NRI Secure SANS NewsBites 日本版

Vol.1 No.1:2006年8月8日発行

**********************************************************************

           NRI Secure Security Information
               2006年8月8日発行
                          with SANS Institute
**********************************************************************

このメールマガジンは、情報セキュリティの専門機関である米国SANS
Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRI
セキュアテクノロジーズが編集してお届けしています。世界中でこの1週間に
起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されてい
ます。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。
■■SANS NewsBites(原版:2006年7月29日、8月2日発行)

◆Windowsの欠陥2つ(ないし3つ)にエクスプロイトコード(2006.7.26)

インターネットで、Windowsの2つの欠陥に対するエクスプロイトコードが公表
された。1つ目のエクスプロトは、Windows動的ホスト構成プロトコルにある欠
陥を悪用するもので、脆弱なシステムの制御を奪う際に用いられる。
Microsoftは7月11日(MS06-036)にこの欠陥に対するパッチを
リリースした。2つ目のエクスプロイトは、概念実証型コードで、Windowsの
"mailslot"コンポーネントを悪用する。この欠陥が、7月11日(MS06-035)に指
摘された欠陥と同一のものか、それとも新たな欠陥なのかどうかはまだ定かで
はない。Microsoftによると、この欠陥は以前の欠陥の派生型だいう。そのた
め、この欠陥を修正するために、追加のパッチをリリースする可能性を示唆し
た。
http://www.zdnetasia.com/news/security/printfriendly.htm?AT=39378074-39000005c
インターネットストームセンター(ISC):
http://isc.sans.org/diary.php?storyid=1502

【編集者メモ】(Ullrich)
DHCPの脆弱性は大変重大な問題だ。特に、信頼できない環境(会議場や空港)で
ノートパソコンを使用したことがある人は、最初に応答したDHCPを信頼せざる
を得ないことからもおわかりだろう。このような場合、ファイヤウォールで防
御することはできない。しかし、よいニュースもある。ここで公表されたエク
スプロイトは、あまり強力なものではないため、アタックされているシステム
は必然的に幾度も再起動をすることになる。そのため、このシステムのユーザー
は、ネットワークに接続しないように警告を受けることになる。
【ゲスト編集者メモ】(Donald Smith)
実際のところ、これらのエクスプロイトは3つの個別の欠陥(MS06-034、
MS06-035、MS06-036)に対するものだということが公表された。これらのエク
スプロイトや脆弱性について詳細情報をご所望の方は、インターネットストー
ムセンターの関連トピックを閲覧してほしい。
http://isc.sans.org/diary.php?storyid=1473
http://isc.sans.org/diary.php?storyid=1471
────────────────

◆(英)政府、ID盗難の厳罰化を考慮(2006.7.25)

(英)政府は、身元情報盗難で有罪になった者に対しより厳しい懲罰を科すよ
うに、データ保護法の改正を模索している。現在、データ保護法に違反した者
に科せられる刑は罰金刑のみだ。改正案では、最高2年の懲役刑を科せるよう
にしている。DCA(Department for Constitutional Affairs)は、新しい実刑
案に関して、2006年10月30日に公の協議を開催する見込みだ。
http://software.silicon.com/security/0,39024655,39160771,00.htm
────────────────

◆KaZaA、合法的なビジネスモデルへの移行に同意・示談成立(2006.7.27)

KaZaAは、Universal Music、Sony BMG、EMIおよびWarnerMusicに1億1,500万ド
ルの損害賠償金を支払い、違法ダウンロードに関する裁判の示談を成立させた。
また、同社は、映画会社にも賠償金を支払う。今後、KaZaAは、同社製ソフト
ウェア(著作権法に違反してコンテンツの共有を行えるソフトウェア)の使用
を阻止するために、フィルタ技術を実装していく。さらに、同社は合法的なデ
ジタルダウンロードのビジネスモデルに移行していく意思を表明した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9002047
http://www.pcworld.com/news/article/0,aid,126590,00.asp
http://www.usatoday.com/tech/news/2006-07-27-kazaa_x.htm
────────────────

◆(米)政府説明責任局の報告:国土安全保障省は重大なセキュリティイベン
  トに対して準備不足(2006.7.28)

政府説明責任局(GAO)の報告によると、インターネットに重大な不具合が生じ
た場合、米国は、それに対応する準備が十分できていないという。しかし、
GAOの報告書には、「今のところこの件に関する主導権が十分に与えられてい
ないため、複数の政府局の権限を踏まえると、どこに主導権があのかが不透明
だ」とある。 Tom Coburnm上院議員(オクラホマ州共和党)は、国土安全保障省
(DHS)に対し、上院分科委員会公聴会への証言の提出が遅れたことや、昨年
数百万ドルを投じたにもかかわらず、たいした成果が上がっていないことを厳
しく非難した。Coburn氏はまた、DHSが国家インフラ保護プランを3年遅れで打
ち出し、さらにインターネット回復やサイバーセキュリティを担う副長官を未
だに任命していないことに不満の意を表している。また、GAOの報告によると、
DHSが組織的に曖昧で先導力に欠けていることや、民間企業が情報を共有した
がらないこと、インターネットの形態そのものがこのプラン達成の妨げになっ
ていることが原因でインターネット機能回復プランの作成が難しくなっている
という。
http://www.govexec.com/story_page.cfm?articleid=34657&printerfriendlyVers=1&
http://www.fcw.com/article95466-07-28-06-Web
http://www.gcn.com/online/vol1_no1/41519-1.html?topic=security
http://news.com.com/2102-7348_3-6099753.html?tag=st.util.print
http://www.gao.gov/new.items/d06863t.pdf

【編集者メモ】(Ranum)
DHSは、当局にはないスキルを駆使しなくては解決できない問題について、施
行権限のない認可書を与えられた状態にある。だから、DHSがどうしようもな
い様を露呈ていても、何ら不思議ではない。
────────────────

◆VISA、より厳しいセキュリティルールへの遵守を店舗に求める(2006.7.26)

VISA USAは、支払いカード産業基準プログラム(PCI)に則り、およそ1,000の店
舗を「より厳しいセキュリティ要件を満たす必要がある店舗」として分類した。
カード決済件数が600万件以下の店舗は、以前はレベル4に分類されていたが、
今後はレベル2に引き下げられ、四半期ごとのネットワーク脆弱性スキャンや、
その結果報告および自己評価表の提出を義務づけられる。レベル4に分類され
る店舗は、VISA USAにこれらを行うように推奨されてはいるが、遂行する義務
はない。PCIプログラムが適用される店舗は、2007年9月30日までにこれらのセ
キュリティ措置の整備をしなくてはならない。また、今後はカード決済件数が
100万件以下である店舗は、セキュリティ要件を満たした店舗に限り年平均で
1,000店舗ほど、レベル3からレベル4に引き上げられるという。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9002011

【編集者メモ】(Schultz)
VISA USAがより厳しいセキュリティ基準を店舗に求めるようになることは、身
元詐称詐欺などに対抗するうえで、非常に有意義な改善措置といえよう。しか
し、VISA USAが対象外の店舗に対して、何の説明もなしにセキュリティ要件を
軽減してまうのは考えものだ。
────────────────

◆米国陸軍のコンピュータ、TPMの組み込みを義務づけられる(2006.7.26-28)

新しい米国陸軍コンピュータには、今後、TPM(Trusted Platform Module:信
頼できるプラットフォーム・モジュール)を組み込むことが義務づけられ、セ
キュリティの強化が図られる。TPMが米国陸軍コンピュータで成果を上げられ
れば、Joint Task Force for Global Network(グローバルネットワーク共同
タスクフォース)は、TPMを国防総全体のコンピュータへの必須要件にする可
能性もある。米国陸軍は、TPMによってデータ保護機能やネットワークへのア
クセス認証機能が強化できると考えているようだ。
http://www.fcw.com/article95467-07-31-06-Print
http://www.securityfocus.com/brief/265

【編集者メモ1】(Northcutt)
TPMは、新型のノートパソコンに内蔵されているハードウェアチップで、パス
ワードや暗号化キー、デジタル証明書を保存できるものだ。正しく実装すれば、
暗号化データのセキュリティが強化され、高度な技術で本人確認と認証ができ
るツールを利用できるようになる。PKIとうまく連携しているので、陸軍全体
に実装することも可能であろう。しかし、それには慎重なテストが必要だ。ま
た、TPMのいくつかは管理者権限で運用されているため、どのサービスがどの
権限で許可されているのかを把握することが重要だ。
【編集者メモ2】(Boeckman)
数年前、国防総省は購入するコンピュータ全てにPCMCIAスロットを組み込むこ
とを義務づけ、MISSIプログラムで配付された"Fortezza"カードでコンピュー
タを保護するように努めた。このTPMソリューションは、これと同じくらいの
成果が上がるであろう。ただし、セキュリティプランの第1ステップとして効
果があったとしても、それ以降継続するかは疑問が残る。
**********************************************************************

■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年8月1日配信)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。

◆危険度【高】:Mozilla Suiteに複数の脆弱性

<影響のある製品>
Mozilla Firefox 1.5.4以前のバージョン
Mozilla SeaMonkey 1.0以前のバージョン
Mozilla Thunderbird 1.5.0.3以前のバージョン

<詳細>
Mozilla Firefox webブラウザやMozilla SeaMonkeyスイート("Mozilla"と称さ
れることが多い)、Mozilla Thunderbird e-mailクライアントなど、Mozillaの
Webブラウザ技術を基にしたアプリケーションには、リモートで悪用できる脆
弱性が複数存在する。悪質なWebページやHTML電子メールによってこれらの脆
弱性が悪用されると、ユーザーのシステムに任意のコードが実行されてしまう。

<現状>
Mozilla Foundationはこれらの脆弱性を認識しており、更新もリリースしてい
る。一般的な回避策としては、可能であれば電子メールやWebページの
JavaScriptを無効にするとよい。

<セキュリティマネージャ委員会所属企業の対応>
Mozillaは、委員会所属企業の多くで使用されているが、全社においてサポー
トされているわけではない。どの企業も、更新を手動で適用するか、自動更新
機能に依存するかで対応している。

<参考>
SANS Incidents.org
http://www.incidents.org/diary.php?storyid=1515
TippingPointのzero-dayイニシアチブ・アドバイザリ
http://zerodayinitiative.com/advisories/ZDI-06-025.html
Secuniaのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/fulldisclosure/2006-07/0637.html
http://archives.neohapsis.com/archives/fulldisclosure/2006-07/0630.html
Mozilla Foundationの各アドバイザリ
http://www.mozilla.org/security/announce/2006/mfsa2006-56.html
http://www.mozilla.org/security/announce/2006/mfsa2006-55.html
http://www.mozilla.org/security/announce/2006/mfsa2006-54.html
http://www.mozilla.org/security/announce/2006/mfsa2006-53.html
http://www.mozilla.org/security/announce/2006/mfsa2006-52.html
http://www.mozilla.org/security/announce/2006/mfsa2006-51.html
http://www.mozilla.org/security/announce/2006/mfsa2006-50.html
http://www.mozilla.org/security/announce/2006/mfsa2006-49.html
http://www.mozilla.org/security/announce/2006/mfsa2006-48.html
http://www.mozilla.org/security/announce/2006/mfsa2006-47.html
http://www.mozilla.org/security/announce/2006/mfsa2006-46.html
http://www.mozilla.org/security/announce/2006/mfsa2006-45.html
http://www.mozilla.org/security/announce/2006/mfsa2006-44.html
SecurityFocus BID
http://www.securityfocus.com/bid/19181
────────────────

◆危険度【高】:Apple SafariのKHTMLParserにリモートでコードを実行され
  る脆弱性

<影響のある製品>
Apple Safariのバージョン2.0.4
また、それ以前のバージョンにも脆弱性のおそれあり

<詳細>
Mac OS Xの最近のバージョンにデフォルトでインストールされているAppleの
Safari Webブラウザには、リモートでコードを実行されてしまう脆弱性がある。
Safariが、"
"タグに組み込まれている"