NRI Secure SANS NewsBites 日本版

Vol.7 No.8 2012年3月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.8 2012年3月1日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
朗報:米国中西部の大手電力企業のCISOが、オーランドで開催されている SCADAセキュリティサミットにて講演を行い、「20の重大なコントロールの導 入によって、上層部経営者が、サイバーセキュリティにおいてなすべきことは 何かを初めて理解し、私の提案した予算額を“基本予算”とみなしてくれた」 ことを聴衆に説明した。どうやら、今後セキュリティの修正に必要な予算のた めに戦う必要はなくなったようである。米国国務省で、20の重大なコントロー ルの導入がうまくいったという非常に素晴らしい成功に加えて、彼が語ってく れた前述の話は、2012年が20の重大なコントロールを導入するのにもってこい の時期であることのもう1つの理由になる。事実、NSAが「重大なコントロール の導入について模範を示して指導する」という新たな取り組みを行っているこ とを考えると、まさに今こそが、コントロールを導入する時期であることがわ かる。「20の重大なコントロール(NSAのランキング付)」のポスターがある が、これは、SANS、米国・国土安全保障省(DHS)、英国・国家インフラ保護セ ンター(CPNI)、豪州・参謀本部国防信号局(DSD)が共同で作成した文書であり、 NSAのランキングも付いているので、これを使えば、管理支援を手に入れるた めの知識を得られるだろう。

20の重大なコントロールの導入方法に関する詳細コースもある。
オーランドにて3月23日から30日まで開催:
http://www.sans.org/sans-2012/description.php?tid=4871
ワシントンで7月9日から13日まで開催:
https://www.sans.org/sansfire-2012/description.php?tid=4871
オタワ、アムステルダム、バンクーバーでもコースを受講できる。
また、サンフランシスコのRSAでも、2日間のコースが開催される。

■■SANS NewsBites Vol.14 No.14-15
(原版:2012年2月17日、21日)

◆FBI ソーシャルネットワーク監視計画、プライバシールールの要件を満たす見込み (2012.2.14)
FBIは、同局の活動が「プライバシーと市民の権利」の必須要件を全て満たす という確約を元に、同局のソーシャルネットワーキングサイト監視計画に対す るユーザプライバシーの懸念を緩和しようと努めている。 FBIによると、FacebookやTwitterのようなサイトへ掲示された情報を迅速に分 析できれば、差し迫る脅威の検知を行いやすくなるという。米国国土安全保障 省(DHS)が、同様の監視を以前実行したことがあるが、その監視活動が原因で、 電子フロンティア財団(EFF)や電子プライバシー情報センター(EPIC)は、この ような活動について、透明性の向上を求めるようになった。

http://www.computerworld.com/s/article/9224247/FBI_says_social_media_monitoring_won_t_infringe_privacy_rights?taxonomyId=17
【編集者メモ】(Murray)
Facebookが登場したころから、このようなことが起きると予想していた。ほと んどのFacebookユーザーは、誰かを「友達」として登録することによって、何 が起きているかなど、見当もつかないだろう。「六次の隔たり(世界中のどの 人とでも6人を介在させるとつながりができるという仮説)」で、詐欺師やテロ リスト、ポルノ愛好家とつながっていない人はほとんどいないことになるのだ。 1950年代、FBIの「交友関係の監視」が、「有罪の推定」を生じさせたことを 知っている。

────────────────

◆欧州裁判所談:「著作権侵害行為のフィルタリングをソーシャルネットワーキングサイトに強制することはできない」 (2012.2.16)
欧州裁判所は、「著作権保持者がソーシャルネットワーキングサイトに対し、 フィルタリングを使用した、違法なファイル共有の阻止を強いることはできな い」という判決を下した。同裁判所は、サイトに対してフィルタリングを強い る行為は、個人情報を守るというユーザーの権利を侵害し、サイトに何の利益 も与えないまま「複雑で費用のかかる負荷」を負わせることになると言及して いる。

http://www.computerworld.com/s/article/9224305/Copyright_holders_dealt_blow_in_EU_social_networking_case?taxonomyId=17
http://news.cnet.com/8301-1009_3-57379062-83/eu-court-social-networks-cant-be-forced-to-monitor-users/
http://www.msnbc.msn.com/id/46411861/ns/technology_and_science-security/

【編集者メモ】(Murray)
出版業界が「著作権は全てに勝る、最後の切り札」という考えを喜んで捨てる ことはないだろう。

────────────────

◆Apple ユーザーの連絡先データへアクセスする前に、許可を得るようアプリ開発者に要請 (2012.2.15)
米国議員は、AppleのCEO・Tim Cookへ対し、「なぜAppleはiOS開発者へ対し、 アプリがユーザーの連絡先データをダウンロードする前に、ユーザーに許可を 得るように要請しないのか」を問う公式文書が送られた。この審問は、Pathア プリがユーザーの許可なしに、ユーザーのアドレス帳をダウンロードしてい たというニュースが報じられた直後に行われた。 Appleはこの問いに対し、 「アドレス帳を使用する必要があるアプリは、その情報が必要である旨を明確 にユーザーにリクエストする」ように、同社のポリシーを変更すると約束して いる。

http://news.cnet.com/8301-1009_3-57378450-83/lawmakers-ask-apple-to-explain-iphone-app-privacy-policies/
http://www.computerworld.com/s/article/9224292/Apple_to_ban_stealthy_iPhone_contact_data_harvesting?taxonomyId=17
http://www.h-online.com/security/news/item/Apple-Future-iOS-release-will-require-user-permission-for-apps-to-access-address-book-1435404.html
http://technolog.msnbc.msn.com/_news/2012/02/15/10416360-iphone-flaw-allows-apps-access-to-your-contacts

【編集者メモ】(Northcutt)
大災害が起きてしまう前に、ポリシーの変更が実行されればよいのだが・・・。 かくなる私も、「あなたのデータは、Appleストアの承認されているアプリよ りも、ジェイルブレイクしたiPhone用の非承認のアプリにある方が安全に保管 されている」というSlashdotの記事を読んで驚いた。

http://apple.slashdot.org/story/12/02/15/0036242/unauthorized-ios-apps-leak-private-data-less-than-approved-ones

────────────────

◆米国国家安全保障局(NSA) アノニマスが電力システムに対して呈する脅威について説明 (2012.2.21)
Keith Alexander長官が警告した、電力網に対するサイバー攻撃の警告は、今 やホワイトハウスの会合や、その他の非公式会合にまで影響を与えている。 これに関して、ザ・ジャーナル誌は、「集会に慣れている人たち」と題した記 事を掲載している。この記事は、いわゆるハックティビスト(「hacker」と 「activist(政治的な活動家)」を合わせた新語)が「電力システムを混乱させ る」という意向を示したわけではないが、アノニマスが「メンバーが、3月31 日インターネットの閉鎖を試みる」という先週発表したことを指摘し、「連邦 政府関係者の中には、アノニマスがより破壊的な方向に向かっていると考える 者もいる」と説明している。コンピュータセキュリティの専門家は、「世界規 模での運用停止作戦」がうまくいくとは思えないと述べている。

http://content.usatoday.com/communities/ondeadline/post/2012/02/report-nsa-chief-sees-possible-anonymous-hit-on-power-grid/1#.T0Powpj9CaE

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3/7・4/20・5/24・6/13          <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=05

○3/19                    <東京 丸の内北口ビル>
 電子署名・認証、タイムスタンプ普及増進セミナー
http://www.nri-secure.co.jp/seminar/2012/0319.html?xmid=300&xlinkid=11

○4/26・5/16・6/15         <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=06

○4/18・5/18・6/21            <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04
※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃セキュアなクラウドストレージサービスを動画で分かりやすく解説!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ファイルを所定のフォルダに入れるだけで、非重要情報化して複数のクラウドに
遠隔地分散保管。1ファイルが足りなくても、ダブルクリックで簡単復元。
クラウドバックアップやファイルサーバ、BCP対策にも!
http://www.nri-secure.co.jp/service/pv/secretshare/index.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃いまだけの特割キャンペーン!            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
~クライアント型で、負荷なく楽々導入&運用!従業員の意識向上も~
メール誤送信防止ソリューション「SecureCube / Mail Adviser」
  ◇年度末キャンペーン :ライセンス料を特別価格にて!
  ◇乗り換えキャンペーン:ライセンス料を50%OFF!
http://www.nri-secure.co.jp/service/cube/mailadviser.html?xmid=300&xlinkid=08

 ○2011年12月、1万ユーザに導入したお客様のコメント
http://www.nri-secure.co.jp/whats_new/2012/0125_2.html?xmid=300&xlinkid=09
────────────────



■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年2月16日 Vol.11 No.7)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
3 (#1)Other Microsoft Products
4
Third Party Windows Apps
2
Linux
1 (#4)Unix
1
Cross Platform
8 (#2,#3)Web Application - Cross Site Scripting
1
Web Application
6
======================================================================
1.危険度【高】:Microsoft月例パッチにある脆弱性

<影響を受ける製品>
Internet Explorer
Visio 2003
Visio 2007
Visio 2010
Windows XP
Windows 2003
Windows Server 2008
Windows Vista
Windows 7

<詳細>
火曜の月例パッチプログラムの一環として、Microsoftは、さまざまな製品に 影響を及ぼす複数の脆弱性にパッチをリリースした。Microsoftのグラフィク スディスプレイインタフェースにあるアクセス違反の脆弱性にパッチが適用さ れた。この脆弱性はWindowsのkernelにあるため、攻撃者は、さまざまな手法 で同脆弱性を悪用できる。攻撃が実現すれば、攻撃者は、kernel権限で任意の コードを実行できるようになる。Internet Explorerにもパッチが適用され、 HTMLのレイアウトに関連のある解放済みのメモリを使ってしまう (use-after-free)脆弱性とVML(Vector Markup Language)にある詳細不明な脆 弱性に対処している。攻撃者は、悪意のあるページを閲覧するようにターゲッ トを仕向けることができれば、これらの脆弱性を悪用して、ターゲットのマシ ン上で任意のコードを実行できるようになる。Msvcrt.dllライブラリについて もパッチが適用され、バッファオーバーフローの脆弱性に対処しているほか、 Microsoft Visioにある5つの詳細不明な脆弱性についてもパッチが適用されて いる。攻撃者は、悪意のあるファイルを開くようにターゲットを仕向けること ができれば、これらの脆弱性を悪用して、ターゲットのマシン上に任意のコー ドを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftのセキュリティ警告
http://technet.microsoft.com/en-us/security/bulletin/ms12-008
http://technet.microsoft.com/en-us/security/bulletin/ms12-010
http://technet.microsoft.com/en-us/security/bulletin/ms12-013
http://technet.microsoft.com/en-us/security/bulletin/ms12-015
http://technet.microsoft.com/en-us/security/bulletin/ms12-016
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/51122
http://www.securityfocus.com/bid/51903
http://www.securityfocus.com/bid/51904
http://www.securityfocus.com/bid/51906
http://www.securityfocus.com/bid/51907
http://www.securityfocus.com/bid/51908
http://www.securityfocus.com/bid/51913
http://www.securityfocus.com/bid/51933
http://www.securityfocus.com/bid/51935

────────────────

2.危険度【高】:Mozilla FirefoxにUse-After-Freeの脆弱性

<影響を受ける製品>
Firefox 10.0.1
Firefox ESR 10.0.1

<詳細>
Mozillaは、FirefoxのWebブラウザにパッチを適用し、XBLとXML Binding Languageの処理にある脆弱性に対処した。XBLは、XULのlook and feel規定に 用いられる。XBLとXULは両方とも、Mozillaのアプリケーションスイートの開 発プラットフォームの一部としての役割を果たすように、Mozillaが開発した 言語である。XBL実装のnsXBLDocumentInfo::ReadPrototypeBindings手順に1つ 問題があり、それが原因で、その手順がうまく働かない場合にメモリ崩壊が生 じる。攻撃者は、悪意のあるページを閲覧するようにターゲットを仕向けるこ とができれば、この脆弱性を悪用できる。悪用に実現すれば、攻撃者はその後、 ターゲットのマシン上に任意のコードを実行することができるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org
Mozillaのセキュリティアドバイザリ
https://www.mozilla.org/security/announce/2012/mfsa2012-10.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/51975

────────────────

3.危険度【高】:Adobe Shockwave Playerにさまざまな脆弱性

<影響を受ける製品>
WindowsとMacintosh用Shockwave Playerの11.6.3.633までのバージョン

<詳細>
Adobeは、Shockwaveメディアプレーヤにパッチをリリースし、複数のセキュリ ティの脆弱性に対処した。これらの脆弱性には、Shockwave 3D Assetにある詳 細不明なメモリ崩壊の脆弱性と他2つの詳細不明な脆弱性などが含まれている。 後者の未承認の脆弱性は、バッファオーバーフローの脆弱性とメモリ崩壊の脆 弱性である。攻撃者が、悪意のあるflashファイルを閲覧するようにターゲッ トを仕向けることができれば、この脆弱性を悪用して、ターゲット上のマシン に任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティの脆弱性
http://www.adobe.com/support/security/bulletins/apsb12-02.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/51999
http://www.securityfocus.com/bid/52000
http://www.securityfocus.com/bid/52001
http://www.securityfocus.com/bid/52002
http://www.securityfocus.com/bid/52003
http://www.securityfocus.com/bid/52004
http://www.securityfocus.com/bid/52005
http://www.securityfocus.com/bid/52006
http://www.securityfocus.com/bid/52007

────────────────

4.危険度【高】:Horde Groupware Webmail Editionに未認証のPHP実行の脆弱性

<影響を受ける製品>
11月15日から2月7日の間にダウンロードされた未承認のHorde 修正版3.3.12
11月9日から2月7日の間にダウンロードされた未承認のHorde Groupware修正版 1.2.10
11月2日から2月7日の間にダウンロードされた未承認Horde Groupware Webmail Edition修正版1.2.10

<詳細>
Horde Groupwareはユーザーに対し、同社製FTPサーバが侵害され、ファイルが 操作されたと通知した。攻撃者は、HordeとHorde Groupwareを、未認証のPHP 実行を行えるようにするバックドアを含んでいる悪意のあるソフトウェアに入 れ換えている。Horde GroupwareコラボレーションスイートはWebベースになっ ているため、攻撃者は、悪意のあるリクエストをサーバに送信すればこの脆弱 性を悪用できる。攻撃が実現すると、任意のコード実行につながるおそれがある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.horde.org
Hordeのメーリングリスト
http://lists.horde.org/archives/announce/2012/000751.html
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/51989
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。