NRI Secure SANS NewsBites 日本版

Vol.6 No.35 2011年9月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.35 2011年9月1日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
セキュリティ・エンジニアリングが全ての新システムと新アプリに必ず組み込 まれるようする最善策が、Ciscoで作成された。
これを作った設計者が、8月29日-30日にワシントン市で開催されるセキュリティ アーキテクチャ・ワークショップ(Security Architecture workshop)にて、指 導を行ってくれる。
http://www.sans.org/baking-security-applications-networks-2011/
米国国家安全保障局(NSA)が、「あなたの家のネットワークを安全化するため のベストプラクティス」という有益なガイドをリリースした。このガイドは、 自宅内のネットワークやワイヤレスの域を超え、電子メール、モバイルデバイ スを携行しての移動その他についても網羅している。コピーして同僚や貴組織 の従業員に配布する価値のあるガイドだ。NSAのBlue TeamおよびRed Teamの実 世界の知識が反映されているため、このガイドは特に有用なものに仕上がって いる。末尾ページには、参考文献としてその他5つのガイドが挙げられている。
ソーシャルネットワーキング、通りすがりのダウンロード(訳注:drive-by download=ユーザの意図していないネットからのダウンロード)に対する防御、 悪意ある電子メールの添付に対する防御、Mac OSX 10.6強化のコツ、データ実 行の阻止がそれである。これについての情報は、以下のNSAのWebサイトでご覧 いただける。
http://www.nsa.gov/ia/_files/factsheets/Best_Practices_Datasheets.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!最新攻撃手法の詳細とインシデントハンドリングを習得!!

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
        http://sans-japan.jp/courses/sec504.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.66-67
(原版:2011年8月13日、8月17日)

◆国防総省 サイバー上の脅威情報共有プログラムを拡大する見込み
(2011.8.17)
米国国防総省(DOD)は、実験的なサイバー上の脅威情報共有プログラムを近い うちに拡大していく意向である。同省は、このプログラムで90日間の実験的運 用で「数百件の侵入」を阻止できたと述べている。国防産業基盤(DIB:Defense Industrial Base)に参加している組織は20あり、その全てが国防請負業者かネッ トワークプロバイダである。このプログラムへの参加は任意であり、政府が 「民間セクターの通信を監視、傍受、もしくは、保管することはない」という。

http://www.informationweek.com/news/government/security/231500149

この構想は、2011年における8つの最も重要なサイバーセキュリティ革新の1つ である。これがサイバーセキュリティの未来モデルであることは明らかであり、 バージニア州アーリングトン(ペンタゴンの向かい側)で10月上旬に開催され る米国サイバーセキュリティ革新会議(National Cybersecurity Innovation Conference)で、(クラウドセキュリティとAPTの軽減における)他の7つの重 要な革新ともに、深い内容での報告が行われる。詳細はこちら:

http://www.sans.org/ncic-2011/

────────────────

◆「20の重大なコントロール」のバージョン3.0  リリースされる

「20の重大なコントロール(20 Critical Controls)」のバージョン3.0が本日 リリースされた。このバージョンでは、脅威をもとにした指導要綱(guidance) の情報源全3つ、すなわち、NSAと豪州の情報源、および、20CC(訳注:20CCは このTwenty Critical Controlsそのものを指していると推量される)の情報源 が1つにまとめられ、重要性の低いものよりも先に、これらの緩和策を施行す べき理由について、より強い統一見解が述べられている。

https://www.sans.org/press/20-critical-controls.php

────────────────

◆Googleの報告書に アタッカーの検知回避技術の検査結果(2011.8.18)
Googleによる新たな技術報告書は、サイト800万件にあるWebページ1億6000万 件のデータ4年分に対して行われた分析の成果である。対象データは、Google の「安全なブラウジング」(Google's Safe Browsing)構想を通じて収集され た。Googleは毎日、Safe Browsing APIをサポートしているブラウザを使用し ているユーザーに対し、マルウェアに関する警告を300万件送信している。こ の報告書によれば、「エクスプロイト配信の仕組みがますます複雑化し、回避 的になっている」という。アタッカーが広範に使用しているメソッドについて は、IPの隠蔽、ソーシャルエンジニアリング、通りすがりのダウンロードなど がある。

http://www.h-online.com/security/news/item/Google-reports-on-four-years-of-experience-in-malware-detection-1325798.html
http://www.darkreading.com/security/application-security/231500264/google-report-how-web-attackers-evade-malware-detection.html

【編集者メモ】(Northcutt)
これは、全てのセキュリティ専門職者の方に必ず読んでいただきたい読み物だ。 これをいきなり読む前に、是非、このチームが以前に発行した記事「Iframeは 全て私たちに向けられている」を先に読んで(または再読して)いただきたい。

http://research.google.com/archive/provos-2008a.pdf

────────────────

◆AESに欠陥見つかる(2011.8.18)
ベルギーのルーヴェン・カトリック大学の研究者らとMicrosoftが、AES (Advanced Encryption Standard)に弱点を発見したことを明らかにした。AES の暗号化アルゴリズムは、オンライン取引やワイヤレス・ネットワークの安全 化のために広範に用いられている。研究者らは、攻撃によって、AESの秘密鍵 は以前考えられていたスピードよりも4倍速いスピードでリカバリできると主 張しながらも、攻撃法が複雑であることから、今のところ実用的ではないとも 強調している。しかしながら、AESアルゴリズムに重大な「潜在的」欠陥が特 定されたという点では、この研究結果は重要である。とはいえ、現在、暗号関 係者のコミュニティでこの研究結果は実証されるには至っていない。

http://www.computerworld.com/s/article/9219297/AES_proved_vulnerable_by_Microsoft_researchers
http://www.net-security.org/secworld.php?id=11474
http://threatpost.com/en_us/blogs/new-attack-finds-aes-private-keys-several-times-faster-brute-force-081911

【編集者メモ1】(Murray)
AESの強みについて今までに何か主張がなされたことはないため、この件は、 鍵の発見に要する作業要素が悉皆法攻撃の5分の1であるということを、数学的 に主張しているにすぎない。これは重要な分析で、研究論文にするだけでなく、 トップニュース扱いにするに値するものであるが、この情報を使用している攻 撃は(宇宙創世の)ビッグバンから始まっていたとしても、未だ完了はしていな い筈ではある。分析者たちに賞賛を。

【編集者メモ2】(Northcutt)
ラウンド段数10段のAESに対する現実的な関連鍵攻撃法は2009年に発表されて いる。しかし、今回の手法は完全に新しいものだ。暗号化アルゴリズムに欠陥 が見つかると、研究者の多くは、それに飛びついて攻撃を改良しようとするも のだ。米国国立標準技術研究所(NIST)からの指導要綱でのラウンド段数の増加 (推奨)を期待したい。現在のところ、14段である。

http://www.schneier.com/blog/archives/2009/07/another_new_aes.html

────────────────

◆子供の個人情報収集で企業に5万ドルの罰金 (2011.8.22)
連邦取引委員会は、携帯アプリ開発企業のW3 Innovationsに対し、児童オンラ イン・プライバシー保護法(COPPA: Children's Online Privacy Protection Act)違反で5万ドルの罰金を科すこととなった。FTCは、同社が「iPhoneや iTouch用に開発された携帯アプリをダウンロードするか、もくは、それを使用 した13歳以下の子供(最多で)5万人の電子メールアドレスを、保護者の同意な しに収集していた」と申し立てている。また、FTCは、「同社は、掲示板やブ ログに個人情報を掲示することを児童に許可している一方、Webサイトにプラ イバシー・ポリシーを設けていなかった」と述べている。「FTCのCOPPAルール では、Webサイトもしくは携帯アプリのどちらを通じてでも、子供の個人情報 をオンラインで収集する場合は、保護者への告知と同意が必要である」とFTC 議長のJon Leibowitzは述べている。

http://www.infosecurity-us.com/view/20194/ftc-fines-firm-50000-for-collecting-childrens-personal-information/
http://www.bellinghamherald.com/2011/08/22/2150947/mobile-apps-developer-accused.html
http://www.scmagazineus.com/ftc-fines-childrens-app-maker-50k-for-privacy-violation/article/209707/

【編集者メモ1】(Pescatore)
FTCは、新しい政府局や法、委員会の設立など要求せずに、プライバシーおよ びセキュリティ規制の施行に邁進し続けている。米国政府監査機関(GAO)には、 これについて報告書をあげてもらい、FTCが物事を実行していく様について素 晴らしい教訓を多数紹介してほしいものだ。

【編集者メモ2】(Paller)
FTCは、産業に過剰な負荷を与えずに効果的な政府介入を行うという点では、 まさにその模範型にちがいない。しかし、GAOの報告書が役にたつだろうとい うPescatoreの言及は多分正しくない。GAOは、「FTCが各企業のセキュリティ の様相全てを観察できているわけではない」こと、「FTCは事業復旧計画の文 書に目を通していない」し、「貧弱なパスワードも見逃している」ことをきっ と報告書に書くことだろう。つまり、GAOは、セキュリティの改善に役立つプ ログラムの有効性を指摘する代わりに、愚かで的外れな欠点を見つけ出そうと する可能性が高い。

────────────────

◆ドイツの州 政府局によるFacebookの「いいね!」ボタンの使用を禁ず
(2011.8.19)
ドイツ連邦のシュレースウィヒホルシュタイン州は、同州の政府局に対し、 Facebookのファンページの使用を禁じたほか、局のWebサイトから「いいね!」 ボタンを除去するように命令した。この命令は、「Facebookのファンページと 「いいね!」ボタンの使用は個人に対する違法な調査になり、ドイツと欧州の プライバシー法に違反することを、同州のデータ保護コミッショナー(Data Protection Commissioner)が認識したために発令された。この問題は、ファン ページへの訪問についてのデータと「いいね!」ボタンの使用データが、欧州 外の米国のサーバ転送される方式と関わっている。ドイツの州政府局は、9月 末までに新要件に準拠せねばならず、できなければ罰金を科せられることにな る。Facebookは、ドイツおよびEUのプライバシー法への一切の違反を否定して いる。

http://www.zdnet.co.uk/news/compliance/2011/08/22/german-state-bans-facebook-pages-like-buttons-40093735/
http://www.pcmag.com/article2/0,2817,2391440,00.asp
http://edition.cnn.com/2011/TECH/social.media/08/19/facebook.germany.like/index.html
http://www.zdnet.com/blog/facebook/germany-facebook-like-button-violates-privacy-laws/2837

【編集者メモ】(Schultz)
近い将来、このようなニュースはありふれたものになるだろう。欧州のプライ バシー法と、ソーシャルネットワーキングへ参加する際に求められる開放性は、 直交している(訳注:互いに関連がなく他方への考慮も関係しない)

────────────────

◆英国政府 ソーシャルネットワークのプロバイダと会合の予定(2011.8.19)
最近イングランドで発生した一連の暴動や社会不安から生じたその他の行為を 受けて、英国の内務大臣は、大手ソーシャルネットワークのプロバイダに会い たいという意向を願い入れた。会合は、8月25日木曜日に行われる予定である。 暴動を組織する際、および、他の人にも暴動に加わるように扇動する際にソー シャルネットワークが使用されたことが明らかになって以来、ソーシャルネッ トワークには厳しい視線が注がれている。英国のデービッド・キャメロン首相 は、先に「市民の間に騒動が起きた場合、英国政府はソーシャルネットワーキ ングやメッセージサービスへのアクセスを制限する方法を考える」と述べて物 議を醸した。Facebookは、この問題についての議論の場となる機会として英国 政府との会合を歓迎している。設けることに好意的である。 ツイッターと、 BlackBerryのメーカーであるRIMも、参加の意を示している。 報道によれば、 BlackBerry Messenger (BBM)サービスは、今回の暴動を組織する際に広範に用 いられたという。一方、18歳のスコットランド人男性が、暴動に加わるように 他の人を煽るコメントをソーシャルネットワーキングのサイトに掲示したため に、逮捕されている。

http://www.bbc.co.uk/news/technology-14587502
http://thenextweb.com/uk/2011/08/22/confirmed-twitter-will-meet-with-the-uk-government-for-riot-talks/
http://www.bbc.co.uk/news/uk-scotland-edinburgh-east-fife-14608134

【編集者メモ】(Schultz)
このような問題は、ますますあたりまえのように聞かれるだけでなく、むしろ その重要性がどんどん増していくだろう。モバイルデバイスへのアクセスや、 デバイスで届けられるコンテンツは、言論の自由の構成要素である。けれども その一方で、このようなデバイスは、大衆を扇動する際に用いられることが多 くなってきている(時には状況を良くするが、時には悪化させもする)。

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年8月20日 Vol.10 No.34)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
1
Other Microsoft Products
1
Third Party Windows Apps
4
Linux
2
Unix
2
Cross Platform 11
(#1)Web Application - Cross Site Scripting
1
Web Application - SQL Injection
3
Web Application
1
======================================================================
1.危険度【高】:Mozilla Firefoxにさまざまな脆弱性

<影響を受ける製品>
Mozilla Firefox 6

<詳細>
Mozillaは同社製のFirefoxブラウザに影響を及ぼすさまざまな脆弱性にパッチ をリリースした。問題としては、メモリ・セーフティ・バグ (memory safety bug)、署名のないJARファイルが署名のあるファイルの呼び出しを許して身元 情報が継承されてしまう問題、WebGLのバッファオーバーフローの問題、SVGの 処理を行うコードにあるダングリング・ポインタの問題などがある。悪意のあ るページを閲覧するようにターゲットを仕向けることができれば、アタッカー は、これらの脆弱性のいくつかを悪用してターゲットのマシンに任意のコード を実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2011/mfsa2011-29.html
http://www.mozilla.org/security/announce/2011/mfsa2011-31.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-270/
http://www.zerodayinitiative.com/advisories/ZDI-11-271/
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/49166
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。

http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。