NRI Secure SANS NewsBites 日本版

Vol.7 No.14 2012年4月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.14 2012年4月16日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
Facebookの開発者の方で、Consumer Reports Magazineが素晴らしい記事を作 成するための手伝いをされたいとお考えの方は、あなたのFacebook開発経験に 関する説明を添えて apaller@sans.org までご一報を。

追伸:SANSの最大かつ素晴らしいトレーニングプログラム(ワシントンDC開催)、 SANSFIRE 2012が参加申し込み受付を開始した。お申し込みはこちら:
http://www.sans.org/sansfire-2012/

■■SANS NewsBites Vol.13 No.28-29
(原版:2012年4月6日、4月10日)

◆Apple、Javaの欠陥に修正プログラムを発行:Mozilla FirefoxにあるJavaの古いバージョンをブラックリストに載せる (2012.4.4-5)

Appleは、Mac OS XのJavaの実装にある脆弱性に修正プログラムをリリースし た。しかし、50万台以上のコンピュータが、AppleのOSのマシンをターゲット にしているマルウェアに感染してしまう前に、この修正プログラムを発行する ことはできなかった。トロイの木馬プログラム「Flashback」の派生形が、脆 弱なMacを感染させている。このJavaの問題に対するWindowsのパッチは、1カ 月以上前に適用されている。MacのJava修正プログラムでは、全部で12個の問 題に対処しているが、これらは全て危険度が「重大」の問題となっている。
今回のアップデートは、Mac OS X 10.6のSnow Leopardと、10.7のLion用に発 行された。この欠陥が世間で活発に悪用され、マルウェアの感染を拡大してい ることが明らかになった後、Appleは、すぐにこの問題への対応を行ったが、 Javaの修正プログラムの発行が全般的に遅れているため、それを疑問視する声 もある。Mozillaは、Javaのエクスプロイトからユーザーを保護する措置も とっている。このアップデートでFirefoxが変更されたことで、Javaの旧バー ジョンは阻止されるようになる。

http://www.h-online.com/security/news/item/Apple-and-Mozilla-take-on-Java-vulnerabilities-1500931.html
http://www.theregister.co.uk/2012/04/04/apple_java_update/
http://www.computerworld.com/s/article/9225837/Apple_patches_Mac_Java_zero_day_bug?taxonomyId=82&pageNumber=2
http://krebsonsecurity.com/2012/04/urgent-fix-for-zero-day-mac-java-flaw/s
http://tech.fortune.cnn.com/2012/04/05/apple-closes-a-trojan-loophole-after-550000-macs-are-infected/
http://www.v3.co.uk/v3-uk/news/2166330/half-million-macs-enslaved-botnet
http://news.cnet.com/8301-1009_3-57409619-83/more-than-600000-macs-infected-with-flashback-botnet/
────────────────

◆Sky News 電子メールをハッキングしたことを認める (2012.4.5)
Murdoch News Corporationが一部所有しているSky Newsは、民間人の電子メー ルのアカウントをハッキングする許可を2件に渡り与えていたことを認めた。 Sky Newsは、「問題の行動には、公共の利益のために行った」と主張している が、英国のコンピュータ不正使用法では、そのような行動は許可されていない。 両方の件に関与していたのは、Sky News North of Englandの記者、Gerard Tubbである。1つ目のケースでTubbは、妻が多額の死亡保険金を受け取れるよ うに、2002年に自分を死んだことにした男性のYahooメールのアカウントに侵 入した。もう1つのケースでは、彼は児童性虐待容疑者の電子メールのアカウ ントにアクセスしている。

http://arstechnica.com/tech-policy/news/2012/04/sky-news-admits-to-hacking-e-mail-accounts.ars
http://www.telegraph.co.uk/news/uknews/crime/9188402/Sky-News-admits-hacking-emails-of-canoe-man-John-Darwin.html
http://www.usatoday.com/news/world/story/2012-04-05/rupert-murdoch-sky-news-hacking/54041982/1
【編集者メモ1】(Honan)
電子メールのアカウントへの侵入行為が「公共の利益のため」だったからといっ て、その行為の非合法性が弱まるわけではない。

【編集者メモ2】(Murray)
市民的不服従を主張する場合は、それに伴う結果に苦しむ心構えが必要だ。今 回のケースが、適例になればよいと思う。Bradley Manningも、同じ主張を行 うかもしれない。

────────────────

◆Megauploadの弁護士談:このケースが厄介な判例になる可能性も (2012.3.3)
米国のストレージサービス企業、Megaupload社の弁護士は、「同社が有罪となっ た場合、他のクラウドストレージサービス企業も、顧客のファイルのコンテン ツに関して責任を問われることになりうる」と述べた。米国検察が同社の幹部 らの身柄引き渡しに成功し、Megaupload社と同人らを裁判にかけることができ れば、このケースは、米国内のクラウドサービスプロバイダに対する著作権侵 害の刑事訴訟として初めてのケースとなる。刑事裁判においては、検察側は被 告の一次著作権侵害、つまり「被告が著作権侵害を認識しており、意図的に同 法を侵害した」と立証する必要がある。Megauploadに対する起訴では、特定の コンテンツは引用されておらず、コンテンツを共有していた個人の氏名も出さ れていない。また、「ユーザーの行為に対する責任は、Megauploadや同社の運 営者側にある」としている。米国のプライバシー関連法では、クラウド・スト レージサービスプロバイダに対し、顧客が保存しているコンテンツの調査を禁 じている。

http://www.computerworld.com/s/article/9225822/Megaupload_lawyer_says_case_could_affect_other_storage_services?taxonomyId=82

────────────────

◆調査結果:職場へのデバイス持ち込み(BYOD)ポリシーの必要性 浮き彫りに (2012.4.4-5)
SANSが行った「第1回モビリティセキュリティ年次調査」によると、企業数社 は従業員に、彼ら個人が所有しているモバイルデバイスを職場に持ち込んで使 用することを許可しているが、その多くは、従業員が何のデバイスを使用して いるかを把握していないということが明らかになった。
BYOD: bring-your-own-device(個人所有デバイスの持ち込み)に関するセキュリティ や、使用に関するポリシーがない、もしくは、あったとしても「多少」にとど まる組織が半数以上だった。調査によれば、「社用ネットワークへのアクセス が許可されているデバイスはどのデバイスか」をはっきりと掌握していた組織 は、回答を寄せた組織のうち9%だけだった。

http://gcn.com/articles/2012/04/05/byod-sans-report-organizations-in-the-dark.aspx
http://www.darkreading.com/mobile-security/167901113/security/news/232800317/sans-survey-byod-widespread-but-lacking-sufficient-oversight.html
【編集者メモ】(Honan) 「BYOD」は、今に始まったことではない。社用メールへのリモートWebアクセ スや、USBデバイスを社用システムに接続する行為を許可している企業であれ ば、いかなる企業であっても、デフォルトでBYODプログラムを運用している。 企業はこの実態を認識し、状況に応じてポリシーやコントロールを作成する必 要がある。

────────────────

◆EDA(米国経済開発局) マルウェア感染後数か月オフラインに (2012.4.9)
米国商務省・経済開発局のコンピュータシステムが数か月前にマルウェアに感 染したが、同局はその際、システムをインターネットから外す措置をとった。 EDAは、困窮している地域に補助金の提供を行っている商務省内の小規模な局 である。セキュリティチームは、マルウェアの隔離やシステムの浄化をまだ実 行できていない。そのため、同局のオフィスは、FAXや電話、電話によるメッ セージをメモで書きとめるなど、時代遅れのコミュニケーション技術を使用す る態勢に逆戻りしている。従業員は依頼人らに連絡をとり、インターネットな しでやり取りを行う方法としてどの方法を好むかを尋ねている。EDAは、「こ のような状況に置かれたことで人間同士の交流が増えた」と述べている。

http://www.washingtonpost.com/politics/for-agency-a-loss-of-technology-has-had-down--and-upsides/2012/04/08/gIQAvpAY5S_story.html?hpid=z9
http://www.gcn.com/articles/2012/04/09/commerce-agency-offline-12-weeks-after-virus-hits.aspx
────────────────

◆モバイルデバイスのセキュリティに懸念 (2012.4.9)
モバイルデバイスに関する2つの異なる調査を行ったところ、プライバシーや セキュリティに関する重大な課題があることが明らかになった。1つ目の調査 によって、「スマートフォンやタブレット型PCは、買い物やオンラインバンキ ングでの取引を行う際、もしくは、VPN:virtual private network(仮想プライ ベートネットワーク)にアクセスする際に、通信を傍受されるおそれがある」 ことが判明した。もう1つの調査では、Appleモバイルデバイス用OS、iOSに侵 入する方法がいくつか明らかになった。商取引へのモバイルデバイスの利用が 当たり前になってきていることから、サイバー犯罪者らは、攻撃という観点で、 モバイルデバイスにますます目を向けるようになっていくと思われる。

http://www.usatoday.com/tech/news/story/2012-04-08/smartphone-security-flaw/54122468/1

【編集者メモ】(Murray) とは言っても、少なくとも今の段階では、PCよりもiOSデバイスで金融取引を 行う方が安全である。脆弱性の全てが問題というわけでもなければ、問題の全 てが同じ規模の問題というわけでもない。Harry DeMaioは、「インターネット 上でビジネスをすることは、タイムズスクエアでビジネスをするようなものだ」 とよく言っている。それでもまだ、タイムズスクエアではたくさんのビジネス が行われているし、ATMも存在する。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4/17:名古屋・4/18:大阪・4/19:東京          {ユーザ様優先}
 グローバルIT・セキュリティセミナー
 「攻めと守りのIT活用でグローバルビジネスを拡大」
 ~グローバル展開のためのクラウド活用、
      海外拠点のIT実態、新たなリスクとその対策~
http://www.nri-secure.co.jp/seminar/2012/global01.html?xmid=300&xlinkid=12

○4/19・4/25                <東京 汐留シティセンター>
 クラウドを利用した契約書の管理革命
http://www.nri-secure.co.jp/seminar/2012/sri01.html?xmid=300&xlinkid=13

○4/20・5/24・6/13             <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=05

○4/26・5/16・6/15             <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=06

○5/18・6/21                <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○5/30・6/27                <東京 汐留シティセンター>
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=11


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情をご説明するとともに、常態化した Webアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイア
ウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃秘密分散技術によって安全なクラウドストレージサービスを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ファイルを所定のフォルダに入れるだけで、非重要情報化して複数のクラウド
に遠隔地分散保管。1ファイルが足りなくても、ダブルクリックで簡単復元。
クラウドバックアップやファイルサーバ、BCP対策にも!
http://www.nri-secure.co.jp/service/pv/secretshare/index.html?xmid=300&xlinkid=10
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。