NRI Secure SANS NewsBites 日本版

Vol.6 No.40 2011年10月6日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.40 2011年10月6日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
すばらしい朗報:
ウォールストリートジャーナル誌のSiobhan Gorman氏は、標的型攻撃などに対 して企業や政府局が効果的に防御を行う上で役立つ事柄を強調したという点で、 他のジャーナリストよりも一歩先んじることとなった(5番目のニュースをご 覧あれ)。これが、サイバーセキュリティ分野が、問題や脆弱性を強調するだ けでなく(これだけならむしろたやすい)、それ以上を目指して、有効な解決 策の議論・比較を行うという方向に向かっていることをレポートするニュース の駆け出しとなることを願いたい。米国国務省が20の重大なコントロールを自 動化したというニュースは、その最たるものだ。
国務省の革新は、NASAやロスアラモス国立研究所のクラウドセキュリティ構想 や、たいへんクールな複数のクラウドセキュリティテスト、モバイルセキュリ ティの改善策、最良のサイバー試験場、APTリスク削減の革新と並んで、2011 年度米国サイバーセキュリティ革新アワード(the 2011 National Cybersecurity Innovation Awards)を受賞している。
10月11日から12日にかけてワシントンで開催される米国サイバーセキュリティ 革新会議では、賞を受賞した革新者らが、学んだ教訓や自分が行った手順の再 現方法を共有してくれる。 http://www.sans.org/ncic-2011/

たいへん悲しいニュース:
サイバーセキュリティのパイオニアであり、NewsBitesの編集者、エネルギー 省CIAC(コンピュータ事故調査顧問団)の創始者、セキュリティ分野の偉大な る師の1人であるGene Schultzが、金曜の午後にミネアポリス空港で激しく転 倒し、深刻な脳損傷を負ってしまった。彼のご家族が病院で付き添っている。 我々も、彼が早く元気になるように心から祈っている。
Geneの生徒や同僚、友人の方で、経過を見守りたい方は、彼のご家族が設置し たWebサイトを訪問されたい。
http://www.caringbridge.org/visit/geneschultz
(翻訳監修よりの追加情報:Dr. Eugene Schultz氏は、米国時間、10月2日に お亡くなりになりました。翻訳監修チームより哀悼の意を表します。米国版 No.79の送付の際に、Steve Northcutt および Alan Pallerよりの追悼文を掲 載予定です。)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!最新攻撃手法の詳細とインシデントハンドリングを習得!!

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
        http://sans-japan.jp/courses/sec504.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.76-77
(原版:2011年9月24日、9月28日)

◆研究者ら ブラウザのセキュリティプロトコルにある欠陥を実証(2011.9.19-21)
1組の研究者が、いたる所で使われているブラウザの暗号化プロトコルを解読 した。研究者のThai DuongtoとJuliano Rizzは、SSLに用いられる技術である TLSの1.0以前のバージョンに脆弱性を見つけた。問題の脆弱性は、SSLのバー ジョン3にもあるという。この欠陥は、Webサーバとユーザーのブラウザの間を 行き来する情報を解読する際に悪用される可能性がある。研究者らは、アルゼ ンチンのカンファレンスにて、BEAST(browser exploit against SSL/TLS)と呼 ぶツールを使って、発見事例を説明する予定だ。Operaはすでに、この欠陥の パッチをリリースしており、Googleは、最新の開発者バージョンに修正を加え ている。

http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
http://informationweek.com/news/security/vulnerabilities/231601759
http://news.cnet.com/8301-30685_3-20108633-264/researchers-to-detail-hole-in-web-encryption/
http://www.theregister.co.uk/2011/09/21/google_chrome_patch_for_beast/

【編集者メモ】(Pescatore) この脆弱性はずいぶん前から知られていたが、ブラウザで稼働するあまりに多 数のアプリを中断に追い込むことになるので、ブラウザやサーバでの修正を推 し進めるのに手間取っていた。2008年にDan KaminskyによるDNSキャッシュ・ ポイゾニングの公開が、ようやく既知のDNSの脆弱性のいくつかの修正へ結び つき、DNSSECを目指す動きが加速することとなったときと同じように、今回の 発見は、更新の推進に役立つだろう。

────────────────

◆米国上院委員会 3つのサイバーセキュリティ法案を承認

米国上院司法委員会は、データ侵害通知の国家規格を設定し、米国の重大なイ ンフラを成すコンピュータにダメージを与えた場合に厳しい懲罰を科す法案を 承認した。同委員会は、サイバーセキュリティ問題に対処できる他の2つの法 案も可決した。

http://www.bloomberg.com/news/2011-09-22/senate-panel-approves-bill-aimed-override-thwarting-computer-attacks.html
http://www.nextgov.com/nextgov/ng_20110922_3133.php?oref=topnews

────────────────

◆カリフォルニア州議会 モバイルデバイスの捜索令状を義務付ける法案を承認(2011.9.21)
カリフォルニア州議会は、逮捕された人のモバイルデバイスを捜索する前に令 状獲得を警察に義務付ける法案を可決した。これによって、警察は、対象の (携帯)電話に適正な証拠があるだろうと信ずるに相当する理由がある場合、令 状の獲得が義務付けられるようになる。同法には、同州などが、記者の非公開 メモやその他の機密・業務上の情報に対する提出命令の発行を禁ずる部分も含 まれている。知事が署名して法を成立させれば、2011年1月のカリフォルニア 州最高裁判所の判決を覆すことになる。

http://edition.cnn.com/2011/09/20/tech/mobile/california-phone-search-law/index.html

【編集者メモ】(Schultz)
モバイルデバイスについての法制定は珍しいことだ。懸案中のこの法案が可決 された場合にどのような違いを(もし違いがあればだが)目の当たりにするこ とができるのかは、興味深い。

【編集者メモ】(Murray)
これは、まさに良識を導入し、裁判所のばかげた判決を覆す法である。モバイ ルコンピューティングのデバイスに証拠が入っている可能性があると言えば確 かにそうだが、もちろん無関係な機密の個人情報も入っているだろう。警察が 相当な理由を立証している間になくなってしまうような証拠など、あるまい。

────────────────

◆令状なしの通信傍受に異議を申し立てる訴訟 進行許可される(2011.9.21)
米国第2巡回控訴裁判所は、令状なしの通信傍受を許可する連邦法の合憲性を 問う訴訟について、その進行を許可する判決を下した。原告は、市民の自由 をする団体や弁護士らで結成されており、外国諜報活動偵察2008年法(FISA: the 2008 Foreign Intelligence Surveillance Act)に異議を申し立てている。 しかし、政府側は、原告には訴訟を起こす当事者的確を欠くと主張している。

http://www.wired.com/threatlevel/2011/09/fisa-amendment-challenge/
http://www.ca2.uscourts.gov/decisions/isysquery/4f6522c7-1cdf-4a9f-b1de-10d9db18396f/1/doc/09-4112_complete_enbanc_opn.pdf

────────────────

◆米国国務省のネットワークセキュリティ ほかの大規模組織の模範となる(2011.9.26)
米国国務省は、マネージャによる問題の特定や対処が行いやすいネットワーク セキュリティに対する有益な取り組み方法を編み出した。このプログラムは、 ほかの大規模組織の模範となるほどの成功を見せている。国務省は、多国籍企 業のように、多数のオフィス、全ての時間帯にわたって、世界中のネットワー クの保護に関与している。このシステムは、セキュリティ問題に(問題の大き さに応じて)数値を割り当てる仕組みで、問題の大きさに伴って数値が大きく なるので、関係者らにとっては、注意を向けるべき事項の優先順位付け方法が わかりやすい。すでに多くの企業が、このプログラムについて国務省に問い合 わせを行っている。このプログラムは国務省CISOのJohn Streufertをはじめと する4人によって作られた。このプログラムのコードを求めるリクエストが寄 せられており、Streufertはそれを無料で提供している。もちろん、どのよう なプログラムも完璧ではなく、実際に、このプラグラムも既知の脆弱性にしか 対処していない。同プログラムは、Windowsコンピュータのみをスキャンする ようになっており、ルータやその他のネットワーク機器は対象になっていない。 しかしながら、今後これらのデバイスも対象に含める方向で、現在プログラム の拡張を行っている。国務省が行った最も素晴らしい革新と言えるのは、不適 切な設定や脆弱性がもたらすリスクを、単一の「リスク点数」という尺度で計 算することによってリスクを「貨幣化(monetization)」し、「その日に最大 限にリスク点数を減らすには、システム管理者が何をすべきかを示す形式にし て、システム管理者に毎日データを提供していることである。

http://online.wsj.com/article/SB10001424053111904353504576566802789426680.html

【編集者メモ1】(Murray)
我々のセキュリティが、ゲートにいる守衛の強さではなく、壁の強さによる機 能であるとしたら素晴らしい。

【編集者メモ2】(Paller)
HBSSやBigFix、もしくは、脆弱性管理システムのようなツールを購入したもの の、まだ共通のリスクスコアを計算して、タスクの優先順位付けデータをシス テム管理者に毎日配信するという最後の一歩に踏み切れていない連邦政府局は、 ソフトウェアへの投資を無駄にし、局をリスクに晒したままにしていることに なる。言い換えれば、彼らは、勝利目前で逆転負けを喫しているのだ。国務省 が、NSAが立証したリスク点数スコアシステムとシステム管理者用優先順位付 けツールを、ほかの政府局や世界中の企業に無料で提供していることを考えれ ば、まさに、前文が事実に反していないことがわかるだろう。

【編集者メモ3】(Honan)
このモデルを隠し立てせずにほかの組織に無料で提供してくれたStreufert氏 は、賞賛に値する。これは、開かれた有益な組織間の情報共有であり、我々全 ての情報セキュリティを進歩させるという助けとなろう。

────────────────

◆オランダ政府 9月28日にDigiNotarの証明書を廃止に

オランダ政府は、9月28日水曜日にDigiNotarの証明書を両方とも(訳注: DigiNotar PKIoverheid CA Overheid en Bedrijven (serial 01 31 69 b0)  および DigiNotar PKIoverheid CA Organisatie - G2 (serial 01 31 34 bf)) 無効とする予定だ。政府は、「侵害された証明書が悪用された証拠はないもの の、脆弱であることに変わりはない」と表明している。DigiNotarの証明書が、 man-in-the-middleアタックに使用された事例は(既に)いくつかあった。 DigiNotarは、この件に関連して破産申請を行っている。

http://www.scmagazineuk.com/dutch-government-to-revoke-diginotar-certificates-on-wednesday/article/212832/
http://www.zdnet.co.uk/blogs/communication-breakdown-10000030/dutch-government-sets-diginotar-certificate-kill-date-10024424/

────────────────

◆MySQLのWebサイト 侵害される: 訪問者にマルウェアを供給(2011.9.26)
9月26日月曜日にMy SQLのWebサイトが侵害され、マルウェアの供給に使われて いたことがわかった。問題の攻撃は、米国太平洋夏時間の午前5時に発見され、 これを受けて、サイトはその数時間後に浄化された。(問題となったのは、) Black Holeエクスプロイトキットとして知られるJavaScriptコードで、サイト の訪問者に対し、既知のブラウザ攻撃を次々と仕掛けようとするコードである。 セキュリティ関連のジャーナリスト、Brian Krebsは、同サイトへの管理アク セスが、先週ハッカーの地下市場において3,000ドルで提供されていたと言及 している。

http://www.computerworld.com/s/article/9220295/MySQL.com_hacked_to_serve_malware?taxonomyId=17
http://www.theregister.co.uk/2011/09/26/mysql_hacked/
http://krebsonsecurity.com/2011/09/mysql-com-sold-for-3k-serves-malware/

【編集者メモ】(Liston)
これで、MySQLのサイトが侵害されたのは今年で2回目になる。最初の侵害は、 SQLインジェクションの結果発生したと言われており、お馴染みの皮肉度検知 器の針を高レベル状態にした。今回の最新の攻撃の根本原因については、ま だ、明確な言及はない。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・出展のイベント     【NRIセキュア】
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○10月12日~10月14日               <東京ビッグサイト>
ITproEXPO 弊社ブースにて、ソリューションを展示&ミニセミナー講演
http://exponet.nikkeibp.co.jp/itse2011/exhibitor/itpro/ja/company/150.html
http://itpro.nikkeibp.co.jp/expo/index.html


○10月14日 14:40~15:30              <東京ビッグサイト>
eドキュメントジャパン2011内で講演
 3つの事例から見る、重要な情報資産管理のベストプラクティス
 ~法対応、制度対応、BCPの観点で~
http://expo.nikkeibp.co.jp/e-doc/2011/forum/index.html#14


○10月18日:広島・10月20日:福岡
 11月11日:仙台・11月17日:名古屋・11月18日:札幌
今後求められる、IT資産管理の新基準!!
~クラウド活用によって実現する次世代IT管理とは~ にてセッション講演
http://www.motex.co.jp/seminar/2011_asset-seminar.html


○10月27日・11月18日・12月9日             <東京 汐留本社>
メールセキュリティ対策実践セミナー
~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=57&xlinkid=21


○10月28日・11月25日・12月16日
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=57&xlinkid=22


○11月9日               <ニューヨーク The Nippon Club>
クラウド時代の情報セキュリティリスク
~クラウド利用が進む中、
    新たなリスクの対処に向けて海外オフィスは今、何をすべきか~
http://nikkeibp-america.com/NRI/


○11月16日・12月14日                 <東京 汐留本社>
事例から学ぶ特権ID・監査ログ管理実践セミナー
~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=57&xlinkid=23

※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               【NRIセキュア】
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○12月5日
セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=57&xlinkid=24


○12月6日~7日
セキュアWebアプリケーション実習:応用編(Java/JavaEE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=57&xlinkid=25
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年9月24日 Vol.10 No.39)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
4
Linux
1
Cross Platform
7 (#1,#2)Web Application - Cross Site Scripting
6
Web Application
6
Network Device
1
Hardware
2
======================================================================
1.危険度【高】:Google Chromeにさまざまなセキュリティの脆弱性

<影響を受ける製品>
Google Chrome 14.0.835.163以前のバージョン

<詳細>
Googleは、同社ChromeのWebブラウザに影響を及ぼすさまざまなセキュリティ の脆弱性にパッチをリリースした。問題の脆弱性には15の危険度「高」レート のものが含まれている。内容は、v8内蔵のオブジェクトへの予期せぬアクセス やv8オブジェクトのその他の詳細不明の問題、競合状態、イベント・ハンドリ ングや文書ローダ、フォーカスコントローラ、テーブルスタイルの処理におけ る解放済みのメモリ領域使用、スタイルシート処理における無効ポインタ、 libxml XPath処理における二重解放など。悪意のあるページを閲覧するように ターゲットを仕向けることができれば、攻撃者は、これらの脆弱性を悪用して ターゲットのマシン上で任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Stable Channel Update
http://googlechromereleases.blogspot.com/2011/09/stable-channel-update_16.html
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/49658
────────────────

2.危険度【高】:IBM Lotus Domino のスタックのバッファオーバーフロー

<影響を受ける製品>
IBM Lotus Domino 8.5.2 FP2 release以前のバージョン

<詳細>
IBMは、同社のLotus DominoのWeb管理コンソールに影響を及ぼすバッファオー バーフローの脆弱性にパッチをリリースした。Lotus Dominoは、ビジネス・コ ラボレーション用の企業向けソフトウェア製品である。WebAdmin.nsfモジュー ルへ悪意のあるリクエストを送信すれば、認証を受けた攻撃者は、この脆弱性 を悪用してターゲット上のマシンに任意のコードを実行できるようになる。こ の脆弱性のエクスプロイトコードは公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.ibm.com
IBM Lotus DominoおよびNotesの修正リスト
http://www-10.lotus.com/ldd/r5fixlist.nsf/Public/7BE022D035F58F8D8525786F007EC417?OpenDocument
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/49705/info
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。