NRI Secure SANS NewsBites 日本版

Vol.6 No.1 2011年1月5日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.1 2011年1月5日発行
**********************************************************************
■■SANS NewsBites Vol.12 No.101-102
(原版:2010年12月24日、12月28日)

◆米国のサイバーセキュリティ法案 2010年中には可決されず (2010.12.22)
米国国務省は、サイバー問題調整室を設置した。ここのコーディネーターは、
政府局のサイバーセキュリティを調整する権限を持つポストで、ヒラリー・ク
リントン国務長官の直属となる。また、米国やその他の国の政府との通信のセ
キュリティにも責任を持つこととなる。この役職の設置は、ウィキリークスが
極秘外交電報を大量に公表する前から進行中の懸案事項であった。
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=228900065&subSection=Security
http://www.govinfosecurity.com/articles.php?art_id=3185
────────────────

◆米国連邦通信委員会 ネットの中立性に関する規則を承認 (2010.12.22)
予想通り、米国連邦通信委員会(FCC)で、Julius Genachowski会長による「ネッ
トの中立性維持」の計画が、3対2で可決された。しかし、「ネットの中立性維
持」の支持者らは、ケーブルや電気通信の事業者が、インターネット通信に対
して強大な力を及ぼすようになるのではないかと懸念している。この規則では、
インターネットサービスプロバイダ(ISP)がオンラインで特定の企業が発する
顧客世帯への通信を優先させることを禁止しているほか、ブロードバンドのプ
ロバイダは、Webサイトにある合法的なコンテンツをブロックすることはでき
ないことになっている。プロバイダは、高速のデータ通信に関しては別料金で
インターネットサービスを販売してもよいとなっているものの、FCCがこのよ
うな取り決めに対し承認を出す可能性は低い。この規則でプロバイダは、自社
の通信の管理ポリシーの内容を顧客に開示するように義務付けられることとな
る。ワイヤレスネットワークに関する規則については、これよりも若干制限が
緩くなっているようだ。
http://arstechnica.com/tech-policy/news/2010/12/fcc-priority-access-deals-unlikely-to-get-past-new-open-internet-rules.ars
http://online.wsj.com/article/SB10001424052748703581204576033513990668654.html?mod=WSJ_Tech_LEADTop
────────────────

◆Stuxnet イランのウラン濃縮施設の遠心分離機1,000機を閉鎖に至らせた可
能性も (2010.12.24-27)
科学・国際セキュリティ研究所のレポートによると、Stuxnetのワームがイラ
ンのNatanzウラン濃縮施設の遠心分離機1,000機を使用不能にした可能性があ
るという。同施設には、IR-1という約10,000もの遠心分離機があった。
Stuxnetには、IR-1遠心分離機のローターの速度を変えてモーターを損傷でき
るようなコードが含まれていた。
http://www.jpost.com/Defense/Article.aspx?ID=200843&R=R1
http://www.wired.com/threatlevel/2010/12/isis-report-on-stuxnet/
────────────────

◆ドイツ 国立サイバー防衛センターを設立する見込み (2010.12.27)
ドイツの内務省は、国立サイバー防衛センターを今年設立する予定だと発表し
た。政府の広報官Stefan Parisによると、ドイツ政府は2010年上半期だけで
1,600件の攻撃を受けたという。つまり2009年に報告された攻撃件数の900件か
ら大幅に増加したことを示している。さらにParisは、検知されていない攻撃
が多数あることを認めている。ドイツ政府は、これらの攻撃の大多数は中国か
ら発信されたものだと考えているようだ。
http://uk.reuters.com/article/idUKTRE6BQ2JS20101227
http://www.google.com/hostednews/afp/article/ALeqM5hNZEw4FdQReC4SDVsk0KxGwp1png?docId=CNG.742e6f8c140c9fad9f90528e14966d4e.1c1

【編集者メモ】(Cole)
検知されていないアタックの件数が多いということは、ネットワークから出て
いく通信をより詳しく調べて、変則的なものや異常なパターンを特定するべき
である。侵入を受けているにもかかわらず、それに気がつかない組織が多いこ
とを考えると、積極的に対策を打った方がよいだろう。防止策は重要であるが、
検知はそれ以上に「必須」である。
────────────────

◆ミズーリ州のエスクロー会社 未承認の電信振替で銀行を起訴 (2010.12.26)
ミズーリ州のエスクロー会社であるChoice Escrowは、未承認の資金振替に対
して適切な予防策を講じていなかったとし、BancorpSouth Bankを起訴した。
Choice Escrowは、BancorpSouthの口座からサイバー窃盗犯によって44万ドル
を盗まれたが、銀行はその払い戻しを拒否している。同社の事業開発Jim A.
Payne部長は、州や連邦政府の議員らに対し、商用口座からの未承認の振替に
よる損失を補填できる有効なセキュリティ措置を強制的に銀行に導入させる法
案を可決するように求めている。サイバーセキュリティのブロガーである
Brian Krebsは、1か月以上前にこのストーリーを公表した。彼によると、銀行
はこのような窃盗に関し、「会社のコンピュータをマルウェアに感染させた側
に非がある」と顧客企業を責めることが多いという。これに対し、Krebsは、
「顧客のシステムはすでに悪意のあるソフトウェアに侵害されている」という
仮定において考えられていないセキュリティや認証のメカニズムには、今日の
悪意のある攻撃に打ち勝てるチャンスなどないと述べている。
http://krebsonsecurity.com/2010/11/escrow-co-sues-bank-over-440k-cyber-theft/
http://www.news-leader.com/article/20101226/BUSINESS/12260323/Hacker-blamed-for-theft

【編集者メモ1】(Schultz)
Krebsの言うとおりである。金融機関は顧客のコンピュータセキュリティにつ
いて最悪のケースを考えていなければならない。少なくとも、顧客に対するソ
フトウェアの提供、そして(または)コンピュータは侵害されていないという
高い保証を備えるサービスを提供すべきである。
【編集者メモ2】(Ranum)
「取引」を遂行する銀行に、「エンドポイント」に対する責任を負ってもらう
ことなど、普通は期待しないだろう。有効な措置には、現在広範で使用されて
いるような煩わしいタイプのものなど含まれていないのだから、銀行が「有効
なセキュリティ措置を導入する」ように法制化するのは無意味である。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃いまだけのお得なキャンペーン実施中!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
WEBからの脅威防止に役立つサービスをいまだけのお得な料金でご提供
<1>セキュアWebアプリケーション構築のためのハンズオントレーニング
<2>Webアプリケーションを安全に設計・開発するためのガイドライン
<3> PCI DSS準拠に必要なASVスキャン

詳細・お問い合わせは
http://www.nri-secure.co.jp/whats_new/2010/1210.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃近日開催予定のセミナー
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2011年1月14日(金)大阪開催
機密情報の効果的な防衛策とは~法対応等のためのベストプラクティス~
http://www.nri-secure.co.jp/seminar/2011/0114.html?xmid=30&xlinkid=02

----------------------------------------------------------------------
○2011年1月19日<東京>・24日<名古屋>・25日<大阪>・28日<福岡>
特権ID管理・ログ管理ソリューション セミナー
http://www.nri-secure.co.jp/seminar/2011/0119.html?xmid=30&xlinkid=03

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年12月23日 Vol.9 No.52)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
Third Party Windows Apps            5
Cross Platform                10 (#1)
Web Application - Cross Site Scripting     4
Web Application - SQL Injection        1
Web Application                7
======================================================================
1.危険度【高】:IBM Tivoli Storage Manager Clientに、リモートのスクリ
プト実行の脆弱性

<影響を受ける製品>
IBM Tivoli Storage Manager Client 6.2.0.0 から6.2.1.1 まで
IBM Tivoli Storage Manager Client 6.1.0.0 から6.1.3.4 まで
IBM Tivoli Storage Manager Client 5.5.0.0 から5.5.2.12 まで
IBM Tivoli Storage Manager Client 5.4.0.0 から5.4.3.3 まで
IBM Tivoli Storage Manager Client 5.3.0.0 から.3.6.7まで

<詳細>
IBMはこのほど、同社製の企業用バックアップや復元用製品のTivoli Storage
Managerに影響を及ぼすさまざまな脆弱性にパッチをリリースした。特にその
脆弱性の中の1つは、任意のスクリプトコマンドをリモートで実行するために
悪用される。Windowsのクライアントは脆弱ではなく、ターゲットが操作をし
なくとも、悪用にいたるので注意が必要だ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.ibm.com
IBM Tivoli Storage ManagerおよびLinux Clientの修正
http://www-01.ibm.com/support/docview.wss?uid=swg21454745
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45401

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。