NRI Secure SANS NewsBites 日本版

Vol.2 No.27 2007年7月9日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.27 2007年7月9日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            !!開催まであと1週間!!

      SANS Future Vision 2007 Tokyo 国内初開催!
    ~情報セキュリティの最新動向をキャッチアップする2日間~
    2007年7月17日(火)-18日(水) 会場:シェラトン都ホテル東京

    ◆SANSトレーニング(2日間コース) 特別開催!!◆
Cutting-Edge Hacking Tools:A Hands-On Session for Incident Handlers
[最新]インシデントハンドラーのためのハッキング技術の理解と防御対策演習
       → http://www.event-information.jp/sans-fv/training.html

 >>>地球上で最も危険なネットワークに接続し、ハッキング演習を体験!!
  >>>通常の受講料1,745ドル(約20万円)のところ、
              >>>特別価格69,300円(税込み)にてご提供!!

     参加受付け開始(事前登録制) 詳細はこちら↓↓↓
       http://www.event-information.jp/sans-fv/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.9 No.51-52(原版:2007年6月30日、7月4日)

■はじめに(Alan Paller:SANS Director of Research)

アウトソーシングとセキュリティの課題とは?

アプリケーション開発アウトソーシング時のセキュリティ問題を解決する素晴
らしいソリューションをご存知の方へ。8月に、100以上の大型組織が集結し、
アプリケーションセキュリティについて今までに学んだ教訓を互いに共有する
場が設けられる。現在、開発の80%近くはインドや中国、ポーランド、その他
自国以外の企業にアウトソーシングされているが、このカンファレンスでは主
にアウトソーシングの際、いかにして安全なコードを開発するか議論される。
このワークショップへの参加希望者(興味深い情報のある方、教訓を学びたい
方、ベストプラクティスを探索している方など)はapaller@sans.org.まで。
────────────────

◆カリフォルニアの対データ侵害法案 通知義務とコスト負担を店舗側に
  (2007.6.28)

カリフォルニア州議会は、データ侵害発生時に顧客への通知を店舗の責務とす
る法案を議論している。現行、金融機関がこの通知業務を遂行しているが、同
法案ではペイメントカード産業(PCI)データセキュリティ基準に則り、顧客
の個人情報に対する安全措置は店舗に義務付けられることとなっている。店舗
は、同時に消費者への通知費用やカードの再発行費用の負担を強いられる。カ
リフォルニア州民とビジネス取引をする企業は全て、この法に示されている必
須条件を満たさなければならない。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=200001385

【編集者メモ】(Schultz)
カリフォルニア州は再び、データセキュリティ侵害法において率先してリーダ
ーシップを発揮してくれた。この法案は理にかなっていると言える。データセ
キュリティ侵害発生に責任のある組織は、その責任を負うべきなのだ。
────────────────

◆信用調査所 消費者のクレジット情報凍結に反対運動(2007.6.25)

信用調査所(クレジットビューロー)は、消費者の信用報告書凍結を許可する法
案を阻止しようと、活発に働きかけを行っている。連邦政府レベルで同法施行
が成功を遂げている中、州レベルでも、消費者が自身の信用情報へのアクセス
をブロックできる条項を含むデータ侵害通知法案が、次々に可決されている。
今年末には、35州が同様の法を施行する予定である。そのため、信用調査所は
個人信用情報機関(CDIA)の力を借りながら、反対運動の矛先を再び州議会に戻
すことになった。クレジット情報凍結を許可する法の施行が増加している背景
には、口座開設詐欺の複雑化がある。クレジット情報ファイルに手軽にアクセ
スできなくなれば、窃盗犯が盗んだ個人情報を使って新しい口座を開設するの
は困難になるだろう。CDIAのロビイストは、信用報告書を凍結することが、身
元詐称詐欺に対する有効な手段だとはまだ証明できていない、と主張している。
http://www.usatoday.com/money/perfi/credit/2007-06-25-credit-freeze-usat_N.htm

【編集者メモ】(Schultz)
信用調査所のような組織が、消費者の利益をほとんど考慮してないとは、なん
と残念なことか。しかし、これらの組織は顧客側に追い風があることを知りな
がら、負けて当然の戦いに挑んでいるだけのようだ。
────────────────

◆欧州の銀行 顧客にデータ監視の通知義務(2007.6.27)

欧州連合(EU)法29条(Article 29)によると、調査委員会は連合国の銀行に対し、
「取引データは米国のセキュリティ機関によって監視される」ことを2007年9
月1日までに顧客へ通知するよう義務付けている。監視対象は、国際取引のほ
か、ヨーロッパにおける取引である。ヨーロッパにおける銀行間決済機関の
SWIFTが、顧客に通知することなく、米国当局に取引情報へのアクセスを許可
していたことを受けてこの対策が講じられた。米国側は、テロ対策の一環とし
て取引を監視する必要があると述べている。
http://www.theregister.co.uk/2007/06/27/swift-disclosure_rules_for-european_banks/print.html

【編集者メモ】(Honan)
重要なのは、この合意の中で米国が最高で5年間のデータ保持に合意し、その
データのテロ対策目的のみでの使用を約束していることだ。SWIFTも、EU法に
則ってデータを保護し、これらの保護措置がきちんと施されているかどうか、
EU関係者が年に1度検査することに同意している。SWIFTからの詳細情報はこち
ら:
http://www.swift.com/index.cfm?item_id=62260]
────────────────

◆CAN-SPAM法で男性2人有罪(200.6.26)

連邦陪審は、ポルノWebサイト広告宣伝のスパム活動に関連する複数の容疑で、
2人の男性に有罪判決を下した。Jeffrey KilbrideとJames Schafferはこのス
キームを設けた見返りとして、200万ドルを受け取っていた。この2人は、CAN
-SPAM法による有罪事例の先駆けとなる。彼らの容疑には、資金洗浄、共謀、
詐欺などがあった。刑は2007年9月に確定するが、CAN-SPAM法1につき5年の懲
役、および最高で50万ドルの罰金が科せられる可能性がある。他の共犯者3人
はすでに有罪を認めている。
http://www.theregister.co.uk/2007/06/26/can_spam_convictions/print.html
http://www.vnunet.com/vnunet/news/2192862/court-slams-dirty-duo-spammers
http://www.usdoj.gov/opa/pr/2007/June/07_crm_453.html
────────────────

◆米国・EU データ共有協定に合意(2007.6.29)

米国と欧州連合(EU)は、EU市民の航空旅客情報や財務情報に対する米国からの
アクセスについて合意に達した。米国はEUの搭乗客記録を最高15年間保持でき
ることとなり、その情報の用途に制限を設けていない。EU関係者は米国を訪問
し、それらデータがどのように使用されているか閲覧可能である。米国は、自
国への入国者を監視するために航空旅客情報が必要だという。また、この合意
では、米国財務省は獲得した財務情報を最高5年間保持でき、テロ対策に限っ
て、その情報を使用することができる。
http://www.theregister.co.uk/2007/06/29/us_eu_data_use/print.html
http://www.vnunet.com/computing/news/2193144/eu-does-double-deal

【編集者メモ】(Honan)
ヨーロッパ市民の多くは、自身のプライバシーが他国に侵害されることに腹を
立てている。データが常に正確であることや、第三者と共有されないというこ
とについての確約もないままなのだから…。そして間もなく我々は、自身の権
利や自由が、「テロとの戦い」の名のもとに侵害されていくことに後悔の念を
抱くようになるだろう。
────────────────

◆ロシアの独立系Webサイト アタックの的に(2007.7.2)

ロシア政府を批判してきた組織のWebサイトが、アタック(エストニアのWebサ
イトへの4月と5月のアタックに類似していると同組織は主張)の餌食となって
いる。同組織は、言論・情報の自由を鎮圧しようとするクレムリンがこのアタ
ックの背景にあると考えている。これらのアタックは、これから行われるロシ
ア議会選挙や大統領選挙に関連して行われているようだ。ロシア政府は、この
見解を否定しており、「ハッカーが、本当の発信源ではない他のところからア
タックが仕掛けられたようにIPアドレスを偽装したのかもしれない」との姿勢
を維持している。
http://www.cnn.com/2007/TECH/07/02/russia.cyberwar.ap/index.html
────────────────

◆米国復員軍人援護局・監査官報告書:医療センターのデータ紛失責任をIT専
  門家に(2007.6.30)

米国復員軍人援護局の監査官(IG)報告書によると、アラバマ州バーミンガムに
あるVA医療センターで150万人分のデータが紛失したのは、同省がプライバシ
ー規制に準拠していなかったことが原因ではないとしている。データは、外付
けのハードドライブに保存されており、そのドライブは2007年1月22日に紛失
が発覚。データに責任のあるIT専門家は、当初発生した問題の深刻度を低く見
せるために、自分のコンピュータからファイルを削除したと捜査員に誤った報
告をしていた。紛失したデータの中には、社会保険番号(SSN)、医療および健
康関連情報などがあったが、いずれも暗号化されていないだけでなく、パスワ
ード保護もされていなかった。捜査員は、職員の誤った報告によって侵害で影
響を受けた人数を低く見積もってしまったという。その後、侵害によって影響
を受けた退役軍人はおよそ25万人、医師、および他の医療サービス提供者など
は150万人であることが発覚。データの暗号化を必須としているポリシーがあ
ったにもかかわらず、事件の発生した施設のマネージャは、施錠した金庫の中
にハードドライブを保管する決断を下していた。しかし、職員はたびたびその
ドライブを金庫の外に放置したり、施設外に持ち出したりしていたようだ。さ
らに、そのドライブへのアクセスの安全性を監視する手順は、一切設けられて
いなかった。報告書では、IT専門家がそのような大量のデータ群へのアクセス
を認められていたのかどうか、ルールに従っていたのかどうか、疑問を呈して
いる。
http://www.al.com/news/birminghamnews/index.ssf?/base/news/1183192343301010.xml&coll=2
http://www.computerworld.com/action/article.do?command=printArticleBasic&articleId=9026059
http://www.va.gov/oig/51/FY2007rpts/VAOIG-07-01083-157.pdf

【編集者メモ1】(Honan)
この記事で、ポリシー施行やデータアクセスに関する問題が浮き彫りになった。
また、侵害発生の疑いが生じたら、取調べ技術のある人員が職員を取り調べな
ければならないこともわかった。そして、入手した事実が取調べで得た情報と
一致するかどうかを見極めなければならない。
【編集者メモ2】(Boeckman)
事件発生後には必ず魔女狩りが行われるものの、結局被告人はCIOではない。
なんと興味深いことだ。
【編集者メモ3】(Ranum)
ポリシーと手順は、書面上で眺める分にはよく見えるものだ。しかし、それら
が生きているのが書面上だけとは。「知る必要があるかどうか」という問いを
もとにデータへのアクセスを制限する行為は、誰もが直面したくない結末であ
る。
【編集者メモ4】(Weatherford)
はい、皆さん私に続いて"知る必要がある"と一緒に唱えよう。嘘をつく職員
(もってのほかであるが)の存在など、驚くには値しないだろう。人間は、自
分がトラブルに巻き込まれそうなときはいつも、自分の逃避行動がもたらす影
響を最小限にしか見積もらないものだ。捜査員に質問を受けるとなると、その
トラブルが差し迫ったものであることは明らかだ。このストーリーは、上官ら
が企業ポリシーに違反しているケースなのか、それとも、もっと深いところに
原因がある例なのか? 上官らは要求していたとおりの資金を受けられなかっ
たが、暗号化の必要性はあったため、リスク緩和戦略として、ハードドライブ
を金庫に施錠して保管していたのだろうか? 最良策とは言えないが、少なく
ともある種の戦略ではある! そして現在、アクセスの安全性を監視するポリ
シーを設置・施行する必要性に迫られており、まだなお忌まわしい「知る必要
がある!」と提唱する人々の問題もある。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年7月03日配信 Vol.6 No.27)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
Microsoft Office             14
その他のMicrosoft製品           1
Linux                   10
Solaris                  4
クロスプラットフォーム          20 (#1,#2,#3)
Webアプリ…XSS              19
Webアプリ…SQLインジェクション      16
Webアプリケーション            26
ネットワークデバイス            2
======================================================================

1.危険度【重大】:MIT Kerberosも"kadmind"にバッファオーバーフローの脆弱
  性

<影響のある製品>
MIT Kerberos 1.6.1までのバージョン
MIT Kerberosをベースにしたシステムに脆弱な可能性あり

<詳細>
MIT Kerberosは、Kerberos認証プロトコル実装として広範囲で使用されている。
しかし、MIT Kerberosのkadmindコンポーネントにはバッファオーバーフロー
の脆弱性がある。Kerberosリクエストが細工されると、このバッファオーバー
フローが引き起こされる。この脆弱性の悪用が実現すると、kadmindプロセス
(rootの場合も多い)権限で任意のコードを実行できるようになってしまう。問
題のコンポーネントは、Kerberosマスターサーバで運用されているため、この
脆弱性の悪用が実現すると、Kerberosドメイン内の他のシステムの認証情報の
スプーフィングや、情報開示につながってしまうおそれがある。ベンダーの多
くは、Kerberos実装をこの形で実装している。これらのベンダーも脆弱な可能
性がある。作用するエクスプロイトがあると報告されているが、今のところ、
それが出回っている形跡はない。ソースコードなど、この脆弱性の技術的詳細
が公表されている。

<現状>
MITはこの問題を認めており、更新もリリースしている。ベンダーの中には
Kerberos実装製品のために更新をリリースしたところもある。

<参考>
MITのセキュリティアドバイザリ
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-005.txt
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=548
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102985-1
Kerberosについての Wikipediaの説明
http://en.wikipedia.org/wiki/Kerberos_%28protocol%29
製品ホームページ
http://web.mit.edu/kerberos/www/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/24653
────────────────

2.危険度【重大】:Real NetworksのRealPlayerとHelixPlayerにSMILバッファ
  オーバーフローの脆弱性

<影響のある製品>
Real Networks RealPlayerのバージョン10.5およびそれ以前のバージョンも脆
弱な可能性あり
Real Networks HelixPlayerバージョン10.5 およびそれ以前のバージョンも脆
弱な可能性あり

<詳細>
Real Networks RealPlayerとそのオープンソースバージョンHelixPlayerの
Integration Language (SMIL)ファイルの時間値解析には欠陥がある。これら
のファイルは、同期や複数のメディアストリームを同時に(もしくは一定の時
間に)再生するときや、メディアストリームのメタデータを提供するときに使
用される。SMILファイルの時間値が細工されると、バッファオーバーフローを
引き起こし、現在のユーザー権限で任意のコードを実行できるようになってし
まう。通常、RealPlayerとHelixPlayerは、プロンプトなしにSMILファイルを
開いてしまうので注意が必要だ。悪意あるWebページが悪用のツールとなるの
で、ブラウザが組み込まれたバージョンの製品は影響を受ける可能性がある。
これらの脆弱性の技術的詳細や概念実証コードが公表されている。

<現状>
Real Networksはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=547
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/24658.html
SMILについてのWikipediaの説明
http://en.wikipedia.org/wiki/Synchronized_Multimedia_Integration_Language
製品ホームページ
http://www.real.com
SecurityFocus BID
http://www.securityfocus.com/bid/24658
────────────────

3.危険度【高】:Sun JavaのWeb Startに任意のファイル実行脆弱性とコマンド
  実行脆弱性

<影響のある製品>
Sun Java Development Kitのバージョン 5.0
Sun Java Runtime Environmentのバージョン1.4.2
Sun Java System Development Kitのバージョン1.4.2

<詳細>
Sun Java Development Kit、System Development Kit、およびRuntime
Environmentは、Java Web Start機能を提供している。この機能によって、
JavaアプリケーションはリモートのWebサイトやサーバからも起動可能になる。
しかし、Java Web Startアプリケーション処理には欠陥があり、この欠陥によ
って任意のファイルが上書きされ、悪意あるアプリケーションが、現在のユー
ザーによってアクセス可能なファイルであればどれでも上書きできるようにな
ってしまう。Java Web Startアプリケーションに与えられた許可は、ローカル
ファイル(ほとんどのプラットフォームで".policy.java"として知られている)
によってコントロールされているため、Java Web Startアプリケーションにあ
るこのファイルを上書きして実行制限を取り除けるようになってしまう。この
脆弱性に関しては、これ以上の技術的詳細は公表されていない。

<現状>
Sunはこの問題を認めており、更新もリリースしている。

<参考>
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102957-1
SecurityFocus BID
http://www.securityfocus.com/bid/24695

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。