NRI Secure SANS NewsBites 日本版

Vol.6 No.28 2011年7月12日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.28 2011年7月12日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.52-53
(原版:2011年7月1日、7月6日)

◆米国のサイバーチャレンジキャンプ(US Cyber Challenge Camps) 今夏260人の学生を受け入れ(2011.6.30)
米国のサイバーチャレンジ(US Cyber Challenge)の一環として、米国中の大学 でサイバーキャンプが開催され、200人以上の大学生・高校生にサイバーセキュ リティのスキルを高めて磨く機会が提供されることになる。サイバーチャレン ジ開催の目的は、ハンター(hunters)やツールビルダー(tool builders)を1万 人見出し、米国のサイバーセキュリティ従事者の向上を図ることにある。学生 がブートキャンプに参加するには、招待を受けなければならず、さまざまな競 技会のスコアをもとに選ばれる。昨年は、3校が55人の学生のためにこのブー トキャンプを開催した。今年は、5つの大学で開催されるこのキャンプに260人 の学生が参加する見込みである。このうちの1つであるメリーランド州の大学 では、高校生も参加する。

http://gcn.com/Articles/2011/06/30/cybersecurity-boot-camps-Cyber-Challenge.aspx?Page=1

【編集者メモ1】(Murray)
競技会は、才能ある人物を見出す有効な手段であろう。ただ、秘密裏に仕事に 取り組まなくてはならない人間を見出する方法としては、公のプロセスはあま りよい方法とは言えない。Marcus Ranumを見出したり、スパイを特定したりす るのに競技会は必要なかった。私は、学部員や教授陣(Faculty)、指導者、 あるいは同僚、同級生などから有能者を見出す方法を好ましく思う。

【編集者メモ2】(Paller)
Bill Murrayのコメントでは、求められているサイバーハンター(cyber hunters) ・ツールビルダー(tool builders)を 1万人から3万人ほど見出す方法として、 米国サイバーチャレンジが見込みのある道筋だという2つの理由が、逆に、申 し分なく解説されている。
(1) Marcus Ranumはこの世にたった1人しか存在せず、この分野で彼と同等レ ベルのスキルを持っている人はほかにほとんどいない。したがって、彼を見出 したときに用たような成り行き任せの方法は多分、不適当である。
(2)米国の大学の96%の学部員や教授陣は、この分野の仕事のやり方を知らな い。したがって、ハンター(hunters)やツールビルダー(tool builder)として 学生が優れた人間になれるように教える方法もわからないし、有能な人間を認 識することもできない。
軍や空軍は、サイバー教育プログラムを、望まれる有能な人物を効率的に見出 して育成できるプログラムにするには、NetWars競技会が実践的かつ洗練され た方法であると発見した。公の競技会では、若い有能な人間が多数見出された し、その中には、たいへんクールな業務(cool jobs)を実地でこなしている人 もいる。そういった人も、この競技会がなければ、その仕事に就く機会はきっ となかったであろう。

【編集者メモ3】(Pescatore)
現在ある需要に不足などない。大学の情報セキュリティ学位プログラムに対し、 企業による直接的な奨学金援助が増えることを望みたい。

────────────────

◆判事談:非保護Wi-Fiネットワークからパケットをスニフィング(sniffing) したGoogleは訴えられうる立場にある(2011.6.30)
カリフォルニア州の連邦判事は、Googleがストリートビュー機能用に画像や情 報を収集する際、非保護のワイヤレスネットワークからデータパケットを収集 していたことから、同社は訴えられうる立場にあるという裁定を下した。米国 地方裁判所判事のJames Wareは、この問題でGoogleに対して起こされた多数の 訴訟の一括審理を担当している。同判事は、「裁判所は、原告が通信傍受法 (Wiretap Act)違反の申し立てを行うのに十分な事実を訴えていると認める」 と述べた。Googleは、「非保護のワイヤレスネットワークからデータを傍受す る行為は、オープンなワイヤレスネットとAM/FMラジオや警察無線との比較で 考えれば、違法ではない」と主張し、これらのケースの棄却を求めていた。
Ware判事は、「同法は、従来の(ラジオ)無線ネットワークには適用されるが、 非暗号化のワイヤレスネットワークには適用されない」と述べ、これには同意 しなかった。 また、Googleは、「この実施がドイツ当局に問題視されるまで は、パケットをスニフィングしていたことにも気付かなかった」とも主張して いる。

http://www.wired.com/threatlevel/2011/06/google-wiretap-breach/
【編集者メモ】(Pescatore)
非保護の通信の傍受がそれでもやはり「盗聴」である理由に関しては、長い歴 史がある。少なくとも、裁判所の最初の段階でこの姿勢が維持されているのを 目の当たりにできるのは喜ばしい。それに、「その行為が違法にあたるとして も、私がそのようなことを行っていたとは知らなかった」という抗弁手法が覆 されるという一般的な前例もある。

────────────────

◆Metulji 確認されたボットネットとしては最大 (2011.6.29-30)
FBIと世界中の警察が、172か国で数千万台のPCを侵害しているボットネットを 捜査しているという。このボットネットはスロベニア語で蝶という意味の 「Metulji」と称され、確認されているボットネットとしては、最大だと考え てられている。コンピュータを感染させてネットワークの一部にする際に用い られる問題のマルウェアは、Mariposaボットネットで使用されているものと同 じだ。Metuljiは、USBスティックドライブを介して感染を拡大し、PC自身がそ の存在を検知しにくい場所に潜むことができる。これは、デジタル署名を常に 変化し続けるという意味で、ポリモーフィック型である。

http://www.csmonitor.com/USA/2011/0629/Biggest-ever-criminal-botnet-links-computers-in-more-than-172-countries
http://www.scmagazineuk.com/mariposa-inspired-butterfly-botnet-reported-as-having-infected-computers-globally/article/206449/
http://www.bloomberg.com/news/2011-06-30/fbi-probes-botnet-infecting-millions-of-computers.html

【編集者メモ】(Murray)
世界最大のボットネットを作成する目的で、国境を越えて、それも、USBドラ イブを介して共有が行われたとは考えにくい。何か違う手段が使われたか、実 際には、そのボットネット自体がさほど大規模なものではないかのどちらかで あろう。

────────────────

◆米国連邦金融機関検査員会(FFIEC) 金融機関に新セキュリティガイダンスを発行 (2011.6.29)
米国連邦金融機関検査委員会(Federal Financial Institutions Examination Council) は銀行やその他の金融機関のために、オンラインのユーザーの認証 に関する新しいガイダンスを発行した。この文書では、「オンライン口座に対 して新たに進化している脅威を考慮し、定期的にリスク評価を行い、顧客認証・ 多層セキュリティ・その他のコントロールを確認されたリスクに応じて適切に 調整する」ように推奨されている。 多層セキュリティとは、「取引プロセス におけるさまざまなポイントで異なるコントロールを使用し、概して、1つの コントロールの弱点が異なるもう1つのコントロールの長所によって補われる ようにする」ことだ。推奨策としては、不正検知・監視システム、二重の顧客 認証(dual customer authorization)、アウト・オブ・バンド検証、顧客が 提出した「承認された受取人」のリストの使用などがあげられる。

http://www.digitalidnews.com/2011/06/29/ffiec-releases-banking-authentication-guidance
http://www.scmagazineus.com/ffiec-guidance-addresses-corporate-account-takeover/article/206430/
http://www.bankinfosecurity.com/podcasts.php?podcastID=1153

【編集者メモ1】(Pescatore)
この文書のほとんどの言い回しを見ると、顧客ではなく金融機関の保護を目的 としているようにとれる。昔の労働組合の歌の歌詞に「水滴が集まれば粉ひき 機が回る。一滴では回らない。一滴では回らない。」という部分がある。つま り、問題の根本原因である「再利用可能なパスワード」を除去するには。今以 上に水滴が必要なのだ。

【編集者メモ2】(Ranum)
「リスク評価」と多層セキュリティで、推移的信頼の問題を解決しようとして も、不十分だと証明されている。必要なのは、設計デザインの規律統制だが、 FFIECはそれを実行しようという意思も示していない。

【編集者メモ3】(Murray)
FFIECのおかげで自分の仕事がやりやすくなるだろうと思っているセキュリティ 専門家らは、がっかりすることになるだけだ。5つの規制団体がみな建設的な ガイダンスに同意してくれるなど、高望みしすぎなのかもしれない。ガイダン スは、正しいプラクティスを義務付けてはいないものの、プラクティス自体に は同意している我々が、PatcoやOcean Bank、Experi-Metal、Comericaのあま り役にたっていないことは明白である。新ガイダンスによって我々も動きやす くなったので、それを活用し、必ず現状のプラクティスを乗り越えて我々の理 念を最高水準に近付けなくてはならない。

【編集者メモ4】(Northcutt)
私のGmailでは2つの異なるアウトオブバンド機能でアカウントを保護している。 アンドロイド・フォンのアプリとワンタイムの「パスワード」だ。私の銀行口 座(オンラインのコンポーネントがある)は、セキュリティ上の質問として 「あなたが最初に飼ったペットの名前は?」と聞いてくる。そして、銀行の窓 口で口座開設の申し込み用紙を記入していると、「自宅に固定電話がないとは どういうことですか?携帯電話しかないのですか?」と聞かれる。前述の2つ のプロバイダのうちどちらかは現実にそぐわないことをしている。さあどちら だろうか。

────────────────

◆米国移民税関捜査局(ICE)談:米国 著作権侵害者の引き渡しを求める(2011.7.3-4)

米国は試訴にて、同国の著作権侵害法を侵害しているWebサイトを運営してい る人間であれば、他国にその人間がいても、引き渡しを求めることができるこ とを実証しようとしている。
米国移民税関捜査局(ICE: Immigration and Customs Enforcement)の副長官補 佐官(assistant deputy director)のErik Barnetは、Webサイトが米国著作権 法を侵害している場合は、サーバが米国内になくても、また、サイト自体に米 国へのリンクがなくても同サイトの運営者を追求すると述べている。ICEは、 海賊版のコンテンツへのリンクを提供しているサイトの運営者もターゲットに していく方針だ。Barnettは、「定義によれば、著作権侵害や商標侵害はほと んど全てが国を超えて追求できる問題と考えられる」と言及している。

http://www.telegraph.co.uk/technology/internet/8615253/British-website-owners-targeted-by-US-anti-piracy-officials.html
http://www.guardian.co.uk/technology/2011/jul/03/us-anti-piracy-extradition-prosecution

【編集者メモ】 (Northcutt)
試訴では、英国民であるRichard O'Dwyerがライセンスのない映画やTV番組を 提供するWebサイトを運営していることを扱っている。ICEは、「ドメイン名シ ステムが米国内で管理されているため、ICEは裁判権を持つ」と申し立てして いる。

────────────────

◆Fox News ツイッターのアカウントをハッキングされる(2011.7.4)

ハッカーが、Fox Newsのツイッターのアカウントのアクセスを獲得し、オバマ 大統領が暗殺されたという偽のニュースメッセージを複数回掲示した。自称 「The Script Kiddies」というグループが、このアタックの犯行声明を出して いるという。Fox Newsは捜査を行っており、米国シークレットサービスにイン シデントを報告した。また、Foxは、アタックが発生し得た経緯について、ツ イッターからの回答を求めている。アタッカーが正規のパスワードへのアクセ スを獲得してしまった可能性があるため、ツイッター側では警告を発する事態 に至らなかったと考えられる。

http://www.computerworld.com/s/article/9218113/Fox_Twitter_account_hacked_claims_Obama_shot_in_Iowa?taxonomyId=17
http://www.bbc.co.uk/news/technology-14012294
http://news.cnet.com/8301-30685_3-20076650-264/fox-news-reports-twitter-hack-to-secret-service/?tag=mncol;title
http://www.msnbc.msn.com/id/43631406/ns/technology_and_science-security/

────────────────

◆RSAのCSO・Eddie Schwartzのインタビュー (2011.7.1)

RSAの新任の最高セキュリティ責任者(CSO)・Eddie Schwartzが、同社のセキュ リティ上の懸念に対処するために取っている措置についてGovInfoSecurityの ジャーナリスト・Eric Chabrowと対談している。今年はじめ、RSAは、同社の SecurID 2要素認証トークン製品の種(seed)を侵害される侵害があったことを 認めている。Schwartzが重点的に取り組んでいる問題の中には、侵入者が社内 システムに検知されないまま潜める時間の短縮などがある。彼は、サイバーア タックは、「皆が直面しなければならない避けがたい現実である」と認めた。

http://www.govinfosecurity.com/podcasts.php?podcastID=1178

【編集者メモ】 (Schultz)
Eddie Schwartzの一言は正しい。彼が、「アタッカーらは、正義の味方がコミュ ニティを防御するよりも、システムのアタックにおいてはかなり熟練した手腕 を持っている。つまり、ネットワークは侵害されているという前提で行動する ことが現在必要であり、それに応じてリスク緩和の取り組みを始めるべきだ」 と言ってくれたら、もっとよかった。

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年7月1日 Vol.10 No.27)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
7 (#3)Mac Os
1 (#1)BSD Novell
1
Cross Platform
10 (#2)Web Application - SQL Injection
1
Web Application
4
Network Device
2
======================================================================
1.危険度【高】: Mac OS/X にさまざまなセキュリティの脆弱性

<影響を受ける製品>
Mac OS X 10.6.8以前のバージョン

<詳細>
Appleは、Mac OS/Xに関連のある製品に影響を及ぼすさまざまな脆弱性にパッ チをリリースした。
問題としては、Apple Type Services (ATS)、CoreFoundation、CoreGraphics、 ImageIO、Internal Components for Unicode(ICU)、QuickLook、QuickTime、 Sambaのコンポーネントにあるコード実行の脆弱性などがある。Sambaの脆弱性 を悪用するには、脆弱なサーバ上の共有(share)への接続が必要である。詳細 不明のアタック手法が多数あると考えられるCoreFoundation とICU ライブラ リの脆弱性以外の他の脆弱性は全て、アタッカーがターゲットのマシンに任意 のコードを実行するには、悪意のあるファイルを開くか、悪意のあるサイトを 閲覧するように仕向けなければならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
Appleセキュリティの更新
http://support.apple.com/kb/HT4723
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/38562
http://www.securityfocus.com/bid/39013
http://www.securityfocus.com/bid/42599
http://www.securityfocus.com/bid/42646
http://www.securityfocus.com/bid/43212
http://www.securityfocus.com/bid/43676
http://www.securityfocus.com/bid/43819
http://www.securityfocus.com/bid/44794
http://www.securityfocus.com/bid/44884
http://www.securityfocus.com/bid/45164
http://www.securityfocus.com/bid/46264
http://www.securityfocus.com/bid/46597
http://www.securityfocus.com/bid/46734
http://www.securityfocus.com/bid/46768
http://www.securityfocus.com/bid/47668
http://www.securityfocus.com/bid/48415
http://www.securityfocus.com/bid/48416
http://www.securityfocus.com/bid/48418
http://www.securityfocus.com/bid/48419
http://www.securityfocus.com/bid/48420
http://www.securityfocus.com/bid/48422
http://www.securityfocus.com/bid/48426
http://www.securityfocus.com/bid/48427
http://www.securityfocus.com/bid/48429
http://www.securityfocus.com/bid/48430
http://www.securityfocus.com/bid/48436
http://www.securityfocus.com/bid/48437
http://www.securityfocus.com/bid/48439
http://www.securityfocus.com/bid/48440
http://www.securityfocus.com/bid/48442
http://www.securityfocus.com/bid/48443
http://www.securityfocus.com/bid/48444
http://www.securityfocus.com/bid/48445
http://www.securityfocus.com/bid/48447
────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。