NRI Secure SANS NewsBites 日本版

Vol.7 No.10 2012年3月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.10 2012年3月14日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
今週、RSAカンファレンスで発表された話の中で最も重大な話が、今号の冒頭 ニュースになっている。米国国家安全保障局(NSA)は、モバイルデバイスのセ キュリティの確立への道を発見し、その説明を行った。軍専用のセキュリティ ではなく、あらゆる大規模組織でも使えるセキュリティを指している。このよ うなセキュリティは、ベンダーに対し、確実にNSAのロードマップに準拠する ツールやサービスを使用させることによって実現する。ほか、RSAが発表した 話の中には2番目に重大と言える話もあったが、この話が出た場では報道陣が 除外されていたのため、ニュースとして報じられていない。米国とカナダの政 府におけるサイバーセキュリティ上の最高指導者らが集結し、20の重大なコン トロールや、(毎日の)自動継続監視を標準とする方法とその理由(英国がすで に標準としたのを踏まえて)や、緩和策についての議論を交わし、今やこれら のコントロールは合理的な方針となった。米国大統領が、これらのコントロー ルの自動継続監視ツールの買収の迅速化と、政府全体への実装をスピーディに 行う目的で予算に2億ドルを追加したことを踏まえ、会合に参加した米国当局 の1人が、「我々は大きな転換期に来た」と記述している。

■■SANS NewsBites Vol.14 No.18-19
(原版:2012年3月2日、6日)

◆米国国家安全保障局(NSA)のモバイルセキュリティ (2012.2.29)
米国国家安全保障局(NSA)の試験プログラムは、商用のモバイルデバイスで使 える安全な機密通信の模範の作成を目的としたプログラムである。しかし、 NSAは、既製品ではNSAが必須としている基準やプロトコルの実装を行う際に一 貫性を維持できないことに気付いた。同局は、単一のプラットフォームに縛ら れたくないと考えているものの、とりあえず今のところは、既製品を使う以外 の選択肢はない。

http://www.cio.com/article/701252/National_Security_Agency_Defines_Smartphone_Strategy_Think_Android_Maybe_
http://gcn.com/articles/2012/02/29/rsa-10-nsa-secure-android-phones.aspx

【編集者メモ1】(Pescatore)
80年代後半頃、国家安全保障局(NSA)と国防総省(DoD)は、マルチレベルセキュ リティ(MLS)版のWindowsとSolaris、Unixなどを推進しようとした。理由は 今回と同じく、商用版では局や省が実装を行う際に一貫性を維持できないこと に気付いたからだ。そして、その数年後、DoDと諜報組織のコミュニティもMLS 版は使用できないことを見い出し、商用版を使用せざるをえなかった。暗号化 データコンテナの使用には、モバイルデバイスマネジメントや、ビジネス強化 のためのモバイルデバイス版App Storeの方が、アプローチとしてはより主流 だと言える。
【編集者メモ2】(Paller)
一方でNSAは、80年代の経験から多くを学んでいると思われるので、主要な生 産財購買業者や他国を巻き込んで共同の取り組みを行えば、異なる結果になる だろう。

────────────────

◆共和党上院議員 サイバーセキュリティ法案を提案 (2012.2.29-3.1)
共和党議員は、独自に作成したサイバーセキュリティ法案を米国上院議会で提 案した。この「IT保全法(SECURE IT Act)」は、サイバーセキュリティ法と比 べて規制が低い法案として推し進められている。同法案では、インセンティブ を設け、サイバー上の脅威に関する情報共有の促進を目指す。しかし、情報共 有のほとんどについては任意となっている。必須で情報共有を行わなくてはな らないケースは、脅威の情報が連邦契約と関係がある場合のみである。また、 今回新たに提案された法案によって、特定のサイバー犯罪で有罪となった者に 対する懲罰も厳格化される。

http://www.federalnewsradio.com/?nid=473&sid=2768801
http://www.computerworld.com/s/article/9224813/Republican_senators_introduce_their_own_cybersecurity_bill?taxonomyId=17
http://www.msnbc.msn.com/id/46595432/ns/technology_and_science-security/
http://thehill.com/blogs/hillicon-valley/technology/213307-republicans-to-introduce-cybersecurity-alternative-thursday

────────────────

◆米国空軍 サイバー分野でのキャリア構築の選択肢を設ける (2012.3.1)
米国空軍は、下士官兵・将校両者らが、任用期間中はずっとコンピュータ分野 での就業を続けることができるように、キャリア昇進の道を設けた。これまで は、サイバー分野で一服務期間を経た後は、他の分野で勤務期間をこなす仕組 みになっていた。そのため、コンピュータに興味のある人は、自分の好きな分 野で働き続けられるように、民間産業界に転職していた。空軍も、軍の給与は 民間セクターのそれには及ばないことを認めているが、一方で、空軍の主要な サイバー訓練部門の技術指導者のSkip Runyanの言うように、「空軍で、正当 な権限を持って働いていれば、民間セクターでは刑務所に送られてしまうよう なこともたくさんできる」という。

http://www.federalnewsradio.com/?nid=396&sid=2768121
────────────────

◆南米と欧州の警察 アノニマスの活動に関与する25人を逮捕 (2012.2.28-29)
アルゼンチン、チリ、コロンビア、スペインの警察が、ハッカー団「アノニマ ス」の関連で合計25人を逮捕した。今回の逮捕は「Operation Unmask(アノニ マス摘発作戦)」の一環であり、結果として、250個の機器の差し押さえにつな がった。これは、政府や政治的なWebサイト、企業のWebサイトへのサイバー攻 撃に対応するために講じた措置である。

http://www.wired.com/threatlevel/2012/02/anonymous-arrested-interpol/
http://www.h-online.com/security/news/item/Interpol-coordinates-arrests-of-Anonymous-hackers-1445286.html

────────────────

◆元CIA長官 戦争で「サイバー兵器で物理的な破壊行為が行われる」新たな局面の到来を見込む (2012.3.4)
最近、米国TVニュース番組の「60 Minutes」で、2010年6月に検知された Stuxnetに関する番組が放映された。「60 Minutes」で国家安全保障局の元局 長、および、元CIA長官のMichael Hayden退役大将は、「我々は、物理的な破 壊行為のためにサイバー兵器を使用する、戦争の新たな局面に入った」と述べ ている。彼は、「サイバー兵器は、『任務遂行後に自己破壊』しないため、敵 国が残されていた兵器の調査を行って、それを自国(自分)の目的を果たすよ うに作り変えようとする場合もある」と続けた。

http://news.cnet.com/8301-1009_3-57390326-83/60-minutes-profiles-threat-posed-by-stuxnet/

────────────────

◆世界中でLulzSecハッカー団のメンバー逮捕・告訴 (2012.3.6)
2大陸の警察が今朝早く、共謀容疑でハッカー団「LulzSec」のメンバーの3人 を逮捕、ほか2人を告訴した。警察は、同組織のリーダー(情報筋の話では、 このリーダーは数か月間、秘密裏に政府のために働いていたという)が収集し た証拠に基づいて行動を起こした。

http://www.foxnews.com/scitech/2012/03/06/hacking-group-lulzsec-swept-up-by-law-enforcement/#ixzz1oM0suc7h
http://www.foxnews.com/scitech/2012/03/06/hacking-group-lulzsec-swept-up-by-law-enforcement/

────────────────

◆米国連邦通信委員会(FCC) 携帯電話通信阻止に関する一般意見求める(2012.3.3)
米国連邦通信委員会(FCC)は、ワイヤレス通信の意図的な切断について一般意 見を求めている。この質問は、2011年8月に、サンフランシスコ・ベイエリア 高速鉄道(BART:San Francisco's Bay Area Rapid Transit)の地下鉄警察が、 計画されていた抗議デモを鎮圧するためにワイヤレス通信サービスをシャット ダウンしたことを受けて提起された。FCCによると、現在、警察への緊急電話 の70%は携帯電話から発信されているという。FCCは、2012年4月30日まで一般 意見を受付けており、5月30日までに回答する意向だ。

http://arstechnica.com/tech-policy/news/2012/03/who-can-shut-down-cell-phone-service-fcc-seeks-public-comment.ars
http://news.cnet.com/8301-1009_3-57389838-83/fcc-seeks-comment-on-police-shutdowns-of-cell-service/
http://transition.fcc.gov/Daily_Releases/Daily_Business/2012/db0301/DA-12-311A1.pdf

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○4/18・5/18・6/21             <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○4/20・5/24・6/13             <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=05

○4/26・5/16・6/15             <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃秘密分散技術によって安全なクラウドストレージサービスを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ファイルを所定のフォルダに入れるだけで、非重要情報化して複数のクラウド
に遠隔地分散保管。1ファイルが足りなくても、ダブルクリックで簡単復元。
クラウドバックアップやファイルサーバ、BCP対策にも!  <NRIセキュア>
http://www.nri-secure.co.jp/service/pv/secretshare/index.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃いまだけの特割キャンペーン!            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
~クライアント型で、負荷なく楽々導入&運用!従業員の意識向上も~
メール誤送信防止ソリューション「SecureCube / Mail Adviser」
  ◇年度末キャンペーン :ライセンス料を特別価格にて!
  ◇乗り換えキャンペーン:ライセンス料を50%OFF!
http://www.nri-secure.co.jp/service/cube/mailadviser.html?xmid=300&xlinkid=08

 ○2011年12月、1万ユーザに導入したお客様のコメント
http://www.nri-secure.co.jp/whats_new/2012/0125_2.html?xmid=300&xlinkid=09
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年3月1日 Vol.11 No.9)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
2
Linux
2
Aix
1
Cross Platform
6 (#1)Web Application - Cross Site Scripting
1
Web Application - SQL Injection
2
Web Application
10
Hardware
2
======================================================================
1.【高】:Sambaにリモートのコード実行の脆弱性

<影響を受ける製品>
Samba 3.4.0以前のバージョン

<詳細>
Sambaサーバにあるコード実行の脆弱性に対処するパッチが、Samba用にリリー スされた。Sambaは、Microsoft Windows OSで用いられるSMB/CIFSプロトコル を介して、ファイル・プリントサービスに、オープンソースのプラットフォー ムを提供している。SMBプロトコルには、SMBコマンド、メモリ内にある次の AndXブロックに対するオフセットを含むAndXメッセージなどがある。Sambaは 「メッセージが単調に増加しているかどうか」を検証しないため、攻撃者は、 前のAndXメッセージを指定するオフセットのあるループを、SMBに入力させる ことができる。そして最終的に、Sambaは、ヒープ上のバッファを上書きする。 攻撃者は、Sambaサーバへ悪意のあるリクエストを送信すれば、ルート許可で ターゲットのマシン上に任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.samba.org
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/52103

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。