NRI Secure SANS NewsBites 日本版

Vol.7 No.16 2012年5月2日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.16 2012年5月2日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
通常であれば「ブラウザの新リリース」に関する記事は、SANS NewsBitesの Top of the Newsセクションへの掲載に値しない。しかし、今回Firefox 12が リリースされたことによって、今まで長い間ブラウザに確立する必要性がある と切望されていた「ブラウザに対する規律」が確立される。この規律は、重要 なセキュリティパッチの迅速な(自動)実装を行うための最も有望な道筋にな る。詳細については、4つめのニュースの後にあるJohn Pescatoreのコメント を読んでいただきたい。次は、OSシステムの提供業者に関する規律の確立を行 うべきだ。特に、モバイルデバイスに関する規律が必要であり、真っ先に対処 すべきはAppleのiPhoneであろう。

■■SANS NewsBites Vol.13 No.32-33
(原版:2012年4月20日、4月23日)

◆下院のCISPA(米国下院・サイバーセキュリティ法案)でプライバシー上の懸念が生じる (2012.4.16-18)
ホワイトハウスは、「米国下院のCISPAには、適正なプライバシー保護措置が 欠如しており、米国の重大なインフラの要素に対して必須のセキュリティもな い」と考えているため、同法案に声高に反対している。 CISPAによって、ISP(インターネットサービスプロバイダ)やインターネット 企業は、ユーザー情報を収集し、その情報を政府と共有することが許可される ことになる。提案中のこの法案を支持しているBSA(ビジネスソフトウェアアラ イアンス)はCISPAに関して、CDT:Center for Democracy and Technology(民主 主義と技術のためのセンター)と合意に至ることが可能かどうかを模索すべく、 CDTと会談を行った。CDTや、市民の自由とプライバシーを懸念しているその他 団体は、提案中の同法案に反対する抗議運動を先導している。この法案は来週、 下院議会で票決に付される可能性が高い。

http://arstechnica.com/tech-policy/news/2012/04/analysis-cybersecurity-bill-endangers-privacy-rights.ars
http://thehill.com/blogs/hillicon-valley/technology/222143-white-house-criticizes-cybersecurity-bill-cispa
http://www.computerworld.com/s/article/9226330/White_House_raises_concerns_over_CISPA_bill_?taxonomyId=17
http://thehill.com/blogs/hillicon-valley/technology/221769-technology-industry-huddles-with-privacy-group-over-cybersecurity-bill
【編集者メモ】(Northcutt)
この件の中心は、プライバシーである。警察は、令状なしで携帯電話の通話を 聴くことができる。最近までは、GPSで車両を追跡することも可能だった。し かし、9.11以降、米国内では、かつてないほどプライバシーの権利が失われて しまっている。これによって、本当に我々の安全は確保されるのだろうか?実 際に利益はあるのだろうか?DHS(国土安全保障省)の国家サイバーセキュリティ 担当官のPurdyは、そうは考えていないようだ。

http://www.lossofprivacy.com/index.php/category/privacy/usa-privacy/
http://www.usatoday.com/news/washington/judicial/story/2012-01-23/supreme-court-GPS/52754354/1
http://www.csmonitor.com/2007/0403/p02s01-ussc.html
http://www.readwriteweb.com/enterprise/2012/04/former-dhs-cyber-chief-cyberse.php
【編集者メモ】(Murray)
CISPAの問題は、根本的なものであり、語義的なものではない。ここでは、 「情報共有」の問題と「知的財産」の問題が1つに融合している。文言に手を 入れたところで解決できるような問題ではない。さらに言えば、問題を理解す るよりも、善意をもって対処する方が、この問題に関しては、解決の動機づけ としてはうまく行く。
【編集者メモ】(Honan)
国会議員らは、「安全を確保するために自由をあきらめる人には、自由も安全 もたらされない。また、いずれも享受するに値しない」というThomas Jeffersonの言葉を思い出した方がよい。

────────────────

◆攻撃者 インスタグラムの人気を悪用してアンドロイドデバイスを攻撃の標的に (2012.4.19)
攻撃者らは写真共有アプリ「インスタグラム」の人気を利用してインスタグラ ムの偽Webサイトを作成し、アンドロイドのモバイルデバイスにマルウェアの 感染を拡大させている。これまでの数週間、インスタグラムは大きな関心の的 になっていた。インスタグラムは当初iOSデバイス用に開発されたが、アンド ロイドバージョンが4月初めにリリースされ、リリース初日に100万件のダウン ロードを記録した。先週、Facebookはインスタグラムを開発した企業を買収し ている。インスタグラムの偽サイトの中にはロシア語の文字が含まれているサ イトがあり、このサイトはアンドロイドデバイスに、ユーザーの操作やユーザー への通知なしに有料サービスへメッセージを送信させる、トロイの木馬プログ ラムをインストールしようと試みるという。

http://www.computerworld.com/s/article/9226363/Android_malware_writers_exploit_Instagram_craze_to_distribute_SMS_Trojan_horse?taxonomyId=17
【編集者メモ】(Pescatore)
Googleのアンドロイド部門が、Googleの検索エンジン部門の後に続き、今より もユーザーをマルウェアや侵害されたWebサイトの影響から守ってくれるよう になることを期待したい。

────────────────

◆Google、リダイレクトによる感染を招くサイトについて警告 (2012.4.18-19)
Googleは、2万件のWebサイトに対し、「細工されたサイトに訪問者をリダイレ クトするJavaScriptが挿入されている恐れがある」ことを知らせるメッセージ を送信した。Googleはサイトの所有者に対し、特定の文字列を含んだファイル (その文字列があれば感染していることを示す)を検索するように推奨してい る。また、このようなサイトに対しては、「攻撃者がサーバーの設定ファイル を侵害している可能性がある」との警告も発せられている。

http://www.computerworld.com/s/article/9226356/Google_warns_20_000_websites_they_could_be_infected_with_malware?taxonomyId=17
http://www.h-online.com/security/news/item/Google-warns-the-operators-of-thousands-of-hacked-web-sites-1542374.html
【編集者メモ】(Pescatore)
Googleの検索エンジン部門が同社のアンドロイド部門に対し、モバイルアプリ 部門のセキュリティにおいても同様の向上を遂げるように福音を説き直すこと を期待したい。

────────────────

◆Mozilla  Firefox 12をリリース (2012.4.23)
Firefox 12がリリースされた。この最新バージョンのブラウザには、以前から 計画していたサイレントアップデートの要素が取り入れられている。Windows VistaとWindows 7のユーザーは、Firefoxの最新バージョンの初期インストー ルを行えば、それ以後はアップデートによって、プログラムのインストール時 に、ユーザーアカウントコントロールに対して合意を求めるプロンプトを出す ようなトリガーは行われなくなる。 サイレントアップデートに必要な最後の コンポーネントは、Firefox 13と14(それぞれ、6月5日、7月17日にリリース 予定)で登場する見込みである。4月24日は、MozillaのForefox 3.6の引退日 になるため、まだアップデートしていないユーザーのFirefoxは自動的に Forefox 12にアップデートされることになる。

http://www.computerworld.com/s/article/9226463/Firefox_skirts_Windows_security_feature_to_make_silent_updates_happen?taxonomyId=17
【編集者メモ】(Pescatore)
このような対応がクライアント側のアプリにとって当たり前になる時期であろ う。以下の2つの観点からそう言える。
(1)セキュリティのアップデートが速やかに行えるようになる。
(2)アップグレードに侵入する恐れがある、ブラウザ特有の機能にアプリが書 き込まれた場合、そのアプリに相当の痛みをもたらす。IE6よりもずっと攻撃 に強いバージョンのInternet Explorerが出た後しばらく経ってもIE6が使用さ れていた理由の1つとして、出来の悪いアプリが多数あり、それらアプリがIE6 のみでしか動作しないということがあった。

────────────────

◆連邦判事の判決:令状なしに獲得したGPSデータを「違法収集証拠排除における善意の例外」として採用許可 (2012.4.20)
アイオワ州の連邦判事は、「令状を獲得せずに容疑者の車両に取り付けたGPS 追跡装置で証拠を収集した場合でも、その証拠をドラッグ密売容疑者の起訴に 使用してもよい」という判決を下した。「問題の証拠の採用を許可する」と米 国地方裁判所判事Mark Bennettは述べ、その理由を「装置を使用した捜査員は 善意でそのような行動をとった」ためだとし、「令状なしにGPS追跡装置を容 疑者の車両に取り付けることを許可する」という米国第8巡回控訴裁判所の判 決例に基づいて捜査員らの行動の合法性を説いている。この判決が下されたこ とによって、米国最高裁判所がAntoine Jonesのケースの判決を下す前に、特 定の管轄においては、警察は追跡装置で収集した証拠に関して「違法収集証拠 排除における善意の例外」を引き合いに出すことができることになった。 Jonesに関する判決でさえも、いくつかの点は曖昧なままになっている。今回 の判決は、「車両が違法行為に使用された」と疑うに足りうる合理的な理由、 もしくは、相当の理由があれば、令状なしでのGPS追跡を行ってもよいと解釈 されてしまうおそれがある。

http://www.wired.com/threatlevel/2012/04/dea-use-of-gps-tracker/
http://www.wired.com/images_blogs/threatlevel/2012/04/Amaya-ruling.pdf
────────────────

◆イラン 石油省に対してマルウェア攻撃があったと認める (2012.4.23)
週末にイランの石油省にマルウェア攻撃が仕掛けられ、同国の国営石油会社は システムをインターネットから外す措置を取らざるを得なかった。同省のWeb サイトは、4月23日にオンラインに戻った。この攻撃によって、同省の主要Web サイトと内部通信システムが影響を被った。石油省の広報によると、この攻撃 でサイトのユーザーのデータが盗まれたという。

http://www.bbc.co.uk/news/technology-17811565
http://www.guardian.co.uk/world/2012/apr/23/iranian-oil-ministry-cyber-attack?newsfeed=true
http://worldnews.msnbc.msn.com/_news/2012/04/23/11350331-suspected-cyber-attack-hits-iranian-oil-network
http://www.computerworld.com/s/article/9226469/Iran_confirms_cyberattacks_against_oil_facilities?taxonomyId=17
────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5/16・6/15                <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=06

○5/18・6/21                <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04

○5/23                   <東京 汐留シティセンター>
 今、あらためて見直そう!! 適切なアクセス管理と運用
 ~特権IDの不正利用を防止し、情報漏えい対策から
    内部統制をはじめとした監査に対応した運用環境の実現に向けて~
http://www.nri-secure.co.jp/seminar/2012/0523.html?xmid=300&xlinkid=15

○5/24・6/13                <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=05

○5/29                   <東京 汐留シティセンター>
 クラウドを利用した契約書の管理革命
http://www.nri-secure.co.jp/seminar/2012/sri01.html?xmid=300&xlinkid=13

○5/30・6/27                <東京 汐留シティセンター>
 電子メール誤送信対策セミナー  ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7/2・9/10・12/25
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=16

○7/3~4・9/11~12・12/26~27
セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=17

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情をご説明するとともに、常態化した Webアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイア
ウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃秘密分散技術によって安全なクラウドストレージサービスを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ファイルを所定のフォルダに入れるだけで、非重要情報化して複数のクラウド
に遠隔地分散保管。1ファイルが足りなくても、ダブルクリックで簡単復元。
クラウドバックアップやファイルサーバ、BCP対策にも!
http://www.nri-secure.co.jp/service/pv/secretshare/index.html?xmid=300&xlinkid=10
※5/9-11のクラウドEXPOにおいてデモをご覧いただけます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。