NRI Secure SANS NewsBites 日本版

Vol.6 No.25 2011年6月21日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.25 2011年6月21日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
更新情報:
スペイン警察は今朝、Anonymousのメンバーだと思われる3人を逮捕したと発表 した。http://www.theregister.co.uk/2011/06/10/spain_anonymous_arrests/

サイバーセキュリティ関連について、今までになく、非常にたくさんの報道が あると思われないか? FOXニュースから公共テレビ番組にわたって、サイバー セキュリティは実にホットなトピックになっている。Bloomberg TVのレポータ によれば、昨日は、サイバーセキュリティ関連のニュースの方が、大統領戦線 のニュースよりも重要性では勝っていたという。この認知度の躍進的な高まり がきっかけとなり、サイバーセキュリティ分野におけるクールな仕事に興味の ある人のために、大きな機会が2つ生まれた。

1つ目は、今までの法遵守行為に基づいたセキュリティから、継続的な監視と 毎日のリスク削減業務の優先順位付けに行動パターンを移行するということだ。 この変更は、ホワイトハウスも強く推奨している。先週、連邦政府局のサイバー セキュリティ(FISMA)報告要件が大幅に変更され、今後は、継続的な監視に重 きを置いて法遵守報告業務の必要性を軽減する至りとなった。現在、継続的な 監視への移行を行っている政府局や請負企業、商業組織では、20の重大なコン トロール(Twenty Critical Controls)の継続的な監視の導入方法を知っている 人間の需要がますます高まっている。

2つ目の機会は、1つ目よりも大きなものだが、現在はその姿が表面化しつつあ るところだ。「配備した各システムやアプリケーションにセキュリティは組み 込まれているかどうか、我々は把握できているのか?」という質問が、経営上 層部やCIOらから投げかけられているが、それに対する直接の返答そのものに 2つ目の機会が示されている。この質問に権威を持って答えられる人が、サイ バーセキュリティ分野の新しいヒーローになるのだ。このような人には、セキュ リティ設計者(security architect)、セキュリティエンジニア、セキュリティ コンサルタントなどの名称があり、彼らのスキルは、大規模なレベルで全ての アプリが必ずセキュリティが内蔵された状態にできるということだ。

セキュリティが必ず内蔵される形に設計されるようにセキュリティプログラム の転換を行う仕事で、申し分のない仕事をした企業三社が、8月に開催される ワークショップを支援し、ベストプラクティスを共有してくれる。所属してい る企業や政府局において、この分野での指導的役割を担いたい方は、このプロ グラムに参加されたい。私のお気に入りは、Ciscoが、とりわけIT設計者の中 から非常に素晴らしいセキュリティ設計者を生み出したという話である。たい へん印象的だ。
https://www.sans.org/baking-security-applications-networks-2011

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.46-47
(原版:2011年6月10日、6月15日)

◆RSA 要請に応じてSecurIDトークンを交換 (2011.6.6-7)
RSA Securityは、SecurIDを利用している顧客が交換を求める場合は、トーク ンを交換すると述べている。このセキュリティ企業が、ユーザーがシステムへ のアクセスする際の認証に使用するトークンの有効性が損なわれるという侵害 の発生を認めてから3カ月ほど経過してから、この発表が行われたことになる。 RSAは、国防関連企業のLockheed Martinで発生したコンピュータネットワーク のセキュリティ侵害では、RSAで起きた3月の侵害で盗み出された情報が使用さ れていたことを認めている。

Internet Storm Center:
http://isc.sans.org/tag.html?tag=rsa
http://www.wired.com/threatlevel/2011/06/rsa-replaces-securid-tokens/
http://www.pcworld.com/businesscenter/article/229553/after_hack_rsa_offers_to_replace_secureid_tokens.html
http://www.theregister.co.uk/2011/06/06/lockheed_martin_securid_hack/

【編集者メモ1】(Schultz)
今年の年末にサイバーセキュリティ事件を振り返れば、トップ記事を飾るのは 「RSAへの侵入事件」になるだろう。この一連の侵入事件によって、米国政府 や国防関連企業のコミュニティには、言うに言われぬ懸念や混乱がもたらされ ている。その一方で、RSAは、顧客に納得してもらえるレベルへの是正取り組 みにおいて数百万ドルを失うだけでなく、起訴の集中砲火を浴びる可能性が高 い。

【編集者メモ2】(Northcutt)
正しい方向への一歩だ。RSA、ご苦労なことで……。

【編集者メモ3】(Honan)
豪州通信連絡局(Australian Defence Signals Directorate:セキュリティ政 策を定める責任を担う豪州の政府局、訳注:豪州国防省下の組織)がトークン を取り換えるよう推奨したため、同国の多くの機関がすでに交換が進行中であ る。
http://www.zdnet.com.au/dsd-tells-agencies-to-replace-rsa-tokens-339316614.htm. RSAから前述のような申し出はあったものの、トークンに関係のあるデータが 侵害されたかどうかについて、RSAは公式には認めていないことに注意された い。あなたの組織のネットワークにおいて、今回の侵害で生じたリスクに対処 できる手順の概要を以下に掲載したので参照されたい:
http://www.net-security.org/secworld.php?id=11136

────────────────

◆判事談:ACHの不正取引で生じた損失の責任 銀行にはない(2011.6.6-9)
メイン州の判事によれば、Ocean Bankには、地元企業に30万ドル以上の費用を 強いた不正な財務取引に対する責任はないという。John Rich判事は、「問題の 地元企業、Patco Construction Companyは、口座アクセス認証情報の取り扱い に一層配慮すべきだった」と述べている。ここ数年、米国の中小企業は、ACH (Automated Clearing House:訳注=米国の電子取引用ネットワーク)での不正 送金で総じて数億ドルの損失を被っている。判事は、同行のセキュリティ措置 が「最適とはいえない」ものだったことは認めたものの、「法では銀行に対し、 最善の措置の導入を義務付けてはいない。Ocean Bankに設けられている措置は、 他行に匹敵するレベルのものであった」と続けた。この決定は、勧告であり、 監督判事によって公式に採用されなければ成立しない。

http://krebsonsecurity.com/2011/06/court-passwords-secret-questions-reasonable-ebanking-security/
http://www.wired.com/threatlevel/2011/06/bank-ach-theft/
http://www.theregister.co.uk/2011/06/09/banking_trojan_victim_loses/
http://www.bankinfosecurity.com/articles.php?art_id=3705
http://krebsonsecurity.com/wp-content/uploads/2011/06/PatcoRecommendedDecision.pdf

【編集者メモ】(Paller)
この意味するところは、「銀行の多くが、サイバー上の銀行詐欺によって資金 を盗まれた個人の預金者は保護しているものの、企業に関しては保護しない動 きが拡大している」ということだ。もちろん、自宅で運営しているような小さ な企業にしても保護されない。

────────────────

◆World Ipv6 Dayで予期せぬ出来事はほとんどなし (2011.6.9)
24時間のWorld Ipv6 Dayは、当初の目的どおりのことを成し遂げることができ たようだ。その目的とは、IPv4からIPv6への移行が今後数年で行われるにあたっ て、注意の必要な部分はどこなのかを認識するということだ。
今回、400以上の企業がこの次世代基準のテストを行った。IPv6によって、現 在のIPv4プロトコルよりも大幅に広いアドレス空間が提供されるようになる。

http://www.computerworld.com/s/article/9217459/World_IPv6_Day_draws_attention_to_security_issues_with_new_protocol
http://www.networkworld.com/community/blog/world-ipv6-day-doubles-ipv6-traffic-special-microsoft-patch
http://arstechnica.com/web/news/2011/06/world-ipv6-day-went-mostly-smoothly-with-a-few-surprises.ars
http://www.eweek.com/c/a/IT-Infrastructure/World-IPv6-Day-Ends-Everyone-Goes-Back-to-IPv4-892166/

【編集者メモ1】(Ullrich)
Internet Storm Center (ISC) のWebサイトでは、IPv6接続で流入する通信が 大幅に増加した。しかしながら、他のみなさんが報告しているように、問題は 一切なかった。IPv6についての責任を担っている方は、2011年7月15日から16 日にワシントンDCで開催される「IPv6によるセキュリティの影響サミット」 (Security Impact of IPv6 Summit)に参加されてみてはいかがだろう? http://www.sans.org/ipv6-summit-2011/
【編集者メモ2】(Honan)
Arbor Networksが、他の素晴らしい情報源へのリンクとともに、この日に観察 できたことについて上質な分析を掲載している。
http://asert.arbornetworks.com/2011/06/world-ipv6-day-final-look-and-wagons-ho/
解説者のほとんどからの重要なメッセージは、「IPv6とセキュリティに関して 重大な課題に直面している」ことだ。ここで言及されているような課題をまだ 検討していない方には、今後必ず到来する変化に対して準備を始めるように強 く薦めたい。

────────────────

◆米国法案:48時間以内の侵害通知を義務付け (2011.6.13)
米国下院議員Mary Bono Mack(カリフォルニア州共和党)が提案しているデータ 侵害法案においては、企業は、データ侵害から48時間以内に警察に通知するよ うに義務付けられる。侵害事件で侵害されたデータが身分詐称詐欺に使われる 可能性がある場合、企業は連邦取引委員会に対し48時間以内にその旨を通知し、 影響があると思われる顧客に連絡をとる措置に踏み切らなければならない。こ の法案によって、企業は、必要なデータのみを収集・保存するなど、個人情報 保護ための妥当な措置をとるようにも義務付けられることになる。

http://www.reuters.com/article/2011/06/13/us-cybersecurity-congress-idUSTRE75C5UB20110613
http://www.seattlepi.com/national/politico/article/Bono-Mack-proposes-data-breach-bill-1422622.php

────────────────

◆欧州評議会 サイバー犯罪により厳格な懲罰を設けるルールを採用(2011.6.13)
欧州評議会はこのほど、欧州委員会が提案したサイバー犯罪者らにより厳しい 懲罰が課す新ルールを採用した。また、ボットネット作成用のマルウェアを開 発したり、関係ツールを販売したりする者への処罰も明確に設定される。この ルールの公式化までには、欧州議会での批准が必要である。

http://www.zdnet.co.uk/news/security-management/2011/06/13/eu-nations-give-nod-to-tougher-cybercrime-jail-terms-40093082/?tag=mncol;txt
http://www.siliconrepublic.com/strategy/item/22172-eu-agrees-to-tougher/

【編集者メモ】(Honan)
現代の脅威に立ち向かうために、EUが巧みに全加盟国に新法を確実に導入させ ようとしている。欧州評議会のサイバー犯罪協約(Council of Europe's Convention on Cybercrime)を批准しなければならない国がまだまだあること を踏まえると、このような動きを見られるのは喜ばしいことだ。

────────────────

◆スペイン警察のサイト 「Anonymous」逮捕の報復として攻撃を受ける(2011.6.10-13)
6月10日金曜日、スペイン当局は、「Anonymous」という緩やかに組織化された ハッキング集団のメンバーと思われる3人を逮捕した。同人らは、SONYネット ワークスに対するサイバー攻撃に関係していたと思われる。この逮捕の後、ス ペイン国家警察(Spanish national police force)のWebサイトが分散DoS攻撃 を受け、しばしの間オフラインとなった。この攻撃は逮捕への報復と考えられ ている。また、この攻撃に続き、トルコ当局も、Anonymousに関連があると思 われる32人を拘留した。

http://news.cnet.com/8301-30685_3-20070818-264/turkey-arrests-32-after-anonymous-web-attacks/?tag=mncol;title
http://www.nzherald.co.nz/internet/news/article.cfm?c_id=137&objectid=10731576
http://www.wired.com/threatlevel/2011/06/three-anonymous-members-arrested/
http://www.bbc.co.uk/news/technology-13727639
http://www.bbc.co.uk/news/technology-13749181

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年6月10日 Vol.10 No.24)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Cross Platform
15 (#1,#2,#3)Web Application - Cross Site Scripting
3
Web Application
1
Network Device Hardware
5
======================================================================
1.危険度【高】: Oracle Javaにさまざまなセキュリティの脆弱性

<影響を受ける製品>
Oracle Java JDK および JRE 6 Update 25までのバージョン
Oracle Java JDK 5.0 Update 29 までのバージョン
Oracle Java SDK 1.4.2_31 までのバージョン

<詳細>
Oracleは、Javaバーチャルマシンにあるさまざまな脆弱性に対処できるパッチ をリリースした。問題の脆弱性には、ICCカラープロファイルの解析を行うコー ドにある複数のバッファオーバーフロー、Java Webスタートのコマンド・イン ジェクション脆弱性などがある。

このバッファオーバーフローは、ユーザーが提供するレングスに基づいてバッ ファサイズを割り当てる際に生じるエラーが原因だが、場合によってはオーバー フローを引き起こし、結果的に十分なバッファスペースが割り当てられないこ とになる。 コマンド・インジェクションの脆弱性の方は、コマンドラインからサニタイズ していないパラメータがjavaプロセスに引き渡されることで起こるもので、ア タッカーは、任意のコードを実行できるようになる。悪意のあるサイトを閲覧 するようにターゲットを仕向けられれば、アタッカーは、現在ログインしてい るユーザーの許可でターゲットのマシン上でこの脆弱性を悪用できる

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.oracle.com
Oracleのパッチ更新アドバイザリ

Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-182
http://www.zerodayinitiative.com/advisories/ZDI-11-183
http://www.zerodayinitiative.com/advisories/ZDI-11-184
http://www.zerodayinitiative.com/advisories/ZDI-11-185
http://www.zerodayinitiative.com/advisories/ZDI-11-186
http://www.zerodayinitiative.com/advisories/ZDI-11-187
http://www.zerodayinitiative.com/advisories/ZDI-11-188
http://www.zerodayinitiative.com/advisories/ZDI-11-189
http://www.zerodayinitiative.com/advisories/ZDI-11-190
http://www.zerodayinitiative.com/advisories/ZDI-11-191
http://www.zerodayinitiative.com/advisories/ZDI-11-129
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/48133
http://www.securityfocus.com/bid/48134
http://www.securityfocus.com/bid/48135
http://www.securityfocus.com/bid/48136
http://www.securityfocus.com/bid/48137
http://www.securityfocus.com/bid/48138
http://www.securityfocus.com/bid/48139
http://www.securityfocus.com/bid/48140
http://www.securityfocus.com/bid/48141
http://www.securityfocus.com/bid/48142
http://www.securityfocus.com/bid/48143
http://www.securityfocus.com/bid/48144
http://www.securityfocus.com/bid/48145
http://www.securityfocus.com/bid/48146
http://www.securityfocus.com/bid/48147
http://www.securityfocus.com/bid/48148
http://www.securityfocus.com/bid/48149
────────────────

2.危険度【高】: Novell iPrintにさまざまな脆弱性

<影響を受ける製品>
Novell iPrint Clientの5.64以前のバージョン

<詳細>
Novellは、同社製企業用印刷環境のiPrintに影響を及ぼすさまざまなセキュリ ティ脆弱性に対処するパッチをリリースした。問題の脆弱なコードは、ユーザー が提供するデータをヒープ上の固定長のバッファにやみくもにコピーしてしま う。このコードはActiveXコントロールとしてインスタンス化できるので、ア タッカーは、悪意のあるサイトを閲覧するようにターゲットを仕向けてこの脆 弱性を悪用し、ターゲットのマシンに任意のコードを実行できるようになる。 問題のコードは、ブラウザのセキュリティコンテキストで実行され、典型的に は現在ログインしているユーザーと同一となる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.novell.com
Novell iPrintのセキュリティアドバイザリ
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=7008720
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=7008722
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=7008723
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=7008724
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=7008726
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=7008727
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=7008728
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=7008729
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=7008730
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=7008731
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-172/
http://www.zerodayinitiative.com/advisories/ZDI-11-173/
http://www.zerodayinitiative.com/advisories/ZDI-11-174/
http://www.zerodayinitiative.com/advisories/ZDI-11-175/
http://www.zerodayinitiative.com/advisories/ZDI-11-176/
http://www.zerodayinitiative.com/advisories/ZDI-11-177/
http://www.zerodayinitiative.com/advisories/ZDI-11-178/
http://www.zerodayinitiative.com/advisories/ZDI-11-179/
http://www.zerodayinitiative.com/advisories/ZDI-11-180/
http://www.zerodayinitiative.com/advisories/ZDI-11-181/
http://www.zerodayinitiative.com/advisories/ZDI-11-182/
SecurityFocus BugTraq ID
http://www.securityfocus.com/bid/48124

────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。