NRI Secure SANS NewsBites 日本版

Vol.7 No.2 2012年1月18日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.2 2012年1月18日発行
**********************************************************************

■■SANS NewsBites Vol.14 No.2-3
(原版:2012年1月6日、10日)

◆米国連邦政府局 FISMAの「継続的な監視」導入期限に間に合わない見込み (2012.1.3)
米国の連邦政府局に対して調査を行ったところ、連邦情報セキュリティマネジ メント法(FISMA)のための「継続的な監視」要件を、期日の2012年9月までに満 たせる見込みがある政府局は半数以下だということがわかった。調査の回答者 らは、継続的な監視によってセキュリティが全般的に改善すると感じているも のの、この要件を満たすことが困難であると見ているようだ。まず政府局は、 様々なシステムの情報をとりまとめ、必要なデータを一式提供する方法を見出 す必要がある。多数の政府局が、継続的な監視技術の導入に必要なIT環境の概 観を把握できていない。

http://gcn.com/articles/2012/01/03/most-agencies-to-miss-fisma-continuous-monitoring-deadline.aspx
【編集者メモ1】(Pescatore)
ほとんどの政府局にとって、継続的な監視と報告業務(と、800-53 rev3の変更 も。)は、資金なしに実行しなければならない途方もなく大きな命令であった。 人員や資金を増すことができた政府局が若干はあったものの、ほとんどの政府 局はそれを実行できなかった。いや、少なくとも、実行しなかった。2012年度 の予算は、これまで以上の混乱状況にある。rev3に関する予算は全般的に不足 しており、その不足分は、おおむね2013年度分に持ち越されるだろう。

【編集者メモ2】(Paller)
これは、お金の問題では決してない。上院と下院、両院の公聴会やホワイトハ ウスのリーダーらが、認証認可(C&A)の報告業務を、継続的な監視とミティゲー ションに差し替えるように政府局に求めるようになって以来、2つの障壁が、 それの広範にわたる適用をかたくなに阻止してきた。1つ目の障壁:C&Aの更新 のために、時代遅れで誰も読まないような報告書を作成し、毎年3,500万ドル を稼いでいる請負業者、また、連邦政府の資金を無駄にしているとわかってい ながらも、そのお金を放棄したくない請負業者。2つ目の障壁:何をすればよ いのか分からず、また、継続的な監視やミティゲーションシステムの評価すら してこなかったことから、請負業者の援護に回っている監査官(IG)。先日、主 要政府局のIGに電話で聞いた話では、2つ目の障壁は、いくつかの政府局にお いて、崩れかかってきているという。継続的な監視やミティゲーションの全額 資金以上を提供できるほど沢山のお金が、まだまだC&Aの報告書作成に、無駄 に費やされている。

────────────────

◆SQLインジェクション攻撃 まん延する (2012.1.4-5)
SQLインジェクション攻撃によって、100万件以上のURLが感染したようだ。こ の攻撃について論じているページも件数に数えられているため、感染報告件数 が跳ね上がった可能性があるという声もあるが、2011年12月のはじめの時点で は、感染したURLの件数は、はるかに少なかった。問題のマルウェアは 「lilupophilupop」という。攻撃は、一部自動で、また、一部手動で行われて いるようだ。また、.NLドメイン(オランダ)で感染件数が最多になっていると いう。

SANSのインターネットストームセンター:
http://isc.sans.edu/diary.html?storyid=12304
http://www.darkreading.com/database-security/167901020/security/attacks-breaches/232301285/latest-sql-injection-campaign-infects-1-million-web-pages.html
http://www.net-security.org/secworld.php?id=12169
http://www.informationweek.com/news/security/attacks/232301355

【編集者メモ】(Murray)
チェックされていないインプットが、最も広範な脆弱性として拡大しており、 それは、デフォルトのパスワードをそのまま使用していることをも凌駕する。 SQLインジェクション攻撃は、少なくとも、頻度と成功率の観点では、トップ3 に入る。インプットのチェックが簡単に行えればいいと思うのだが、簡単には 行えない。一方で、OWASP Enterprise Security API Libraryを使用すれば簡 単である。

────────────────

◆連邦判事「GPS追跡に令状は必要なし」との見解 (2012.1.3)
容疑者の位置情報を追跡するため、2か月間容疑者の車へ秘密裏にGPSデバイス を取り付けた件に関し、ミズーリ州の米国連邦判事は、「FBIが令状を獲得す る必要はなかった」という判決を下した。Fred Robinson被告は、セントルイ ス市で雇われていた期間中にタイムシートを改ざんした疑いをかけられていた。 David Noce判事は、判決文に「Robinsonは、自身のプライバシーの確保を正当 に期待することはできない状況にあった。また、GPSデバイスによって、容疑 者の車の位置こそは明かされるものの、それ以上は何も明かされない。以上の ことを踏まえ、GPS追跡装置の取り付けは、合衆国憲法修正第4条の意味すると ころの捜査にはあたらない」とした。米国最高裁判所は、別の訴訟で、今後数 カ月の間に同じ問題について判決を下す見込みである。

http://www.wired.com/threatlevel/2012/01/warrantless-gps-monitoring/

【編集者メモ1】(Pescatore)
この前例にあたる過去の訴訟がどうなったかは忘れてしまったが、1980年代頃 の、GPSが出来る前の車両追跡システムは、車両の電力や車にあるその他のもの を使用しない限り、令状なしで取り付け、監視を行うことができた。現在、 多くの車がGPSを搭載していることを考えると、すぐにまた、今回の取り決め が取り上げられるだろう。

【編集者メモ2】(Liston)
GPS追跡装置を車に取り付けることと、容疑者の「尾行」を下っぱ警官にただ 命ずることとの間に、大きな違いあるようには思えない。実際問題、車から出 てどこかに歩いていってしまった場合、GPSではそれがわからないので、GPSの 方が侵略的ではないように思える。

────────────────

◆FedRAMP クラウドセキュリティの仕様を公表 (2012.1.9)
米国政府は、政府局やクラウドサービス業者がクラウドに関するセキュリティ ・プログラム(FedRAMP)において、150以上のセキュリティコントロールのリス トを公表した。このリストは2012年6月に有効になる。一般調達局(GSA)は、こ の遵守監査手順に関する指導要綱を2月8日までに公表する見込みである。

http://www.nextgov.com/site_services/print_article.php?StoryID=ng_20120109_2589
http://www.govinfosecurity.com/articles.php?art_id=4391

【編集者メモ1】(Paller)
FedRAMPは、私が連邦政府のサイバーセキュリティを見てきた中で、「逆転負 けを喫した」最も完璧な事例である。FedRAMPの作者が、その欠陥について十 分な説明を行っていなかったのであれば、ホワイトハウスのカンファレンスセ ンター内では、政府局やクラウドサービス業者の誤りは許されていたかもしれ ない。しかし、彼らは、自分たちが置かれている状況や、何が問題なのかを理 解してからは、失敗は許されないのである。

────────────────

◆米国 サイバー攻撃の話をした疑いでベネズエラ大使を追放 (2012.1.9)
米国国務省は、マイアミのベネズエラ総領事に対し、米国を去るように命令し た。問題の総領事、Livia Acosta Nogueraは、「米国内でサイバー攻撃が発生 する可能性について論じていた」疑いで、1月10日までに米国から出ていくこ ととなった。米国務省の広報担当者は、この決定に関する具体的な理由につい ては言及しておらず、代わりに、領事関係ウィーン条約23条で「追放処分の原 因説明」が必要とされていないことを引き合いに出している。しかし、先月放 送されたスペイン語のドキュメンタリー番組で、Acostaがメキシコのベネズエ ラ大使館で外交官として勤務していた期間に、米国に対するサイバー攻撃の可 能性を論じたと言われているため、それを受けてこの処分が下った。

http://worldnews.msnbc.msn.com/_news/2012/01/09/10064710-us-expels-venezuela-diplomat-after-cyber-attack-allegations
http://www.cnn.com/2012/01/08/us/venezuela-consul/?hpt=wo_c2

【編集者メモ】(Northcutt) 実際、何が起きたのかは分からないが、手がかりとなるものはいくつかある。 それは、「忠告の一種である」ということ、「政治的に見方の偏った記事がい くつかある」ということだ。

http://www.theatlanticwire.com/topics/livia-acosta-noguera/
http://www.businessweek.com/ap/financialnews/D9S5PB500.htm
http://www.state.gov/r/pa/ei/bgn/35766.htm#foreign
http://oilprice.com/Energy/Energy-General/U.S.-Venezuelan-Relations-Just-Frozen-or-Beyond-Repair.html

────────────────

◆イスラエル政府 サイバー攻撃をテロ行為ととらえる (2012.1.7)
イスラエル政府は今後、サイバー攻撃をテロ行為と捉える意向だと述べた。こ れは、イスラエル人のクレジットカード番号などのデータが盗み出され、ネッ ト上に掲示されたことをきっかけに出された声明である。Danny Ayalon副外務 大臣は、「どのような機関やハッカーであっても、責任逃れは許されない。」 と述べている。

http://rt.com/news/cyber-israel-military-hacker-343/
http://www.bbc.co.uk/news/world-middle-east-16456100
http://www.pcworld.com/businesscenter/article/247535/israel_steps_up_rhetoric_against_creditcard_hackers.html

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中のオンラインセミナー(視聴無料)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1/17(火)~3/16(金)                  <オンライン>
 NRIセキュアテクノロジーズ Virtual Showroom 2012
 ~標的型攻撃に対抗するための次世代情報セキュリティ~
http://www.nri-secure.co.jp/seminar/2012/0117.html?xmid=300&xlinkid=08


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のセミナー(参加費無料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1/20(金)・2/15(水)・3/7(水)       <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=02

○1/25(水)・2/24(金)           <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=04

○2/10(金)                <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=03


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中の調査資料(閲覧無料)           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「企業における情報セキュリティ実態調査2011」を無償公開中
http://www.nri-secure.co.jp/news/2011/1213_report.html?xmid=300&xlinkid=05
 ※閲覧にはID、PASSが必要となります。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃公開中の試用版(ダウンロード・試用無料)     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○メール誤送信防止ソリューション「SecureCube / Mail Adviser」
 30日間評価版【無料】
http://www.nri-secure.co.jp/service/cube/mailadviser_dl.html?xmid=300&xlinkid=06

○情報資産の識別・管理ソリューション「SecureCube / Labeling Personal」
 Version1.3.2.7【無料】
http://www.nri-secure.co.jp/service/cube/labeling_dl.html?xmid=300&xlinkid=07
※SecureCube / Labeling Standardのクライアントをベースとした、
フル機能ご利用可能な60日評価版別途お問い合わせ下さい。


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年5月6日 Vol.10 No.19)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Other Microsoft Products
1
Third Party Windows Apps
1
Linux
1
Cross Platform
4
Web Application - Cross Site Scripting
3
Web Application - SQL Injection
5
Web Application
8
Network Device
1
Hardware
2
======================================================================
Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。