NRI Secure SANS NewsBites 日本版

Vol.7 No.9 2012年3月6日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.9 2012年3月6日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
たぐいまれな人物の1人が亡くなった。早すぎる死だった。Paul Bartockは、 まさにルネサンス的な教養人だった。彼は、大工であり、救急医療隊員であり、 米国における最高のサイバーセキュリティエンジニアの1人でもあった。人々 が、「サイバーセキュリティで一番才能を持っているのは、米国国家安全保障 局(NSA)だ。」と話しているのは、たいてい、NSAでPaulが率いていたグループ についてである。彼は、長官や保守要員、また、情報・ネットワーク技術の未 来を築く製品開発の第一人者達とも親しい関係だった。彼について語れば話は 尽きないが、3週間後にはワシントンの追悼式で、Paulに関する話を共有でき るだろう。そこでは、彼に献杯し、彼との思い出も語り合える。彼の同僚の数 人が、Paulに関する話を募っているので、共有したい話をお持ちの方は、件名 を「Paul」とし、その話を apaller@sans.org 宛てに送っていただきたい。さ らに何かしたいと考えている方は、「Paul Bartock奨学基金」がある。この基 金は、メリーランド大学に通っている学生達が、技術を生かして国の役に立ち、 Paulの後に続いていけるように、彼らの卒業支援を目的にこのほど設立された。

SANS2012のコースのうち6つが、サイマル放送される予定。SANSの主要なトレー ニングプログラムを職場の自席で受講できる。
コースのリストとスケジュールはこちら。
http://www.sans.org/virtual-training/sessions#simulcast

────────────────

■■SANS NewsBites Vol.14 No.16-17
(原版:2012年2月24日、28日)

◆米国連邦通信委員会(FCC) ISPにボットネット対策支援を求める (2012.2.22)
米国連邦通信委員会(FCC)のJules Genachowski議長は、インターネットサービ スプロバイダ(ISP)に対し、顧客のコンピュータがマルウェアに感染している ことを示す活動が検知された場合には、その顧客に通知を行うべきだと述べ ている。Genachowskiは、ユーザーのコンピュータを感染させてしまう攻撃の 阻止を支援できるように、ISP業界に業界基準を導入するように要請した。具 体的には、GenachowskiはISPに対し、ボットネットに対抗するコードの開発を 行うように求めている。この一連の計画への参加は、企業の自由意思に任せら れている。

http://www.bloomberg.com/news/2012-02-22/fcc-chief-presses-internet-providers-on-cybersecurity.html
http://www.computerworld.com/s/article/9224485/FCC_chairman_calls_on_ISPs_to_adopt_new_security_measures?taxonomyId=17
【編集者メモ1】(Murray)
「ISPには、顧客からインターネットを守る義務がある」と言いたい。利用規 約に、インターネットを守るために顧客に対してISPがとりうる措置を明記し、 競合ISP企業が他にも存在しているのであれば、何の問題もないと私は思う。 私のISPは、SMTPサーバを使用する場合は別料金を請求してくる。サービス契 約にも、そういう記述がある。
【編集者メモ2】(Pescatore)
豪州のISPは2010年後半に、自主的に設けた行動規範「iCode」を受け入れてい る。このiCodeが実際に使用されたのは、私が知る限り、感染したホームPCの 所有者に対して通知を何度も行ったが返答がないため、そのPCを隔離しなけれ ばならなかった時の1度だけである。一方で、通知に関しては、多数実行され ている。ISPに対し、独占禁止やネットの中立性、プライバシーの懸念に関し て何らかの援護が与えられている限り、これはよいことだ。

────────────────

◆ネットワーク監視計画 プライバシーと「攻勢防御」に問題提起 (2012.2.27)
国家安全保障局(NSA)は、米国の重大なインフラの一部を成す民間セクターの ネットワークの保護に関して、同局の権限を拡大しようとホワイトハウスに圧 力をかけているが、ホワイトハウスはそれに抵抗している。NSAには高度なツー ルやスキルがあるものの、ホワイトハウスと司法省は、この監視計画がプライ バシーという点で限度を越えてしまうことを懸念している。また、ネットワー ク保護の観点で「攻勢防御」とみなされる行動は何かが明確になっていないこ とも問題となっている。

http://www.washingtonpost.com/world/national-security/white-house-nsa-weigh-cyber-security-personal-privacy/2012/02/07/gIQA8HmKeR_story.html
http://www.washingtonpost.com/blogs/checkpoint-washington/post/active-defense-at-center-of-debate-on-cyberattacks/2012/02/27/gIQACFoKeR_blog.html?hpid=z1
【編集者メモ】(Paller)
ここ数カ月、国土安全保障省(DHS)のサイバーセキュリティの最も重要な任務 に、新しい要員が就任している。このようなDHSの新要員には、監視任務を引 き受ける技術的才能が備わっている。(NSAは、この監視任務をサポートこそ はするが、統制はしない。)国防総省の重要な請負業者や、その他の重要なイ ンフラネットワークの監視を即時に求める命令に対し、対抗を続けているホワ イトハウスと司法省の人間から見れば、サイバー上の脅威がそこまで重要だと は考えられないのだろう。つまり、彼らは、大惨事が起きるのを待っているだ けなのである。しかし実際にそうなってしまったとしても、彼らは、自国をい いカモに仕立て上げてしまった張本人が自分だったことを、都合よく忘れよう とするにちがいない。

────────────────

◆提案中の法案 ISPに1年間IPログ保持求める (2012.2.27)
「プライバシーの権利と市民の自由」の支持者らは、米国下院議会で提案され た「インターネットサービスプロバイダ(ISP)に顧客のIPログを1年間保持する ように義務付ける」法案に反対している。 問題となっているのは「インター ネットポルノから子供を守る法」であり、オンライン海賊行為阻止法案(SOPA) の発案者でもあるLamar Smith(テキサス州共産党)議員が同法案を発案してい る。同法案で懸念されているのは、「不正行為の疑いの有無に関係なく、ISP がユーザーに関する情報を収集できること、そして、データを保管しておくと、 それが窃盗や漏えい、スヌーピングの格好の対象になってしまうこと」である。

http://www.computerworld.com/s/article/9224668/Advocacy_group_takes_aim_at_anti_porn_bill_requiring_ISP_data_retention?taxonomyId=17
────────────────

◆控訴裁判所の判決:「データ復号の強制は憲法修正第5条の権利に違反する」(2012.2.24)
アトランタ州の米国連邦控訴裁判所は、「検察側がデータを裁判に利用できる ように、個人に対してコンピュータのハードドライブのデータの復号を強制す る行為は、憲法修正第5条に違反する」という判決を下した。Ramona Fricosu は所有していたノートパソコンのデータの復号を、下級裁判所に命令されてい たために不服を申し立てていたが、デンバーの第10巡回控訴裁判所は第11巡回 控訴裁判所が判決を下すちょうど1日前に、「コンピュータには、訴訟の審理 に役立つ情報があると考えられる」ことから、彼女の上訴の聴聞を拒否してい る。デンバーの裁判所は、「Fricosuは上訴を検討する前に、彼女に対する評 決を獲得しなければならない」という司法省の主張に賛同している。2000年度 の最高裁判所のケースでは、「政府が、どのような資料を求めているのかを、 『証拠として使うという目的を果たすのに十分なほど詳細に』言い表すことが できた場合に限り、容疑者に対し、資料の提示を強要できる」という。アトラ ンタのケースでは、とある被告人(名前は明かされていない)が、ハードディ スクのデータの復号を拒否したことで数か月の懲役に服している。

http://arstechnica.com/tech-policy/news/2012/02/appeals-court-fifth-amendment-protections-can-apply-to-encrypted-hard-drives.ars
http://www.wired.com/threatlevel/2012/02/laptop-decryption-unconstitutional/
http://news.cnet.com/8301-1009_3-57385022-83/note-to-self-encrypt-data-memorize-password/
http://www.h-online.com/security/news/item/US-ruling-Disclosure-of-passwords-is-unenforceable-1442424.html

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3/7・4/20・5/24・6/13          <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=05

○3/19                     <東京 丸の内北口ビル>
 電子署名・認証、タイムスタンプ普及増進セミナー
http://www.nri-secure.co.jp/seminar/2012/0319.html?xmid=300&xlinkid=11

○4/26・5/16・6/15             <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=06

○4/18・5/18・6/21             <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04
※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃秘密分散技術によって安全なクラウドストレージサービスを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ファイルを所定のフォルダに入れるだけで、非重要情報化して複数のクラウド
に遠隔地分散保管。1ファイルが足りなくても、ダブルクリックで簡単復元。
クラウドバックアップやファイルサーバ、BCP対策にも!  <NRIセキュア>
http://www.nri-secure.co.jp/service/pv/secretshare/index.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃いまだけの特割キャンペーン!            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
~クライアント型で、負荷なく楽々導入&運用!従業員の意識向上も~
メール誤送信防止ソリューション「SecureCube / Mail Adviser」
  ◇年度末キャンペーン :ライセンス料を特別価格にて!
  ◇乗り換えキャンペーン:ライセンス料を50%OFF!
http://www.nri-secure.co.jp/service/cube/mailadviser.html?xmid=300&xlinkid=08

 ○2011年12月、1万ユーザに導入したお客様のコメント
http://www.nri-secure.co.jp/whats_new/2012/0125_2.html?xmid=300&xlinkid=09
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年2月23日 Vol.11 No.8)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
6
Linux
1
Cross Platform
7 (#1,#2,#3)Web Application - Cross Site Scripting
3
Web Application - SQL Injection
1
Web Application
4
Network Device
3
Hardware
1
======================================================================
1.危険度【高】:Oracle Javaに複数のセキュリティの脆弱性

<影響を受ける製品>
Oracle Java 7 Update 2までのバージョン

<詳細>
Oracleは、同社製Java Runtime Environmentに影響を及ぼす複数のセキュリティ の脆弱性にパッチをリリースした。主にC言語で実装されるOracle Javaは、本 来バッファオーバーフローや、その他のメモリ崩壊に関連する攻撃に対しては 安全であるはずだが、それらの攻撃に脆弱になる場合がある。問題の欠陥は、 JavaのC言語としての実装に存在している。また、Javaのセキュリティモデル にある欠陥は表面化することも多々あり、その場合は、Javaがコードをサンド ボックス(sandbox)する方法に影響を及ぼす。今回パッチが適用された問題の 中には、ZDIが報告している3つの脆弱性などがある。この3つのうち2つは、 JNLPファイルにある二重引用府(double quotes)をJava Web Startが処理する 方法にある。ほか、Oracleが署名しているJavaFXの拡張機能にも問題が1つあ るが、これは、攻撃者が任意の引数の付いた信頼済みのクラスのメインメソッ ドを実行できるようにする問題があるために生じる。これら全ての欠陥によっ て、攻撃者は、Javaアプレットによるユーザーのシステムに対するアクセス (ネットワークやファイルシステムに対するアクセスも含む)を本来制限すべ きであるサンドボックスから抜け出すことができるようになる。これらのJava の脆弱性は、悪用すれば任意のJavaコードを実行できるようになってしまうほ か、Javaは広範に配備されており、プラットフォームを選ばないエクスプロイ トに利用できる可能性があるため、攻撃者が好んで選ぶターゲットとなる。 Oracleのサイトには、他の詳細不明な脆弱性もリストアップされている。攻撃 者は、悪意のあるサイトを閲覧するようにターゲットを仕向けることができれ ば、これらの脆弱性を悪用して、ターゲットのマシン上に任意のコードを実行 できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.oracle.com
Oracle Javaのアドバイザリ
http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/51194
http://www.securityfocus.com/bid/52009
http://www.securityfocus.com/bid/52010
http://www.securityfocus.com/bid/52011
http://www.securityfocus.com/bid/52012
http://www.securityfocus.com/bid/52013
http://www.securityfocus.com/bid/52014
http://www.securityfocus.com/bid/52015
http://www.securityfocus.com/bid/52016
http://www.securityfocus.com/bid/52017
http://www.securityfocus.com/bid/52018
http://www.securityfocus.com/bid/52019
http://www.securityfocus.com/bid/52020

────────────────

2.危険度【高】:MozillaのFirefoxのpng_decompress_chunkに整数オーバーフローの脆弱性

<影響を受ける製品>
Firefox 10.0.2
Firefox 3.6.27

<詳細>
Mozillaは、同社製libpngライブラリに影響を及ぼす詳細不明の整数オーバー フローにパッチをリリースした。このオーバーフローは、PNGファイルの解凍 時に発生する。Mozillaは、この問題は悪用可能であり、攻撃者が命令ポイン タの制御に利用してしまうおそれがあると報告している。そうなった場合は、 悪意のあるサイトを閲覧するようにターゲットを仕向けることができれば、こ の脆弱性を悪用してターゲットのマシン上に任意のコードを実行できるように なる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.mozilla.org/
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2012/mfsa2012-11.html
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/52049
────────────────

3.危険度【高】:Adobe Flash Playerにさまざまなセキュリティの脆弱性

<影響を受ける製品>
Windows、Macintosh、Linux、および、Solaris用Flash Player の11.1.102.55までのバージョン

<詳細>
Adobeは、同社製Flash Playerに影響を及ぼす複数のセキュリティの脆弱性に 対処するパッチをリリースした。これらの脆弱性には、任意のWebサイトに対 してユーザー側が行動を起こせるようになるクロスサイトスクリプティングの 脆弱性が含まれている。この脆弱性が世間で活発に悪用されているという報告 もある。ほか、複数の詳細不明なメモリ崩壊の脆弱性もパッチで修正されてい る。攻撃者は、悪意のあるページを閲覧するようにターゲットを仕向けること ができれば、これらの脆弱性を悪用してターゲットのマシン上で任意のコード を実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
nAdobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb12-03.html
SecurityFocus BugTraq IDs http://www.securityfocus.com/bid/52032
http://www.securityfocus.com/bid/52033
http://www.securityfocus.com/bid/52034
http://www.securityfocus.com/bid/52035
http://www.securityfocus.com/bid/52036
http://www.securityfocus.com/bid/52037
http://www.securityfocus.com/bid/52040
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。