NRI Secure SANS NewsBites 日本版

Vol.2 No.28 2007年7月13日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.28 2007年7月13日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            !!いよいよ来週開催!!

      SANS Future Vision 2007 Tokyo 国内初開催!
    ~情報セキュリティの最新動向をキャッチアップする2日間~
    2007年7月17日(火)-18日(水) 会場:シェラトン都ホテル東京

     おかげさまでたくさんの事前登録をいただきました。
         皆様の来場をお待ちいたしております。

   セッションや会場までのアクセス等のご確認はこちら↓↓↓
              http://www.event-information.jp/sans-fv/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.9 No.53-54(原版:2007年7月7日、7月11日)

■はじめに(Alan Paller:SANS Director of Research)

本号冒頭のストーリーに出てくる米国行政予算管理局(GAO)の報告書には、ど
うやら大きな欠陥があるようだ。同報告書は、GAOの分析力やその独立性の観
点から、水準の高いものとはとは言えないという。GAO内で通常この分野には
縁のないグループによって作成されたことも判明。GAOの分析に欠陥があるこ
とには頷けるものの、同報告書の内容がこれでは、GAOの評判や、米国のサイ
バーセキュリティにダメージを与えてしまう可能性も否めない。インターネッ
トやインサイダーアタックで企業や組織のデータが侵害された時、この欠陥
のある報告書が、悪いお手本として利用されてしまう可能性がある。つまり、
ひいてはこのGAO報告書がサイバーセキュリティの汚点になってしまうのだ。
────────────────

◆米国行政予算管理局(GAO)報告書:データ侵害と身元詐称詐欺に強い関連性は
  ない?(2007.7.5)

米国行政予算管理局(GAO)の報告書には、「公共・民間両部門において、個人
情報に関連したデータセキュリティ侵害が数多く発生しているが、これらの侵
害によって生じた身元詐称詐欺は比較的少数である」と記載されている。GAO
報告書では、2005年以前の侵害事件を分析しているが、分析対象の中には政府
局で発生した侵害事件は含まれていなかった。報告書には、最大級の侵害事件
が数十件報告されているが、その中の3件だけが既存口座での詐欺に発展し、1
件のみが新規口座の不正な開設につながったとしている。「身元詐称詐欺の原
因となったデータ侵害がどれほどあるのかは不明である。なぜなら、身元詐称
詐欺に使用されたデータの源を特定するのは難しいからだ」とある。報告書に
よれば、「通知義務を設けることによって、組織に対してセキュリティ対策の
施行を奨励することができる」とのこと。「しかし、セキュリティの向上には
費用がかかる。あまりに広範囲に通知義務を施行してしまうと、逆効果になり
かねない」、「小さなレベルの侵害に関しても消費者に通知を発するようにな
ると、しまいには侵害通知そのものが無視されるようになり、組織が“狼少年”
のようになりかねない」と続く。GAOは、「リスクをもとにした通知基準を設
け、発生した侵害事件によって損害が生じる可能性を特定し、その後とるべき
行動を示す」ことを推奨している。
http://www.fcw.com/article103156-07-05-07-Web&printLayout
http://www.gao.gov/new.items/d07737.pdf

【編集者メモ1】(Paller)
とにかく、GAOの報告書には重大な欠陥があると言える。
【編集者メモ2】(Schultz)
GAOは大事な点を突いている。データセキュリティ侵害によってデータが濫用
されてしまう可能性はかなり低いにもかかわらず、逐一侵害通知を行っている
と、人は通知自体に無関心になっていく…という点である。しかし、データセ
キュリティ侵害の発生した組織が、個人情報や財務情報の保護を怠るようにな
ると、その組織は、データが濫用される可能性が高いか否か、影響のある個人
に通知を行うか否かを判断する能力もなくなってしまうだろう。したがって、
データセキュリティ侵害発生時に侵害報告を義務付けることは、正しい行動指
針と言える。
────────────────

◆英国法修正案で、情報委員(Info.Commissioner)によるデータセキュリティ
  監視範囲拡大(2007.7.5)

英国の統計登録法(Statistics and Registration Bill)修正案では、統計局
(Office of National Statistics)のデータセキュリティ監視に関する権限を、
広範囲に拡大した形で情報委員会(ICO:Information Commissioner's Office)
に与えている。また、同法修正案によって、統計局監視委員会が設けられるこ
とになる。つまり、ICOが、統計局監視委員会にて、データセキュリティを継
続的に監視できるようにする。現在のポリシーでは、苦情が発生したときにの
み、監査が実行されるようになっているだけである。
http://www.vnunet.com/computing/news/2193499/powers-watchdog
────────────────

◆テキサス州の女性 全米レコード協会を反訴(2007.7.5)

全米レコード協会(RIAA)に訴えられている女性、Rhonda Crainが、同協会を反
訴した。この訴訟は、米国テキサス地裁で争われている。ここでRhonda Crain
は、RIAAは意図的に無免許の私立探偵を雇い、彼女に対する証拠を収集したと
訴えている。また、Crainは「この行為は、テキサス州コモンロー(common
law)下の市民共謀(civil conspiracy)にあたる」と主張し、裁判所に対し、
音楽企業がテキサス州の訴訟全件、および同人のケースで、無免許の私立探偵
の雇用を禁じる命令を下すよう要求している。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=200900640

【編集者メモ】(Northcutt)
一見すると、RIAAと企業が物事をおろそかに扱ったように見える。実際の反訴
内容はこちらで閲覧できる:
http://www.ilrweb.com/viewILRPDFfull.asp?filename=sony_crain_070703MotAmendAnsCounterclaims
────────────────

◆テロリスト支援団体 盗まれたクレジットカードデータが資金源に
  (2007.7.6)

このほど、3人の男性が、インターネット使って殺人を扇動した罪で有罪を認
めた。そしてこの3人は、不正に入手したクレジットカード情報を使って活動
資金を得ていたようだ。このケースは、テロとサイバー犯罪の間の明確なつな
がりを示すケースとしては初めてのものになる。問題のグループは、フィッシ
ングアタックやトロイの木馬プログラムを使用してカード情報を盗み、その情
報を使ってWebホストサービスやGPSデバイス、暗視ゴーグル、プリペイド携帯
電話、航空券を購入していた。この3人はこれまでに、盗んだクレジットカー
ドで350万ドル以上消費したという。
http://www.washingtonpost.com/wp-dyn/content/article/2007/07/05/AR2007070501945_pf.html

【編集者メモ1】(複数人)
データ侵害の重大性について欠陥のあるGAO報告を作成した関係者らは、是非
この記事を読むとよい。
【編集者メモ2】(Kreitner)
クレジットカード詐欺は単に個人に不都合を及ぼすだけのことと考えている人
や、PCIデータセキュリティ基準について異議を唱えているカード産業界の人
は、この記事の内容を十分に理解すべきだ。
【編集者メモ3】(Shpantzer)
テロリストのネットワークが、テロ活動を支えるために最新の犯罪手法を採用
するとは、もっともなこと。テロリストが犯罪で資金繰りをしているという話
であり、そんな話は今や別段新しいことでも何でもない。ただひとつ新しいこ
とといえば、ドラッグの取引や偽造行為などの組織犯罪ではなく、インターネ
ットでフィッシングとトロイの木馬を組織的に使用しているということだ。
────────────────

◆ベルギーのISPにP2Pファイル共有のブロックを命じる判決(2007.7.4-6)

ベルギーの法廷が、ISPのScarlet社に対し、ネットワーク内の全てのピアツー
ピア(P2P)通信をブロックするよう命じる判決を出し、この判決がヨーロッパ
の記念すべき判決としてもてはやされている。この裁判は、ベルギーの著者
(作詞家)や作曲家を代表する団体、Sabamによって起こされたものだ。法廷
は、「Scarlet社は、侵害的な通信をブロックするか否かユーザーに選択させ
る形で、さまざまな技術を提供していた」と言及。判決では、Scarlet社には
自社ネットワークの監視は義務付けられていない。Scarlet社はSabamに対し、
6ヶ月以内にブロック措置の施行プランを書面で提出しなければならない。こ
の命令に従えなかった場合、同社は1日2,500ユーロ(3,405ドル)の罰金を支
払うことになる。
http://www.vnunet.com/vnunet/news/2193670/isp-block-illegal-p2p-traffic
http://www.sabam.be/website/data/Communiques_de_presse/SABAM_vs_TISCALI_engl.pdf

【編集者メモ】(Ullrich)
多くの企業がP2Pをブロックして、うまくいかなかった。P2P通信を特定するの
は困難であり、たいてい高度な(そして高価な)コンテンツベースのパケット
フィルターデバイスを使用して検知・停止することになる。ISPのScarlet社は、
このフィルタの導入に苦戦するだろう。この判決は、著作権法行き過ぎの兆し
かもしれない。普通のコピー機と同じように、P2Pネットワークは非合法・合
法両方のコンテンツを共有する場面で使われているのだ。
【ゲスト編集者メモ】(Frantzen)
この裁判は、以前から行われていた裁判の継続裁判である。
参照サイト:
http://www.edri.org/edrigram/number2.23/p2p
────────────────

◆カード詐欺犯 慈善団体のサイトを使ってカードの有効性をテスト?
  (2007.7.6-9)

Symantecは、クレジットカード詐欺犯は、盗んだカード(情報)で慈善団体へ
少額の寄付を行い、そのカードの有効性をテストしている証拠を示した。寄付
した際に取引が成立すれば、クレジットカード窃盗犯は、盗んだカード情報が
決済機能を果たせることを確認できる。クレジットカードセキュリティの監視
側も、慈善団体への少額の寄付金に関して詐欺警告を発する可能性は低いよう
だ。
http://www.forbes.com/technology/2007/07/09/hackers-charity-creditcards-tech-cx_ag_0709hack.html
http://www.networkworld.com/news/2007/070607-credit-card-thieves.html

【編集者メモ】(Ullrich)
この発見で、慈善団体にとって費用のかかる事態に発展してしまう可能性が出
てきた。不正使用が発覚したため、返金を行うはめになった慈善団体は、カー
ドレートの引き上げを食らいかねない。したがって慈善団体は、それに対する
適切な防御措置として、正当なカード保持者に対し、もし寄付に使用されたカ
ードに「盗難/不正利用」のしるしが出たとしても、「寄付金が受理されまし
た」というメッセージを返信するとよい。こうすれば、慈善団体サイトの悪用
価値はなくなるわけだ。
────────────────

◆Google社のプライバシー責任者 データ保持はセキュリティ問題と主張
  (2007.7.6-9)

ラジオのインタビューで、Google社のグローバル・プライバシー責任者Peter
Fleischer氏は、「同社が保持している検索クエリデータは、セキュリティの
管轄であり、プライバシーの管轄ではない」と述べた。つまり、Fleischer氏
曰く、欧州連合(EU)法第29条委員会が、Googleのデータ保持ポリシーに関して
影響を及ぼすことはないとのこと。Googleは、EUのデータ保持法は保持を必須
としているが、第29条委員会は、データ保持法は適用されないと述べているこ
とを言及し、同社のデータ保持ポリシーを正当なものと主張。EU政府のセキュ
リティ部門でさえも、「検索クエリにはコンテンツは含まれているが、通信デ
ータや位置データは含まれていないため、法は適用されない」と述べている。
Fleischer氏によれば、同法が施行されていなくとも、Googleは同社のデータ
保持ポリシーを貫いていたようだ。
http://www.theregister.co.uk/2007/07/06/google_data_retention_/print.html
http://www.vnunet.com/vnunet/news/2193694/google-bashes-protection-bodies

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年7月10日配信 Vol.6 No.28)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品            3
サードパーティWindowsアプリ         7
Linux                  11
Unix                    1
クロスプラットフォーム           11(#1,#2,#3)
Webアプリ…XSS              8
Webアプリ…SQLインジェクション       20
Webアプリケーション             19
ネットワークデバイス           1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週は、SAPユーザーに対する重大なセキュリティの脅威がいくつか確認され
た(#1と#2)。その他に関しては、かなり静かな一週間だったと言えよう。

そして今週、「2007年SANS Top20インターネットセキュリティアタック手法プ
ロジェクト」が始動した。
────────────────

1.危険度【重大】:SAP製品に複数の脆弱性

<影響のある製品>
SAP Message Server
SAP DB
SAP Internet Graphics Server

<詳細>
SAP Message Server、SAP DB、および、SAP Internet Graphics Serverなど複
数のSAP製品に、さまざまな脆弱性が確認された。SAP Message ServerのHTTP
URI処理には、バッファオーバーフローの脆弱性があり、SAP DB "wahttp.exe"
Serverにも、バッファオーバーフローの脆弱性が複数ある。これらのバッファ
オーバーフローの悪用が実現すると、脆弱なプロセス権限で任意のコードを実
行できるようになってしまう。また、SAP Internet Graphics Serverには、ク
ロスサイトスクリプティングの脆弱性がある。この脆弱性の悪用が実現すると、
他のユーザーのブラウザ内に、任意のJavascriptを実行できるようになってし
まう。これらの脆弱性に関する全技術的詳細や概念実証コードが公表されてい
る。

<現状>
SAPはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属事業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は、次期定例システムメンテナンススケジュールに合わせてパッチを適用
する見込み。

<参考>
NGSSoftware Insight Security Researchのアドバイザリ
http://www.securityfocus.com/archive/1/472889
http://www.securityfocus.com/archive/1/472891
http://www.securityfocus.com/archive/1/472888
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/24775.html
ベンダーのホームページ
http://www.sap.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/24765
http://www.securityfocus.com/bid/24773
http://www.securityfocus.com/bid/24775
────────────────

2.危険度【高】:SAP EnjoySAPのActiveXコントロールに複数のバッファオーバ
  ーフローの脆弱性

<影響のある製品>
SAP EnjoySAPのActiveXコントロール

<詳細>
EnjoySAPは、SAPシステムのグラフィカル・インタフェースとして広範囲で使
用されているが、EnjoySAPのバンドルされたActiveXコントロールにはバッフ
ァオーバーフローの脆弱性が複数ある。これらのコントロールをインスタンス
化するWebページが細工されると、バッファオーバーフローが引き起こされる。
これらの悪用が実現すると、現在のユーザー権限で任意のコードを実行できる
ようになってしまう。これらの脆弱性の概念実証コードのうち少なくとも1つ
は公表されているので注意すること。

<現状>
SAPはこの問題を認めており、更新をリリースしている。Microsoftの"kill
bit"機能を介して問題のコントロールを無効にすれば、これらの脆弱性の影響
を軽減できる

<セキュリティマネージャ委員会所属企業の対応>
委員会所属事業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は、次期定例システムメンテナンススケジュールに合わせてパッチを適用
する見込みだ。

<参考>
NGSSoftware Insight Security Researchのアドバイザリ
http://www.securityfocus.com/archive/1/472887
Microsoft知識ベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.sap.com
SecurityFocus BID
http://www.securityfocus.com/bid/24772
────────────────

3.危険度【高】:富士通ServerViewにリモートのコマンド実行脆弱性

<影響のある製品>
富士通ServerView 4.50.09までのバージョン

<詳細>
企業資産管理ツールである富士通ServerViewには、コマンド実行脆弱性がある。
ServerViewの機能の中に、サーバにpingが通ることを確認する機能がある。当
該サーバのアドレスは、ユーザーによって提供されるものである。サーバのア
ドレスが細工されると、この脆弱性を引き起こし、サーバ・プロセス権限で任
意のコマンドを実行できるようになってしまう。この脆弱性の技術的詳細と概
念実証コードが公表されている。

<現状>
富士通はこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
RedTeamのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/472800
ベンダーのホームページ
http://www.fujitsu.com
SecurityFocus BID
http://www.securityfocus.com/bid/24762

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。