NRI Secure SANS NewsBites 日本版

Vol.6 No.41-42合併号 2011年10月19日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.41-42合併号 2011年10月19日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
サイバーセキュリティ分野に興味のある学生へ:

10月14日が、米国サイバーチャレンジ(US Cyber Challnege)の2011年秋・米国 高校サイバー分野才覚発掘競技会への参加申し込み締め切り日となる。30州に またがる高校109校がすでに申込を済ませ、生徒らが参戦する見込みである。 (参加校リストはこちら:
http://www.uscyberchallenge.org/competitions-camps/cyber-foundations/registration/index.cfm?do=list-schools).

Ed Skoudisは、最初の競技にために準備をしたいと考えている生徒や教師らの ために、素晴らしい指導書を作成した。SANS卒業生は、自分の州内の米国校に この競技に参加させたい生徒がいれば、SANSに代わって、その学校に100ドル から500ドルの奨学金を寄付できる。この奨学金とEdの指導書があれば、米国 内の高校であればどこであっても、学校内の生徒が競技に参加して、優秀な成 績を収める可能性が開ける。 詳細はこちら:uscyberchallenge.org.

サイバー保険は詐欺だろうか?
さきほど、大手報道機関の記者から、「サイバー保険は実効性のあるものなの か、それとも、ペテンに過ぎないのか」についての情報を求められた。
読者諸氏で、サイバー攻撃を受けたが、このような保険の保険金が支払われた おかげで組織が無傷なままで済んだという経験のある方は?
逆に、侵害が発生し、保険でカバーされると思っていたが保険金が支払われな いので損失を弁済されなかった読者は?

該当する方は、apaller@sans.org.にご一報を。許可がない限り、あなたの氏 名や所属組織名を出したりしないと約束する。
~~~~

訃報(obituary):
10月2日日曜日午後7時東部夏時間にEugene Schultz博士が亡くなった。彼の死 は、情報セキュリティのコミュニティにとって大きな損失になろう。Geneは、 1989年SANS創立時の講師の1人だった。最初のWindowsセキュリティコースを作 成したのも彼であり、私たちの多くが、同コースを受講した経験があるだろう。 メモリから取り出した人目につかぬレジストリキーを諳んじつつ微笑んでいる 彼を思い出す方もいるかもしれない。彼は、最も評価の高い講師陣らのために SANS World Tourに参加した数少ない一人である。GeneはSANSの積極的な教員 陣メンバーであり、亡くなるその時まで、MGT 512 SANSセキュリティ・リー ダーシップ・エッセンシャルで教鞭をとっていた。彼は、世界初のインシデン トレスポンス組織の一つである米国エネルギー省のCIACを興し、「6つのステッ プでのインシデント・レスポンスのプロセス」の考案にも関与していた。この プロセスは、我々が現在も使用し、指導を行っているプロセスである。
Schultz博士は、SANSセキュリティ特別功労賞を受賞したわずか3人のセキュリ ティ専門職者のうちの1人でもある。彼は、SANS college sans.eduにおいて、 情報セキュリティマネジメントの科学修士号プログラムのディレクターであっ た。我々の多くにとって友人であり、師でもあった彼の死は、哀惜に堪えない。
Steve Northcutt
Alan Paller

~~~~

本日(10/8)、SANSは、SANS Cyber Corpsというトレーニングプログラムのため のクールで新しい資料をリリースした。このプログラムは来週正式に始動する。 この革新的なプログラムは、今秋開催されるUSCC Cyber Foundation競技会に 向けて高校生や教師が準備を行う手助けになるように的が絞られており、コン ピュータネットワーキング、サイバー空間に関わる種々の最高峰の仕事に必要 な基礎知識を網羅している。高校生ではない方も、このプログラムをチェック すれば、インターネットを動かしている基本的なネットワーク技術の理解を深 めることができる。
SANS Cyber Corpsは、Tom Hessman、Mark Bagget、Ed Skoudisによって作成さ れており、生徒達の資料の理解を助けるため、これからの二週間に三回のWeb キャストセッションが含まれている。SANS Corpsに関する情報をお求めの方は、 以下のリンクをチェックされたい。
http://www.sans.org/cybercorps. 秋季USCC Cber Foundation高校生競技会についての情報についてはこちら:
go to http://www.uscyberchallenge.org.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◇◆ SANS Tokyo 2011 Autumn Security Training ◆◇◆

【SEC504】Hacker Techniques, Exploits and Incident Handling
2011年11月14日(月)~19日(土)開催

     -最新の脅威に対応できるインシデントハンドラーを養成
     -ノースロップ・グラマンのサイバー脅威アナリストが講師として来日

↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/courses/sec504.html
<11/4までのお申し込みで早期割引を適用!>
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.78-79
(原版:2011年10月1日、10月5日)

◆欧州連合 クラウドのベンダーに法的責任ルール導入(2011.9.28-29)
欧州連合(EU)は、「安全処理業者に関する義務ルール」を導入する計画である。 同規則では、データセキュリティ侵害の責任をEU内のクラウドサービスのベン ダーに負わせるようになっている。ベンダーは、適合性認定への途に合意する ことになる。消費者にとっては、自社のサービスに責任を持つ意思のある企業 と取引を行う方が、安心を覚えるだろう。このルールは、EUデータ保護指令の アップデートとなる。企業は、このルールで認可を受けるには、特定のデータ 保護基準に準じていることを実証する必要がある。現在の法では、データの紛 失の責任はデータの所有者にあるとされている。

http://www.scmagazine.com.au/News/275173,eu-cloud-vendors-liable-for-breaches.aspx
http://www.v3.co.uk/v3-uk/the-frontline-blog/2112906/eu-rules-allow-cloud-companies-legally-customer

【編集者メモ】(Murray)
悪魔は細部に宿るので、ルールを設ければ役に立つだろう。しかし、命令によっ て、もしくは、他のいかなる方法によっても、データを保護する責任を所有者 からカストディアンに移行するという考え方は、恣意的命令であれ他のいかな る方法であれ、ばからしい。データの保護に関する決定は、データの収集・使 用に関する決定とは分離していてはならない。

────────────────

◆国防総省 シングル・ウィンドウズ・イメージを基準とする方向に:ユニファイド・マスター・ゴールド・ディスク(Unified Master Gold Disk)(2011.9.29)
ユニファイド・マスター・ゴールド・ディスク(UMGD)は、2012年第1四半期に 入手可能になる予定だ。国防総省(DoD)のゴールドマスターは、(ある)サー ビス全体に及ぶという観点でのみ適用可能であったが、UMGDはそれに取って代 わることを目指すものである。米国中央軍(US CENTCOM)での新基準のテストに よって、5つの重要な利益がもたらされた。これらの利益は、基準外の設定が 行えるようになっているためにシステムの重要なネットワークが感染してしま うといった状況下では得られないものである。その5つの利益とは、以下のと おりである:
(1)ソフトウェアのインストール後、兵士がシステムを再設定する必要がない ため、システムはいち早く戦闘を開始できる。
(2)システムが、よく知られた攻撃のほとんどに持ちこたえることができるよ うに「開梱後直ちに」設定されているため、システムの安全性が大幅に高まる。
(3)システム管理者がシステムに費やさなければならない時間が大幅に減るの で、経験の浅い新兵の負担(と彼らがもたらす失策の可能性)も減る。
(4)非適合ではないかという懸念がないので、システムへのパッチ適用のスピー ドが速まり、新たな脅威に素早く対応できるようになる。
(5)標準設定のシステムには共通の動作特性があるので、相互運用が行いやす くなる。

【編集者メモ】(Paller)
UMGDの使用を利用人口全体にわたって拡大するという観点で、今回、米国中央 軍がこのような配備を行い、国防総省もリーダーシップを発揮したことから、 彼らは、2011年度米国サイバーセキュリティ革新賞を受賞した組織の一つとし て選ばれた。そして彼らは、10月11日から12日にかけてワシントンDC(URLによ るとDCらしいので追加)で開催されるワークショップにて、学んだ教訓や、そ の後の前進の様子についてプレゼンテーション行う予定だ。 http://www.sans.org/ncic-2011/

────────────────

◆議員ら 持続Cookieに関してFTCの捜査を求める(2011.9.27-28)
2人の米国国会議員が、多数のWebサイトにおける持続追跡クッキー(persistent tracking cookies)の使用について、捜査を行うように連邦取引委員会(FTC)に 求めている。別名をスーパークッキー(supercookies)というこのクッキーは、 除去が難しい。そのため、議員らは、追跡メソッドが不公正な商慣習になりう るのではないかと懸念している。問題のクッキーは、ユーザーの許可なしにイ ンストールすることができる。下院議員のJoe barton(テキサス州共和党)およ びEdward Markey(マサチューセッツ州民主党)は、「スーパークッキーを使用 すれば、自分の個人情報を消費者自身で管理できなくなってしまう」と書簡で FTC委員長のJon Leibowitzに伝えている。

http://www.computerworld.com/s/article/9220333/Lawmakers_want_investigation_of_supercookies?taxonomyId=17
http://arstechnica.com/tech-policy/news/2011/09/congressmen-blast-supercookies-as-privacy-menace.ars

【編集者】メモ(Murray)
いつものことなのだが、ここで問題となっているのはツールそのものではなく、 その使用方法である。クライアント側でステートを保存することは、クライア ント・サーバーのモデルでは、欠かすことのできない要素である。

────────────────

◆Firefoxの開発者談:「Javaを無効化すればBEASTをつぶせる可能性がある」(2011.9.29)
Mozilla社の開発者らは、SSL/TLS の欠陥の回避策として、Oracle Javaのプラ グインを無効化することを考えている。Firefoxの開発者らがこの措置を取る となると、このブラウザは多数のWebサイトと連携できなくなる。その他のブ ラウザの開発者らは、攻撃からユーザーを守るために、前述の措置よりは厳し くない措置をとっている。Chromeの開発者らは、暗号化のプロセスにランダム 要素を追加して問題に対処したが、それによって、Chromeの機能性が部分的に 損なわれることとなった。

http://www.h-online.com/security/news/item/Mozilla-considers-disabling-Java-in-Firefox-1351590.html
http://www.theregister.co.uk/2011/09/29/firefox_killing_java/

【編集者メモ1】(Liston)
BEASTのエクスプロイトは、実際には以下の2つのエクスプロイトの組み合わせ であることを理解することが大事である。
1)JavaScriptコードをSSLのストリームに挿入すること
2)ブラウザの同一生成元ポリシー(SOP)を回避するために用いられるJavaの悪 用可能な欠陥。
Mozillaは、Javaの脆弱性に注意を集中して取り組んでいるが、これは、Rizzo とDuongが選んだメソッドに過ぎない。SOPに反するようなメソッドがほかに見 つかれば、基本的な問題はまだ残っていることになる。ここで行わなくてはな らないのは、TLS 1.1/1.2の稼働に関する基本的な問題を修正することだ。

【編集者メモ2】(Murray)
今もなお、コードを実行させることこそが、たくらみ(の本質)である。 コードを実行できれば、それを悪用する方法はごまんとある。その中でも、こ の方法は、非常に進行スピードが遅い部類に入る。

────────────────

◆豪州テレコム会社 感染したPCをインターネットから切断(2011.9.30)
豪州のテレコム会社はとある顧客に対し、「あなたのコンピュータはマルウェ アに感染しており、ボットネットの一部として攻撃を仕掛ける際に用いられて いる」と再三警告を送信した後、彼女のインターネットサービスを切断する措 置をとった。同国のiCode構想を自主的に順守する取り組みの一環として、こ の匿名の会社は、同顧客のコンピュータのマルウェアが一掃されるまでの間、 「壁に囲まれた庭」のみへ彼女のアクセスを制限する決定を下した。

http://www.scmagazine.com.au/News/275219,malware-victim-loses-net-connection-to-icode.aspx

────────────────

◆500件のドメイン名 第四パンゲア作戦の一環で一時停止に(2011.9.30)
英国のドメイン名登録機関、Nominetは、偽造薬剤の販売促進という不正に関 連のある500件のドメイン名を一時停止にする措置をとった。この停止措置は、 第四パンゲア作戦(Operation Pangea IV)という国際的な取り組みの一環とし て行われ、これによって1万3,500件のWebサイトが閉鎖され、81か国にわたっ て多くの人が逮捕される結果となった。また、当局は、9月下旬に行った家宅 捜索で、偽造薬剤を押収している。米国で嫌疑がかけられているドメインが最 近差し押さえられたが、英国のドメインは差し押さえられてはいない。しかし、 Nominetがとった措置により、ドメインの所持者自身では問題を解決すること ができない。

http://www.theregister.co.uk/2011/09/30/nominet_suspends_fake_pharma_addresses/

【編集者メモ】(Murray)
ドメインの使用停止という措置は、このようなケースに対してとれる最小限の 措置でしかないように思える。警察は令状を持っていたと当然考えられる。
Nmoinetは、他者と協議しながら、契約の条件に則って行動した。これによって、 「インターネットは、もはや“開拓期の西部”ではなくなった」という立証例 が1つ増えた。関係者の皆さまに賞賛を。

────────────────

◆GAO報告書: 政府局はセキュリティ・プログラムをまだ完全に導入できていない(2011.10.3)
米国政府監査機関(GAO)の報告書によると、米国政府局24局が保持している機 密情報は、盗難や未承認アクセス、漏えいから、十分に保護されていないとい う。「連邦政府局によるセキュリティインシデントの報告件数は増えている」 が、政府各局は、十分な措置をとってセキュリティへの姿勢を改善するには至っ ていない。多くの政府局が、情報セキュリティプログラムを作成したものの、 そのプログラムをまだ完全に導入できていないというのが現状だ。

http://www.politico.com/news/stories/1011/64991.html
http://www.nationaljournal.com/tech/gao-federal-agencies-fail-on-cybersecurity-measures-20111003
http://www.gao.gov/products/GAO-12-137

【編集者メモ】(Liston)
「情報セキュリティの弱点」という言葉をGAOのWebサイトでさっと検索してみ ると、参考になると同時に苛々してしまう。毎年GAOは、米国政府の情報セキュ リティの惨状を「再」報告するはめに陥っている。いくぶん前進もしているが、 達成すべきことに対して大きく後れをとっている。GAOが毎年「催促」を出し ても、必要な推進力が生まれる様子はない。政府局を正しい方向へ動かすには 何が必要なのかを考えると、ぞっとしてしまう。

────────────────

■■SANS NewsBites Vol.13 No.80-81
(原版:2011年10月8日、10月12日)
◆ホワイトハウス ウィキリークスのような事件の発生を阻止する新ルール設置を命令

昨年、政府の機密文書数十万件がウィキリークスに漏洩されたことで、政府の コンピュータセキュリティ安全措置は、欠陥のある継ぎはぎ措置であることが 露呈したが、ホワイトハウスは、本日、大統領命令を発行し、この措置の差し 替えを命令する予定である。この命令によって、昨年11月に初めてウィキリー クスへの漏洩問題が発覚した直後に国防総省や国務省、CIAが行った多くの一 時しのぎの修正が法制化されることになる。例として、事件発生以来、軍は、 コンピュータの87%において、機密情報をUSBメモリやCD、DVDにダウンロード できないよう機能を無効化している。

http://www.nytimes.com/2011/10/07/us/politics/white-house-orders-new-computer-security-rules.html

────────────────

◆ベルギーの裁判所 The Pirate BayのURLをブロックするようにISPに命じる(2011.10.5-6)
ベルギーのアントワープ控訴裁判所は先週、ISPのBelgacomとTelenetに対し、 The Pirate Bayに関連のある複数のURLにDNSブロッキングを設けるように命令 した。この命令は、ベルギー著作権侵害対策連盟 (BAF)が訴訟を起こしたため に、発令された。BAFは現在、判決で影響を受けるISPだけでなく、全てのISP に対し、問題のサイトをブロックするように要請している。しかし、裁判所は、 ISPのユーザーがブロックを回避するか否かの監視をISPに命じてはいない。こ れに対し、The Pirate Bayは、ユーザーがブロックを回避できるように新しい ドメイン名を設けている。

http://www.pcworld.com/article/241270/pirate_bay_website_circumvents_belgian_blocking.html
http://www.theregister.co.uk/2011/10/05/belgian_piratebay_ban/

────────────────

◆米国国土安全保障省(DHS)と商務省 ボットネット対抗のためにISPらの自主 的行動規範の規定を検討(2011.10.5)
連邦公報での公示によると、国土安全保障省(DHS)と商務省は、ボットネット 撲滅の支援のために、インターネットサービスプロバイダ(ISP)のための自主 的行動規範の規定を検討しているという。分散DoSアタック(DDoS)とスパムの 大半は、ボットネットからやって来る。企業のほとんどには、コンピュータの 社用ネットワーク接続を認める場合には厳しいポリシーがあり、感染している マシンについては、他のマシンを感染させてしまうので、接続できないように している。しかしながら、商用ISPは、同じような制約事項を設けると収入の 流れが妨げられてしまうので、その設置には気が進まないようだ。

http://www.federalnewsradio.com/?nid=86&sid=2578791
【編集者メモ】(Pescatore)
これは、正しい方向への第一歩である。ネットワークの中立性維持についての つぶやきが言うに言えない状況にあるために、回線上にある明らかに悪いもの を、ユーザー自身が濾過して取り除いてくれることが期待できず、それを実際 に取り除こうとするような進展に歯止めがかかっていた。水道会社が、飲み水 から汚物を濾過して取り除くことができなかった場合にどうなるかを想像する と……。

【編集者メモ2】(Murray)
ISPの行動を統制すべき「規範」は、(ISPの)顧客との合意そのものであるべ きだ。米国の政府局は、このような合意のお手本を示唆しているのかもしれな いが、これらの合意事項を、先手を打って検討できるのは議会のみであるはず だ。このようなものよりも、完全性と透明性の均衡が保たれている合意を設け る方がよいと私は思う。もちろん、独立系ISPの数が今後減少し続けるとなる と、規制という手段に頼るようになることは想像できる。

【編集者メモ】(Paller)
簡単にできるテストがある。自主的な行動を行うことで、初年度にボットの数 が15%減り、2年目に50%減ったならば、この自主規範を継続すべきである。そ うならないようなら、ほかの公共への危険と同じようにボットを扱い、感染を 拡大しているコンピュータについては、インターネットへのアクセスをブロッ クするという規制の必要がある。ボットの数を把握するために必要とされる監 視をオートメーション化できる立場にあるのは、米国連邦通信委員会(FCC)の みだ。彼らが行動を起こせば、この問題は少なくとも監視はされるようになる。 問題の状態を測定できなければ、修正できないのだ。

────────────────

◆米国国家安全保障局(NSA)と中央情報局(CIA)の元長官、公衆通信網を監視すべきと表明(2011.10.4)
米国国家安全保障局(NSA)と、中央情報局(CIA)の元長官、Michael Haydenは、 下院情報委員会(the House Intelligence Committee)に対し、「公衆通信回線 網を攻撃から守るために監視する許可をNSAに与えるべきだ」と述べた。 Haydenは、NSAに公衆通信回線網の監視を許可することに、議員らには「当然 にして政治・文化的なアレルギーがある」可能性があると認めた上で、それで も市民の自由を侵害せずに公衆通信回線網をNSAが監視する手段はあると述べ た。更に、Haydenは、米国のネットワークが外国から受けているサイバー上の 脅威の深刻な実態と底深さに気付いていない人もいると言及している。

http://www.wired.com/threatlevel/2011/10/hayden-wants-nsa-on-networks/

【編集者メモ1】(Pescatore)
我々は、諜報機関や国防機関に国内の問題に関わることを許可すると、必ず、 利益よりも問題の方が多く発生するということを過去に学習した。これは、イ ンターネットのセキュリティの増強にはならず、むしろ、米国でインターネッ ト事業を行う価値が希薄化してしまうだろうという考えである。つまり、世界 的な観点で見て、米国に事業環境を設けるということが中国でそれを行うこと にますます似てきてしまうことになり、それは、芳しいことではない。

【編集者メモ2】(Honan)
米国愛国者法によって、米国外の企業に、企業データの機密性について多くの 懸念が持ち上がっている。この推奨策が導入されれば、米国外の企業の多くが、 インターネットをベースにしたサービスに米国企業を使わないようになること は目に見えている。

【編集者メモ3】(Northcutt)
何たる一週間だ……。ノースカロライナ州知事のBev Purdueは、選挙の中止を 提案するわ、ニューヨーク州の上院議員らは言論の自由は「権利」ではなく 「特権だ」と主張するわ、さらには、NSAは、市民の自由を侵害しないまま公 共通信回線網を監視したいと来ている。どの時点で、「民主主義がストレスを 受けていると懸念すればよいのだろうか?

http://news.yahoo.com/blogs/ticket/north-carolina-gov-bev-perdue-talks-suspending-elections-160323133.html
http://www.dailytech.com/New+York+Democrats+Argue+Free+Speech+is+a+Privilege+That+Can+be+Revoked/article22929.htm

────────────────

◆米国陸軍の無人航空機のコックピット・コンピュータ、マルウェアに感染(2011.10.7)
米国のPredator/Reaper無人航空機のコックピット・コンピュータが、マルウェ アに感染した。この感染は、数週間前にはじめに検知されたが、問題の無人航 空機による海外での任務はそのまま継続して遂行されている。 ネバダ州のク リーチ空軍基地において、何度かコンピュータからマルウェアを除去しようと 試みたが、今のところ、成功していないという。問題のマルウェアにはキース トローク・ロギング機能があり、機密、および、非機密双方のコンピュータに 感染が広がっている。
無人航空機は、近年の戦争で、偵察や攻撃任務に用いられてきている。この種 の航空機にデータセキュリティの問題があると報告されたのは、今回が初めて ではない。現在使用されている無人航空機の多くは、機から送信する動画を暗 号化していない。2年前には、無人航空機が撮影した長時間の映像が、イラク 人の武装勢力が所有しているノートパソコンで発見されたことがあった。

http://www.wired.com/dangerroom/2011/10/virus-hits-drone-fleet

────────────────

◆アメックスのサイトでデータ漏えい(2011.10.7)
アメリカンエキスプレスのWebサイトにクロスサイト・スクリプティングの脆 弱性が検知され、その脆弱性によって、顧客のログインデータが漏えいした。 漏えいデータを用いれば、フィッシングアタックが実行できる。問題の欠陥は、 インターネットでアクセス可能なデバッグ機能に存在している。この問題を発 見した研究者は、アメリカンエキスプレスのホームページにはセキュリティ問 題について同社に連絡できる連絡先情報が掲載されていなかったので、問題を 報告しなかったという。アメリカンエキスプレスは、問題があったと思われる ページを除去し、顧客情報は危険に晒されていないと発表した。

http://www.h-online.com/security/news/item/Developer-function-enables-phishing-at-American-Express-1356513.html
http://www.theregister.co.uk/2011/10/07/amex_website_security_snafu/

【編集者メモ】(Liston)
これは、私の心に近しいものとして響いてくる問題である。インターネットに 存在があり、その存在におかしな状態が生じる事態が発生した際には、誰かが あなたに連絡をとろうとした場合に連絡に使える手段を提供する義務がある。 連絡先を隠してはならない。あなたに連絡をとろうとしている人を苦労させて はならない。言いかえれば、あなたのサイト/サーバ/システムの完全性を維持 する義務はあなたにあり、あなたを支援しようとしている人にあるわけではな い。私は、とあるセキュリティ問題について、50以上の組織に連絡をとろうと いう試みをたった今終了したところだが、恐ろしく時間がかかり、気が滅入っ てしまった。私が送ったメールが、実際に誰かに読まれる可能性は、あったと してもほとんどないと確信している。レンガとモルタルでできた(通常の)店 先に火がついていれば、誰かしらにあなたに声をかけるだろう。しかし、その 店先が「バーチャル」なものであった場合に同じことが言えるだろうか?

────────────────

◆カリフォルニア州知事 携帯電話の捜査に令状発行を義務付けるはずだった法案を否認(2011.10.10)

カリフォルニア州知事のJerry Brownは、逮捕時に容疑者が所有していた携帯 電話の捜査前に捜査令状の獲得を警察官に義務付けるはずだった法案を拒否し た。今回の否認の際にBrownが添えたメッセージには、カリフォルニア州最高 裁判所が最近下した逮捕された者に関わる捜索を令状なしで行うことを支持す る判決が引き合いに出されており、「捜査と押収についての憲法上の保護に関 する、複雑で個別ケース特有の問題を解決するのは、裁判所の方が相応しい」 旨が記されていた。

http://www.wired.com/threatlevel/2011/10/warrantless-phone-searches/
http://gov.ca.gov/docs/SB_914_Veto_Message.pdf

【編集者メモ】(Liston)
そのとおりである。「複雑で個別ケース特有の問題を解決するのは、裁判所の 方が相応しい」。だから、捜査令状を発行するのは判事なのだ。だから、判事 には、捜査によって市民の権利が侵害されない場合に令状を発行すること「の み」を任されている。

【編集者メモ】(Murray)
裁判所に早期の段階で関わってもらおうというのが、この法の趣旨である。害 が生じてから裁判所が関係してきても、あまり役には立たない。裁判所は、警 察が令状を獲得するとしても捜査を妨げはしないおとなしい存在である。

────────────────




────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・出展のイベント
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月19日-20日
 FIT2011(金融国際情報技術展)に出展 http://www.nikkin.co.jp/fit2011/
  -ブース展示:A-39
  -セミナー講演:
   ・10/19(水)C-2 12:00-13:00
     「BCP対策に必須!
        クラウド技術で実現する遠隔地での分散バックアップ!!」
   ・10/20(木)A-8 13:10-14:10
     「本番サーバの特権ID管理と監査ログ管理を
          短期・安価かつ効率的に実現方法とは?」
   ・10/20(木)R-10 16:10-17:10
     「金融機関におけるメールセキュリティ対策
          ~監査・情報漏洩・誤送信対策の現場から~」
http://service.shanon.co.jp/fit2011/exhibitors/company/ja/1/48.html

○10月20日:福岡・11月11日:仙台・11月17日:名古屋・11月18日:札幌
 今後求められる、IT資産管理の新基準!!
 ~クラウド活用によって実現する次世代IT管理とは~ にてセッション講演
http://www.motex.co.jp/seminar/2011_asset-seminar.html

○10月25日・11月15日                 <東京 汐留本社>
 セキュアリモートアクセス体感セミナー
 ~BYOD時代のセキュアリモートアクセスとデバイスマネジメント~
http://www.nri-secure.co.jp/seminar/2011/byod01.html?xmid=58&xlinkid=11
○10月27日・11月18日・12月9日             <東京 汐留本社>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=58&xlinkid=12

○10月28日・11月25日・12月16日            <東京 汐留本社>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=58&xlinkid=13

○11月9日               <ニューヨーク The Nippon Club>
 クラウド時代の情報セキュリティリスク
 ~クラウド利用が進む中、
    新たなリスクの対処に向けて海外オフィスは今、何をすべきか~
http://nikkeibp-america.com/NRI/

○11月16日・12月14日                 <東京 汐留本社>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=58&xlinkid=14

※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月5日
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=58&xlinkid=15

○12月6日~7日
 セキュアWebアプリケーション実習:応用編(Java/JavaEE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=58&xlinkid=16


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年10月1日 Vol.10 No.40)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
4
Cross Platform
12 (#1)Web Application - Cross Site Scripting
2
Web Application - SQL Injection
3
Web Application
4
Network Device
1
======================================================================
1.危険度【高】: Adobe Flash Playerにさまざまな脆弱性

<影響を受ける製品>
Windows、Macintosh、Linux、および、Solaris用Adobe Flash Playerの10.3.
183.7以前のバージョン
Android用Adobe Flash Playeの10.3.186.6以前のバージョン

<詳細>
Adobeは、同社製Flash playerに影響を及ぼす複数のセキュリティの脆弱性に パッチをリリースした。そのうち1つの脆弱性は、世間で活発に悪用されてい るという。問題の盛んに悪用されている脆弱性は、どのWebサイトにおいても、 ターゲットになっている人に成り代わって行動する際に用いることができる。 広がっているこのエクスプロイトは、ターゲットに電子メール内の悪意のある リンクをクリックさせれば、前述の内容を実現できる。その他の脆弱性につい ては、攻撃者が悪意のあるページを閲覧するようにターゲットを仕向けられれ ばを悪用して、ターゲットのマシン上に任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb11-26.html
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/49710
http://www.securityfocus.com/bid/49714
http://www.securityfocus.com/bid/49715
http://www.securityfocus.com/bid/49716
http://www.securityfocus.com/bid/49717
http://www.securityfocus.com/bid/49718
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年10月8日 Vol.10 No.41)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== WIndows
1
BSD
1
Novell
1
Cross Platform
10 (#1,#2)Network Device/dt>
12
======================================================================
1.危険度【高】: Mozilla Firefox にさまざまなセキュリティの脆弱性

<影響を受ける製品>
Firefox 7.0 以前のバージョン
Firefox 6.0以前のバージョン
Firefox 3.6.23以前のバージョン

<詳細>
Mozillaは、同社製Firefox・Webブラウザに影響を及ぼすさまざまなセキュリ ティの脆弱性にパッチをリリースした。問題には、Mozillaブラウザ・エンジ ンにある複数のメモリ崩壊の問題、JavaScriptエンジンの大きな正規表現の処 理を正しく行えないために生じる整数オーバーフロー、WebGLが用いるANGLEラ イブラリにバッファオーバーランがある可能性、JavaScriptが用いるYARR正規 表現ライブラリにある詳細不明のクラッシュ、特定の.oggファイルをロードす る際に開放済みのメモリ領域を使ってしまうために発生する詳細不明のクラッ シュなどがある。これらの脆弱性の技術的な情報は、パッチ以外には、ほとん ど公表されていない。Mozillaは、少なくともこれらの脆弱性の中のいくつか は、アタッカーが悪用すれば、ターゲットのマシン上で任意のコードを実行で きるようになるものであると考えている。悪用を実現するには、アタッカーは、 ターゲットを仕向けて悪意のあるWebサイトを閲覧させなければならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org
Mozillaのセキュリティ警告
http://www.mozilla.org/security/announce/2011/mfsa2011-36.html
http://www.mozilla.org/security/announce/2011/mfsa2011-37.html
http://www.mozilla.org/security/announce/2011/mfsa2011-41.html
http://www.mozilla.org/security/announce/2011/mfsa2011-42.html
http://www.mozilla.org/security/announce/2011/mfsa2011-43.html
http://www.mozilla.org/security/announce/2011/mfsa2011-44.html
http://www.mozilla.org/security/announce/2011/mfsa2011-45.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/49808
http://www.securityfocus.com/bid/49809
http://www.securityfocus.com/bid/49810
http://www.securityfocus.com/bid/49812
http://www.securityfocus.com/bid/49813
http://www.securityfocus.com/bid/49845
http://www.securityfocus.com/bid/49850
────────────────

2.危険度【高】:Google Chromeにさまざまなセキュリティの脆弱性

<影響を受ける製品>
Google Chrome 14.0.835.202以前のバージョン

<詳細>
Googleは、同社製Chrome Webブラウザに影響を及ぼすさまざまなセキュリティ の脆弱性にパッチをリリースした。問題は、開放済みのメモリ領域を使ってし まう(use-after-free)の脆弱性やメモリ崩壊などを含めて全部で7つあり、全 ての危険度が「高」か「重大」となっている。脆弱性の技術的詳細は公表され ていないが、ターゲットを悪意のあるページを閲覧するように仕向ければ、ア タッカーは少なくともいくつかの脆弱性を悪用して、ターゲットのマシン上で 任意のコードを実行できるようになる可能性がある。

<現状>
ベンダーはこの問題を認めており、更新もリリースしている。

<参考>
Vendor Site
ベンダーのサイト
http://www.google.com
Google Stable Channel Updates
http://googlechromereleases.blogspot.com/2011/10/stable-channel-update.html
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/49938

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。 組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。 http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。 今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のうえ info@sans-japan.jp までご返信をお願い致します。