attack.aspx
http://news.cnet.com/8301-27080_3-20051796-245.html?tag=mncol;title
http://www.computerworld.com/s/article/9215605/Epsilon_a_victim_of_spear_phishing_attack_says_report?taxonomyId=17

別件で関係のあるストーリーとして、Better Business Bureauが、「Epsilonから盗み出された情報の一部が、スピアフィッシングアタックですでに利用されている」という記事を掲載している。 問題の攻撃では、Chaseオンラインバンキングの顧客がターゲットになっていたようだ。

http://www.eweek.com/c/a/Security/Chase-Bank-Phish-Emails-May-Be-First-PostEpsilon-Scam-851226/
http://www.bbb.org/us/article/bbb-warns-of-phishing-email-received-from-epsilon-data-breach-26572

【編集者メモ1】(Schultz)
Epsilonで発生した残念なセキュリティ事件によって、顧客に対する詐欺が多数発生してしまう可能性が高い。 すでに、私自身もフィッシングのメッセージを2件受信している。1つはVisaの口座情報を更新するように求めてきており、もう1つ(その翌日に送信されてきた)では、 「Chase口座がセキュリティ上の理由でロックされたので、そのロックを解除するために必ず以下の手順に従ってください」とあった。 これらのメッセージはハンガリーのアドレスから発信されていた。きっと、たくさんの顧客が、これらのメッセージに騙されてしまうことだろう。

【編集者メモ2】(Honan)
今回の侵害によって、オーストラリアなどの複数の国で、侵害発生公表義務法の導入を求める声があがっている。

────────────────

◆政府活動停止時 サイバーセキュリティはいかに?(2011.4.7)
米国国土安全保障省(DHS)は、政府が活動停止に陥っても、サイバーセキュリティ業務を担うDHS職員や委託事業者は(一時)解雇されないという方針を打ち出した。 連邦法では、政府が活動停止に陥った際には、「人命の安全性や財産の保護のために必要な活動」以外の活動は全て停止しなければならないことになっている。 敵対者は、政府が活動停止に陥れば人員が不足すると想定し、サイバー攻撃を仕掛けるチャンスだととらえることができる。 ホワイトハウスの関係者は、連邦政府のWebサイトのほとんどは、活動停止時にはオフラインになると述べている。 オンラインのまま残されるのは、前述でリストアップされた例外にあてはまるもののみだという。

http://www.govinfosecurity.com/articles.php?art_id=3512
http://www.nextgov.com/nextgov/ng_20110407_1172.php?oref=topnews
http://fcw.com/articles/2011/04/07/federal-websites-may-be-unattended-or-go-dark-during-furloughs.aspx

────────────────

◆米国証券取引委員会 顧客情報を保護できなかった3人に罰金 (2011.4.11)
米国証券取引委員会(SEC)は、顧客情報を適正に保護できなかったブローカーディーラーGunnAllen Financialの元社員らに罰金を科した。 同社は、2010年11月に清算された。SECは、「GunnAllenの元社長Frederick O. Krausは、元国内セールスマネージャのDavid C. Levineに対し、次の仕事のために1万6,000人分の顧客情報を持ち出すことを許可したため、この2人はプライバシー規則を侵害した」と見ている。 問題のデータはUSBメモリに移された。KrausとLevineには、1件につき2万ドルの罰金が科せられる。 また、元チーフコンプライアンスオフィサーのMark A. Ellisには、「同社のポリシーと手順が、顧客の機密情報を保護できるように合理的に設けられていなかった」ために1万5,000ドルの罰金が科せられた。 これらは、SECの保護ルール、もしくは規制標準手順(Regulation S-P)に違反したために行われた措置であるが、各個人に罰金が科せられたケースとしては初めてとなる。規制標準手順(Regulation S-P)では、SECの管轄の金融アドバイザーや金融機関に対し、 顧客情報を保護し、外部の第三者との顧客情報共有をオプトアウトできる機会を顧客に与えることを義務付けている。

http://www.informationweek.com/news/security/privacy/229401339

【編集者メモ1】(Pescatore)
このルールが実施されているのが見られるのはよいことだ。しかしながら、営業マンが現在の仕事から次の仕事に顧客記録を持っていくという行為は、あたりまえの慣行になってしまっている。 そして、もちろん、そのような顧客情報のほとんどは、LinkedInに掲載されている…。

【編集者メモ2】(Schultz)
もうそろそろ、「セキュリティ侵害が発生した際には企業従業員に責任を負わせる(懲罰を行う)」ようにしてもよい頃だろう。

────────────────

◆連邦検察 ツイッターの記録要請に対するウィキリークスの共同経営者らの異議申し立てに対応 (2011.4.8-9)
ウィキリークスの共同経営者3人のツイッターのアカウント情報へのアクセスを検察に与える命令に対して同3人は異議を申し立てており、連邦検察がこの申し立てに対応している。 政府は、メッセージの中身ではなく、ツイッターにアクセスするときに用いたIPアドレス、登録時に提供した電子メールのアドレスを求めているという。 2011年3月、判事はこれらの記録の要請を承認したが、問題の3人は3月25日にこれに対して異議を申し立てている。 連邦検査官らは、ウィキリークスの共同経営者らよる「情報の要請自体が黙秘権に違反している」という主張は、根も葉もない主張だと述べている。

http://www.wired.com/threatlevel/2011/04/wikileaks-twitter-feds/
http://www.theregister.co.uk/2011/04/09/twitter_dragnet_wikileaks/
http://files.cloudprivacy.net/goverment_opp.pdf

────────────────

◆技術系企業 仏・データ維持法に挑む(2011.4.8)
「サービスプロバイダー、Webメールプロバイザ、電子商取引企業、オンライン動画や楽曲のサイトにおいて、ユーザー情報を1年保有する」という仏政府の義務付けに対して、何社かの大手技術系企業が異議を申し立てている。 企業が保管し、政府の要請で提供しなければならないとされているデータには、ユーザーの氏名やパスワード、財務取引情報などがある。 この要件は、2011年2月25日の法令で設置され、これによって、電子経済信用法(LCEN:Legal Regimefor eCommerce Trust)が更新される。 しかし、この法令に対し、eBayやFacebook、Googleなどが会員である仏コミュニティーインターネットサービス協会(ASIC)が異議を申し立てている。 LCENは、「この法令は、欧州委員会に助言を求めることなく策定されたほか、情報を保持する行為は、データセキュリティ侵害の発生リスクを高めることになる」と述べている。

http://www.informationweek.com/news/security/privacy/229401245
http://www.scmagazineuk.com/google-and-facebook-challenge-french-government-on-personal-data-law/article/200221/
http://www.bbc.co.uk/news/technology-12983734

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年4月1日 Vol.10 No.15)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows 
1
Third Party Windows Apps
2
HP-UX
1
BSD
1
Solaris
1
Aix
1
Novell
1
Cross Platform
15 (#1)Web Application - Cross Site Scripting
2
Web Application
3
Network Device 
1
======================================================================
1.危険度【高】: ISC dhclient Meta-Character Exploit

<影響を受ける製品>
ISC dhclient 3.1-ESV-R1より前のバージョン,4.1-ESV-R2 もしくは 4.2.1-P1以前のバージョン

<詳細>
インターネットシステムコンソーシアム(Internet Systems Consortium)は、広範で使用されているDHCPクライアントのためのパッチをリリースした。 Internet Software ConsortiumのDHCPクライアントであるdhclientは、サーバからの応答を受信した後、その応答をシェルスクリプトに引き渡す。 dhclientは、サーバから受信したインプットをシェルスクリプトに引き渡す前に、不適切な部分を削除できないため、攻撃者は、DHCPサーバを運用して悪意のある応答を送信し、ターゲットのマシンに任意のコードを実行できるようになってしまう。 これは、インジェクションの脆弱性の一種だ。ユーザーがコントロールするデータが、シェル・コマンドの一部として実行される際、データに挿入されたメタ文字によって、シェルがデータの一部を追加のコマンドだと解釈してしまう。 共通のメタ文字には、「&」「;」「:」「|」などがあり、これらは全てコマンドをつなげる際に用いられる。ISCは、不適切な部分を削除していないホスト名を、具体的にリストアップしている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト http://www.isc.org
ISCセキュリティ通知 https://www.isc.org/software/dhcp/advisories/cve-2011-0997
SecurityFocus Bugtraq ID http://www.securityfocus.com/bid/47176

────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。