NRI Secure SANS NewsBites 日本版

Vol.6 No.45 2011年11月9日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.45 2011年11月9日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◇◆ SANS Tokyo 2011 Autumn Security Training ◆◇◆

【SEC504】Hacker Techniques, Exploits and Incident Handling
2011年11月14日(月)~19日(土)開催

     -最新の脅威に対応できるインシデントハンドラーを養成
     -ノースロップ・グラマンのサイバー脅威アナリストが講師として来日

<いよいよ、来週開催>
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/courses/sec504.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.86-87
(原版:2011年10月29日、11月2日)

◆電子フロンティア財団(EFF)談:6月以来少なくとも4つの証明機関が侵害されている(2011.10.27)

電子フロンティア財団(EFF)の調査によると、2011年6月以降、少なくとも4つ の証明機関が侵害を受けているという。これに関する情報は、SSL証明書の取 り消し時に必ず記入しなければならない公表文書の記入内容の検査を行って収 集された。現在、証明機関は600以上存在している。そのため、このような状 況が広範に及んでいることを踏まえ、この技術の長期的なセキュリティが疑問 視されている。EFF技術プロジェクト(EFF Technology Projects)のディレク ターのPeter Eckersleyは、ブログに「Webのセキュリティプロトコルの今日の 実装状況を考えると、限られた時間と動機において活動している攻撃者から防 御するには十分であっても、コンピュータシステムのセキュリティに対する攻 撃を用いた地理政治的な競争や企業の競争が拡大している状況下では、不十分 である」と書いている。

http://www.theregister.co.uk/2011/10/27/ssl_certificate_authorities_hacked/
https://www.eff.org/deeplinks/2011/10/how-secure-https-today

【編集者メモ1】(Liston)
SSL証明書のシステムは、証明機関企業が「その企業は信頼できる」と主張し ているからという理由だけで、その企業は信頼するに値するという間違った前 提に基づいて成り立っている。このような企業は、ビジネスモデルの一環とし て、大きな責任を引き受けたものの、自らを「魅力的なものがたくさんある場 所」として自発的に位置付けた場合に、とるべきである予防措置は、全くとっ ていない。

【編集者メモ2】(Murray)
我々が、完璧な鍵管理システムを持つ必要はないが、セキュリティ空間でサー ビスを提供しようというベンダーには、適切なセキュリティがなければならな い。セキュリティを確保可能かどうかは、その企業のブランドにかかっている。 そして、ブランドというもは、脆いものである。

────────────────

◆BTに2週間以内にNewsbin2のブロック開始義務(2011.10.26)
英国高等法院(UK High Court)は、海賊版コンテンツが入手可能な状態で置か れていることで知られている会員専用サイト、Newzbin2をブロックする計画を 実行できるように、英国のインターネットサービスプロバイダに対し、2週間 の猶予を与えた。この判決は、米国映画会社が起こした訴訟で生じた。判事は、 「BTは、著作権侵害活動がNewzbin2で行われていることを認知していた」と判 断し、7月に「BTは顧客が問題のサイトにアクセスできないようにしなければ ならない」という判決をすでに下している。さらに、判事は、「この命令に従っ て対応する際の費用は、BTが負担すべきだ」との判決も下した。

http://www.zdnet.co.uk/news/compliance/2011/10/26/bt-given-two-weeks-to-block-newzbin2-40094286/
http://www.bbc.co.uk/news/technology-15459005

【編集者メモ1】(Murray)
この件に関しては、BTは犠牲者であるように思える。同社は、他人の犯罪活動 の責任を負わされている。さらに、多額の費用がかかるだけでなく、効果がな いことをさせられるのだ。インターネットは、検閲を迂回するようにルートを 決めるようになっている。出版社が自社製品の値段を、自社に利益をもたらし つつも、闇市場が創出されるほど高くない程度に抑えられる方法を見いだせな いがために、一体どれだけの損害を私たちが被ることになるのだろうか?

【編集者メモ2】(Liston)
このニュースは、最後の一文までは、全て理にかなっていたように思える。映 画会社がISPに対し、命令を使ってサイトへのアクセスをブロックするように 求めるのであれば、実際には、彼らがその費用を負担するできである。映画会 社は著作権を持っており、その保護によって財務上の利益を得ているのだから、 著作権を侵害しているWebサイトに対するブロックの実装費用を負担するよう に公平無私な第三者に要求するなど、やりすぎである。

────────────────

◆RIM特定の顧客のメッセージへのアクセスをインド政府に与える意向(2011.10.28)
ブラックベリーの親会社であるResearch in Motion (RIM)は、インドのムンバ イに監視センターを開設し、インド政府がブラックベリーのユーザーのデータ にアクセスできるようにした。RIMは、不正行為を行っている疑いがある個人 のメッセージや電子メールなどの情報提供を求める要求が法的に正当である場 合には、それらの情報を提供する意向だ。インド当局は、技術がテロリストの 攻撃を企てる際に利用されてしまうことを懸念しているため、特に、暗号化さ れたメッセージに関心を持っている。しかし、RIMは、そのような暗号化され たメッセージの復号鍵を持っていないため、RIMから政府に対して、その企業 のメッセージを提供することはできないようだ。

http://www.theregister.co.uk/2011/10/28/blackberry_help_indian_government_sip_data/
http://www.pcmag.com/article2/0,2817,2395570,00.asp

【編集者メモ】(Murray)
「法的に正当かどうか」は、RIMや政府ではなく、法廷が決めることである。

────────────────

◆研究者談:ICS-CERTはサイバー上の脅威についての情報共有も、方法を改善する必要あり(2011.10.28)
10月末に開催された米国国土安全保障省(DHS)の産業用制御システム共同作業 グループ(ICSJWG: Industrial Control Systems Joint Working Group)会議に て、セキュリティ専門家らは政府に対し、「政府は、米国の重大なインフラを 運用するシステムのセキュリティを管理する人間と、情報を共有する方法を改 善する必要がある」と述べた。DHSの産業用制御システム・コンピュータ緊急 事態対策チーム(ICSCERT)には、重大なインフラの要素に影響を及ぼすサイバー 上の脅威について、情報共有を行う責任がある。このグループは、明確な情報 をタイムリーに提供していなかったために批判されていた。

http://www.wired.com/threatlevel/2011/10/infrastructure-at-risk/
────────────────

◆カナダの諜報機関(Canadian Intelligence Agency)が過去に標的型サイバー攻撃について政府に警告していた(2011.10.31)
1年前、カナダ安全情報局(CSIS:Canadian Security Intelligence Service)は、 カナダ政府に対して継続的に行われているサイバー攻撃についての警告を含む 極秘の諜報報告書を発行した。この報告書は2010年11月に発行されたが、その 2か月後、サイバー攻撃によって、カナダ政府のネットワークに不具合が生じ ている。最初にこの報告書が発行された際に誰がそのコピーを受け取ったのか については、定かではない。

http://www.theglobeandmail.com/news/national/ottawa-warned-about-hackers-weeks-before-crippling-cyber-attack-csis-report/article2219129/?from=sec434
http://spectrum.ieee.org/riskfactor/telecom/security/canadian-security-services-warnings-about-last-years-cyberattacks-apparently-ignored

【編集者メモ】(Paller)
このように、結果論で批判するようなジャーナリズムにおいては、誤った対象 を批判することになり、それは無駄という以上によろしくない。CSISの報告書 では、問題についてすばらしくよく特定しているが、すぐに導入する必要があ る3-4つの重要な緩和策は挙げられていない。そのため、この報告書を受け取っ た人は、脅威を理解している人からきちんと警告こそは受けたものの、ユーザー にとって必要な「脅威についてしっかり説明がされている助言」は与えられな かった。豪州・参謀本部国防信号局(DSD:Defense Signal Directorate)も全く 同じタイプの攻撃に直面したが、その際、政府局に対して、すぐに導入しなく てはならない4つの主な緩和策も提示している。
これらの緩和策は、こちらに掲載されている。

http://www.cso.com.au/article/405364/dsd_wins_us_cybersecurity_innovation_award/#closeme
【編集者メモ】(Pescatore)
これこそが、諜報と国防を常に分離すべき理由の1つである。諜報機関は、多く の事柄に対して警告を発するという観点では非常に長けているが、特定の脅威 1つ1つを止めるという意味で役立ったことはあまりない。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・出展のイベント     (NRIセキュア)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月15日            【ユーザ企業様限定】<東京 汐留本社>
 セキュアリモートアクセス体感セミナー
       ~BYOD時代のセキュアリモートアクセスとデバイスマネジメント~
http://www.nri-secure.co.jp/seminar/2011/byod01.html?xmid=61&xlinkid=21

○11月16日・12月14日                 <東京 汐留本社>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=61&xlinkid=22

○11月18日・12月9日                  <東京 汐留本社>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=61&xlinkid=23

○11月25日・12月16日                 <東京 汐留本社>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=61&xlinkid=24

○11月11日:仙台・11月17日:名古屋・11月18日:札幌
 今後求められる、IT資産管理の新基準!!
 ~クラウド活用によって実現する次世代IT管理とは~ にてセッション講演
http://www.motex.co.jp/seminar/2011_asset-seminar.html

※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               (NRIセキュア)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月5日
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=61&xlinkid=25

○12月6日~7日
 セキュアWebアプリケーション実習:応用編(Java/JavaEE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=61&xlinkid=26

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年10月28日 Vol.10 No.44)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
7
Linux
1
Cross Platform
8 (#1)Web Application - Cross Site Scripting
2
Web Application - SQL Injection
3
Web Application
2
Network Device
1
Hardware
2
======================================================================
1.危険度【高】:Google Chromeにさまざまな脆弱性

<影響を受ける製品>
Google Chrome 15.0.874.102以前のバージョン

<詳細>
Googleは、ChromeのWebブラウザに影響を及ぼすさまざまな脆弱性にパッチを リリースした。問題の脆弱性には、解放済みのメモリ領域を使ってしまう脆弱 性や、ヒープオーバーフローの脆弱性など、危険度が「高」のものが11個ある。 これらの脆弱性の詳細は不明だが、その中のいくつかについては、コードの実 行に悪用される可能性もある。攻撃者がこれらの脆弱性を悪用するには、ター ゲットに、悪意のあるサイトを閲覧するように仕向けなければならない。

<参考>
ベンダーのサイト
http://www.google.com
Google Chrome Stable Channel Update
http://googlechromereleases.blogspot.com/2011/10/chrome-stable-release.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/50360
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。