NRI Secure SANS NewsBites 日本版

Vol.6 No.4 2011年1月25日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.4 2011年1月25日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
米国におけるサイバー分野の有能者育成ルートを改善・構築するうえで朗報が。
サイバーパトリオットプログラムは、決勝戦に向けて12の高等学校が勝ち残っ
たと発表した。また、2月に開催される「高等学校サイバー基金競技会」を支援
する下院議員団がさらに増えたようだ。高校生は個人で競技会に参加できるよ
うになる。つまり、チームに属する必要はない。しかし、生徒が力を発揮でき
るように、多数の学校が指導プログラムを設けている。議会の財政援助がある
ということは、今後無料で競技会に参加できる高校生が増えるということだ。
この競技会を新しいスポーツの1つと考えるとよいだろう。スポーツはスポーツ
でも、他の人よりもコンピュータに専念し、熱意がある高校生のためのスポー
ツだ。また、女子の両親の方々にも、デラウェア州では男子に全く劣らない能
力を発揮している女子がいることを知ってもらいたい。サイバー競技会で優秀
な成績を修めた高校生のための奨学金も出てきているようだ。なかには、海軍
学校の4年間全ての学費をカバーする奨学金もあるようだ。この競技会で、優秀
な成績を修めそうな高校生を御存知なら、彼らにサイバー基金のサイトを探索
するように伝えてほしい:www.sans.org/cyber-foundations

さらに、CCDCプログラム(チーム制)や、セキュリティトレジャーハントプロ
グラム(個人制)を介し、全米で大学の競技会も行われている。DC3フォレン
ジック競技会で勝利校が決まった。この勝利校は、今月末に行われる全米カン
ファレンスでその勝利を称えられる。これらの競技会で優秀な成績を収めた学
生は、今夏に各地域で開催されるスーパーキャンプに招かれ、そこで米国最高
峰のサイバー専門家らから、サイバーセキュリティの高度な課題において卓越
した方法を教えてもらうことができる。
詳細はこちら: http://www.uscyberchallenge.org/

PS. 英国にも同様のプログラムがあり、イタリアもプログラムを考案中だと
いう。英国: https://cybersecuritychallenge.org.uk/

■■SANS NewsBites Vol.13 No.4 - Vol.13 No.5
(原版:2011年1月14日、2011年1月18日)

◆米国連邦エネルギー規制委員会(FERC)にスマートグリッドのセキュリティ施
行権限なし (2011.1.13)
米国政府説明責任局(GAO)の調査によると、スマートグリッドセキュリティ基
準の作成が行われている最中であるにも関わらず、電力システムを規制する組
織には、これらの基準を施行する権限が欠けているという。連邦エネルギー規
制委員会(FERC)には、米国2007年エネルギー独立性及び安全保障法(EISA)下の
セキュリティ基準を「適用」する権限はあるようだ。GAOはFERCに対し、他の
監督機関と協力してスマートグリッド基準の自主的な適用を監視するように推
奨している。この基準は米国標準技術研究所(NIST)が作成し、とりまとめたも
のだ。
http://gcn.com/articles/2011/01/13/smart-grid-security.aspx?admgarea=TC_SECURITY
http://www.gao.gov/new.items/d11117.pdf

【編集者メモ】(Schultz)
私の見解によると、セキュリティ基準を自主的なものすると、ほとんど機能し
ない。このような基準はどうしても任意で適用するだけのものになってしまう。
それにも関わらず、財政的なリソースや他のリソースも必要になる。しかし、
そういったリソースは必須事項や表面上差し迫った他の問題に割り当てられて
しまうものなのだ。
────────────────

◆IPv6の世界規模の試行、6月8日に予定される (2011.1.12-13)
IPv6の「世界規模の試行」が2011年6月8日に行われることとなった。このイベ
ントは、インターネット協会がとりしきっている。ある一定の期間(24時間)
を、FacebookやGoogle、および、Akamaiなどの参加企業は、自社ページをIPv6
で使えるようにする見込みだという。今年中にIPv4のアドレスは使い果たされ
てしまうため、企業らはIPv6への切り替えをすすめられている。このイベント
は、IPv4からIPv6への切り替えの必要性の認識を高める目的で催されるほか、
参加企業にそれに伴う問題を特定し、対処してもらう狙いがある。インターネッ
トユーザーはこの切り替えに関して特別に何かを行う必要はなく、さしたる問
題を経験する可能性も低いという。ただ、ほんの一部のユーザーが自宅のネッ
トワークデバイスの設定や動作の不具合にあう可能性はある。
http://www.bbc.co.uk/news/technology-12183098
http://isoc.org/wp/newsletter/?p=2902
────────────────

◆Stuxnet イスラエルの核施設でテストされていた可能性 (2011.1.15-16)
諜報機関と軍の専門家らは、Stuxnetのワームがイスラエルのネゲブ砂漠にあ
るDimona核兵器開発施設でテストされた経緯があり、このワームはイスラエル
と米国が共同で開発したものである可能性を指摘している。Stuxnetは、イラ
ンの核遠心分離機の動作を妨害し、同国の核プログラムを数年分遅延させたと
みられている。2008年、SiemensはサイバーアタックからSiemens製品を守るた
め、アイダホ国立研究所と共同で取り組みを行っていた。その際のミーティン
グで米国は、Stuxnetで悪用される可能性のある脆弱性をSiemens製品に見つけ
たという。Stuxnetには、プラントでの通常運用について記録を残す機能が内
蔵されていた。それによってシステムが感染し、攻撃が進行中でもその通常運
用の読み込みを再生してプラントのオペレータが問題に気付かぬようにしてい
たようだ。ワームが有効に働いたため、イランに対する緊急の軍事攻撃が行わ
れる可能性は低くなった。
http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?_r=1&ref=general&src=me&pagewanted=all
http://www.guardian.co.uk/world/2011/jan/16/stuxnet-cyberworm-us-strike-iran
http://www.wired.com/dangerroom/2011/01/with-stuxnet-did-the-u-s-and-israel-create-a-new-cyberwar-era/
http://www.msnbc.msn.com/id/41121090/ns/world_news-mideastn_africa/
【編集者メモ1】(Schultz)
外から見る限りでは、爆撃を行うのではなく、サイバー攻撃を使ってイランの
核兵器開発を後退させたように見える。そして今回の場合、爆撃vsサイバー攻
撃という2つの選択肢の中では、人を殺傷しないサイバー攻撃の方が好ましい
とされたわけだ。
【編集者メモ2】(Northcutt)
The Wiredの記事は証拠に乏しく、予測事項が多いニューヨークタイムズ紙の
記事をおおむねベースにして書かれているようだ。要因を関連付けるのは非常
に難しい作業なのである。したがって、この記事は批判的に読んだ方がよい。
【編集者メモ3】(Ranum)
サイバーアタックも同様に報復行為を招くということくらい、誰にでもわかる
だろう。
────────────────

◆サイバー戦争と言う誇張表現で サイバー上の脅威に関する他の重要な問題
がぼやける (2011.1.17)
経済協力開発機構(OECD)の調査によると、サイバー戦争に過度の注目が集まっ
てしまうと、サイバー上の脅威に対して適正かつ有効な戦略を開発する政府の
能力が阻害されてしまうという。報告書には、「侵略者がたった1つの兵器に
制限する戦略的な理由がないということなど、他多くの理由から真のサイバー
戦争が実際に起こる可能性は低い」と書かれている。ホワイトハウスのチーフ
サイバーセキュリティアドバイザのHoward Schmidtも、サイバー戦争と言う比
喩を「ひどい」ものだとし、「サイバー戦争と言う環境下では誰も勝者になれ
ない」と、報告書に現れている心情に同調している。この調査はロンドン大学
経済学部とオクスフォード大学の研究者らによって行われた。
http://www.bbc.co.uk/news/technology-12205169
https://www.nytimes.com/2011/01/17/technology/17cache.html?_r=2&ref=global
http://www.h-online.com/security/news/item/OECD-study-an-actual-cyberwar-is-improbable-1170702.html
http://www.theregister.co.uk/2011/01/17/cyberwar_hype_oecd_study/
http://www.v3.co.uk/v3/news/2274217/oecd-oxford-lse-cyber-war

【編集者メモ】(Pescatore)
脅威を働きかける者か、彼らが悪用する脆弱性か。それらのどちらか1つに焦
点を絞ってしまうと、誇張表現が生まれてしまい、情報セキュリティ分野での
前進が阻害されてしまう。
────────────────

◆サイバー上の脅威は大げさ? (2010.12.21)
ニューズウィーク誌の質問の答えとして、トップクラスの米国サイバーセキュ
リティ関係者が、サイバー攻撃に対する米国の脆弱性の状態を評価した。それ
に関するQ&Aは以下のとおり:
ニューズウィーク>
夜のニュースになっているような事象を見ても、米国にあるサイバー攻撃に対
する脆弱性を心配するのは大げさなのか? それとも、心配が足りないのか?
Schmidt>
私は大げさだと思う。物事は秩序立てて考えなければならない。電子商取引
(e-commerce)や、オンラインでのビデオ鑑賞、オンラインバンキングなど、毎
日数十億件の取引がオンラインで行われている。このように非常に素晴らしく、
そして堅実で豊かな内容のある取引も大量に行われているのだ。しかし、他の
事例と同様、ニュースにされてしまうのは、いつもその中でうまくいっていな
いことである。
http://www.newsweek.com/2010/12/21/interview-with-cyber-security-czar-howard-schmidt.html
NewInternetは、このSchmidtのコメントを強調している。
http://www.thenewnewinternet.com/2010/12/22/howard-schmidt-cyber-threat-exaggerated/
【編集者メモ】(Paller)
これは、Schmidtにしてはお粗末な発言だ。しかし、インタビューの他の部分
では、彼はこの問いに対して筋道をたてて答えている。さらに重要なのは、政
府がはじめてサイバー上の脅威を認めたのは18年前だというのに、政府高官が、
その問題の深刻さを語ることは許されていなかったということだ。有効な対処
法を与えることなしに、大衆を恐怖に陥れるのは、政治的に逆効果なのである。
────────────────

◆米国国防総省のソーシャルメディア・ポリシー 期限切れに (2011.1.14)
米国国防総省が昨年設けたソーシャルメディア・ガイドラインの期限が、2011
年3月で期限切れとなる。これにより、国防総省のソーシャルメディアが今後
どうなるかという問題が中ぶらりんになってしまう。国防総省の広報は、「ソー
シャルメディアというツールは、21世紀のコミュニケーション環境に広く行き
渡るものであり、同省もそれらの機能をフルに活用したい」ため、ソーシャル
メディアの使用は禁止しないと述べている。18か月前までの報告書を見ると、
米国軍はネットワークセキュリティへの懸念から、ネットワーキングツールの
大々的な禁止を考えていたことを示している。
http://fcw.com/articles/2011/01/14/dod-social-media-policy-in-limbo.aspx
http://www.wired.com/dangerroom/2011/01/tweet-away-troops-pentagon-wont-ban-social-media/
http://www.wired.com/dangerroom/2011/01/unfollowed-pentagon-deletes-social-media-office/
http://www.dtic.mil/whs/directives/corres/pdf/DTM-09-026.pdf

【編集者メモ】(Pescatore)
国防総省がソーシャルメディアへのアクセスの禁止を考えていると聞いたその
週に、ソーシャルメディアを用いたことによって、新兵の募集目標人数をはる
かに超える募集が集まったという米海兵の発表を聞いた。セキュリティの鍵は、
任務を果たし、ビジネスニーズを満たす安全なサポートを提供することにある。
しかしながら、いつも勝つのはビジネスという営利追求の論理である。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃いまだけのお得なキャンペーン実施中!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
WEBからの脅威防止に役立つサービスをいまだけのお得な料金でご提供
<1>セキュアWebアプリケーション構築のためのハンズオントレーニング
<2>Webアプリケーションを安全に設計・開発するためのガイドライン
<3> PCI DSS準拠に必要なASVスキャン

詳細・お問い合わせは
http://www.nri-secure.co.jp/whats_new/2010/1210.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃近日開催予定のセミナー
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1月28日(金)<福岡>
特権ID管理・ログ管理ソリューション セミナー
http://www.nri-secure.co.jp/seminar/2011/0119.html?xmid=30&xlinkid=03

○2月 9日(水)<東京>
貴社の機密情報、適切に管理されていますか?
~機密情報の探査、識別から、誤送信対策まで~
http://www.nri-secure.co.jp/seminar/2011/0209.html?xmid=32&xlinkid=01

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年1月14日 Vol.10 No.3)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Other Microsoft Products            1 (#1)
Third Party Windows Apps            5
Mac Os                     1
Linux                      5
Cross Platform                 14 (#2)
Web Application - Cross Site Scripting     3
Web Application - SQL Injection         8
Web Application                 4
Network Device                 4
======================================================================
1.危険度【高】:Microsoft Internet ExplorerのMSADO CacheSizeにリモート
のコード実行の脆弱性

<影響のある製品>
Microsoft Internet Explorer 8

<詳細>
Microsoftは、Microsoft Internet Explorerにある脆弱性に対処できるパッチ
をリリースした。この脆弱性は、Windows MSADOコンポーネント(データアクセ
スサービスにインタフェースを提供するコンポーネント)にある。アタッカー
は、ターゲットに悪意のあるWebサイトへ行くように誘い込めば、この脆弱性
を悪用して任意のコードを実行できるようになる可能性がる。

<詳細>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftのセキュリティ警告http://www.microsoft.com/technet/security/bulletin/MS11-002.mspx
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45698
────────────────

2.危険度【高】:HP OpenViewのネットワークノードマネージャにさまざまな
脆弱性

<影響のある製品>
HP OpenView 7.51、7.53

<詳細>
HP OpenViewスイートの一部であるネットワークノードマネージャ(NNM)は、映
像の閲覧やネットワーク管理のためのインタフェースを提供するものだ。NNM
の機能の一部はCGIプログラムで実装されている。HPは最近、これらのプログ
ラムにあるさまざまな脆弱性にパッチをリリースした。これらの脆弱性には、
ovutil.dll(jovgraph.exe に呼び出される)に存在するバッファオーバーフ
ローなどがある。これは、固定長のバッファに対するsscanfにプリントされて
いる値(ユーザーがコントロールする値)が原因で発生する。ほか、ovas.exe
とnnmRptConfig.exeにも同様の問題がある。アタッカーがこれらの脆弱性を悪
用するためには、悪意のあるリクエストを送信しなければならない。これによっ
て任意のコード実行が可能になるおそれがある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.hp.com
HPのサポート文書
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02670501
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-004/
http://www.zerodayinitiative.com/advisories/ZDI-11-005/
http://www.zerodayinitiative.com/advisories/ZDI-11-006/
http://www.zerodayinitiative.com/advisories/ZDI-11-007/
http://www.zerodayinitiative.com/advisories/ZDI-11-008/
http://www.zerodayinitiative.com/advisories/ZDI-11-009/
http://www.zerodayinitiative.com/advisories/ZDI-11-010/
http://www.zerodayinitiative.com/advisories/ZDI-11-011/
http://www.zerodayinitiative.com/advisories/ZDI-11-012/
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45762
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。
日本語版の無料購読を希望される方は、弊社ホームページの以下の画面より
お申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。