NRI Secure SANS NewsBites 日本版

Vol.2 No.41 2007年10月15日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.41 2007年10月15日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2007 Autumn
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2007年11月5日~10日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!(10月29日まで)
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!

┃ SANSのトレーニングは、内閣官房情報セキュリティセンターの「人材
┃ 育成・資格制度体系化専門委員会」報告書でも、「訓練・実習型の教
┃ 育プログラム」として取り上げられています。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
   早期割引申込みの期限まであとわずか!
     残席数も少なくなってきています!!!

■■SANS NewsBites Vol.9 No.79-80(原版:2007年10月6日、10月10日)

■はじめに(Alan Paller:SANS Director of Research)

やっとアプリケーションセキュリティ分野にいくつかの朗報が。アタッカーを
形勢不利に追い込むには、より安全なコードを実行する方法を見出さなければ
ならない。朗報とは、23人のプログラマー(先駆的受験者の総数は42人)が、
JavaとCのセキュアプログラミング試験(GSSP:GIAC Secure Software
Programmer Exam)の初回試験に合格したことである。Ciscoは、この最初の試
験に3人もの合格者を出し、ソフトウェアおよびハードウェア関連企業の中で
首位を飾った。新しいGSSP認定のプログラマーを輩出した企業には、Kaiser
Permanente、Siemens、Telusなどがある。

GSSP受験に向かう動きが生まれつつある。米国のとある大企業は、社内に抱え
ている6,500人のプログラマーと委託プログラマー全員に、来夏までにこのセ
キュアプログラミング試験に合格せよと通告した。合格しなかった場合、コー
ドに触ることができないルールをつくった。また、世界3大ソフトウェア企業
のうちの1社が、プログラマー育成数最多のカレッジ10校に対し、「内定候補
者にはGSSP試験を通じて、セキュアプログラミングスキルを実証させる」よう
求める書簡を送付している。
試験日程と場所はこちら:
http://www.sans.org/gssp/
※日本語による試験の実施も計画中です。
───────────────

◆全米レコード協会 著作権裁判で22万2,000ドルの損害賠償を勝ち取る
  (2007.10.4)

裁判としては初めてである音楽著作権侵害のケースにおいて、ミネソタ州の陪
審は、被告であるJammie Thomasには著作権侵害行為が認められるとし、同人
に22万2,000ドル(裁判の対象となった24曲各曲につき9,250ドル)の損害賠償
を命じた。Thomasの責任を認める際、原告の全米レコード協会による同人のコ
ンピュータの検査において、ハードドライブにファイル共有プログラムがイン
ストールされていたことや、キーボード操作が同人によるものであったことを
証明する必要は強いられなかった。証拠となったのは、被告のコンピュータの
IPアドレス、1,700個のファイル共有に使われたケーブルモデム識別子などで
あった。
http://blog.wired.com/27bstroke6/2007/10/riaa-jury-finds.html
http://blogs.pcworld.com/staffblog/archives/005610.html
http://www.usatoday.com/money/media/2007-10-04-downloading-music-trial_N.htm
http://www.news.com/8301-10784_3-9791383-7.html?part=rss&subj=news&tag=2547-1_3-0-20
http://www.nytimes.com/aponline/technology/AP-Downloading-Music.html?ex=1349236800&en=e20df6612f19e706&ei=5088&partner=rssnyt&emc=rss

【編集者メモ】(Boeckman)
コンピュータ侵害の容易性、およびユーザーに気づかれることのない遠隔地か
らの楽曲配信の可能性を陪審に対して実証するのは、朝飯前だったようだ。し
かし、これはあまりにも不合理なひどい判例だと思う。
────────────────

◆英国当局 暗号キーを求める権限認められる(2007.10.1-3)

英国警察が、暗号キーを提出させる権限を持つこととなった。キー提出要請を
拒否した者には、最高5年の懲役が科せられる。これは、捜査権限法規制
(RIPA:Regulation of Investigatory Powers Act)の第3部が10月1日付で有効
となったことによる。反対派は、この措置を市民の自由の侵害である(市民を
犯罪者化し、捜査とは無関係な個人情報までをも開示させる際に使われかねな
い)だけでなく、暗号キーが実際忘れやすいものであることに懸念を示してい
る。さらに、キーを忘れたふりをする者が出るおそれもあり、本当に忘れたか
どうかを裁判所で実証するのも難しい。英国民には、キーを引き渡すか、復号
化したものを当局に閲覧させるかの選択権が与えられる。この法では、暗号キー
提出通知の受領者は、その旨「弁護士以外に打ち明けてはならない」。RIPAが
可決された2000年に同法第3部が施行されなかった理由は、その当時暗号キー
が広範囲で使用されていなかったからだという。
http://www.theregister.co.uk/2007/10/03/ripa-decryption_keys_power/print.html
http://www.zdnet.co.uk/misc/print/0,1000000169,39289786-39001093c,00.htm
http://www.washingtonpost.com/wp-dyn/content/article/2007/10/01/AR2007100100511_pf.html

【編集者メモ】(Shpantzer)
我々のうち何人が、生成された各PGPのキーを全て今すぐわかる形で持ってい
るのだろうか? パスフレーズはどうか?
────────────────

◆オランダの判事 電子投票マシンの使用は違法と宣言(2007.9.27-10.3)

オランダの判事は、電子投票マシンの使用を違法と宣言した。判決によると、
11月と3月にオランダの選挙に使用されたマシンには十分な権限もなく、中に
は認可されていないマシンもあったという。先週オランダ政府は、電子投票マ
シンの使用停止を決定した。同政府が最も懸念しているのは、検証可能な紙面
監査証跡がないことである。今後は、多数の電子投票マシンが放置されること
になる。オランダ政府がマシンの購入に使った費用は600万ユーロ(8,480万ド
ル)で、保管費用は年間70万ユーロ(98万9,000ドル)だという。
http://www.independent.ie/national-news/evoting-plans-hit-by-decision-in-dutch-court-1114882.html
http://www.theregister.co.uk/2007/10/01/dutch_pull_plug_on_evoting/print.html
http://www.engadget.com/2007/09/27/dutch-government-abandons-e-voting-for-red-pencil/

【編集者メモ】 (Schultz)
オランダ政府が投票マシンに費やした金額が無駄になることを望んでいる人な
どいないだろう。しかし、投票マシンの脆弱性悪用により選挙票が無効になる
危険性を甘受するよりは、まだましなのだ。
────────────────

◆Apple ハッキングされたiPhoneを無効化した更新で訴えられる(2007.10.8)

カリフォルニア州の弁護士が、最近のiPhoneの更新によって修正デバイスが使
えないものになったため、集団訴訟でAppleを訴えた。この更新には、iPhone
を無効化したパッチのほか、重大なセキュリティパッチがあった。問題のコー
ドは、サードパーティアプリケーションでもiPhoneを運用できるようにするコー
ド、または指定の携帯電話サービスキャリア以外でもサービスを受けられるよ
うにするコードだった。この訴訟では、実損の3倍にのぼる損害賠償のほか、
Appleに対して「ソフトウェアロック付きiPhoneの販売、およびiPhone所有者
がAT&Tサービスからのみサービスを受けられるようにする」ことを禁止する終
局差し止め命令も求められている。
http://www.securityfocus.com/brief/603
http://www.appleiphonelawsuit.com/uploads/Class_Action_Complaint__Smith_vs_Apple.pdf
────────────────

◆小売業者 クレジットカード会社にデータ保持責任を望む(2007.10.4)

全米小売連盟(NRF)は、小売業者側にペイメントカードのデータの保持義務を
課さないようにする嘆願書を、ペイメントカード産業(PCI)セキュリティ基準
委員会に送付した。クレジットカード会社は小売業者に対し、ペイメントカー
ドのデータを最長18ヶ月間保持するよう義務づけられるようになっている。保
持データは、疑わしい決済の問題を解消するときに使用される。嘆願書で、
NRFのDavid Hogan CIOは、クレジットカード会社は自社の保持データを保護す
るために、小売業者に無理難題をやらせようとしていると述べ、NRFとしては、
カード会社の方にその責任を担うよう求めている。
http://computerworld.com/action/article.do?command=viewArticleBasic&articleId=9040958&intsrc=hm_list
http://www.msnbc.msn.com/id/21139311/

【編集者メモ】(Pescatore)
この嘆願書通りにするなら、支払決済システムとプロトコルに変更を施す必要
が出てくる。しかしながら、保持期間や場所の数を減らすといった変更ならば、
実際に必要な変更と言えるだろう。
────────────────

◆マネージド・サービス企業による報告:ユーティリティに対するアタックの
  増加(2007.10.5)

マネージド・セキュリティサービス企業であるSecureWorksによると、これま
での9ヶ月間で米国のユーティリティ関連の顧客企業に対するサイバーアタッ
クが90%増加したという。SecureWorksの顧客企業1,800社中に100ほどの米国
ユーティリティ企業があるが、今年の1月から4月までの期間で、1日平均49件
のアタックをブロックした。しかし、同年5月から9月までの期間のこの数字は、
1日平均93件に跳ね上がった。「Webブラウザの脅威が、この膨大な数のアタッ
ク件数に表れている」と、SecureWorksの開発部長Wayne Haberは述べている。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=202300190
http://www.scmagazine.com/uk/news/article/743046/hacking-attacks-against-utility-companies-soar/
http://www.secureworks.com/media/press_releases/20071005-utilitiesincrease

【編集者メモ1】(Skoudis)
ここには、ブラウザベースのエクスプロイトについての言及があるが、ここ最
近はそんな言及もかなり一般的になってしまった。また、ユーティリティ企業
に対するアタックが一気に増えるというトレンドは、大きな懸念事項である。
2週間前に、サイバーアタックで物理的なダメージが生じるビデオを見てしまっ
たのだからなおさらだ。
【編集者メモ2】(Northcutt)
マネージド・サービスプロバイダ(MSP)がこのような発表をすると、たいてい
私はため息をつく。なぜなら、企業の抱えているアナリストのほとんどは、少
しばかり業務の訓練を受けただけの現場を知らない人間だからだ。しかしこの
ストーリーに登場するSecureWorksは、GIAC認定を取得した訓練されたアナリ
ストしか雇ってない。したがって、この話がユーティリティ企業にとって良く
ない前兆であることは確かだと言える。


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年10月9日 Vol.6 No.41)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1
サードパーティWindowsアプリ           7 (#1,#3,#4)
Linux                      2
Solaris                     1
Unix                      1
クロスプラットフォーム             16 (#2)
Webアプリ…XSS                 11
Webアプリ…SQLインジェクション         9
Webアプリケーション              22
ネットワークデバイス              11
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週の冒頭の脆弱性はAdobeにあるもので、Windows XPとIE7のユーザーに影響
を与える(#1参照のこと)。WindowsのApple QuickTimeも、パッチを適用する
必要がある。
────────────────

1.危険度【重大】:Adobe PDF Viewerにリモートのコード実行脆弱性

<影響のある製品>
Adobe Reader 8.1までのバージョン
Adobe Acrobat 8.1までのバージョン
Adobe Acrobat Elements 8.1までのバージョン
Adobe Acrobat 3D

<詳細>
Adobeは、@RISKのバックナンバーに掲載されたPortable Document Format(PDF)
閲覧アプリケーションにあるリモートのコード実行脆弱性に関連する情報を開
示した。PDFファイルが細工されるとこの脆弱性が引き起こされ、ファイルを
閲覧するときに任意のコードが実行されてしまう。Microsoft Windows XPや
Microsoft Internet Explorer 7を運用しているシステムのみが脆弱であり、
Microsoft Windows Vistaは影響を受けない。この欠陥は、PDFファイルを含む
URLが正しく処理されないために発生する。この脆弱性の技術的詳細が公表さ
れており、概念実証コードも出回っているようだ。

<現状>
Adobeはこの問題を認めており、更新をリリースしている。Adobeのアドバイザ
リには回避策も掲載されている。

<参考>
Adobeセキュリティアドバイザリ
http://www.adobe.com/support/security/advisories/apsa07-04.html
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=7&i=39#widely5
Slashdotのディスカッション
http://it.slashdot.org/article.pl?sid=07/10/08/1340224
SecurityFocus BID
http://www.securityfocus.com/bid/25748
────────────────

2.危険度【高】:Borland InterBase およびFirebird Databaseに複数のバッ
  ファオーバーフロー脆弱性

<影響のある製品>
Firebird 2.0.1までのバージョン
Borland InterBase 2007 SP2までのバージョン

<詳細>
Borland InterBaseは、企業用データベースサーバとして広範囲で使用されて
いる。Firebirdのデータベースは、Borland InterBaseのオープンソースリリー
スをもとにしたデータベースサーバで人気も高い。これらのサーバのデータベー
スリクエスト処理には複数のバッファオーバーフローの脆弱性がある。データ
ベースサーバに向かうリクエストが細工されると、これらのバッファオーバー
フロー脆弱性のうちのどれかが引き起こされ、脆弱なプロセス権限で任意のコー
ドが実行されてしまう。これらのバッファオーバーフローの中には、外部に面
しているWebサイトにあるSQLインジェクション脆弱性を介して悪用が可能なも
のもある。これらの脆弱性のエクスプロイトが複数公表されている。

<現状>
Firebirdの更新版がリリースされている。Borland InterBase用にベンダーが
パッチをリリースした様子はない。

<参考>
エクスプロイト
http://downloads.securityfocus.com/vulnerabilities/exploits/ib_inet_connect.rb
http://downloads.securityfocus.com/vulnerabilities/exploits/ib_jrd8_create_database.rb
http://downloads.securityfocus.com/vulnerabilities/exploits/ib_open_marker_file.rb
http://downloads.securityfocus.com/vulnerabilities/exploits/ib_pwd_db_aliased.rb
http://downloads.securityfocus.com/vulnerabilities/exploits/ib_isc_attach_database.rb
http://downloads.securityfocus.com/vulnerabilities/exploits/ib_isc_create_database.rb
http://downloads.securityfocus.com/vulnerabilities/exploits/ib_svc_attach.rb
http://downloads.securityfocus.com/vulnerabilities/exploits/fb_isc_attach_database.rb
http://downloads.securityfocus.com/vulnerabilities/exploits/fb_isc_create_database.rb
http://downloads.securityfocus.com/vulnerabilities/exploits/fb_svc_attach.rb
製品のホームページ
http://www.codegear.com/products/interbase
http://www.firebirdsql.org/
SecurityFocus BID
http://www.securityfocus.com/bid/25917
────────────────

3.危険度【高】:Apple QuickTimeに任意のスクリプトインジェクションの脆
  弱性

<影響のある製品>
Windows用Apple QuickTime 7.2までのバージョン

<詳細>
QuickTimeは、Appleのストリーミングメディアフレームワークであり、Apple
Mac OS XとMicrosoft Windows用がある。Microsoft Windows用のバージョンで
は、そのURL処理に欠陥がある。URLを含むQuickTime Link(QTL)ファイルが細
工されるとこの脆弱性が引き起こされ、現在のユーザー権限で任意のスクリプ
トコードが実行できるようになってしまう。この問題は、@RISKのバックナン
バーに掲載された問題と関連があるようだ。同欠陥は、Microsoft Windowsに
インストールされたQuickTimeのみに影響を及ぼし、Apple Mac OS Xにある
QuickTimeは影響を受けない。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=306560
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=7&i=38#widely3
SecurityFocus BID
http://www.securityfocus.com/bid/25913
────────────────

4.危険度【高】:Altnet Download Manager ActiveXコントロールのバッファ
  オーバーフロー脆弱性

<影響のある製品>
Altnet Download Managerのバージョン4.x
Kazaa 3.xまでのバージョン
Grokster

<詳細>
Altnet Download Managerは、ダウンロードマネジメントアプリケーションと
して広範囲で使用されている。その機能は、コントロールを介して外部にさら
されているが、同コントロールの"Install"メソッドには、バッファオーバー
フローの脆弱性がある。このコントロールをインスタンス化するWebページを
細工されると、このバッファオーバーフローが悪用され、現在のユーザー権限
で任意のコードが実行されてしまう。この脆弱性の技術的詳細のいくつかが公
表されている。このActiveXコントロールは、KazaaとGroksterのアプリケーショ
ンにも含まれている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能を介して問題のコントロールを無効にすれば、これら脆弱性の
影響を軽減できる。

<参考>
Secuniaのアドバイザリ
http://secunia.com/advisories/26970
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://www.altnet.com/store/audio/index.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/25903

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。