NRI Secure SANS NewsBites 日本版

Vol.2 No.22 2007年6月4日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.22 2007年6月4日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
       SANS Future Vision 2007 Tokyo 国内初開催!
    ~情報セキュリティの最新動向をキャッチアップする2日間~
    2007年7月17日(火)-18日(水) 会場:シェラトン都ホテル東京

  ■ Keynote、SANSセッション、スポンサーセッション(参加無料)■
   ■ SANSトレーニング(2日間コース)が特別価格にて受講可能! ■

     参加受付け開始(事前登録制) 詳細はこちら↓↓↓
       http://www.event-information.jp/sans-fv/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.9 No.42-43(原版:2007年5月25日、5月31日)

◆米国行政予算管理局のメモ データ保護および侵害通知に関する法に言及
  (2007.5.4)

米国行政予算管理局(OMB)は、行政関連省庁に対し、個人情報の取り扱い手順
を厳しく取り締まるよう指導している。政府局は収集・維持するデータの量を
減らし、「知る必要性の有無」によってデータへのアクセスを規制し、暗号化
や強力な認証を行うべきだとしている。また、全ての政府局に、今後4ヶ月以
内のデータ侵害通知ポリシーの作成を義務付けている。
http://www.whitehouse.gov/omb/memoranda/fy2007/m07-16.pdf
http://www.whitehouse.gov/omb/pubpress/2007/052307_ssn.pdf
http://weblog.infoworld.com/zeroday/archives/2007/05/white_house_pub.html
http://www.scmagazine.com/us/news/article/659814/after-myriad-data-breaches-feds-cut-use-social-security-numbers/
────────────────

◆クレジットカード・セキュリティ法 ミネソタ州で承認(2007.5.24)

ミネソタ州議会下院および上院は、プラスチックカード・セキュリティ法
(Plastic Card Security Act)を承認した。この法により、店舗はデータセキ
ュリティ侵害発生の際、金融機関に対し、生じた損害の責任を負うことになる。
また、支払いカード使用企業に対し、決済承認後はカードのセキュリティコー
ド情報や暗証番号検証コード、カードの磁気ストライプから読み取れる情報を
いっさい保持してはならないとしている。デビットカードの場合は、決済承認
後48時間までならカード情報を保持してよい。侵害事件発生の際、データ保持
制限措置に違反していることが明らかになった組織は、侵害事件が原因で生じ
た費用を金融機関に補償しなくてはならない。年間カード決済件数が2万件以
下の組織はこの責任が免除される。これに関連したニュースであるが、テキサ
ス州議会下院では、全企業に対して支払いカード産業(PCI)データセキュリテ
ィ基準の適用を義務付ける法案が可決された。しかし、同州議会の上院は、こ
の法案を委員会で審理中にしたまま、ていよく消滅させてしまおうとしている
ようだ。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=199701966
http://www.revisor.leg.state.mn.us/bin/bldbill.php?bill=S1574.2.html&session=ls85

【編集者メモ】(Schultz)
PCI-DSS関連の法案がテキサス州議会上院で可決されないことは、驚くに値し
ない。多くの企業が、PCI-DSS遵守のための資金繰りを懸念してこの法案に反
対の働きかけを行ったに違いないのだから。
────────────────

◆米国議会下院 スパイウェア法を可決(2007.5.23)

米国議会下院は、詐欺目的のスパイウェア使用者に懲罰を与える法案を可決し
たが、ソフトウェアメーカーには何の規制措置も課さなかった。この法案の発
起人であるZoe Lofgren議員(カリフォルニア州民主党)は、この法案は「技術
の大幅な革新が全く伴わない、最も悪意あるスパイウェア一式をターゲットに
している」という。同法によって、詐欺目的のスパイウェア使用で有罪になっ
た者は最高5年の懲役刑となり、人を騙したり、損害を与えたり、コンピュー
タを損傷する目的で個人情報を獲得・送信した者は最高2年の懲役に処せられ
る。また、同法で他のあらゆる種類のコンピュータ詐欺に対抗できるよう、司
法省に年間1000万ドル付与するという。
http://www.smh.com.au/news/Technology/US-House-of-Representatives-approves-legislation-to-combat-Internetspyware-other-scams/2007/05/23/1179601448552.html
http://australianit.news.com.au/articles/0,7204,21780504%5E15306%5E%5Enbv%5E,00.html

【編集者メモ】(Schultz)
この法案は、どうやら可決されてもことごとく骨抜きになってしまう運命にあ
るようだ。スパイウェア対抗措置として効果を発揮することは、十中八九なか
ろう。しかし、スパイウェアで詐欺を働いた者に懲罰を与える法案を可決した
のだから、曲がりなりにも対スパイウェア路線における一歩とは言える。
────────────────

◆米国国防省のレポート:中国はサイバー戦闘能力を強化(2007.5.28-29)

米国国防省(DoD)のレポートによると、中国は、敵国のコンピュータシステム
およびネットワークをアタックできるウィルスを開発し、友好国のコンピュー
タシステムやネットワークを保護する目的で、情報交戦部門を設立したという。
中国の軍事力に関する会議(Congress on China's military power)にペンタゴ
ンが昨年まで提出していた年間レポートには、中国は防御的措置に専念してい
るが、攻撃的戦略にも力を入れ始めたら注意しなければならないと記載されて
いた。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9021663&source=rss_topic17
http://www.pcworld.com/article/id,132284-pg,1/article.html

【編集者メモ1】(Skoudis)
このレポートや、エストニアに対するサイバーアタックの記事を見ると、この
手のアタックが大きな脅威になりつつあることがわかる。実は、このような脅
威の変遷はすでに例がある。2003年以前の大きな脅威は、愉快犯や内部による
犯行であった。しかし2003年から2004年にかけて、営利目的の組織犯罪に変わ
っていった。地政学的環境によっては、政府のバックアップによるサイバー戦
争がすぐさま大きな脅威になる可能性もある。また、政府と組織犯罪の脅威は
深く関わっていることがあるので注意が必要だ。エストニアのケースでは、ア
タッカーがサイバー犯罪組織からボットネットをレンタルしたとのことである。
【編集者メモ2】(Honan)
エストニアのWebサイトに対するアタックが継続的に仕掛けられていることに
ついては、最近のNewsBitesでも取り上げた。この記事
(http://www.sans.org/newsletters/newsbites/newsbites.php?vol=9&issue=40
を読めば、サイバー戦争は単なる理論上の脅威ではなく、国家レベルで対処す
る必要のある現実的な脅威であることに気付くだろう。
【編集者メモ3】(Schultz)
情報戦争という概念は、出現してすぐに軍や諜報コミュニティで使われるよう
になった。しかし、この概念には実質的な裏づけはあまりないようだ。現在は、
これを逆の立場から見た概念が現実化している。情報戦争活動に関連するセキ
ュリティリスクがはっきりと認識されて監視されるようになり、リスク軽減対
策がとられるようになってきたのだ。
────────────────

◆香港 スパム対策に真剣に取り組む(200.5.28-30)

香港の新しい法では、有罪になったスパマーは、今までより長い懲役、および
最高100万香港ドル($128,000 USD)の罰金が科せられる。この法律は2段階に分
けて導入されるという。第1段階は、"ブルートフォース"や辞書攻撃で入手し
たメールアドレス宛のメッセージ送信の禁止。第2段階は、正しい送信者情報
および「配信停止」方法の明記と、配信停止リクエスト受領後10日以内の配信
停止措置の義務付けである。他人のコンピュータに侵入し、そのコンピュータ
からスパムを送信した者は最高10年の懲役刑となる。同法にいうスパムとは、
fax、電子メール、携帯電話SMS、録音電話メッセージなど、発信源情報が明か
されていない商用迷惑メール全てである。
http://www.smh.com.au/news/Technology/Hong-Kong-cracks-down-on-spam/2007/05/28/1180205162548.html
http://www.chinatechnews.com/2007/05/30/5449-hong-kong-will-punish-email-spammers/
http://www.techspot.com/news/25443-hong-kong-spammers-face-big-fines-and-long-jail-terms.html
────────────────

◆ドイツ 新しい対ハッキング法を承認(2007.5.26-28)

ドイツは、厳格な新・対ハッキング法を承認した。既存のIT法の抜け穴を埋め
る目的で作られたもので、コンピュータシステムに侵入した罪で有罪になった
者には、最高10年の懲役を科すようになっている。この新法では、「コンピュ
ータシステムに侵入し、保護データにアクセスすること」をハッキングとして
いる。つまり、実際にデータが盗まれたかどうかは問題にされない。また、承
認なしにシステムへアクセスできるツールを意図的に作成、販売、購入した者
も起訴対象になる可能性がある。そのほか、新しく定義された違法行為として
は、DoSアタックや個人を標的にした破壊行為などがある。既存のIT法では、
企業や政府局に対するアタックだけが対象となっていた。しかし、「新法によ
って製品開発に歯止めがかかり、単に職務を全うしようとする経営者の障害に
なりかねない」と批判する団体もある。
http://computerworld.com.my/ShowPage.aspx?pagetype=2&articleid=5102&pubid=4&issueid=114
http://www.heise-security.co.uk/news/90255

【編集者メモ1】(Skoudis)
システムを悪用できるツールの開発を違法にしてしまうと、実際にはセキュリ
ティに対する姿勢自体が緩んでしまい、一国の政府がバックアップするサイバ
ー戦争(今回のNewsBitesで言及)のような主要な脅威に対して無防備になる
のではないかと懸念している。たとえばMetasploitがまだ開発されていないと
なると、我々が使用可能な悪用フレームワークが存在しないため、パッチ適用
プロセスも粗悪になる(1999年から2001年にかけて、ほとんどの組織が用いて
いたパッチ適用プロセスがいかにお粗末だったかを思い出してほしい)。今、
Metasploitが存在しているおかげで状況は改善され、将来大きな脅威が生じた
ときの対処法をピンポイントで確認できるようになったのである。
【編集者メモ2】(Schultz)
システムへ未承認でアクセスできるツールを作成、販売、購入することに関し
ての条項がこのような形で存在するとなると、セキュリティ強化のために、合
法的に使用されているツールに関しても懸念材料が出てきてしまう。セキュリ
ティの検査目的で、脆弱性スキャンやパスワードファイルのハッキングを行っ
た者が懲役に科せられるのは非常に不当だと思う。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年5月28日配信 Vol.6 No.22)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
Windows                 1
Microsoft Office             1
他のMicrosoft製品            2
サードパーティのWindowsアプリ      24(#3)
Mac OS                  2(#1)
Linux                  6
Solaris                 1
クロスプラットフォーム         12(#2)
Webアプリ…XSS             20
Webアプリ…SQLインジェクション     10
Webアプリケーション           19
ネットワークデバイス           3
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Apple Mac OS XとSun Java Web Proxy(企業やISP、e-コマース環境でWebコン
テンツのキャッシュやフィルタリングに使用されている)には、今週重大な脆
弱性が確認された。
────────────────

1.危険度【重大】:Apple Mac OS Xに複数の脆弱性
  (Security Update 2007-005)

<影響のある製品>
Apple Mac OS X 10.3.9までのバージョン
Apple Mac OS X 10.4.9までのバージョン
Apple Mac OS X Server 10.3.9までのバージョン
Apple Mac OS X Server 10.4.9までのバージョン

<詳細>
Apple Mac OS Xには、複数の脆弱性がある。

(1) PDFファイルが細工されると、CoreGraphicsサブシステムにインテジャー
オーバーフローの脆弱性が引き起こされる。PDF文書はプロンプトなしに開か
れるので注意が必要だ。

(2) ユニバーサルプラグアンドプレイ(UPnP)リクエスト処理には複数の脆弱性
があり、mDNSResponderサーバやiChatインスタントメッセージ・クライアント
にバッファオーバーフローを引き起こしてしまう。いずれのケースにおいても、
細工されたUPnPパケットが脆弱なプロセスに送信されるとこれらのバッファオ
ーバーフローが悪用されるおそれが生じる。ローカルネットワークから発信さ
れたパケットのみがこれらの脆弱性を悪用できるとみられているが、確証はな
い。

これらの脆弱性の悪用が実現すると、現在のユーザー権限か脆弱なプロセス権
限(mDNSResponderコンポーネントはルート権限で動作するので注意)で任意
のコードを実行できるようになってしまう。また、この更新ではほかにDoS脆
弱性、ローカルのみの脆弱性、情報開示脆弱性に対処している。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社はすでに、システムの更新プロセスに入っている。

<参考>
Appleのセキュリティ更新
http://docs.info.apple.com/article.html?artnum=305530
SecurityFocus BIDs
http://www.securityfocus.com/bid/24144
http://www.securityfocus.com/bid/24159
────────────────

2.危険度【重大】:Sun Java Web Proxyに複数のバッファオーバーフロー脆弱
  性

<影響のある製品>
Sun Java Web Proxy Server 4.0.4までのバージョン

<詳細>
Sun Java System Web Proxyサーバ(旧Sun ONE Web Proxyサーバ)は、企業や
ISP、e-コマース環境でWebコンテンツのキャッシュやフィルタリングのために
広範囲で使用されている。このサーバはSOCKSv5プロトコルをサポートし、フ
ァイヤウォール越えできるようにしている。しかし"sockd"デーモンには、細
工されたSOCKSv5リクエストによって引き起こされるスタックベースのオーバ
ーフロー脆弱性がある。デフォルトの設定であれば、未認証のアタッカーでも
このバッファオーバーフローを悪用して、ルート権限で任意のコードを実行で
きるようになってしまう。

<現状>
Sunはこの問題を認めており、バージョンを4.0.5に更新している。回避策とし
ては、必須でない場合は、デーモンを無効にするとよい。

<参考>
iDefenseアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=536
Sunアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102927-1
製品のホームページ
http://www.sun.com/software/products/web_proxy/home_web_proxy.xml
SecurityFocus BID
http://www.securityfocus.com/bid/24165
────────────────

3.危険度【高】:Avast! AntivirusのCABファイル処理にバッファオーバーフロ
  ーの脆弱性

<影響のある製品>
Avast! Antivirus Managed Client 4.7.700以前のバージョン

<詳細>
Avast! Antivirusは、アンチウィルスソリューションとして広範囲で使用され
ている。しかし、Avast! AntivirusのCAB(Microsoft Cabinet)ファイル(一般
的なアーカイブ形式)処理には欠陥がある。CABファイルが細工されると、can
アプリケーションにバッファオーバーフローが生じ、脆弱なプロセス権限で任
意のコードを実行できるようになってしまう。脆弱なのはManaged Clientのみ
である。

<現状>
Avast!はこの問題を認めており、更新をリリースした。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Avast! Client変更ログ
http://www.avast.com/eng/adnm-management-client-revision-history.html
CABファイルについてのWikipediaの説明
http://en.wikipedia.org/wiki/Cabinet_%28file_format%29
ベンダーのホームページ
http://avast.com/
SecurityFocus BID
http://www.securityfocus.com/bid/24132

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。