NRI Secure SANS NewsBites 日本版

Vol.6 No.6 2011年2月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.6 2011年2月8日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
最も厄介な10のセキュリティ問題に対する解決策を見出すために、「全米サイ
バーセキュリティ イノベーションアワード」が催される。対象となっている
困難な問題のリストを読むだけでも、なかなか興味深い。参加募集締め切りは
2月11日だ。

新しいサイバーセキュリティのキャリアについての動画で、Mac Thornberry議
員(下院議長に議会のサイバーセキュリティのイニシアチブをとる議員として
選ばれた)と高校生が、米国サイバーチャレンジ高校競技会の開催を宣言し、
「挑戦しよう」と呼びかけている。これは、高校生に参加を促すための有効な
方法であろう。もうすぐYouTubeにアップされるが、その前にもこのリンクで
動画を見ることができる。
http://vimeo.com/19286247.
■■SANS NewsBites Vol.13 No.8 - Vol.13 No.9
(原版:2011年1月28日、2011年2月1日)

◆Facebook セキュリティを増強 (2011.1.26)
Facebookのファンページに、Facebookの創始者であるMark Zuckerbergの名前
で奇妙な掲示が書き込まれるということがあったが、その後たった数時間で、
Facebookはセキュリティの機能を増強し、それを解決した。同社は、問題の原
因はバグだったと述べている。このセキュリティ機能の増強により、Facebook
ユーザーは、自分のページにHTTPSでアクセスすることを選択できるようになっ
た。これによって、自分のアカウントがワイヤレスで乗っ取られたり、盗聴さ
れることを防ぎやすくなる。これまでFacebookは、ユーザーのパスワードを同
社に送信する時に限りHTTPSを用いていた。ユーザーがHTTPSを選択するには、
SSLを手動で有効にしなくてはならず、そうするとサードパーティのFacebook
アプリは使用できなくなるという。このサービスは米国では利用可能だが、世
界的にはスタートしていない。
http://www.wired.com/threatlevel/2011/01/facebook-https/
http://www.h-online.com/security/news/item/Facebook-now-SSL-encrypted-throughout-1178190.html
http://www.computerworld.com/s/article/9206524/Facebook_unveils_security_tools_after_Zuckerberg_8217_s_page_hacked?taxonomyId=17

【編集者メモ】(Pescatore)
個人ユーザーにとって、SSLがどこにでもあるというのは、一般的に見てよい
ことだろう。しかし、Facebookへのアクセスを許可したい企業にとっては、機
密情報や不適正なコンテンツが外に流出してしまう可能性がある。SSLを使う
ということは、可視性を失うか、もしくは、プロキシが可視性を維持できる形
で用いられていることを意味している。
────────────────

◆米国銀行に 最新のオンライン認証のガイドライン (2011.1.25)
連邦金融機関検査委員会(FFIEC)は、銀行のために新しいオンライン取引認証
のガイドラインを発行する予定だ。このガイドラインによって、既存の推奨策
も明確化される。以前のバージョンのガイドラインでは、銀行は認証に二要素
認証を用いることが求められていたが、方法についてはそれぞれの銀行で選べ
るようになっていた。セキュリティの向上に役立たないか、もしくは、役立っ
たとしても少ししか役に立たない方法を選んだ銀行もあるのが現状だ。そのた
め、今回は最新のガイドラインを発行して、銀行がとるべきステップを明確化
した。オンライン取引によるサイバー上の窃盗が、ここ数年で増加している。
窃盗犯らは中小企業をターゲットにしているようだ。その一方で、窃盗犯らに
よって、取引監視のコントロールや不正取引警告システムの導入の必要性に注
目が集まるようになった。
http://www.computerworld.com/s/article/9206158/Banks_may_soon_require_new_online_authentication_steps?taxonomyId=82
http://www.bankinfosecurity.com/articles.php?art_id=3282

【編集者メモ1】(Schultz)
最新のFFIECのガイドラインによって、セキュリティを向上しようとしている
銀行の取り組みを支援することはできるが、銀行が取引の保護を今よりもさら
に真剣に考えるようにならなければ実現しない。
【編集者メモ2】(Northcutt)
素晴らしいタイミングでこのガイドラインが発行された。NISTによって、2010
年末には多数ある比較的弱い暗号アルゴリズムが退陣に追い込まれた。つまり、
今こそ金融機関が2要素認証でペットの名前を使用するのを止める潮時なのだ。
http://csrc.nist.gov/publications/nistpubs/800-131A/sp800-131A.pdf
────────────────

◆米国議員 デバイスの位置情報のプライバシーの保護を求める (2011.1.26)
米国のRon Wyden議員(オレゴン州民主党)は警察に対し、携帯デバイスの位
置情報を求める際に、令状の取得を義務づける法案を導入しようと考えている。
市民のプライバシーを懸念してのことだという。
http://news.cnet.com/8301-31921_3-20029677-281.html
http://www.computerworld.com/s/article/9206538/Senator_wants_privacy_protections_for_device_location?taxonomyId=17

【編集者メモ】(Pescatore)
これは、いわゆる「その一方で…」という文句を連発してしまいそうな種類の
問題である。有線の電話回線が主流だった時代においては、米国は、警察に通
話の発信先・発信源の番号を令状なしで記録することを許可できるように進化
していった。つまり、警察はその物理的な位置情報を原則的につかめる仕組み
になっていた。移動している携帯電話の物理的な位置情報を獲得するには、ほ
とんどの場合、令状が必要となっている。その一方で、さまよえるアルツハイ
マー患者を見つけるための「シルバー・アラート」においては、行方不明者を
迅速に見つけるために携帯の位置情報をとても有効に利用している。ここに、
どちらが正しくて間違っているか、という問題はない。どの社会においても、
おのおのは、個別に妥協案を見出さなくてはならないものなのだ。
────────────────

◆ロンドン警視庁 ウィキリークス支持のDDoS攻撃に関連した5人を逮捕
(2011.1.27)
ロンドン警視庁は、緩やかに組織化されている集団(通称「匿名」)が行った
DDoS攻撃に関して捜査を行った。これにより、英国当局は、この攻撃に関連し
たと思われる15歳から26歳までの5人を逮捕した。問題の5人は、英国コンピュー
タ不正利用禁止法の下に起訴される予定だ。問題のグループは、PayPalやVisa、
Master Cardなど、ウィキリークスへの金融サービスを停止した企業に攻撃を
仕掛けていた。
http://www.bbc.co.uk/news/technology-12299137
http://www.computerworld.com/s/article/9206623/UK_police_arrest_five_Anonymous_WikiLeaks_defenders?taxonomyId=17
http://www.theregister.co.uk/2011/01/27/anon_hacking_suspects_uk_arrest/
────────────────

◆米国議員 サイバーセキュリティ法を再導入する見込み (2011.1.28-29)
米国議員らは、今会期中にサイバーセキュリティ法を再導入する意向を示した。
懸案中の法案の中には、大統領に、いわゆる「インターネット遮断スイッチ」
を与えるものもある。この法案によって大統領にインターネットをシャットダ
ウンする権限が与えられる訳ではないが、緊急時に、米国の重要インフラの特
定部分をインターネット接続から遮断することができる権限が与えられるこ
とになる。例えば、サイバー攻撃が差し迫った状況では、大統領は、フーバー・
ダムの水門をコントロールするシステムをインターネットから遮断するように
命令できる。しかし、この考えは、市民の自由の支援グループから反対を受け
ている。問題とされているのは、政府がどのようにして、そのサイバー攻撃が
切迫したものかどうかを決めるのかということである。エジプトのホスニ・ム
バラク大統領が最近、抗議運動や反対意見を抑える目的で、エジプト中のイン
ターネット接続を停止させたことを踏まえ、この法案に懸念が生じている。
http://thehill.com/blogs/hillicon-valley/technology/141081-democrats-reopen-cybersecurity-debate
http://www.wired.com/threatlevel/2011/01/kill-switch-legislation/s
http://www.msnbc.msn.com/id/41311880/ns/technology_and_science-security/
http://www.scmagazineuk.com/egypt-severs-internet-connectivity-to-leave-it-in-a-black-hole/article/195160/
【編集者メモ】(Schultz)
あらゆる面で、インターネットの接続性そのものが、国家のインフラのセキュ
リティにおける重要な問題になっている。望もうが望まなかろうが、インター
ネットの接続性を維持するか断ち切るかについて、権限のある機関に意思決定
を下してもらう必要がある人間がいるのだ。私が最も心配しているのは、この
ような意思決定に権限を持つ人間に対する大衆の意見は、おおむね、支持する
政党がどこかよって違ってくることがほとんどだということだ。
【編集者メモ】(Northcutt)
フーバー・ダムの水門にインターネットを接続することが、よい考えだとは思
えないが…。エジプトに関して言えば、SayNow/Google Speak2Tweetのアプリ
は、素晴らしい。なぜならこのアプリは、エジプトにいる人々の心の内を共有
する際に大いに役立っているのだから。
http://googleblog.blogspot.com/2011/01/some-weekend-work-that-will-hopefully.html
────────────────

◆Google コネチカット州検事総長と示談交渉に (2011.1.28-29)
Googleは、コネチカット州George Jepsen検事総長と示談交渉に入った。同検事
長は、StreetViewのケースを今のところ審理しない意向である。昨年、コネチ
カット州前検事総長のRichard BlumenthalはGoogleに対し、Street View用に画
像や情報を収集する際にうっかり同社が収集してしまったデータを提出するよ
うに命じ民事捜査要求(召喚令状のようなもの)を発行した。しかし、Google
はこの要求を拒否。示談の一環として、Googleはうっかり収集した情報の中に、
メールメッセージや、検索したWebページの全データか部分的なデータがあるこ
とを認めることになるだろう。現在のコネチカット州検事総長であるGeorge
Jepsenは、同社との交渉が悪化するようなら、起訴に持ち込む姿勢だ。(前検事
総長のBlumenthal氏は、現在米国の上院議員を務めている。)
http://latimesblogs.latimes.com/technology/2011/01/google-reaches-deal-with-connecticut-in-wi-fi-probe.html
http://www.nbcconnecticut.com/news/local-beat/Connecticut-Google-Make-Progress-in-StreetView-Prying-Battle-114816079.html
http://www.eweek.com/c/a/Security/Google-Connecticut-Avoid-Court-for-Street-View-Data-Grab-177064/
http://www.theregister.co.uk/2011/01/29/google_connecticut_aggreement/
────────────────

◆最新のGoogle Android OSに、情報開示の欠陥 (2011.1.28-29)
北カロライナ州立大学の研究者が、Google AndroidのOSにある脆弱性を検知し
た。この脆弱性が悪用されると、攻撃者は、デバイスのメモリカードにあるファ
イルの読み取りやアップロードができるようになってしまう。つまり、メモリ
カードにバンキング情報や留守電が保存されていれば、それも対象になる。旧
バージョンのOSにも同様の欠陥が見つかったが、これは、Gingerbreadとして知
られているバージョン2.3で修正されているようだ。
http://www.darkreading.com/insider-threat/167801100/security/vulnerabilities/229200006/data-leak-flaw-found-in-newest-version-of-google-android.html
http://www.theregister.co.uk/2011/01/29/android_data_disclosure_bug/
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃いまだけのお得なキャンペーン実施中!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
WEBからの脅威防止に役立つサービスをいまだけのお得な料金でご提供
<1>セキュアWebアプリケーション構築のためのハンズオントレーニング
<2>Webアプリケーションを安全に設計・開発するためのガイドライン
<3>PCI DSS準拠に必要なASVスキャン

詳細・お問い合わせは
http://www.nri-secure.co.jp/whats_new/2010/1210.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃近日開催予定のセミナー         NRIセキュアテクノロジーズ
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月16日(水)・23日(水)、3月2日(水)<東京汐留>
情報資産識別・管理ソリューションミーティング
~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label01.html?xmid=35&xlinkid=05
------------------------------------------------------------------------
○2011年2月24日(木)・3月15日(火)<東京汐留>
事例から学ぶ特権ID管理実践セミナー
~特権ID管理と監査ログ管理を短期・安価で実現する
エージェントレスソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/ac01.html?xmid=35&xlinkid=06

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年1月28日 Vol.10 No.5)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
Linux                     3
Aix                      1
Novell                     1 (#1)
Cross Platform                23
Web Application - Cross Site Scripting     2
======================================================================
1.危険度【中】:Novell Groupwise Internet Agentにさまざまな脆弱性

<影響のある製品>
Novell Groupwise Internet Agent 8.02より前のバージョン

<詳細>
Novellは、メールサービスを提供する業務用提携製品、Groupwiseにあるさま
ざまな脆弱性にパッチをリリースした。Groupwiseは、スケジュール情報の連
絡手段としてのオープンスタンダード、vCalendarのデータ処理を行うものだ。
今回パッチが適用された脆弱性は、メールメッセージでTZIDやREQUEST-STATUS
ヘッダーの解析を行うコードにエラーが発生するために生じる。これらのヘッ
ダーは固定長のバッファにコピーされるため、攻撃者はターゲットのマシンに
おいて、SYSTEM権限でこのバッファオーバーフローの脆弱性を悪用できるよう
になってしまう。この悪用を実現するために、悪用される側であるユーザーの
操作は必要ない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.novell.com
Novellのセキュリティ更新
http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7007638&sliceId=1&docTypeID=DT_TID_1_1&dialogID=199990255&stateId=0%200%20199988170
http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7007155&sliceId=1&docTypeID=DT_TID_1_1&dialogID=199990003&stateId=0%200%20199988016
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-025/
http://www.zerodayinitiative.com/advisories/ZDI-11-027/
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/45994
http://www.securityfocus.com/bid/46025
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。

============