NRI Secure SANS NewsBites 日本版

Vol.6 No.9 2011年3月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.09 2011年3月1日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
米国国家安全保障局(NSA)および米国サイバーコマンドの最高幹部である
Alexander長官が先日行ったスピーチを聞き逃した方のために、今一度申し上
げよう。Alexander長官は「米国サイバーコマンドは極秘の攻撃シグネチャー
を、機密情報を保護できる民間産業と共有するプログラムをテストしていく
意向である」と4,000人の聴衆に告げた。このような共有を行うことによって、
民間産業は国防総省のネットワークを保護しているシステムと同じくらい最新
の早期警告・フィルタリングシステムを設置できるようになる。非常にクール
なことだ。

セキュリティの有効性を測定:前進
技術、金融、国防産業基盤企業の最高情報セキュリティ責任者(CISO)らが、先
週のRSAカンファレンスにおいて、セキュリティ改革やセキュリティ製品の有
効性を測定するため共同で取り組みを行う方法を見出し、お金を費やすべきよ
りよい意思決定を行うために、有効性を証明できる初めての測定基準の概要を
打ち出した。彼らは、より大きなセキュリティのコミュニティが討論に参加で
きるよう、コミュニティをけん引していく役割をSANSに求めていた。この土俵
で専門知識があり参加を希望する方は、セキュリティの有効性を測定できる具
体的な測定方法の詳細(大規模な組織で有益なもの)、およびその使い方を我
々にお送りいただきたい。送信の際には、件名を「Security Effectiveness」
として、apaller@sans.orgまで。システムインテグレータやCISO、その他の方
々からの情報をお待ちしている。提案された測定方法が有望とみなされた場合、
提案者は討論の場に招待されることになる。測定事例を必ず添えて、メールを
送信していただきたい。

■■SANS NewsBites Vol.13 No.14-15
(原版:2011年2月18日、2月22日配信)

◆米国議会議員 Webサイト押収法案を再提案 (2011.2.16)
米国議会議員は、海賊版や偽造品の取引を行っているWebサイトを閉鎖できる
ように政府局の権限を拡大する法、オンライン侵害・偽造行為対策法案の提出
を考えている。同様の目的のCOICA(Combating Online Infringements and
Counterfeits Act)法案が昨年提案されたが、上院議会はこの法案に関して行
動を起こさなかった。同法案は、成立していたとすれば、著作権侵害行為を行っ
ているWebサイトを閉鎖する権限を米国司法省(DoJ)に与えうるものだった。
ISPが他の制限的ではない措置を受け入れらない場合は、ISPに法遵守にかかる
費用の支払いを行うか、ドメイン名の押収を行うかどちらかの行動に出ること
になると思われる。しかし、その前に、司法省が押収を要求できるドメインの
件数に上限を設ける条件が付く形にCOICAを変更するように勧める声もある。
http://www.computerworld.com/s/article/9209864/Senators_explore_Web_site_seizure_options?taxonomyId=144

【編集者メモ】(Schultz)
勧めにあるような変更を加えれば、この法案はより好ましいものになる。前述
にあるように、条項がこのままの形だと、不正を行っている疑いのある個人に
遡及権を与えずに、司法省に大きな力が与えられることとなってしまう。
────────────────

◆スペイン 著作権侵害対策法案を承認 (2011.2.16)
スペイン議会は、娯楽コンテンツの海賊版の違法ダウンロードに関係したWeb
サイトを監督機関が閉鎖できるようにする法を承認した。旧法案は無効となる。
新法案のために公開討論会が設けられ、そこでコンテンツの海賊版に携わって
いる疑いのあるサイトに対する苦情を受け付けるという。全てのケースにおい
て、判事が最終決定を下すようだ。
http://abcnews.go.com/Technology/wireStory?id=12930240
────────────────

◆豪州政府 サイバー犯罪条約について協議 (2011.2.21)
豪州政府は、提案されているサイバー条約について一般のコメントを求めてい
る。この条約では、政府がリアルタイムでネットワーク通信のデータ収集を命
令できるようになっている。豪州は、2004年に設立された「サイバー犯罪につ
いての欧州会議委員会」への調印を考えているところだという。豪州は、条約
の大部分にすでに従っているものの、通信データの収集と保管に関する条約条
項については法改正が必要になる。
http://www.securecomputing.net.au/News/248569,feds-seek-comments-on-cybercrime-treaty.aspx
http://www.telecomseurope.net/content/australia-consults-cyber-crime-treaty
http://www.theaustralian.com.au/australian-it/police-empowered-to-raid-net-for-crime/story-e6frgakx-1226008211518
────────────────

◆サイバーセキュリティ法案 インターネット遮断スイッチを明確に禁止
(2011.2.18)
先日、米国上院議会で提案された法案(サイバーセキュリティとインターネッ
トの自由法)には、法案の起草者らの意図が明確に示されている。同法案では、
インターネットを遮断する大統領の権限が明らかに否定されているという。
「同法案の起草者らは、インターネット遮断スイッチに関する条項を法案にす
でに組み込んでいる」という報道がなされたため、それに準ずるように、新し
い文言が作成されたようだ。新法案によって、重大なインフラの運営者や所有
者らはネットワークにある脆弱性に対処することを義務付けられることになる。
http://www.computerworld.com/s/article/9210339/Bill_would_prohibit_Internet_kill_switch_?taxonomyId=17
http://hsgac.senate.gov/public/index.cfm?FuseAction=Press.MajorityNews&ContentRecord_id=3623b3da-5056-8059-7644-0dcbd7558317

【編集者メモ1】(Schultz)
インターネットを遮断する米国大統領の権利に対して異を唱えている人は、水
道本管が破裂して洪水が起きているのに、市長に水を止める権利を与えること
を反対しているようなものだ。インターネットは、便利であると同時に破壊兵
器にもなりうる。そしてすでに幾度も、インターネットは破壊行為に使われて
きている。したがって、明らかにインターネットが兵器として使われている場
合には、その継続的運用について意思決定を下せる権限を誰かが持つべきだ。
【編集者メモ2】(Northcutt)
senate.govに法案のpdfへのリンクがある。もしくは、下のURLを参照いただき
たい。ざっと見たところ、煩わしいと思われるものは何もなかった。勝者・敗
者という点では、US-CERTが勝者、NIST(米国標準技術研究所)が敗者であるよ
うに思える。「連邦政府職員や請負業者らには、セキュリティ認定を受ける必
要がある」と言及している部分はなかった。しかし、1つ前のバージョンには、
そのような趣旨のことが書かれていたようだ。
http://hsgac.senate.gov/public/index.cfm?FuseAction=Files.View&FileStore_id=16941f6e-cccf-42c0-ab6e-ac6968f2c789
────────────────

◆下院議会の支出案修正 米国連邦通信委員会(FCC)の「ネットの中立性」の
導入妨げる (2011.2.17)
米国議員らは、HR 1の修正案について投票を行った。この議会年次支出法案は、
2010年12月に提案された「ネットの中立性」ルールを導入するために受け取っ
た資金を、米国連邦通信員会(FCC)が使用することを禁じるものだ。下院・共
和党議員らは、「FCCはその権限の範囲を度を超えて広げようとしている」と
述べている。同法案は可決され、次は上院での審議を待つのみとなる。
http://voices.washingtonpost.com/posttech/2011/02/house_votes_to_stop_funds_for.html
http://www.computerworld.com/s/article/9210159/House_passes_defunding_of_Net_neutrality_rules

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃近日開催予定のセミナー         NRIセキュアテクノロジーズ
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月2日(水)<東京汐留>
情報資産識別・管理ソリューションミーティング
~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label01.html?xmid=38&xlinkid=08
------------------------------------------------------------------------
○2011年3月3日(木)<東京丸の内>
今できるeディスカバリの為の情報管理セミナー
~情報システム視点での事前対策の提言~
http://www.nri-secure.co.jp/seminar/2011/0303.html?xmid=38&xlinkid=09
------------------------------------------------------------------------
○3月15日(火)<東京汐留>
事例から学ぶ特権ID管理実践セミナー
~特権ID管理と監査ログ管理を短期・安価で実現する
エージェントレスソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/ac01.html?xmid=38&xlinkid=10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年2月18日 Vol.10 No.8)

<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
Third Party Windows Apps            2 (#1)
Linux                     3
Novell                     1
Cross Platform                14 (#2)
Web Application - Cross Site Scripting     6
Web Application - SQL Injection        1
Web Application                4
======================================================================
1.危険度【高】:Microsoftアクティブディレクトリの"BROWSER ELECTION"に
バッファオーバーフローの脆弱性

<影響のある製品>
Microsoft Windows 2003

<詳細>
Microsoftのアクティブディレクトリは、CIFS(Common Internet File System)
ブラウザプロトコルやその他のさまざまなものを、同プロトコルを使用するネッ
トワークに実装する。CIFSブラウザプロトコルは、使用できるリソースについ
ての情報交換を容易にするものだ。しかし、このアクティブディレクトリは、
固定長のバッファに大量のメモリがコピーされてしまうという状態を引き起こ
すinteger overflowに脆弱である。データのサイズが「非常に大きい」と保証
されていないため、悪用が試みられるとバグチェックが発生しプログラムが終
了されてしまう。このため、Microsoft Security Response Centerは、この脆
弱性を利用してコードが確実に実行される可能性は低いと述べている。一方、
悪用される可能性が最も高いのはDoS攻撃である。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoft TechNet
http://blogs.technet.com/b/srd/archive/2011/02/16/notes-on-exploitability-of-the-recent-windows-browser-protocol-issue.aspx
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/46360
────────────────

2.危険度【高】:Oracle Javaにさまざまな脆弱性

<影響のある製品>
Windows、Solaris、Linux用のJDK、および、JRE 6 Update 3までのバージョン
Solaris 9用のJDK 5.0 Update 27までのバージョン
Solaris 8用のSDK 1.4.2_29までのバージョン
Windows、Solaris、Linux用のJDK、および、JRE 6 Update 23までのバージョン
Windows、Solaris、Linux用のJDK、および、JRE 5.0 Update 27までのバージョン
Windows、Solaris、企業用Linux Java用のSDK、および、JRE 1.4.2_29

<詳細>
Oracleは、Javaバーチャルマシン(JVM)に影響を及ぼすさまざまな脆弱性にパッ
チをリリースした。これらの脆弱性の多くはリモートのコード実行を可能にし
てしまうもので、全ての脆弱性において、攻撃者は悪意あるページを閲覧する
ようにターゲットを仕向けなければならない。脆弱性としては、JVMによって
信頼されていないコード処理に関連した脆弱性などがある。この脆弱性は通常、
サンドボックスされるものだ。ファイルの一部がJVMによって正しく解析され
ないために、攻撃者はこの脆弱性を悪用して、システムレベルの許可でター
ゲットのマシンに対して任意のコードを実行できるようにしてしまう。この
脆弱性は、特に、machine-およびoperating-system-独立型のエクスプロイト
コードを実行する際に用いられるという。

<現状>
ベンダーはこの問題を認識しており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.oracle.com
Oracleのセキュイティアドバイザリ
http://www.oracle.com/technetwork/topics/security/javacpufeb2011-304611.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-082/
http://www.zerodayinitiative.com/advisories/ZDI-11-083/
http://www.zerodayinitiative.com/advisories/ZDI-11-084/
http://www.zerodayinitiative.com/advisories/ZDI-11-085/
http://www.zerodayinitiative.com/advisories/ZDI-11-086/
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/46386
http://www.securityfocus.com/bid/46388
http://www.securityfocus.com/bid/46391
http://www.securityfocus.com/bid/46394
http://www.securityfocus.com/bid/46395
http://www.securityfocus.com/bid/46399
http://www.securityfocus.com/bid/46400
http://www.securityfocus.com/bid/46402
http://www.securityfocus.com/bid/46403
http://www.securityfocus.com/bid/46406
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、 info@sans-japan.jp まで返信してください。