NRI Secure SANS NewsBites 日本版

Vol.6 No.22 2011年6月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.6 No.22 2011年6月1日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
400ドルの割引となるSANSFIRE 2011(ワシントンDC開催)早期申し込み特典の参 加登録の期日まではあと13日のみ。27の集中訓練1週間コースと、12程度の短 期コースが用意されている。また、SANSFIREで開催される無料のSANS@NIGHT・ プレゼンテーションでは、インターネットストームセンターのハンドラーが 「今わかったばかり」の最新情報を提供するので、他の多くのカンファレンス で開催されるお決まりのプレゼンテーションよりも優れている。

詳細はこちら: http://www.sans.org/sansfire-2011

SANSFIRE 2011(ワシントンDC開催)に早期割引申し込みをして400ドルの割引を 受けられる期限まであと8日ばかり。27の1週間集中訓練コースと、新しい短期 コースが多数用意されている。

そのほか、その他多くのカンファレンスの通常のプレゼンテーションよりも素 晴らしい内容のSANS@NIGHTの無料プレゼンテーションが、SANSFIREでは提供さ れる。このプレゼンテーションでは、インターネットストームセンターのイン シデントハンドラーが、「今わかったばかり」の最新情報を教えてくれる。

詳細はこちら: http://www.sans.org/sansfire-2011

Alan

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.40-41
   (原版:2011年5月21日、5月25日)

◆米国上院議会 スマートフォンのデータ・プライバシーに対処できる法の成立を求める(2011.5.19)
米国議会の議員らは、スマートフォンの位置情報が追跡されないようにユーザー を守る法の成立を求めている。Jay Rockefeller上院議員(ウェストヴァージ ニア州民主党)とJohn Kerry上院議員(マサチューセッツ州民主党)は、上院 商務・科学・運輸委員会・消費者保護分科委員会(Senate Commerce, Science and Transportation Committee Subcommittee on Consumer Protection)に対 し、スマートフォンの位置情報やインターネットにある個人情報に対するコン トロールを消費者に与える法が必要だと述べている。また、スマートフォンの アプリ市場も規制すべきだと言及している。なぜなら、市場の特にこのセクター は急拡大しており、消費者の多くが、自分の行動がもたらすプライバシー上の 影響を理解できていないからだという。

http://www.bloomberg.com/news/2011-05-19/google-s-davidson-defends-company-s-use-of-mobile-location-data.html
http://www.computerworld.com/s/article/9216864/Senators_New_smartphone_tracking_law_needed?taxonomyId=17

【編集者メモ】(Pescatore)
私は、実際のところは、新しい法が必要だとは思わない。こういったことの追 跡には連邦取引委員会が(FTC)が素晴らしい仕事をしている。法を増やして施 行予算を減らすよりも、FTCに割り当てる資金を増やして既存の規制の施行を 強化する方がずっといい。

────────────────

◆研究者ら 監視制御システム(SCADA)の脆弱性についてのプレゼンテーションの予定をキャンセル(2011.5.18-19)
特定の監視制御システム(SCADA)製品にある脆弱性について、プレゼンテー ションが行われる予定だったが、それはキャンセルされた。特定のSiemens製 品のプログラマブル・ロジック・コントローラにある欠陥についてのプレゼン テーションが、テキサス州でのテイクダウン・セキュリティカンファレンス (Takedown Security Conference)で5月18日(水)に行われる予定だった。し かし、Siemens社と米国の国土安全保障省(DHS)がプレゼンターに対し、 Siemens社が修正プログラムを発行するまでの間、その情報の発表を延期する ように求めたという。

http://www.wired.com/threatlevel/2011/05/siemens-scada-vulnerabilities/
http://www.computerworld.com/s/article/9216867/
http://www.theregister.co.uk/2011/05/19/scada_vuln_talk_cancelled/
http://news.cnet.com/8301-27080_3-20064112-245.html?tag=mncol;title

────────────────

◆電子監視法の更新案でクラウドのプライバシー上の懸念に対処 (2011.5.17-18)
米国上院議員Patrick Leahy(バーモント州民主党)が、電子監視法(electronic surveillance law)を改正する法案を提案している。電子通信プライバシー法 改正法(Electronic Communications Privacy Act Amendments Act)と称される この法案によって、米国警察は、第三者であるプロバイダに保存されているデー タにアクセスする前に、相当理由に基づいた令状を獲得することが義務付けら れることになる。こういった令状獲得の問題は、クラウドサービスの需要が高 まっているなか、ますます時節をとらえる争点であると言えよう。1986年に施 行された電子通信プライバシー法(ECPA: Electronic Communications Privacy Act)下では、警察は、180日間以上クラウドに存在している特定のメールやファ イルには、召喚令状によってアクセスできることになっている。しかし、今回 新たに提案された法では、警察が携帯電話のユーザーの地理位置情報を獲得し たい場合にも、令状の獲得が義務付けられるようになる。

http://www.computerworld.com/s/article/9216796/Senator_introduces_electronic_surveillance_reform_bill?taxonomyId=17
http://www.wired.com/threatlevel/2011/05/cloud-content-warrants/
http://thehill.com/blogs/hillicon-valley/technology/161903-industry-privacy-advocates-praise-digital-privacy-bill
【編集者メモ1】(Honan)
米国政府が「米国のプロバイダのシステムにあるデータにアクセスできる」力 を持っているため、米国外のCISOらには多くの懸念を引き起こしている。EU データ保護条例の要件を満たすために、米国のプロバイダは欧州クラウドなど の地域限定のクラウドを設置した。それにもかかわらず、欧州企業は、米国愛 国者法によって自社のデータにアクセスされてしまうことを恐れて、米国以外 のプロバイダを利用しようと考えている。
以下のリンクの「米国愛国者法:安全な欧州クラウドの虚像?」("ZDNET USA PATRIOT Act: The myth of a secure European cloud?")という記事を読めば、 この問題の概要がよくわかる。

http://www.zdnet.com/blog/igeneration/usa-patriot-act-the-myth-of-a-secure-european-cloud/8807

【編集者メモ2】(Schultz)
クラウドにあるデータに警察がアクセスするという問題は、既にあるクラウド のデータの機密性に関する重要な問題多数に、さらに新しく加わった問題であ る。データセキュリティの問題は、まさに、クラウドサービスに関連する1番 のセキュリティリスクである。

────────────────

◆Reitinger氏 同氏のチームならサイバーセキュリティプランを米国国土安全保障省(DHS)に導入できると確信(2011.5.19)
DHSのサイバーセキュリティ幹部のPhilip Reitinger氏は、2011年6月3日付で、 米国保護およびプログラム局(National Protection and Programs Directorate)の副次官、および、米国サイバーセキュリティセンター (National Cyber Security Center)長の役職から退く。Reitinger氏は、DHS での任期中に同局 のサイバーセキュリティ職員の増員に尽力し、職員数は3倍近くにまで増えた。 また、同氏は、文民関連の連邦政府機関におけるサイバーセキュリティの監督 権限など、DHSの権限を拡大できるサイバーセキュリティ法案の作成を支援し たという功績もあげている。Reitinger氏は、退任前に、提案されている同法 案に関する3つの公聴会で証言を行う予定だ。同氏は、自分のチームならば、 必ずプランを導入できると確信している。Reitinger氏の後任候補者の1人とし て、元空軍CIOのJohn Gilligan氏の名前があがっている。

http://thehill.com/blogs/hillicon-valley/technology/162279-top-dhs-cyber-security-official-explains-departure
http://www.nextgov.com/nextgov/ng_20110519_5961.php?oref=topnews
http://www.theatlantic.com/technology/archive/2011/05/homeland-securitys-top-cybersecurity-official-resigns/239136/
【編集者メモ】(Paller)
Gilligan氏は、DHSのサイバー分野指導者としての素晴らしいチョイスである。 コストを下げながらもセキュリティは根本的に改善できるということを示した 人物は、政府では彼のみである。厳しい予算を避けられない今後の時代には、 絶対に必要不可欠なポイントだ。Gilligan氏のような実績ある運営リーダーを 選べば、政府内部のサイバーセキュリティを重要インフラの有効なモデルにす る行動を通じて、ホワイトハウスとDHSは、サイバーセキュリティを重要視し ていることを実証できる。

────────────────

◆64-bit Windowsのルートキット またもや検知される(2011.5.23)
64-bit Windowsに感染できるルートキットが、ブラジル人ユーザーのオンライ ンバンキング用認証情報を採取していることが判明した。このマルウェアは、 Javaの古いバージョンにある脆弱性を介して、システムへ入り込む道を探し出 す。同ルートキットは、Windowsユーザーアカウント制御(Windows Users Account Control)を無効にし、偽のルート証明書(root certificate)をインス トール後に改変を施し、オンラインバンキングの顧客をフィッシングのサイト にリダイレクトするようにしてしまう。

http://www.h-online.com/security/news/item/64-bit-rootkit-spies-on-online-banking-customers-1247881.html

────────────────

◆Facebook セキュリティ機能を加える (2011.5.23)
Facebookは、口座の乗っ取りを阻止するために追加でセキュリティのレイヤー を追加した。
ユーザーは、ログイン承認(Login Approvals)という2要素認証機能にオプト インしなければならない。このログイン承認の機能を使うには、ワンタイムセ キュリティ認証コードの送信先となる携帯電話番号をFacebookに教えておく必 要がある。このコードは、ユーザーが新しいデバイスからFacebookにログイン する際に必要になるものだ。
ユーザーが安全だと指定していないデバイスからユーザーがログインしようと する度に、新しいコードの入力を求められる仕組みになっている。

http://krebsonsecurity.com/2011/05/facebook-adds-mobile-authentication/

【編集者メモ】(Shcultz)
強力な認証メソッドを導入したことは、FacebookだけでなくFacebookのユーザー コミュニティにとっても大きな前進の1歩である。

────────────────

◆判事 Righthavenによる著作権侵害訴訟で同社の法的権利を検査(2011.5.20-21)
コロラド州の連邦判事は、Righthavenが著作権侵害の疑いのある者に対して起 こした審理中の訴訟35件を続行することになった。ネバダ州ラスベガスをベー スにしているこの企業は著作権法にある抜け穴を利用して、既存の出版物を掲 示しているブログを著作権侵害で訴えるという評判を得ている。Righthavenは、 著作権保持者に代わって訴えを起こしていると主張。一方、判事は、懸案のケー スの訴訟を進める前に、Righthavenに、訴訟を起こす法的権利があるかどうか を見極めたい意向である。

http://arstechnica.com/tech-policy/news/2011/05/judge-halts-every-righthaven-case-in-colorado.ars
http://www.wired.com/threatlevel/2011/05/righthaven-brouhaha/

【編集者メモ】(Northcutt):
これは一読の価値がある記事だ。特に、あなたの組織がインターネットでアク セス可能な情報を大量に掲示・処理している場合は、深刻に受け止めた方がよ い。どうやら、登録フォーム1ページ分に必要事項を書き込み、Register of Copyrights(訳注:米国議会図書館内の米国著作権局の組織)に5ドルの出願料 を払って申請すれば、多くの厄介事を回避できるらしい。免責条項で保護され るサイトの詳細な種類については不明瞭な部分もあるが、申請登録のための費 用とその簡単さを踏まえると、申請しておく意味はある。

http://www.copyright.gov/onlinesp/list/a_agents.html

────────────────

◆Firefoxの拡張機能 ネットサーフィンの習性に関するデータを収集(2011.5.29)
広く使用されているFirefoxのアドオンが、同ブラウザを介してユーザーが訪 問しているサイト全てについて、情報を収集していることがわかった。この 「Ant Video Downloader and Player」という拡張機能は、すでに700万回以上 ダウンロードされている。 情報の追跡は、ユーザーがこのブラウザのプライ ベート・ブラウジング・モード(private browsing mode)をオンにしていて も、匿名のサービスを使用していても、稼働しているという。Mozillaの広報 によれば、同社は、実験用ではない公開の拡張機能(public extension)全てを、 条件のリストに従って検査しているという。また、Ant Video Playerは、「ラ ンキング機能を提供するために、ユーザーが訪問するWebサイトの情報を収集 しており、この通信には一意識別子(unique identifier)も含まれている」と のこと。さらに、同広報担当は、「この機能の実行は、拡張機能の説明に明記 されていなかったため、Mozillaは、この拡張機能を作成した企業に対し、説 明文を改正するように求めた」と続けた。

http://www.theregister.co.uk/2011/05/20/firefox_addon_privacy_invasion/

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年5月20日 Vol.10 No.21)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Other Microsoft Products
1
Third Party Windows Apps
5
Linux
1
Cross Platform
12 (#1,#2)Web Application - Cross Site Scripting
3
Web Application - SQL Injection
1
Web Application
2
Network Device
2
======================================================================
1.危険度【高】: Adobe Flashにさまざまな脆弱性

<影響を受ける製品>
Windows、Macintosh、LinuxおよびSolaris OS用Adobe Flash Playerの10.2.159.1までのバージョン
Chrome用Adobe Flash Playerの10.2.154.28までのバージョン
Android用Adobe Flash Player 10.2.157.51までのバージョン

<詳細>
Adobeは、Flash Playerに影響を及ぼすさまざまな脆弱性にパッチをリリース した。Adobeによれば、ちまたにあるマルウェアが脆弱性の1つ、メモリ破壊の 脆弱性を悪用しているという。悪意のあるファイルを閲覧するようにターゲッ トを誘い込めれば、アタッカーは、これらの脆弱性を悪用して任意のコードを 実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ脆弱性
http://www.adobe.com/support/security/bulletins/apsb11-12.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/47806
http://www.securityfocus.com/bid/47809
http://www.securityfocus.com/bid/47811
http://www.securityfocus.com/bid/47812
http://www.securityfocus.com/bid/47813
http://www.securityfocus.com/bid/47814
http://www.securityfocus.com/bid/47810
http://www.securityfocus.com/bid/47815

────────────────

2.危険度【高】: Google Chromeにセキュリティの脆弱性

<影響を受ける製品>
Google Chromeの11.0.696.68以前のバージョン

<詳細>
Googleは、Chromeブラウザに影響を及ぼすさまざまなセキュリティの脆弱性に パッチをリリースした。問題となっているのは、スケーラブル・ベクトル・グ ラフィックス (SVG :Scalable Vector Graphics)の処理を担うコードにある、 WebKitにある不良の型キャストと整数型オーバーフローである。 悪意のある ページをターゲットに閲覧させれば、アタッカーは、これらの脆弱性を悪用し て、ターゲットのマシンに任意のコードを実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Stable Channelのアップデート
http://googlechromereleases.blogspot.com/2011/05/stable-channel-update.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/47828
http://www.securityfocus.com/bid/47830
────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。