NRI Secure SANS NewsBites 日本版

Vol.6 No.27 2011年7月6日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.27 2011年7月6日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.50-51
(原版:2011年6月24日、6月29日)

◆Anonymous団内部の紛争(2011.6.23)

Anonymous内部で何が起きているのかを詳しく描写した記事である。特に、こ の記事では、複数のアタックに参加したことを認めたが、攻撃的な戦術を使お うとするハッカーがいたために心変わりをしたオランダ人男性に焦点があてら れている。「皆がハッカーに飽き始めている」と、彼はインタビューで答えて いる。「それに、Anonymousは危険なやつらだということに皆が気づき始めて いる」と続けた。

http://online.wsj.com/article/SB10001424052702304887904576399871831156018.html

────────────────

◆欧州の銀行や企業 重大なデータ侵害の報告を義務付けられる見込み(2011.6.20-21)
欧州連合司法長官(EU Justice Commissioner)と欧州委員会副委員長 (Vice-President of European Commission)は、「金融機関と企業は、重大な データセキュリティ侵害の情報開示を強制されることになるだろう」と述べた。 欧州テレコム企業やISPには、すでに、必須の侵害通知要件が課せられている。 今回の新要件は、顧客データを保存する全ての企業が対象となる見込みだ。

http://www.h-online.com/security/news/item/EU-to-compel-banks-to-admit-serious-data-breaches-1265410.html
http://www.zdnet.co.uk/news/security-management/2011/06/21/business-must-report-data-breaches-to-public-eu-says-40093172/?s_cid=938
http://www.theregister.co.uk/2011/06/21/viviane_reding_data_breaches_mandatory_notification/
http://www.v3.co.uk/v3-uk/news/2080208/uk-firms-mandatory-breach-notification-regime

【編集者メモ1】(Pescatore)
カタルシスとしての(事後の)侵害通知で、侵害をそもそも回避する行動に対す る関心が弱まってしまうリスクが生じるのは常のこと。しかし、米国において は、CEOは悪い評判を嫌う傾向にある。そして、むろんのこと、顧客に対し、 「窃盗犯に、あなたの機密情報を盗まれちゃいました。すみません。」などと 言うのは、評判としては最悪に値する。

【編集者メモ2】(Schultz)
EUは、金融機関や企業に対し、重大なセキュリティ情報の報告を命令する可能 性があるというが、実際にそうなるかどうかは疑問である。欧州には、データ セキュリティ侵害は言うまでもなく、セキュリティインシデントに関する情報 開示を差し控えるというトレンドが、明らかに存在してきたからだ。

────────────────

◆豪州に新データ保持法(2011.6.23)
豪州の新法案では、インターネットサービスプロバイダ(ISP)やその他のテレ コム通信業者らに警察の要請に応じてデータを保持するように求めている。 この保持要請は令状なしに出すことが可能だが、当局が保持情報を閲覧するに は令状が必要だ。同法によって、豪州はサイバー犯罪に関連する欧州評議会条 約(Council of Europe Convention on Cybercrime treaty)に調印できるよ うになる。

Internet Storm Center: http://isc.sans.edu/diary.html?storyid=11074
http://www.theregister.co.uk/2011/06/23/australia_laws_fight_cybercrime/
http://www.computerworld.com.au/article/391208/challenges_remain_convention_cybercrime_framework_unisys/

────────────────

◆オランダ議会 ネットの中立性法案を承認 (2011.6.23)
オランダ議会は、携帯電話企業がVoIP通話のブロックや追加課金を行うことを 禁止する法を承認した。この法案によって、Webサイトやオンライン広告業者 らは、ユーザーのデバイスにクッキーをインストールする前に、消費者の明確 な同意を獲得するように義務付けられるようになる。同法案はこの後オランダ 第一院にて審議されるが、容易に可決されることが見込まれている。同法によっ て、オランダは、ネットの中立性法案が可決される国としては、欧州連合(EU) 加盟国初、また、世界では2番目となる。昨年チリでは、ネットの中立性法案 が可決され、先月施行された。

http://www.bbc.co.uk/news/technology-13886440
http://www.zdnet.co.uk/blogs/communication-breakdown-10000030/dutch-mps-vote-through-eus-first-net-neutrality-law-10022866/
http://www.networkworld.com/news/2011/062311-net-neutrality-dutch.html

────────────────

◆米国国土安全保障省(DHS) ソフトウェアのセキュリティ強化に取り掛かる (2011.6.27)
米国国土安全保障省(DHS)は月曜日、新しいシステムのガイダンスを発表した。 このガイダンスは、Webサイトや電力網、その他サービスを、ハッキングに影 響されにくくするために役立てられるように作成されたものだ。このシステム には、現在最も重大とされているハッキングを可能にしてしまうプログラミン グ・エラーのトップ25の最新リストもある。首位がSQLインジェクションの脆 弱性となっているこのエラーリストは、関係者によれば、サイバーアタックの 背後にある「根本的原因である問題」に対処しようという試みだという。また、 この発表では、組み込みシステムからWebアプリケーションまで、さまざまな 環境においてプログラミング・エラーを重要度ごとに格付けする方法も紹介さ れている。この取り組みでは全体として、ソフトウェア・プログラマーが、最 も危険なタイプの間違いを除去できるように手助けするだけでなく、組織が一 層安全性の高い製品を求め、購入できるようにする意図がある。プログラムを 作成する卒業生を輩出している大学や職業専門学校は、安全にプログラミング できるように、より大きな責任を担っていく必要がある。

http://www.nytimes.com/2011/06/28/technology/28secure.html
http://www.forbes.com/feeds/ap/2011/06/27/technology-us-protecting-websites_8538005.html
http://www.washingtontimes.com/news/2011/jun/28/cybersecurity-experts-warn-common-software-error/
http://www.technologyreview.com/web/37901/

【編集者メモ】(Paller)
New York Time紙からFinancial Times紙まで、また、SC Magazine誌から InformationWeek誌、NextGov誌、さらに、AP通信からロイター通信までなど、 新たに180以上の組織が、この重要な、かつ、産業自体を変えるような国土安 全保障省(DHS)の動きについてのニュースをカバーしている。これは、DHSがサ イバーセキュリティ分野で力強い技術革新を実行し、米国政府や重大なインフ ラのネットワーク、システムをサイバーアタックから保護したい場合に求めら れる組織として、ますますその能力が認められるようになった事例の一つであ る。

────────────────

◆米国最高裁 令状なしのGPS追跡の問題を検討(2011.6.27)
米国最高裁は、GPSデバイスを容疑者の車に令状なしで内密に設置する行為の 合憲性を再検討する。司法省は、この場合「人が1つの場所から他への移動す る場合、その人にプライバシーの合理的期待はない」と主張し、下級裁判所が 下した判決を覆そうとしている。下級裁判所は、この追跡方法で動きを追跡さ れたコカインの売人に対して下った有罪判決に伴う終身刑を無効にする判決を 下している。問題の判決は、米国コロンビア地区巡回控訴裁判所で下った。し かし、その他3つの巡回控訴裁判所では、GPSデバイスで車を追跡するのに令状 はいらないという判決を下している。これに関し、最高裁判所は、10月の次の 開廷期が始まるまで、判決は下さない見込みである。

http://www.wired.com/threatlevel/2011/06/warrantless-gps-monitoring-scotus/

────────────────

◆映画産業 映画の海賊版をホスティングしているサイトをブロックする取り組み (2011.6.27)
モーション・ピクチャー・アソシエーション(MPA:Motion Picture Association) は、BT社に対し、映画の海賊版をホスティングしているWebサイトへのアクセ スを切断するように強制する禁止命令を求めている。MPAは、児童ポルノサイ トを遮断する際にNewzbinをブロックするためにBT社が用いた方法と同じ技術 を使うように同社に要請している。BT社は、英国最大手のインターネットサー ビスプロバイダ(ISP)であるということや、他のISPにCleanfeedというサイト のブロッキングに用いるシステム提供をしていることから、今回の禁止命令の 対象として選ばれたようだ。MPAは、全米映画協会(MPAA: Motion Picture Association of America)の国際版に相当する団体である。

http://www.bbc.co.uk/news/technology-13927335

────────────────

◆ソニーに集団訴訟(2011.6.24)
ソニーは、今年はじめに同社のPlayStation NetworkとQriocityに受けたアタッ クについて、集団訴訟を起こされる至りとなった。この訴訟では、「ソニーは、 企業の機密情報を保護する措置はとったものの、顧客データの保護には十分な 予防措置をとっていなかった」と訴えられている。「捜査に協力している内密 証人」によれば、ソニーは、トップニュースになってしまう前にもネットワー クに比較的小さなアタックを受けていたが、PSNに常設のファイヤウォールを インストールしなかったという。ほか、この訴訟においては、ソニーがこのア タックが始まる数日前にセキュリティ関連職者を解雇したことも引き合いに出 されている。

http://www.scmagazineus.com/sony-faces-new-lawsuit-following-psn-hack/article/206106/
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年5月6日 Vol.10 No.19)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
6
Microsoft Office
2 (#1)Other Microsoft Products
3
Third Party Windows Apps
3
Cross Platform
8 (#2)Web Application - Cross Site Scripting
2
Web Application
1
Hardware
2
======================================================================
1.危険度【高】: MicrosoftのWordにメモリ崩壊の脆弱性

<影響を受ける製品>
Microsoft Office XP
Microsoft Word 2002

<詳細>
Microsoft Wordはメモリ崩壊の脆弱性に脆弱である。この問題は、アタッカー がコントロールしているアドレスをWordがポインタとして使用してしまうこと が原因で生じる。報告によれば、ターゲットを悪意のあるファイルを開くよう に誘い込めれば、アタッカーはこの脆弱性を悪用してターゲットのマシンに任 意のコードを実行できるようになるという。この脆弱性の概念実証型が一般の ために公表されている。

<現状>
ベンダーはこの問題を認めておらず、更新もリリースしていない。

<参考>
ベンダーのサイト
http://www.microsoft.com
Protek Research Lab
http://www.protekresearchlab.com/index.php?option=com_content&view=article&id=27&Itemid=27
────────────────

2.危険度【高】: Mozilla製品にさまざまな脆弱性

<影響を受ける製品>
Mozilla Firefox 4.x
Mozilla Firefox 3.6.x
Mozilla Thunderbird 3.1.x

<詳細>
Mozilla Foundationは、FirefoxブラウザやThunderbirdメールクライアントに 影響を及ぼすセキュリティの脆弱性にパッチをリリースした。Firefoxにある 問題の脆弱性には、XUL文書や、"multipart/x-mixed-replace"の MIMEタイプ の画像、Javascriptを解析するコードにあるメモリ崩壊の脆弱性などがある。 ターゲットを悪意のあるWebサイトを閲覧するように仕向けられれば、アタッ カーは、これらの脆弱性を悪用してターゲットのマシンに任意のコードを実行 できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org
Mozillaのブログの掲示
http://blog.mozilla.com/security/2011/06/16/webgl-graphics-memory-stealing-issue/
Mozillaによるセキュリティ関連の発表
http://www.mozilla.org/security/announce/2011/mfsa2011-19.html
http://www.mozilla.org/security/announce/2011/mfsa2011-20.html
http://www.mozilla.org/security/announce/2011/mfsa2011-21.html
http://www.mozilla.org/security/announce/2011/mfsa2011-22.html
http://www.mozilla.org/security/announce/2011/mfsa2011-25.html
http://www.mozilla.org/security/announce/2011/mfsa2011-26.html
http://www.mozilla.org/security/announce/2011/mfsa2011-27.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/48319
http://www.securityfocus.com/bid/48357
http://www.securityfocus.com/bid/48358
http://www.securityfocus.com/bid/48360
http://www.securityfocus.com/bid/48361
http://www.securityfocus.com/bid/48365
http://www.securityfocus.com/bid/48366
http://www.securityfocus.com/bid/48367
http://www.securityfocus.com/bid/48368
http://www.securityfocus.com/bid/48369
http://www.securityfocus.com/bid/48371
http://www.securityfocus.com/bid/48372
http://www.securityfocus.com/bid/48373
http://www.securityfocus.com/bid/48375
http://www.securityfocus.com/bid/48376
http://www.securityfocus.com/bid/48379
http://www.securityfocus.com/bid/48380
────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。