NRI Secure SANS NewsBites 日本版

Vol.6 No.46 2011年11月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.46 2011年11月16日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
これから3週間(11月23日まで)の間にOnDemandコースに参加申し込み登録をし た方全員に、SANSからプレゼントが贈呈される。そのプレゼントとは、MacBook Airである。このプレゼント贈呈については、私から若干強く推させていただ いた。このオンデマンドのトレーニング(即座に再生を行えるというティーボ のような機能が付いた世界最高のセキュリティ分野のインストラクターの授業) は、雇用主にとってはとびきり費用効率が高いだけでなく、受講生にとっても 満足度が高い内容になっている。
MacBook Airの採用は、コンピューティングの効率向上のために私が行ったこ との中で、一番よかったことなので(私が持っている全てのPCに比べて大幅に 速いスピードで全ての物事を処理できたということが主な理由)、OnDemandの 担当者に、参加申し込みを行った参加者全員にMacBook Airを進呈することを 提案した。そうすれば、WiFiが飛んでさえいればどこでもこのコースを受講で きるようになる。何と、驚くことに、担当者は「OK」を出したのだ。

■■SANS NewsBites Vol.13 No.88-89
(原版:2011年11月5日、11月9日)

◆Mac App Store 2012年3月1日からサンドボックスのサポートを義務付ける意向(2011.11.3-7)
来年3月より、AppleのMac App Store で販売するために本Storeに提出される アプリについては、Appleのサンドボックス(sandboxing)機能をサポートして いることが必須条件となる。6月に発表された期日は、当初、今月に予定され ていた。今までは、サンドボックスは任意で設ける機能だった。開発業者の中 には、この必須要件によって、自社製アプリに特定の機能を組み込むことがで きなくなると述べているところもある。

http://news.cnet.com/8301-1009_3-57318099-83/what-apples-sandboxing-means-for-developers-and-users/
http://news.techworld.com/applications/3316380/developers-fear-app-store-sandboxing-to-strip-out-useful-features/
【編集者メモ】(Pescatore)
RIMのブラックベリーや、AppleのiPhone/iPadのようなモバイルプラットフォー ムは、1つのベンダーがハードウェアとソフトウェアの両方を統制する形で成 功を収めている。このことを考えると、PCを悩ませてきた旧タイプのマルウェ アから離れるための大きなチャンスが、このような統制方法にあると言える。
サンドボックス機能を付けることによって、いくつかの特徴が割かれてしまっ ても、それはよいことである。とうのも、それによって、何かをクリックする 度に、不意にアプリが台無しになるのではないか」と心配する必要がなくなれ ば、ユーザーは、機能を多少失ってもよいと思うはずだからだ。

────────────────

◆FBI 偽の携帯電波塔使用は範囲内(2011.11.3)

連邦政府関連局(Federal authority)は、容疑者の監視目的で、偽のVerizonの 携帯電話中継塔を使用したことについて、「合衆国憲法修正第4条に定められ ている合法的な捜査だとみなすことができる」と主張している。
口語的に「Stingray(海洋生物のエイの意味)」と称されているなりすましの 電波塔機器が、他人のアカウントを悪用する事件の捜査で使用された。
「Stingray」は、中間者攻撃を行って、モバイルデバイスの重要データが正規 の携帯電話中継塔に送信される前にそれを傍受する。FBIの追跡技術部門が提 出した供述書によれば、「Stingrayはヘッダーデータに相当するデータのみを 捕獲するので、捜査令状は必要ない」という。さらに、「Stingrayはターゲッ トと概略位置が同じ他のデバイスからもデータを収集しており、「FBIのポリ シーでは、このツールに保管されている全てのデータは、捜査完了時に除去さ れる」と説明されている。

http://www.wired.com/threatlevel/2011/11/feds-fake-cell-phone-tower/

────────────────

◆命名の重要性(2011.11.7)
全米対諜報活動官室(the Office of the National Counterintelligence Executive)が先週公表した報告書は、米国政府がはっきりと大々的に、「中国 とロシアは、広範にわたる電子的な作戦に関与し、米国の知的財産、企業秘密、 交渉戦略、機密の軍技術を盗み出そうとしていた」と明白に述べている。この 件に関して、ジャーナリストのShane Harrisは、Winston Churchillによる1946 年の演説がもたらした効果との比較を行い、「この報告書が公表されたことで、 インターネット上で“鉄のカーテン”の時期が到来する可能性がある」と記し ている。

http://www.washingtonian.com/blogarticles/people/capitalcomment/21474.html

【編集者メモ1】(Pescatore)
大げさに騒ぎ立てれば、「鉄のカーテン」や「冷戦」の時期と同じような予算 と歳出が発生するのではないかと期待して、実際に多くの人が、この件を「そ の時期の到来」ととらえようとしている。この件に焦点をあてたとしても、結 果として得られるのは、セキュリティレベルの向上ではなく、5,000ドルのコー ヒーポットであろう。

【編集者メモ2】(Northcutt)
この記事をネット上で読もうとしたのが、記事を読むにはWashingtonian誌の定 期購読をはじめに申し込むようにせがまれてしまった。ということで、代わり に、USA Todayの記事をご覧あれ:
http://www.usatoday.com/news/washington/story/2011-11-03/china-russia-cybersecurity/51065010/1
私が思うに、この件は、「鉄のカーテン」期には発展しないだろう:
http://www.historyguide.org/europe/churchill.html
────────────────

◆米国最高裁判所 GPS追跡で合衆国憲法修正第4条が関係しているケースを審理(2011.11.7)
11月8日火曜日に、米国最高裁判所は、警察が容疑者の動きを追跡するために、 相当の事由による令状を判事から獲得することなしに、車にGPSをひそかに取 り付ける警察官の権限についてのケースで、審理を行う予定だ。政府は審理請 求理由補充書(court brief)にて、「ある場所から他の場所へ向かう動きに関 しては、プライバシーを獲得できるという適度な期待が持てることではない」 という論拠を示した。このケースの詳細にはAntoine Jonesという人物が関わっ ており、同人はコカイン取引で有罪となり、無期懲役の判決を受けている。警 察は、同人の車に取り付けたデバイスを通じて、1カ月間追跡した。しかし、 先のJonesの有罪判決とその刑は、米国コロンビア地区控訴裁判所において 「追跡行為は違法捜査も同然であり、Jonesの合衆国憲法修正第4条の権利を侵 害している」として覆された経緯がある。その他いくつかの連邦控訴裁判所で は、「GPS追跡に令状はいらない」という判決が出されている。司法省は、数 十年前に車の追跡に使われていたベルが鳴る装置(beeper device)に相当する という見解である。GPSを発明した男性は、法廷助言書において、「2つの装置 は大変異なっている」と述べている。

http://www.wired.com/threatlevel/2011/11/gps-tracking-flourishes/all/1
【編集者メモ】(Liston)
一般的に、このようなタイプのケースでは、私は「合衆国憲法修正第4条」を 支持する側に常に落ち着く傾向がある。しかしこの件に関しては、GPSで監視 する行為が、容疑者を追跡するように警官1人を任命するという行為(この行 為に令状は必要ない)の置き換えに過ぎないという見解にどうしてならないの かが、全くわからない。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・出展のイベント     (NRIセキュア)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月17日:名古屋・11月18日:札幌
 今後求められる、IT資産管理の新基準!!
 ~クラウド活用によって実現する次世代IT管理とは~ にてセッション講演
http://www.motex.co.jp/seminar/2011_asset-seminar.html

○11月18日・12月9日             <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=63&xlinkid=31

○11月25日・12月16日            <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=63&xlinkid=32

○11月30日                 <東京 ベルサール八重洲3F>
 最先端ネットワーク・セキュリティと将来ビジョン
 (クロスビームプライベートセミナー)にてセッション講演[16:45-17:05]
 「クラウド時代の戦略的セキュリティ対策と最新テクノロジー動向」
http://www.crossbeam.jp/event11-30/

○12月9日                   <東京 丸の内北口ビル>
 サイバーセキュリティ トレンドセミナー2011
 ~企業意識を変えた事故事例を振り返り、次の対策を提言する~
http://www.nri-secure.co.jp/seminar/2011/1209.html?xmid=63&xlinkid=33

○12月14日                 <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=63&xlinkid=34

○12月14日                     <東京 文京区本郷>
 重要情報資産の棚卸しによるリスクの見える化 セミナーにてセッション講演
 「重要情報資産の識別管理ソリューションのご紹介 」
https://iim.smartseminar.jp/public/seminar/view/573

※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               (NRIセキュア)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月5日
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=63&xlinkid=35

○12月6日~7日
 セキュアWebアプリケーション実習:応用編(Java/JavaEE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=63&xlinkid=36

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年11月4日 Vol.10 No.45)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
1 (#1)Other Microsoft Products
1
Third Party Windows Apps
8
Linux
1
Cross Platform
9
Web Application - Cross Site Scripting
1
Web Application - SQL Injection
1
Web Application
3
Network Device
1
Hardware
1
======================================================================
1.危険度【高】:Microsoft WindowsのKernelに0-Dayの脆弱性

<影響を受ける製品>
Microsoft Windows XP
Microsoft Windows Vista
Microsoft Windows Server 2003
Microsoft Windows Server 2008
Microsoft Windows 7

<詳細>
Microsoft WindowsのKernelは、W32.Duquのワームが世間で活発に悪用してい る0-dayの脆弱性に脆弱である。悪意のあるWord文書を閲覧するようにターゲッ トを仕向けられれば、問題のワームは、Windowsのkernelにある既知の脆弱性 を悪用して、ターゲットのマシン上に任意のコードを実行できるようになる。 この脆弱性に関する技術情報は、公表されていない。Microsoftは、まだこの 脆弱性を公的には認めていないが、Secuinaによれば、Microsoftはパッチを目 下作成中だという。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
ベンダーのサイト
http://www.microsoft.com
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/50462
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。