NRI Secure SANS NewsBites 日本版

Vol.6 No.2 2011年1月13日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.2 2011年1月13日発行
**********************************************************************
■■SANS NewsBites Vol.12 No.103 - Vol.13 No.1
(原版:2010年12月31日、2011年1月4日)

◆Apple iOSのユーザー情報の共有で告訴される (2010.12.28)
Appleは、固有のデバイスID(UDID)からの情報を広告ネットワークと共有して
いることから、2件の告訴を受けている。どちらの訴えもカリフォルニア州で
起こされており、広告ネットワークがAppleのiPhoneとiPadによって、ユーザー
の行動を追跡できるようになってしまったと訴えている。特に、これらデバイ
スのOSが、個人情報を広告業者に送信するのに使用されていると主張しており、
共有されている情報には、ユーザーがダウンロードしたアプリ、そのアプリを
使用する頻度や使用時間なども含まれているという。データはユーザーの許可
なしに広告業者と共有されているようだ。
http://technolog.msnbc.msn.com/_news/2010/12/28/5725165-apple-sued-for-sharing-users-information-with-advertisers
http://news.cnet.com/8301-13579_3-20026677-37.html?tag=mncol;title
http://www.eweek.com/c/a/Mobile-and-Wireless/Apple-Allowed-Advertisers-Access-to-iPhone-iPad-Owners-Data-Report-595599/
http://www.theregister.co.uk/2010/12/28/apple_privacy_lawsuit/
【編集者メモ】(Ranum)
情報が、広告業者と「共有されている」のではなく、彼らに「売られている」
と強調した方が有意義ではないかと私は思う。
────────────────

◆SCADAの支出予測額増加 (2010.12.27)
調査会社のFrost & Sullivanの統計によると、SCADAの市場は昨年の46億ドル
から、2016年には70億ドル近くまで成長すると見込まれている。Stuxnetの出
現で、SCADAのセキュリティについての問題が世界中でトップ記事となった。
Frost & Sullivanの報告書には、企業がSCADAのセキュリティ構築に対する支
出を予算に組み込む見込みであることが示されている。
http://www.informationweek.com/blog/main/archives/2010/12/scada_security.html

【編集者メモ】(Paller)
SCADAセキュリティの未来を形作る人間が、2月末にオーランドに集結する。ほ
とんどの主要電力公共事業や重要なサプライヤー、および水道、ガス、石油、
その他の主なSCADAユーザーが集まる予定だ。ここでは政府の講演者が、新しい
進路や改良された資源について公表する。重要インフラの安全性確保で何らか
の役割を果たしている人にとって、これはぜひとも2011年のはじめに参加すべ
きミーティングであろう。
http://www.sans.org/north-american-scada-2011/
────────────────

◆機密文書が漏えいした米国国務省のシステムに特定のセキュリティ機能の欠
如 (2010.12.31)
ウィキリークスが公開した極秘外交電報の入手元となった米国国務省のコンピュー
タシステムには、職員やその他の人間が不正にダウンロードを行った場合に
検知できる機能がなかったという。このNet-Centric Diplomacyというシステ
ムは、2001年9月11日の同時多発テロの後、政府局間で迅速に情報を共有する
必要性が出てきたために形成されたシステムだ。Net-Centric Diplomacyは適
正な手続きがあれば、政府職員や請負業者約50万人近くがシステム内の情報に
アクセスできるように国防総省(DoD)の機密インターネットプロトコル・ルー
タネットワーク(SIPRnet)に結合している。しかし、外交電報が漏洩したため、
国務省はNet-Centric Diplomacyへの外部からのアクセスを停止した。
http://www.washingtonpost.com/wp-dyn/content/article/2010/12/30/AR2010123004962_pf.html

【編集者メモ1】(Schultz)
米国政府(やその他のどこかの組織…)内での情報共有となると、まさに「共
有すれば呪われるし、共有しなければしないで呪われている」と言えよう。共
有に制限を設ければ、未承認でのデータリンクは少なくなってしまうものの、
誠実に情報を必要としている人がそれを獲得できなくなる確率が高くなってし
まう。反対に、もっと自由に情報にアクセスできるようにすると、本当に情報
を必要としている人がほしいものを獲得する可能性こそ高くなるものの、この
ような情報が悪の手に渡ってしまう可能性もまた高くなるのだ。
【編集者メモ2】(Paller)
データ漏えい保護(DLP)は、重要な必須要件の1つとして「20の重大なコントロー
ル」に定義されている。国はDLP監視をまだ導入していないが、その他の重大
なコントロールに関して言えば、連邦政府局のはるか先を行っている。今回の
経験を経て、C&A業務から継続的な監視行動へと政府局が変わっていかなくて
はならない理由だけでなく、それを総括的かつ迅速に行わなければならない理
由も強調されたわけだ。
────────────────

◆監視ソフトでゲームの海賊版を不正取引する社員を捕まえる
(2010.12.29-30)
Nationwide Insuranceの社員がコンピュータゲームの海賊版を作成、販売して
いたため、2年半の懲役に科せられることとなった。問題の社員であるQiang
Bi(通称Michael Bi)は、郵便詐欺、著作権侵害、および、加重身元詐称の罪状
を認めている。Nationwideは、最近配備した監視ソフトによって、Biの個人的
なメールアカウントから仕事用のメールアカウントに不審なスプレッドシート
が送信されてきたのを検知し、Biの違法行為の発見に至った。問題のスプレッ
ドシートには、PayPalやeBayの偽名のアカウントの詳細情報が含まれていた。
捜査を行ったところ、Biはコンピュータゲームの海賊版のコピー3万5,000点以
上(店頭販売価格で70万ドル相当)を売り上げていたことがわかった。
http://www.dispatch.com/live/content/local_news/stories/2010/12/30/nationwide-employee-sentenced-to-212-years.html?sid=101
http://cincinnati.fbi.gov/dojpressrel/pressrel10/ci122910.htm

【編集者メモ】(Schultz)
このニュースから、DLP技術の価値がわかる素晴らしい実例を再度知ることが
できる。
────────────────

◆米国国防総省(DoD)と産業界でIT専門家らを一時的に入れ替え (2011.1.3)
米国国防総省(DoD)は一時的に、同省のサイバーセキュリティ専門家と産業界
の相当職の人間と入れ替えるプログラムを試験的に運用する見込みだ。このプ
ログラムの目的は、「スキルと能力の向上」である。この人員の入れ替えに参
加する国防総省の政府局や関連役職には、国防情報システム局、国防高等研究
計画局、米海軍科学技術本部、および、国防総省の最高情報責任者などがある。
このプログラムによって、国家の安全が危険にさらされるのではないかという
懸念の声もある。この入れ替え期間は3か月から最大2年までで、参加人数は、
1度に10人までとなっている。国防総省の職員はそのまま連邦政府の職員扱い
となり、彼らの給料は政府によって支払われる。一方で、民間企業の社員はそ
の間、所属企業から給与をもらうようだ。
http://www.washingtonpost.com/wp-dyn/content/article/2010/12/30/AR2010123003292.html
http://www.infosecurity-us.com/view/14872/pentagon-industry-to-swap-cybersecurity-experts/
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃いまだけのお得なキャンペーン実施中!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
WEBからの脅威防止に役立つサービスをいまだけのお得な料金でご提供
<1>セキュアWebアプリケーション構築のためのハンズオントレーニング
<2>Webアプリケーションを安全に設計・開発するためのガイドライン
<3> PCI DSS準拠に必要なASVスキャン

詳細・お問い合わせは
http://www.nri-secure.co.jp/whats_new/2010/1210.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃近日開催予定のセミナー
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2011年1月19日<東京>・24日<名古屋>・25日<大阪>・28日<福岡>
特権ID管理・ログ管理ソリューション セミナー
http://www.nri-secure.co.jp/seminar/2011/0119.html?xmid=30&xlinkid=03

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年1月6日 Vol.10 No.1)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1 (#1)
Other Microsoft Products            1
Third Party Windows Apps            2
Linux                      2
Cross Platform                 9
Web Application - Cross Site Scripting     1
Web Application - SQL Injection         3
Web Application                 6
Network Device                 1
======================================================================
1.危険度【高】:Microsoft Internet ExplorerのCircular Memory Reference
にUse-after-freeの脆弱性

<影響のある製品>
Microsoft Internet Explorer 8.0

<詳細>
Microsoft Internet Explorerには、use-after-free(開放後試用)の脆弱性があ
る。 DOMオブジェクトの処理を行うmshtml.dllライブラリのコードが、その脆
弱性に脆弱だという。攻撃者がこの脆弱性を悪用してコードを実行するには、
Internet Explorerで悪意のあるページを閲覧するようにユーザーを仕向けな
ければならない。

<現状>
ベンダーはこの問題を認めておらず、更新もリリースしていない。

<参考>
ベンダーのサイト
http://www.microsoft.com
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45639
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。