NRI Secure SANS NewsBites 日本版

Vol.6 No.5 2011年2月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.5 2011年2月1日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
全米高等学校サイバーコンペが始まった。
Cyber Foundationsが開催する全高校生への競技会が6つの州で始まった。助成
金のおかげで、カリフォルニア州、メリーランド州、テキサス州、ロードアイ
ランド州の学生は、無料でこの競技に参加できる。また、デラウェア州とミネ
ソタ州においても、企業のスポンサーにより学生は無料での参加が可能となっ
た。その他の州においても企業による支援が配備されつつあり、州レベルの助
成金がない州の学生でも、3つ全ての競技に1人75ドル、もしくは1校300ドル
(何人参加してもよい)で参加できる。また、助成金の企画に参加する州が5
つ以上集まれば、1校につき100ドルで参加できるようになる。この競技プログ
ラムは、オンライン動画や文章による個別指導、自己能力診断テストなどで構
成されている。競技の準備期間は正式には2月18日に始まるが、学生はサンプ
ル資料のレビューを行うなど、今から準備に取りかかってもよいだろう。オン
ラインの競技会はそれぞれ、3月4日、18日、4月8日に予定されている。賞とし
ては、商品券や賞品(賞金)、大学への入学が有利になる認定書などが与えら
れる。また、優秀者は、主要な政治家が主催する州レベルのイベントで表彰さ
れ、大学4年間の学費を全面カバーできる奨学金を受ける資格も与えられる。

今からスタートできるよう、こちらをご覧いただきたい:
http://www.sans.org/cyber-foundations

学校、または州全体にわたるプログラムのスポンサーになりたい方は、
renee.mclaughlin@cisecurity.org でRenee Mclaughlinまでご一報を。(先日、
とある重要な下院委員会の委員長室でサイバー基金に関して話し合いが持たれ
たが、その席でこんな話を小耳に挟んだ。「この競技会で、サイバー"おたく"
が、スポーツ界の花形選手と同じくらい格好いい存在になるだろう」と。)

■■SANS NewsBites Vol.13 No.6 - Vol.13 No.7
(原版:2011年1月21日、2011年1月25日)

◆依頼人と弁護士間の秘匿特権 依頼人が会社のメールを使用した場合は適用
されず (2011.1.28)
カリフォルニア州控訴裁判所は、「依頼人と弁護士間の秘匿特権は、依頼人が
勤務先企業のメールアカウントを使用して連絡をとりあった場合、彼らのやり
とりにはその特権は与えられない」ことを示す判決を出した。これは、同州の
サクラメント第3上訴地区にて、とある秘書の女性に対して満場一致で下され
た裁定である。彼女は、雇われて間もない時期に妊娠したことがわかり、その
後、雇用主から敵対的な態度をとられるようになったと申し立てていた。雇用
主である企業は、この秘書の女性が職場から送信したメールを引き合いに出し、
「彼女がメールをそこから送信できるということは、本人はさほど精神的苦痛
を味わっている状態にあるわけではない証拠だ」と主張している。
http://www.wired.com/threatlevel/2011/01/email-attorney-client-privilege/
http://technolog.msnbc.msn.com/_news/2011/01/19/5877181-attorney-client-privileges-dont-apply-to-work-e-mail

【編集者メモ1】(Northcutt)
これは有益な記事だ。この判決は「依頼人と弁護士間の秘匿特権」についてと
いうよりはむしろ、「会社メールの使用、および社内システムからの私的メー
ルの送信についてのポリシーを設ける重要性」を示す判決である。
【編集者メモ2】(Schultz)
米国の裁判所での過去の判決を見ると、再三にわたって、依頼人と弁護士間の
秘匿特権の保護が掲げられている。その点で、この判決は非常に興味深いだけ
でなく、重要である。しかし、数年前にニュージャージー州のとあるケースで、
例外的な判決が見られた。このケースでは、解雇されそうだと知った従業員の
女性が、業務以外での会社のメールの使用が禁じられていたにもかかわらず、
それを使用して弁護人とやりとりを行っていたことが問題となった。しかし、
彼女と弁護士のやりとりのメッセージは依頼人と弁護士間の秘匿特権として、
彼らのメールを法廷で使用することは許可されなかった。
────────────────

◆Verizon 米国連邦通信委員会の「ネットの中立性」権限に裁判で異議申し
立て (2011.1.20)
Verizon Communicationsは、コロンビア特別巡回裁判区の米国控訴裁判所で、
米国連邦通信委員会(FCC)の「ネットの中立性」ルールの施行権限に対して異
議を申し立てる裁判を起こした。先月、FCCはブロードバンドプロバイダに対
し、ネットワーク通信を選択的に調整することを禁じるルールを承認した。こ
れに対しVerizonは「FCCが権限を主張すれば、それは議会が与えている権限を
はるかに超越し、通信業界、革新者、投資家、消費者に疑念をもたらす」と主
張している。
http://voices.washingtonpost.com/posttech/2011/01/verizon_challenges_fcc_rules_o.html
http://money.cnn.com/2011/01/20/technology/verizon_fcc/index.htm
http://www.computerworld.com/s/article/9205663/Verizon_files_lawsuit_over_FCC_net_neutrality_order?taxonomyId=17

【編集者メモ】(Ranum)
確かにこれには一理ある。実際に興味深いのは、「消費者が気にするかどうか」
という問題である。ほとんどの消費者は、「ネットの中立性」よりも、使用量
に準じて料金が発生する仕組みになっているのかどうかが気にかかっているこ
とだろう。
────────────────

◆調査会社の報告:ウィキリークスは文書の発掘にピアツーピアネットワーク
を使用していた? (2011.1.19-20)
米国ペンシルベニア州のピアツーピア(P2P)調査会社Tiversaは、「ウィキリー
クスが、同社のサイトで公表された文書をファイル共有ネットワークを介して
入手した」証拠があると述べている。同社によると、2009年2月7日にスウェー
デンのIPアドレスから特定の文書に目標を定めた検索が確認されたという。こ
れらの文書の中には、後にウィキリークスで公表されたものもあったようだ。
これに対し、Assangeの弁護士の1人は、同社の主張を「全ての点において完全
に間違っている」と否定した。ウィキリークスは、公表した問題の文書は、匿
名の情報源から獲得したものだと主張している。一方でTiversaは、ウィキリー
クスが文書をファイル共有ネットワークを介して入手したと、どのように断定
したのかは明らかにしていない。
http://www.wired.com/threatlevel/2011/01/wikileaks-and-p2p/
http://www.bloomberg.com/news/2011-01-20/wikileaks-may-have-exploited-music-photo-networks-to-get-classified-data.html
http://www.computerworld.com/s/article/9205699/WikiLeaks_obtains_much_secret_data_from_P2P_nets_not_leaks_firm_claims
http://www.theregister.co.uk/2011/01/20/wikileaks_p2p_scavenger_claims/
────────────────

◆GoogleとMozilla「追跡禁止」ブラウザの機能を発表 (2011.1.24)
Googleは、オンライン広告ネットワークの追跡クッキーを、ユーザー自身でオ
プトアウトできるというChromeブラウザの新機能を発表した。米国連邦取引委
員会が、「電話禁止」リストと同じような「追跡禁止」機能を要請したのは、
たった2か月前のことだ。この機能を使えば、ユーザーは自分の個人情報が収
集されてもよいか否かを選択できるようになる。Mozillaも最近になって、
Firefoxに同様の機能を追加することを検討していると述べている。
http://www.informationweek.com/news/software/infrastructure/showArticle.jhtml?articleID=229100128&subSection=Security
http://www.computerworld.com/s/article/9206061/Google_jumps_into_Do_Not_Track_debate_with_Chrome_add_on?taxonomyId=84
http://www.theregister.co.uk/2011/01/24/google_ad_opt_out_chrome_extension/
【編集者メモ】(Pescatore)
この文章は、「追跡禁止」という拡張機能にのみにあてはまるように、慎重に
制限されている。そしてその結果、あなたの目に入る広告はその人用に特化さ
れた広告ではなく、ごく標準的な広告になるというわけだ。つまり、追跡され
ていることには変わりはないが、自分用に特化された広告を目にしなくなるだ
けだ。しかし、そうとは述べられているわけではない。私に言わせると、問題
なのは追跡行為であり、個人に特化された広告を目にするというのは単なる症
状にすぎない。
────────────────

◆議会公聴会でデータ維持法案の復活を議論 (2011.1.24)
米国議会の委員会は、インターネットサービスプロバイダ(ISP)にユーザーの
活動の記録を維持するように義務付けるか否かを議論する公聴会を開く。委員
長補佐のF.James Sensenbrenner(ウィスコンシン州共和党)上院議員による
と、「この公聴会の目的は、インターネットの児童ポルノやその他のインター
ネット犯罪に対して警察が捜査を円滑に行えるように、特定のデータをISPに
維持してもらう必要性を検討することにある」という。そのためには、休眠中
のデータ維持法案(ISPに2年間IP情報を維持するように義務付ける法案)を復活
させる可能性もある。興味深いのは、データ維持について新たに関心が集まっ
たと同じ時期に、連邦取引委員会が、「追跡禁止」機能を要請したことだ。
http://news.cnet.com/8301-31921_3-20029393-281.html?tag=topStories1
────────────────

◆メディアの権利保持者 著作権侵害対策費用の75%を被ることに
(2011.1.21)
英国で提案されている派生法案では、違法なダウンロードであるという通知を
インターネットのユーザーに送信する費用、および、それに関連して発生する
起訴および上訴費用を、メディア権利保持者に75%、インターネットサービス
プロバイダ(ISP)に25%の割合で割り当てることとなっている。この手続きに
関しては、先春に急いで可決されたデジタル経済法の中に示されていたが、関
連費用の支払い責任の割り当てについては、当時決定されていなかった。
http://www.v3.co.uk/v3/news/2274367/government-piracy-ifpi-vaizey
http://www.itnews.com.au/News/245824,british-isps-to-share-the-cost-of-piracy.aspx
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃近日開催予定のセミナー         NRIセキュアテクノロジーズ
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2011年2月9日(水)<東京丸の内>
貴社の機密情報、適切に管理されていますか?
~機密情報の探査、識別から、誤送信対策まで~
http://www.nri-secure.co.jp/seminar/2011/0209.html?xmid=35&xlinkid=04
------------------------------------------------------------------------
○2月16日(水)・23日(水)、3月2日(水)<東京汐留>
情報資産識別・管理ソリューションミーティング
~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label01.html?xmid=35&xlinkid=05
------------------------------------------------------------------------
○2011年2月24日(木)・3月15日(火)<東京汐留>
事例から学ぶ特権ID管理実践セミナー
~特権ID管理と監査ログ管理を短期・安価で実現する
エージェントレスソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/ac01.html?xmid=35&xlinkid=06

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年1月21日 Vol.10 No.4)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            3
Cross Platform                 13 (#1)
Web Application - Cross Site Scripting     3
Web Application - SQL Injection         2
Web Application                 3
======================================================================
1.危険度【高】:Google Chromeにさまざまなセキュリティの脆弱性

<影響のある製品>
Google Chrome 8.0.552.334より前のバージョン

<詳細>
Googleは、WebブラウザのGoogle Chromeにあるさまざまなセキュリティの脆弱
性に対処できるパッチをリリースした。問題となっていた脆弱性には、ステイ
ルポインタ、メモリ崩壊、バッファオーバーフローなどの問題がある。これら
の脆弱性の深刻度は不明だが、中にはターゲットのマシンに対するコード実行
が可能になってしまうものもある。このようなブラウザのバグを悪用するには、
アタッカーは通常、ターゲットに悪意のあるサイトに行くように仕向けなけれ
ばならない。とりわけ、今回の更新では、Chromeに史上最多件数のバグが確認
された。また、音声処理においては、Stale Pointerが史上最多となった。

<詳細>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google ChromeのStable Release Channel
http://googlechromereleases.blogspot.com/2011/01/chrome-stable-release.html
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45788

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。