NRI Secure SANS NewsBites 日本版

Vol.6 No.21 2011年5月24日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.21 2011年5月24日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
ホワイトハウスの新しいサイバーセキュリティ計画(本号「ホワイトハウス  サイバーセキュリティ計画を公開」を参照されたい)は、現在ある脅威へ機敏 に対応する立法活動をスピードアップさせる。ホワイトハウスは、民主・共和 両党の目標を達成するという素晴らしい仕事を成し遂げたので、包括的な法案 が今年中に可決される可能性は高いだろう。連邦政府や業務請負組織は、これ まで、旧FISMA法のもとに紙面での報告を作成するという業務に無駄な時間と 資金を費やし、苛立ちを覚えていた。したがって、今回の新しいイニシアチブ は、連邦政府や業務請負組織にとって、特に好ましいものになるだろう

米国国土安全保障省(DHS)におけるサイバーセキュリティの指導層の交代

DHSにおけるサイバーセキュリティのトップの指導層が、いくつかの素晴らし い成果とともに2年以上の舵取りを終え、その役職から身を退くということが 間もなく発表される。これらの成功の主な要因は、サイバーセキュリティの専 門家の政府職員としての雇用を大幅に拡大したことにある。しかしながら、ま だまだやるべきことは多い。リーダーが変わるとなれば、それはオバマ政権に とって、継続的な監視や、より効果的なサイバーセキュリティ防衛を、全ての 連邦政府機関に導入し、模範を示して政府が牽引していくように、米国政府の サイバーセキュリティ・プログラムを転換する重要な機会となろう。 これが うまくいけば、重大なインフラ産業に対して、迅速かつ費用効果の高いセキュ リティの改善の手本を提供できる。しかし、DHSやホワイトハウスが、連邦政 府の主要機関でCIOとして仕えてきた人材を指名しなければ、しかるべき変化 は遂げられないのだ。そのような人物とは、大規模なリスク削減を測定可能な 方法でなしとげたサイバーセキュリティ分野でのリーダーシップを発揮できる スキルのある人材であり、政府の上級政策リーダーの信頼を得ている人でなけ ればならない。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.38-39
(原版:2011年5月14日、5月18日)

◆ホワイトハウス サイバーセキュリティ計画を公開 (2011.5.12)
オバマ政権が提案するサイバーセキュリティ計画は、個人のプライバシーや連 邦コンピュータネットワーク、および、国家の重大なインフラの保護を目指し ている。
この提案は内容として、サイバー犯罪者に対するより厳しい処罰を課すこと、 データ侵害発生時は組織には報告義務があること、連邦政府関係機関を攻撃か ら保護する責任を国土安全保障省(DHS)に委ねること、米国の重要インフラ要 素の保護を改善することなどを含んでいる。また、この計画によってサイバー インシデントが発生してしまった企業の支援を政府が行う際のガイドラインや、 ビジネス界や州政府、地方政府の間での脅威情報の共有についてのガイドライ ンも設けられることとなる。

http://content.usatoday.com/communities/theoval/post/2011/05/obama-team-unveils-new-cybersecurity-plan/1
http://www.csmonitor.com/USA/Politics/2011/0512/White-House-proposes-national-standards-for-cybersecurity
http://whitehouse.blogs.cnn.com/2011/05/12/white-house-lays-out-cyber-security-proposal/
http://www.informationweek.com/news/government/security/229500148

────────────────

◆著作権侵害対策法案で政府の権限拡大 (2011.5.12)
米国上院議会で提案されている法案で、政府の「著作権侵害活動のために設け られた」Webサイトの運営の中断や閉鎖を行う権限が拡大されることになる。 11人の上院議員が起草したこの法案、「知的財産保護法(Protect IP Act)」で、 政府には、問題となっているWebサイトを告訴し、検索エンジンが問題のサイ トを検索結果として表示することを禁ずる裁判所命令を獲得する権限が与えら れる。

http://www.wired.com/threatlevel/2011/05/protect-act/
http://news.cnet.com/8301-13578_3-20062419-38.html

────────────────

◆ICS-CERT  SCADA製品にある脆弱性を警告 (2011.5.11-12)
産業制御システム・サイバー緊急対応チーム(ICS-CERT: Industrial Control Systems Cyber Emergency Response Team)は、監視制御システム(SCADA)製品 のIconics社のGenesis32とVizBizにあるスタックオーバーフローの脆弱性を警 告するアドバイザリを発行した。問題の欠陥は、ActiveXコントロールの GenVersion.dll.にあるという。この欠陥が悪用されると、リモートのコード 実行に発展するおそれがある。

インターネットストームセンター
http://www.us-cert.gov/control_systems/pdf/ICSA-11-131-01.pdf
http://www.theregister.co.uk/2011/05/12/critical_iconics_scada_bug/
http://www.v3.co.uk/v3-uk/news/2070468/government-brings-memories-stuxnet-warning-scada-attacks
http://www.scmagazineus.com/industrial-control-systems-at-risk-ics-cert-warns/article/202673/

────────────────

◆ホワイトハウス 国際的なサイバー空間戦略を発表 (2011.5.16)
ホワイトハウスは、「サイバー空間のための国際的な戦略(International Strategy for Cyberspace)」についての原本を発表した。先週、政権は、国 内ネットワークの安全化の再構成についての提案を議会に送っている。この 「国際的な戦略」では、「米国は、我々の経済を推進し、国内外の生活向上を 促進できる革新に力を与える国際的なサイバー空間政策を追求していく意向だ」 と述べられている。「この原本の全てを通じて、我々は、米国の外交政策のみ ならず、インターネットの未来にも不可欠な理念に基づいた立場にある」こと が示されている。

http://www.nextgov.com/nextgov/ng_20110516_6382.php?oref=topstory
http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf

────────────────

◆LimeWire 全米レコード協会訴訟の和解で1億500万ドルを支払う (2011.5.13)

LimeWireとその創始者のMark Gortonは、全米レコード協会(RIAA:Recording Industry Association of America)による訴訟で和解するために500万ドルを 支払う意向だ。この訴えは、2006年8月に起こされたもので、「LimeWireは、 インターネット上での楽曲の著作権侵害の実行することを、実質的な専業とし ているものだ」と申し立てられている。2010年10月に、LimeWireは、ピアツー ピア(P2P)ファイル共有のソフトウェアの配布を停止するように判事に命令さ れている。

http://www.computerworld.com/s/article/9216679/LimeWire_agrees_to_pay_105M_to_record_labels?taxonomyId=144
http://news.cnet.com/8301-31001_3-20062418-261.html
http://www.bbc.co.uk/news/technology-13388839

────────────────

◆FBI 監視プログラムに参加しているISPを明らかにしたくない意向 (2011.5.12)
FBIは、令状がなくともユーザー情報を提供して米国警察を援助したテレコム 会社やインターネットサービスプロバイダの企業名を明かさない意向である。 理由として、その企業の顧客らが腹を立ててサービスをキャンセルしたり、訴 訟を起こしたりしかねないことが引き合いに出されている。FBI上層部の1人が 法廷宣言(court declaration)において、情報公開法(FOIA: Freedom of Information Act)に基づく米国自由人権協会(ACLU:American Civil Liberties Union)の求めによる情報提供に反論する声明を発表している。またそのFBI職 員は、企業名を明らかにするとその企業自体も憤慨するだろうと述べている。

http://www.theregister.co.uk/2011/05/12/fbi_protects_isps/
http://www.aclu.org/blog/national-security/fbi-if-we-told-you-you-might-sue-1
http://www.aclu.org/blog/national-security/fbi-if-we-told-you-part-ii
http://www.aclu.org/files/assets/2011.04.25_VAUGHNS_-_FBI_Declaration.pdf

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年5月13日 Vol.10 No.20)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
1 (#1)Microsoft Office
1
Other Microsoft Products
1
Third Party Windows Apps
3
Mac Os
1
Linux
2
Cross Platform
11 (#2)Web Application - Cross Site Scripting
3
Web Application - SQL Injection
1
Web Application
1
Network Device
1
======================================================================
1.危険度【高】:Microsoftの製品にさまざまな脆弱性

<影響を受ける製品>
Microsoft Windows Server
Avaya Messaging Application Server
Avaya Meeting Exchange
Avaya Communication Server 1000 Telephony Manager 4.0
Avaya CallPilot
Avaya Aura Conferencing
Microsoft PowerPoint
<詳細>
Microsoftは、同社製製品にあるさまざまな脆弱性を修正するパッチをリリー スした。問題のうち2つは、PowerPointアプリの処理時に引き起こされる詳細 不明な脆弱性に関わるものだ。これらの問題は、悪意のあるファイルを閲覧す るようにターゲットを誘い込めれば、コードの実行に悪用できる。3つ目の問 題には、MicrosoftのNetBIOS実装であるWindowsインターネットネームサービ ス (WINS:Windows Internet Name Service)が関係している。この脆弱性は、 悪意のあるリクエストをこのサービスに送信すれば悪用できる。攻撃に成功す れば、SYSTEMレベルの権限で任意のコードの実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/47699
http://www.securityfocus.com/bid/47700
http://www.securityfocus.com/bid/47730
Microsoft Security Bulletins
http://www.microsoft.com/technet/security/bulletin/MS11-035.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-036.mspx

────────────────

2.危険度【高】:Google Chromeにコード実行の脆弱性

<影響を受ける製品>
Google Chromeの現行バージョン

<詳細>
Vupenは、攻撃者がコード実行に悪用できる重大な欠陥が、Google Chromeにあ ることを発見した。利用できる脆弱性についての詳細はまだ明らかではないが、 VupenはDER (Data Execution Protection)とASLR(Address Space Layout Randomization)を回避することができたと述べている。DERとASLRは、どちら も緩和のための手法である。これらは、プログラマーがメモリに保存されてい るメタデータ(OSが制御しているメタデータ)を上書きできるようになってし まう実装上のエラーに由来する脆弱性において、その被害を制限できるように 設計されたものだ。DERは、データとしてマークされたメモリの直接的な実行 を阻止し、ASLRは、メモリ内の重要なメタデータの位置をランダム化するよう になっている。これらの緩和戦略によって悪用の開発は難しくなるが、Vupen が公表した最新のエクスプロイトは、さまざまな脆弱性を連携させて障壁を乗 り越えてしまう。悪意のあるサイトを閲覧するようにターゲットを誘い込めれ ば、攻撃者は、この脆弱性を悪用してターゲットのマシンに任意のコードを実 行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Vupenの脆弱性研究
http://www.vupen.com/demos/VUPEN_Pwning_Chrome.php
────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。