NRI Secure SANS NewsBites 日本版

Vol.6 No.20 2011年5月17日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.20 2011年5月17日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
サイバーセキュリティにおいて大変に刺激的な新しい機会が、カリフォルニア 州の大手技術企業に見出されている。同社は、IT設計者やエンジニアを採用し たが、その際、彼らには通常の職務をそのまま遂行してもらいながら、セキュ リティグループの範囲にも手を拡げて働けるように訓練を行った。こうすれば、 最初から全てのアプリケーションにセキュリティを組み込むことができる。正 確にターゲットを絞ったセキュリティゲートの構成要素に根ざした、驚くほど 有効な手法だ。このやり方は、今夏にワシントンで開催される「アプリとネッ トワークに対するセキュリティの組み込みに関するワークショップ (the Workshop on Baking Security into Application and Networks 2011)」 の目玉トピックの1つになる。本号の末尾に、ワークショップ参加に関する詳 細を掲載している。 http://www.sans.org/sansfire-2011/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.36-37
(原版:2011年5月7日、5月11日)

◆Apple iOSのアップデートで位置情報の問題に対処 (2011.5.4-5)
Appleは、iOS 4.3.3 をリリースし、iPhone、iPad、および、iPodにある位置 情報に関連している3つの欠陥に対処した。このアップデートによって、位置 情報の保存量が1週間分相当にまで減らされる。また、デバイスの同期させて もキャッシュをコンピュータにバックアップしないように、OSも変更される。 最後に、このアップデートでは、ユーザーがiOS設定の位置サービスを無効に した場合、デバイスからキャッシュを削除する。今回のアップデートは、 Appleが問題を修正する意向を示したわずか1週間後にリリースされている。 Appleは、iOSの次の大規模なアップデートで、このOSで動くデバイス上の位置 情報を暗号化する機能も含む予定だと述べている。

http://www.bbc.co.uk/news/technology-13292313
http://www.computerworld.com/s/article/9216421/Apple_releases_iOS_4.3.3_to_patch_location_bugs?taxonomyId=17
http://www.theregister.co.uk/2011/05/04/apple_updates_ios_to_addresss_location_tracking_database_cache/

────────────────

◆ボーイングの内部告発者ら 保護される権利なし(2011.5.3-4)
米国連邦控訴裁判所によれば、ボーイング社のサイバーセキュリティ措置につ いての問題を喚起する文書をシアトルの新聞社に漏えいした同社の内部監査人 2人には、内部告発者保護を受ける権利はないという。ボーイング社は、漏え いがMatthew NeumannとNicholas Tidesによるものだと突き止め、この2人を解 雇している。この2人の監査人は、「株主を不正行為から保護するSOX法 (Sarbanes-Oxley Act)によって、自分は保護されるべきだ」と主張している。 しかし、裁判所は、「同法は、監督機関に情報を提供した人間については保護 するが、メディアに情報を提供した人間を保護するわけではない」と述べてい る。

http://www.wired.com/threatlevel/2011/05/whistleblower-firings/
http://www.latimes.com/news/local/la-me-whistleblowers-20110504,0,5715520.story

────────────────

◆◆Mozilla Firefoxのプラグイン禁止を求める政府のリクエストを疑問視(2011.5.5)
Mozillaは、米国国土安全保障省(DHS)からの「MafiaaFireというFirefoxのプ ラグインの使用禁止」を求める要請を拒否した。 問題のプラグインは、米国 政府は差し押さえたドメイン名のサイトをユーザーが訪問できるようにすると いうもの。MafiaaFireは、ドメイン名押収となったサイトと同じコンテンツを 提供している、政府の手が及んでいないサイトにユーザーをリダイレクトする ようになっている。この拡張機能は差押状に違反していると政府は述べている。 これに対し、Mozillaは、この要請に従わなければならない理由の説明を求め ているが、まだ政府からの回答はない。

http://www.wired.com/threatlevel/2011/05/firefox-add-on-redirect/
http://arstechnica.com/tech-policy/news/2011/05/mozilla-resists-us-govt-request-to-nuke-mafiaafire-add-on.ars
http://www.theregister.co.uk/2011/05/05/mozilla_firefox_addon_survives/
http://www.computerworld.com/s/article/9216453/Mozilla_defies_DHS_will_not_remove_Mafiaa_Fire_add_on?taxonomyId=17

────────────────

◆支出法案の条項 中国との科学的協力を禁ず (2011.5.7)
最近可決された米国の支出法案に挿入された条項によって、ホワイトハウス・ 科学技術政策室(OSTP: Office of Science and Technology Policy)と航空宇 宙局(NASA)は、科学的な取り組みを中国と共同で行うことを禁じられることと なった。この法案に前述の文言を挿入したFrank Wolf下院議員(バージニア州 共和党)によれば、「我々の技術を巧みに利用する機会を与えたくないだけで なく、中国と手を結んでも米国が得られるものは何もない」ためだという。 Wolf議員は、この件に関して、中国に由来するサイバーアタックやデータ窃盗 がいやというほど数多く発生していることを引き合いに出している。

http://blogs.forbes.com/williampentland/2011/05/07/congress-bans-scientific-collaboration-with-china-cites-high-espionage-risks/

【編集者メモ】(Schultz)
中国の立場からは、もちろん、Wolf下院議員が言及しているようなインシデン トへの一切の関与を否定するだろう。そして、中国政府は、無数に発生してい るセキュリティ関連のインシデントへの関与についても、何か違う言い訳を考 えだすだろう。インシデントの発生源が明らかに中国だとしても……。

────────────────

◆米国政府 コンピュータからCorefloodの除去を求める (2011.5.6)
FBIは、Corefloodボットのマルウェアに感染したコンピュータを使用している ユーザーに、マシンから問題のソフトウェアを除去してよいという書面上の許 可で同意を求める可能性が高い。金銭に関わる口座に関連する特定の情報を持 ち出すZeuSとは違い、Corefloodはまず大量のデータを獲得しておいて、その 後ボットネットの背後に潜む者が獲得したデータの中から欲しいものをふるい にかけられるようにしている。Corefloodが、中東の大使館のシステムへのア クセスを許可してしまう「マスターキー」を盗み出してロシアのサーバに送っ たことが捜査で判明したため、米国政府は、Corefloodにその活動を停止させ たいと強く願っている。一方、許可付きとは言え、FBIがリモートで行おうと している行動が、ユーザーのコンピュータに何らかの影響を及ぼすのではない かという懸念もある。Corefloodは、世界中のPCおよそ230万台を侵害しており、 そのうち米国内のマシンは100万台以上を占めるという。最初にCorefloodを停 止させるために警察が使用したテクニックでは、ボットネットの指令管制サー バを警察のサーバに差し替え、Corefloodに代わって活動を停止させるメッセー ジを感染したコンピュータに送るという方法がとられた。ただ、システムを再 起動するたびに、Corefloodは活動を再開してしまうので、FBIはこのマルウェ アを完全に除去する意向だ。

http://www.csmonitor.com/USA/2011/0506/FBI-set-to-kill-secret-stealing-Russian-botnet.-Is-your-computer-infected

────────────────

◆スパイウェアは永遠に (2011.5.6)
電子フロンティア財団(EFF:Electronic Frontier Foundation)が情報公開法 (FOIA: Freedom of Information Act)に則った要請を行ってFBIから獲得した 文書によると、FBIがサイバー犯罪の証拠の収集を支援するために容疑者のコ ンピュータに設置したソフトウェアは、ターゲットのコンピュータの電源が入 れられるたびに、情報を収集するという。この文書によれば、コンピュータと IPアドレス検証ソフトウェアの使用許可を申請する法的手続は、政府関係者 にとっても不確かなままであるということが示されている。EFF所属のJennifer Lynch弁護士は、「このツールは重大な犯罪者を特定して捕える際に有用であ ることが証明されており、その観点からは有用な重要ツールではある。ただ、 FBIがこういうツールをインストールしたり、捜査完了時にツールを無力化し たりする際には、正しい権限に基づいて実施させるようにしなければならな い」と述べている。

http://www.nextgov.com/nextgov/ng_20110506_4515.php?oref=topstory

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年5月6日 Vol.10 No.19)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
4
Linux
1
Unix
1
Novell
1 (#1,#2)Cross Platform Web Application - Cross Site Scripting
3
Web Application
4
Network Device
2
======================================================================
1.危険度【高】: Mozilla製品にさまざまな脆弱性

<影響を受ける製品>
Mozilla Firefox 4.0.1以前の製品 Mozilla Firefox 3.6.17以前の製品 Mozilla Firefox 3.5.19以前の製品 Mozilla Thunderbird 3.1.10以前の製品 Mozilla SeaMonkey 2.0.14以前の製品

<詳細>
Mozillaは、同社製Firefox Webブラウザ、同社製電子メールおよびusenetクラ イアントのThunderbird、同社製インターネットアプリケーションスイートの SeaMonkeyのさまざまな脆弱性に対処するパッチをリリースした。これらの問 題として、Firefoxのブラウザ・エンジン内の詳細不明のメモリの安全性問題、 無効メモリ域を指すポインタ、Firefoxが用いるWebGLESライブラリにある2つ の問題などを含んでいる。 これらの問題のうち少なくともいくつかをアタッカーが利用すれば、ターゲッ トのマシンで任意のコードを実行できる可能性が高い。上記のWebGLについて の2つの問題、HTML5で利用可能なOpenGLへのインターフェースについては、 コードの実行に利用されるおそれがあると、Firefoxは明らかにしている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2011/mfsa2011-12.html
http://www.mozilla.org/security/announce/2011/mfsa2011-13.html
http://www.mozilla.org/security/announce/2011/mfsa2011-14.html
http://www.mozilla.org/security/announce/2011/mfsa2011-15.html
http://www.mozilla.org/security/announce/2011/mfsa2011-16.html
http://www.mozilla.org/security/announce/2011/mfsa2011-17.html
http://www.mozilla.org/security/announce/2011/mfsa2011-18.html
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/47641
http://www.securityfocus.com/bid/47646
http://www.securityfocus.com/bid/47647
http://www.securityfocus.com/bid/47648
http://www.securityfocus.com/bid/47651
http://www.securityfocus.com/bid/47653
http://www.securityfocus.com/bid/47654
http://www.securityfocus.com/bid/47655
http://www.securityfocus.com/bid/47656
http://www.securityfocus.com/bid/47657
http://www.securityfocus.com/bid/47659
http://www.securityfocus.com/bid/47660
http://www.securityfocus.com/bid/47661
http://www.securityfocus.com/bid/47662
http://www.securityfocus.com/bid/47663
http://www.securityfocus.com/bid/47666
http://www.securityfocus.com/bid/47667
http://www.securityfocus.com/bid/47668
────────────────

2.危険度【高】:Google Chromeにさまざまな脆弱性

<影響を受ける製品>
Google Chrome 11.0.696.57以前のバージョン

<詳細>
Googleは、同社製Chrome Webブラウザにあるさまざまなセキュリティ脆弱性の パッチをリリースした。この脆弱性に関する詳細情報は不足しているが、今回 のパッチは特に大きなもので、Googleで危険度が「高」とされている16の脆弱 性に対処している。危険度が「高い」とされている脆弱性は、たいてい、無効 ポインタ、バッファオーバーフロー、および、メモリ崩壊などの問題である場 合が多い。悪意のあるページを閲覧するようにターゲットを誘い込めれば、ア タッカーは、これらの脆弱性を悪用してターゲットのマシンで任意のコードを 実行できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Stable Channelのアップデート
http://googlechromereleases.blogspot.com/2011/04/chrome-stable-update.html
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/47604
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。