NRI Secure SANS NewsBites 日本版

Vol.2 No.40 2007年10月9日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.40 2007年10月9日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2007 Autumn
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2007年11月5日~10日 開催まであと1か月!!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!(10月29日まで)
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!

┃ SANSのトレーニングは、内閣官房情報セキュリティセンターの「人材
┃ 育成・資格制度体系化専門委員会」報告書でも、「訓練・実習型の教
┃ 育プログラム」として取り上げられています。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
ぜひ今からご計画を!

■■SANS NewsBites Vol.9 No.77-78(原版:2007年9月29日、10月3日)

■■はじめに(Alan Paller:SANS Director of Research)

サイバーセキュリティの歴史において、本号の冒頭のストーリーは、ひとつの
大きな章の幕開けとなるだろう。この記事(以下のリンク)下部にある写真を
クリックすれば、CNNとAssociated Pressのビデオを両方閲覧できる。
http://rawstory.com/news/2007/Study_U.S._power_grid_could_be_0927.html

電力や原油、ガス、その他影響のある産業に携わっているSANS卒業生1,800人
には、この問題を修正する戦略イニシアチブへの参加特別案内通知が届いただ
ろう。卒業生であろうがなかろうが、影響を受ける分野のサイバーセキュリティ
や監査、コントロールシステムエンジニアリングに携わっている方は、我々に
ご一報を。携わっている業種、社名、役職をお知らせいただければ、相応しい
サブグループにご参加いただけるよう手配する。
Emailは、scada@sans.orgまで。
=====

今朝、米空軍大将Bob Elderが、米国防省・国土安全保障省(DoD-DHS)ソフトウ
ェア保証フォーラムについての基本方針を述べた。Elder大将は、サイバース
ペース指令(Cyberspace Command)の設置を先導し、この新しい指令によって何
ができるのか(単なる防御だけではないこと)を説明した。ひとつ啓蒙的だっ
たのは、防御の詳細な定義を変えることに彼が重点を置いていることだった。
彼の話によれば、依然構築することに多くを投資しており、境界(とユーザー
の)セキュリティを継続的に改善してアタックを阻止しようとしている状態だ
が、これからは、ツールやスキルのある技術者を使った深部の防御レイヤーを
もう一層実装して、すでに境界防御を突破して中に侵入し、情報を盗んだり、
改ざんしたりしようとしているアタッカーを特定することも、同じくらい重要
だという。そして、すでに防御産業基盤(防御業務の請負業者ら)を突破して
しまった侵入者の検知能力を向上する必要性を強調した。

内部に侵入してしまった敵を特定するツールやテクニックについてのベストプ
ラクティスを説明するのが、Mike Poorの考える新しいSANSコース(継続的な
知的ログ解析コース)の現在の目的となっている。12月にワシントンで開催さ
れるサイバーディフェンスイニシアチブカンファレンスにおけるオプションの
イブニングセッションにおいて、主要トピックになる予定だ。

参加登録についての詳細はこちら:http://www.sans.org/cdi07
────────────────

◆米国土安全保障省のビデオ 電力タービンに対するリモートのサーバアタ
  ックの顛末(2007.9.26-27)

CNNおよびAssociated Pressは、国家の電力網に対するサイバーアタックをシ
ミュレーションした顛末が映された米国土安全保障省(DHS)の公開用ビデオを
入手した。このフィルムには、タービンがオーバーヒートし、結果的に壊れて
しまう様子が映されていた。このテストは3月に国立アイダホ研究所(INL)によっ
て行われ、監視コントロールおよびデータ獲得コントロールシステム
(SCADA:Supervisory Control and Data Acquisition Control System)の脆弱
性を仮に悪用して実行された。3月にデモアタック用に悪用された脆弱性は修
正されたものの、SCADAシステムはセキュリティを考慮して構築されたもので
はないので、他にも脆弱性があるとみられている。リモートのサイバーアタッ
カーが与えうる損傷の規模については、意見の食い違いもあるようだ。
http://www.washingtonpost.com/wp-dyn/content/article/2007/09/26/AR2007092602170_pf.html
http://www.securityfocus.com/brief/597
http://blog.wired.com/27bstroke6/2007/09/simulated-cyber.html
────────────────

◆カナダのプライバシー管理官 「TJXの侵害事件は予見できたこと」
  (2007.9.25-26)

カナダのプライバシー管理官Jennifer Stoddart がアルバータ州情報プライバ
シー管理官Frank Workの協力で8か月かけて調査を行ったところ、TJXのコンピュー
タシステムの取引記録数百万件を盗み出したサイバー窃盗犯は、無線のデータ
通信を傍受することで実行に及んだことが判明した。この調査結果を受けて、
TJXはあまりにも長い間あまりにも多くの顧客データを高度な暗号化を行わず
に保存していたと糾弾されるにいたる。TJXの広報担当者によると、同社はこ
の報告書にある結果全てに同意はできないが、Stoddart管理官が「TJXはカナ
ダのプライバシー法に違反した」という原因となった部分に対する推奨策は導
入する見込みだという。また彼女は、前述の要素を踏まえれば、この侵害は予
見できたことだと述べている。
http://www.msnbc.msn.com/id/20979359/
http://news.zdnet.co.uk/security/0,1000000189,39289645,00.htm?r=1

【編集者メモ1】(Pescatore)
私の娘のサッカーチームのコーチは、「練習の習慣なしに、勝とうなどと思う
な」と書かれたTシャツをチームメンバーに与えた。ほとんどのアタックは、
予見できたことなのだ。問題は、この「予見できたこと」を阻止するために行
動したかどうか、である。TJXは、無線LAN以外にも多くの問題をかかえていた。
しかし、ここでは小売ITシステム最大のリスク域である無線のPOSおよび在庫
管理デバイス(とそれに関係するアクセスポイント)が利用されていたのだ。
それが、PCI法遵守できない原因として最も多いものだというのに。オープン
の、もしくはWEPだけで保護されているWLANを使用させるなど、「壊れたなら
自分で治せ」と言っていることと同じである。
【編集者メモ2】(Schultz)
オープンワイヤレスネットワークのリスクは過大視されすぎだという声を頻繁
に耳にする。このニュースを読めば、「過大視」という意見はこれを最後に消
えることだろう。
────────────────

◆監査部門に与えられているITセキュリティの責任は不十分(2007.9.21)

企業の監査部門に対する調査を行ったところ、回答者の55%が、監査部門には
情報セキュリティおよびプライバシーを取り巻く監査リスクに対する責任はな
いと答えた。また、半数は業務継続の監視権限を持っていないという。回答者
の90%は、監査部門が担当できるITセキュリティ監視権限の範囲を拡大すべき
だと考えている。しかし、監査委員会のほとんどが、監査部門の優先業務は一
般的なリスク管理、内部統制、会計監査であると考えているのが実情だ。この
調査は、25か国にわたる1,300の監査委員会メンバーからの回答をもとに集計
された。
http://software.silicon.com/security/0,39024655,39168530,00.htm
────────────────

◆新オレゴン州法 データセキュリティ措置強化(2007.10.1)

10月1日付で、顧客データが身元詐称詐欺のリスクを伴う形で侵害された場合、
オレゴン州の企業は顧客に通知することが義務付けられるようになった。州住
民は、個人信用情報の凍結を申請することもできる。しかも、個人情報が侵害
された場合、その凍結申請は無料で行える。その他の場合は10ドルの費用がか
かる。また、企業はカードやその他の文書への社会保険番号の印刷を禁止され、
それを公表することも禁じられる。
http://www.kgw.com/sharedcontent/APStories/stories/D8S0OHE01.html

【編集者メモ】(Schultz)
この法は、データセキュリティ侵害の犠牲者らに保護手段を与えることができ
るため、重要である。今までこういった保護措置を与えるような州法は存在し
なかった。
────────────────

◆学生のコンピュータにあった証拠からテロ計画のつながり明らかに
(2007.10.1)

FBI長官Robert Muellerによると、ロンドンの学生のコンピュータから収集し
た証拠から、一見別々に思えるテロ計画3件につながりがあることがわかった。
テロリストにとってインターネットは有益なコミュニケーション手段であると
いう事実が浮き彫りになったことになる。Mueller長官はこのケースを使って、
技術の進化に見合うように法を作成・改正していかなければならないという議
論の裏づけを行う意向だ。
http://www.zdnet.co.uk/misc/print/0,1000000169,39289731-39001093c,00.htm

【編集者メモ】(Northcutt)
砦を守れ! Younes Tsouliが2005年に逮捕されてから1年間、「Management 512
Security Leadership Essentials」コースでは、このケースを実存する情報戦
争のケーススタディとして教えてきた。このコースは私が作成し、1年ほど講
師を務めていた。Tsouliが唯一自慢できたのは、斬首ビデオの発信方法を開発
したことだ。日本人が斬首されたときに日本国内に波紋が広がったことは記憶
に新しいだろう。
http://search.japantimes.co.jp/cgi-bin/nn20060303a2.html
http://www.sans.org/training/description.php?mid=62
────────────────

◆オープンソースのソフトウェアを使用する理由の首位はセキュリティ
  (2007.9.28)

インド、オーストラリア、中国、韓国の企業に調査を行ったところ、オープン
ソースのソフトウェアを使用する理由として最も多かったのはセキュリティを
考えてのことだった。予算の関係が2位で、管理ツールとユーティリティの可
用性が3位。大企業よりも中小企業の方が、オープンソースソフトウェアを使
用している割合が高かった。中国とインドの企業の方が、オーストラリアと韓
国の企業よりもオープンソースのソフトウェアを多く使用していた。この調査
結果から、企業は、特定の機能要件を満たすためにオープンソースソフトウェ
アを使用していることがわかった。
http://www.zdnetasia.com/news/software/printfriendly.htm?AT=62032771-39000001c

【編集者メモ】(Boeckman)
国防省内の無料およびオープンソースのソフトウェアについての報告書を、2003
年にMITREがリリースした。この報告書にも、適用した理由としてセキュリティ
があがっていた。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年10月2日 Vol.6 No.40)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              3
サードパーティWindowsアプリ           5 (#3, #4)
Linux                     10
Solaris                     2
Unix                      1
Apple                      1 (#2)
クロスプラットフォーム             12 (#1)
Webアプリ…XSS                 8
Webアプリ…SQLインジェクション         9
Webアプリケーション              23
ネットワークデバイス              2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週の主な脆弱性は先週と同じ製品カテゴリーの同じベンダーからのものだ。
バックアップ製品が「重大な脆弱性」リストに掲載されたが、今回もCA製品だっ
た。多くの人がバックアップソフトウェアはパッチが自動で適用されると信じ
ているところに、大きな問題がある。パッチが自動的に適用されることなどな
い。BrightStorを使用している場合は、迅速な対応が重要だ。また、iPhoneに
も大きな脆弱性がある。
────────────────

1.危険度【重大】:CA BrightStor Hierarchical Storage Managerに複数の脆
  弱性

<影響のある製品>
CA BrightStor Hierarchical Storage Manager r11.5までのバージョン

<詳細>
CA BrightStor Hierarchical Storage Manager(HSM)は、CAの企業用保存管理
ソリューションである。この製品のいろいろなコンポーネントに、バッファオー
バーフローやインテジャーオーバーフロー、SQLインジェクションの脆弱性な
ど、複数の脆弱性がある。リモートでこれらの脆弱性のどれかを悪用すると、
脆弱なプロセス(SYSTEMの場合が多い)権限で任意のコードが実行されてしまう。
これらの脆弱性の技術的詳細がいくつか公表されている。これらの脆弱性は、
先週@RISKに掲載された脆弱性とは異なるものだと考えられている。

<現状>
CAはこの問題を認めており、更新をリリースしている。

<参考>
CAのセキュリティアドバイザリ
http://supportconnectw.ca.com/public/bstorhsm/infodocs/bstorhsm-secnot.asp
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=601
以前 @RISKに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=7&i=39#widely1
SecurityFocus BID
http://www.securityfocus.com/bid/25823
────────────────

2.危険度【高】:Apple iPhoneに複数の脆弱性

<影響のある製品>
Apple iPhone 1.1.1までのバージョン

<詳細>
AppleのiPhoneのWebやメールコンテンツや、Bluetoothメッセージ、その他の
データ処理には、複数の脆弱性がある。Bluetoothの物理的範囲内で細工した
Bluetoothパケットを送信すると、バッファオーバーフローの脆弱性が引き起
こされ、iPhone上に任意のコードを実行できるようになってしまう。Webペー
ジやメールメッセージが細工されると、確認なしに電話番号がダイヤルされた
り、確認のために表示される番号とは違う番号になりすましたりされるおそれ
がある。他の脆弱性には、クロスサイトスクリプティングの脆弱性や情報開示
脆弱性がある。

<現状>
Appleはこの問題を認めており、更新をリリースしている。Bluetoothアクセス
を無効にすれば、この脆弱性の影響を軽減できるが、通常の機能に影響の出る
おそれがある。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=306586
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/26983/
SecurityFocus BIDs
http://www.securityfocus.com/bid/25859
http://www.securityfocus.com/bid/25862
http://www.securityfocus.com/bid/25857
http://www.securityfocus.com/bid/25850
────────────────

3.危険度【高】:AOL Instant Messengerに任意のスクリプト実行脆弱性

<影響のある製品>
Microsoft Windows版AOL Instant Messenger 6.1以降のバージョン

<詳細>
AOL Instant Messenger(AIM)は、AOLのインスタントメッセージアプリケーシ
ョンとして広範囲で使用されている。AIMを使えば、ユーザーはHTMLを組み込
んでメッセージを送信することができる。これらのメッセージは、Microsoft
のHTMLレンダリングエンジンでレンダリングされる。メッセージに組み込まれ
たHTMLとスクリプティングコードは、あたかもMicrosoft Internet Explorer
に閲覧されたかのように実行されてしまう。そのため、IEで悪用可能な脆弱性
はどれも(ActiveXコントロールのインスタンス化を伴う脆弱性も)、AIMで悪
用可能である。不明な送信者からのメッセージを受け取る設定になっていた場
合、この脆弱性を悪用するのにユーザーの許可は必要ない。この脆弱性の技術
的詳細と概念実証コードが公表されている。

<現状>
AOLはこの問題を認めており、更新をリリースしている。

<参考>
Core Security Technologiesによる掲示
http://www.securityfocus.com/archive/1/480587
製品ホームページ
http://www.aim.com/index.adp
SecurityFocus BID
http://www.securityfocus.com/bid/25659
────────────────

4.危険度【高】:AskツールバーのActiveXコントロールにバッファオーバーフ
  ローの脆弱性

<影響のある製品>
AskおよびAskJeevesのツールバー

<詳細>
Askツールバーによって、Microsoft Internet ExplorerのユーザーはAsk.com
サービスに手軽にアクセスできるようになる。このツールバーは、ActiveXコ
ントロールとして実装されているが、この"ShortForm"メンバーにはバッファ
オーバーフローの脆弱性がある。このコントロールをインスタンス化するWeb
ページが細工されると、この脆弱性が引き起こされ、現在のユーザー権限で任
意のコードが実行されてしまう。この脆弱性の概念実証コードが公表されてい
る。

<現状>
Askはこの問題を認めていないため、更新もリリースしていない。Microsoftの
"kill bit"機能を介して問題のコントロールを無効にすれば、脆弱性の影響を
軽減できる。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/25785.html
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://dl.ask.com/toolbar/moz/download.html
SecurityFocus BID
http://www.securityfocus.com/bid/25785

=======

ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。