NRI Secure SANS NewsBites 日本版

Vol.2 No.26 2007年7月2日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.26 2007年7月2日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
             開催まであと2週間!!

      SANS Future Vision 2007 Tokyo 国内初開催!
    ~情報セキュリティの最新動向をキャッチアップする2日間~
    2007年7月17日(火)-18日(水) 会場:シェラトン都ホテル東京

    ◆SANSトレーニング(2日間コース) 特別開催!!◆
Cutting-Edge Hacking Tools:A Hands-On Session for Incident Handlers
[最新]インシデントハンドラーのためのハッキング技術の理解と防御対策演習
       → http://www.event-information.jp/sans-fv/training.html

 >>>地球上で最も危険なネットワークに接続し、ハッキング演習を体験!!
  >>>通常の受講料1,745ドル(約20万円)のところ、
              >>>特別価格69,300円(税込み)にてご提供!!
  >>>限定70席、申込み先着順に受付け
     ※満席が予想されます。お早めにお申込みください。

     参加受付け開始(事前登録制) 詳細はこちら↓↓↓
       http://www.event-information.jp/sans-fv/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.9 No.49-50(原版:2007年6月23日、26日)

◆米国国土安全保障省CIOにITセキュリティ対策がうまくいかない責任あり
  (2007.6.20-21)

国土安全保障省(DHS)で発生した800件以上のセキュリティインシデントに関し
て、証人喚問が行われた。この証人喚問で下院国土安全保障委員会代表の
Bennie Thompson議員(ミズーリ州民主党)は、DHS CIOのScott Charbo氏がCIO
職に居座り続けることに疑問を呈した。同議員は、「Charbo氏が同省の情報技
術システムの脆弱性修正に熱心に取り組んでいた」という証言に懐疑的であり、
外部の監査人をして、やっとITシステムのセキュリティにある重大な問題が指
摘されるに至ったと証言した。さらに、DHSは他の政府部門の見本にならなけ
ればならないと述べた上で、「“私の行動ではなく、言葉に従え”というポリ
シーが、このような惨劇を招いた。ネットワークへのセキュリティの脅威に対
して真剣に取り組むならば、それらしい姿勢を示すだけではなく、実際に行動
を始める必要がある」と続けた。DHSのシステムをテストした行政予算管理局
(GAO)の主席技術者Keith Rhodes氏は、「DHSのリスク度は高かった」と述べ
ている。
http://computerworld.com/action/article.do?command=viewArticleBasic&articleId=9025420
http://www.govexec.com/story_page.cfm?articleid=37256&dcn=todaysnews
http://www.gcn.com/online/vol1_no1/44521-1.html?topic=security&CMP=OTC-RSS
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=199906038
────────────────

◆通信保存法 合衆国憲法修正第4条に違反(2007.6.19)

米国連邦裁判所は、「警察は、Webベースのメールを差し押さえる際、令状が
必要」という下級裁判所の判決を維持した。巡回控訴裁判は、Webメールのユ
ーザーには、遠隔地にあるホストに保存されたメッセージ内容について適切な
プライバシーが与えられるべきだ、としている。米国政府が上訴できなかった
2006年時の最初の判決では、通信保存法(SCA = Stored Communications Act)
は、憲法第4条に違反しているとの見解である。SCAは、20年もの間、保存され
たメールに令状なしでアクセスするために利用されてきた。
http://www.theregister.co.uk/2007/06/19/webmail_wiretaps_appeal/print.html
http://www.heise-security.co.uk/news/91363
────────────────

◆米国国防総省のメールシステムに侵入事件(2007.6.21)

6月20日に国防総省(ペンタゴン)にサイバー侵入が発生し、機密ユーザーお
よそ1,500人に対するメールサービスに障害が発生した。この侵入事件発覚後、
ペンタゴンのメールシステムの一部は、オフライン化された。このインシデン
トについて、現在捜査が展開されている。国防長官Robert Gates氏によると、
彼自身はメールを使用しないため、一個人としては影響を受けていないという。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9025442&source=rss_topic17
(リンク先の1/3ページほど下に、この問題が掲載されている)
http://www.defenselink.mil/transcripts/transcript.aspx?transcriptid=3996http://www.forbes.com/feeds/ap/2007/06/21/ap3846552.html
────────────────

◆フランスの政府関係者 ブラックベリー(PDA)の使用を禁じられる
  (2007.6.19-20)

フランス政府は、データセキュリティへの懸念から、政府関係者やアドバイザ
ーに対し、ブラックベリー使用禁止要請を再発行した。首相の上級経済調査ア
ドバイザーであるAlain Juillet氏は、ブラックベリー、もしくは同機器で送
受信されたデータは傍受されてしまうと述べている。これに対し、ブラックベ
リーの開発企業であるResearch in Motion(RIM)は、同機器は256ビットのAES
(Advanced Encryption Standard:(注)米国政府の次世代標準暗号化方式)を
使用しており、ネットワーク全体に送受信されるメールを保護していると反論
している。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9025310&source=rss_topic17
http://www.ft.com/cms/s/dde45086-1e97-11dc-bc22-000b5df10621.html

【編集者メモ】(Schultz)
フランス政府の決定が、事実に基づく裏付けがあるものなのかどうか疑問であ
る。ブラックベリーのデータ傍受の可能性は低い。しかし同時に、同機器に他
にたくさんのセキュリティ脆弱性があり、それらがパッチ未適用の状態であれ
ば、さまざまな問題が生じるとも言えるのである。
────────────────

◆ニュージーランドの銀行 セキュリティのために顧客のパソコンを検査
  (2007.6.25)

ニュージーランドの新しい銀行行動規約では、銀行はオンライン顧客のパソコ
ンへのアクセスをリクエストできる。つまり、疑わしい取引があった顧客のパ
ソコンに、適切なセキュリティ保護対策があったかどうかを検査できるのであ
る。インターネットバンキングの顧客のパソコンに適切な保護ソフトウェアが
ない場合、また、OSが更新されていな場合や、ウィルススキャンやファイヤウ
ォール、アンチスパイウェア、OS、アンチスパムソフトウェアが最新の状態に
維持されるように適切に管理されていない場合は、顧客自身が未認証取引によ
る損失の責任を負うことになる。想像しやすいパスワードを使っていたり、暗
証番号を誰かと共有したり、メモに残していたり、電子メモをとっていたりし
た場合も同様である。顧客がこの検査リクエストに応じなくても、銀行には強
行権限があるという。
http://computerworld.co.nz/news.nsf/news/FDA3CE33D73B5B82CC257302000B0EE8

【編集者メモ1】(Liston)
この問題について、私は次のように考えをめぐらせてしまう。
銀行から現金を下ろして、治安の悪いところを歩いて帰っていたら襲われた場
合、その現金を銀行が払い戻してくれるなどということがあるだろうか?
そして、もし銀行が支店を治安の悪い場所にしか開かなかったら?
こうなってくると、もうどう考えたらよいのかわからない。
【編集者メモ2】(Schultz)
新しい銀行行動規約は、一見公平であるように思われる。顧客が自分のコンピ
ュータを十分に保護できていない場合は、不正取引の責任を免除されてしかる
べきでない。しかし同時に、顧客自身に身に覚えのない取引を申し立てる権利
があるのに、銀行にコンピュータを検査させるというのなら、プライバシー侵
害になりはしないだろうか?
────────────────

◆法案が成立した場合 GoogleはGmailをドイツから撤退(2007.6.25)

ドイツ政府が、インターネットやメールサービスのプロバイダに、ユーザーの
身元がわかる形でのデータ保存を義務付ける法案を成立させ、施行することに
なった場合、GoogleはドイツでのGmailサービスを停止する可能性がある。
Googleは、匿名のメールアカウント使用オプションをユーザーに提供し続ける
意向だ。
http://www.heise.de/english/newsticker/news/91681
http://www.computerworld.com.au/index.php/id;1844663436;fp;2;fpid;1

【編集者メモ】(Liston)
この法案は、ドイツ政府による欧州必須データ維持2006年法の導入を意味して
いる。導入の期日が2009年3月であることから、EUの他の諸国も同様の法律を
適用するようになるのは間違いない。この法律は、固定ネットワーク電話、携
帯電話、インターネットアクセス、インターネットメール、インターネット電
話の発信元や発信先、日付、時刻、継続時間、タイプ、通信デバイスデータを
追跡・特定するうえで必要なデータを保持するよう、プロバイダに義務付けて
いる。さらに、携帯通信が行われた位置情報がある場合は、それも保持対象に
なる。データは6ヶ月から24ヶ月の間保持されなければならない。
────────────────

◆店舗と銀行 どちらがPCI遵守の負荷をより多く負うべきか争点に
  (2007.6.25)

銀行は、ペイメントカード産業(PCI)データセキュリティ基準を遵守する際に
生じる負荷が、不当に多く課せられていると感じているようだ。銀行側に言わ
せれば、重大なデータ侵害が発生しているのは店舗の方、とのこと。銀行の中
には、PCI基準措置を導入しようとした際、その必須条件が変わっていたこと
に苛立ちを示すところもあった。しかし、一方の店舗側は、銀行にはシステム
をPCI基準に合わせて整備する負荷があまりかかっていないと感じている。
Gartnerのアナリスト、Avivah Litan氏は、「PCI基準施行の負荷のすべてが、
決済プロセス部分と店舗にかかっている」と、店舗側に同意している。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=297167&taxonomyId=17&intsrc=kc_top

【編集者メモ】(Northcutt)
SANSで法律に関するコースを教えているBen Wrights弁護士は、フェニックス
で開催されるSTAR TECHカンファレンスのイブニングセッションでこの点を論
議する。クレジットカードシステムは、本質的に安全ではない。安全であれば、
損失額の値はさほど大きな問題にならないはずだ。クレジットカード会社は今
後も店舗の割り当て額を吊り上げ、ペナルティを科し続けて行くだろう。店舗
側が一丸となれば、クレジットカード会社にプレッシャーを与えることができ
るはずだ。Benが「店舗に課せられた責任には、交渉事において当たり前であ
る“見返り”が何もない」と指摘するように、この問題は今後悪化する可能性
が高い。Benの記事や、コースの詳細はこちら:
http://www.sans.edu/resources/leadershiplab/cc_data_mn_law_bw1.php
http://www.sans.org/training/description.php

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年6月25日配信 Vol.6 No.26)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ      16
Linux                  3
Unix                   1
Apple                  2 (#2)
Novell                  2
クロスプラットフォーム         11 (#1)
Webアプリ…XSS             12
Webアプリ…SQLインジェクション      7
Webアプリケーション           23
ネットワークデバイス          13
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Mac OS X WebCoreとWebKitには、IEを悪名高い存在にしてしまった脆弱性を連
想させる脆弱性がある。CAのIngressデータベースには、リモートで悪用可能
な重大な脆弱性が新たに報告された。

ソフトウェアのセキュリティ・バグを排除している企業に興味のある方は
Application Security Summitの予定詳細をご覧ください。
http://www.sans.org/appsummit07/

1.危険度【重大】:Ingres Databaseに複数の脆弱性

<影響のある製品>
Ingres Databaseのバージョン3.0.3、2.6、2.5、2006
CAの複数の製品には、Ingres Databaseの脆弱なバージョンが組み込まれてい
る。

<詳細>
データベースエンジンとして広範囲で使用されているIngres Databaseには、
複数の脆弱性がある。細工されたデータベースリクエストによって、スタック
ベース、もしくはヒープベースのオーバーフローが数多く引き起こされ、これ
らのオーバーフローを悪用されると、脆弱なプロセス権限で任意のコードが実
行されてしまう。そのほかには、DoS(サービス拒否)や、ファイル上書きの
脆弱性などもある。脆弱なプロセスは、ルート権限のシステムで運用されてい
るので注意が必要だ。影響を受けるバージョンの内、少なくとも1つはオープ
ンソースであるため、ソースコードを解析すれば、技術的詳細を入手できる。
これらの脆弱性の技術的詳細のいくつかは公表されている。

<現状>
Ingresは、この問題を認めており、更新をリリースしている。

<参考>
CAのセキュリティアドバイザリ
http://supportconnectw.ca.com/public/ca_common_docs/ingresvuln_letter.asp
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=546
Next Generation Security Softwareのアドバイザリ
http://www.ngssoftware.com/advisories/critical-risk-vulnerability-in-ingres-pointer-overwrite-2/
SecurityFocus BID
http://www.securityfocus.com/bid/24585
────────────────

2.危険度【高】:AppleのWebCoreとWebKitに複数の脆弱性

<影響のある製品>
Apple MacOS X 10.4.9までのバージョン
Apple MacOS X Server10.4.9までのバージョン

<詳細>
Apple WebCoreとWebKitは、Mac OS Xの2つのコアコンポーネントであり、数々
のアプリケーション(MailやSafariなど)でWebコンテンツをレンダリングす
るときに使用される。しかし、これらには、複数の脆弱性がある。Webページ
が細工されると、これらの脆弱性のどれかが引き起こされ、現在のユーザー権
限で任意のコードを実行されてしまうか、クロスサイトスクリプティングの脆
弱性が引き起こされる。問題のコンポーネント2つを使用しているほかのアプ
リケーションにも、脆弱な可能性がある。

<現状>
Appleはこの問題を認めており、更新をリリースしている。Appleの「ソフトウ
ェア更新」機能を介して、必要な更新がリリースされている。

<参考>
Appleのセキュリティ更新
http://docs.info.apple.com/article.html?artnum=305759
Apple Safariのホームページ
http://www.apple.com/safari
SecurityFocus BIDs
http://www.securityfocus.com/bid/24598
http://www.securityfocus.com/bid/24597

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。