NRI Secure SANS NewsBites 日本版

Vol.2 No.43 2007年10月29日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.43 2007年10月29日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2007 Autumn
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2007年11月5日~10日 開催間近!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付 今日まで!
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!

┃ SANSのトレーニングは、内閣官房情報セキュリティセンターの「人材
┃ 育成・資格制度体系化専門委員会」報告書でも、「訓練・実習型の教
┃ 育プログラム」として取り上げられています。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
   残席数 あとわずか!!!

■■SANS NewsBites Vol.9 No.81-82(原版:2007年10月20日、10月24日)

◆電力システムへの脅威拡大:米エネルギー信頼性委員会と米国土安全保障省
  の役割を問題視(2007.10.17)

「新興の脅威における米国下院議会国土セキュリティ分科委員会」の尋問で、
政府や産業界の証人らは、米国発電システムに対するサイバーリスクがますま
す増加していることを詳細に説明した。同システムにおいては、産業グループ
による矛盾したポリシーや政府の非効率的な連携に問題がある。
http://www.foxnews.com/wires/2007Oct17/0,4670,PowerGridSecurity,00.html
http://www.eweek.com/print_article2/0,1217,a=217558,00.asp
http://www.govexec.com/dailyfed/1007/101807j1.htm

【編集者メモ1】(Paller)
NERC(米国電力システムの信頼性を確立するために設立され団体)は、この数
ヶ月で重要な一歩を踏み出した。NERCの基準が、NISTのガイドラインに続く連
邦政府局の第二の事務作業病に陥らないようにするための第一歩だ。しかし、
まだまだやらなければならないことが残っている。NERCの動きが遅い原因は、
どうやらNERCマネージャが緊急性をあまり実感していない点にあるようだ。彼
らは、脅威および影響緩和策がしっかり講じられたかどうかについて、考え違
いをしていたからだ。議会が介入しても意味はないにもかかわらず、多くの上
院議員や下院議員は、FERC(Federal Energy Regulatory Commission:NERCを
監視する連邦エネルギー規制委員会、)に追加権限や当事者意識が必要だと感
じている。
────────────────

◆ID窃盗の犠牲者が損害賠償請求可能な法案(2007.10.16-17)

米国上院議会で提案された法案では、身元詐称詐欺の犠牲者が、データ盗難に
よって生じた費用を損害賠償請求できることになっている。この法案は、身元
情報盗難賠償法(Identity Theft Enforcement and Restitution Act:S.2168)
と呼ばれる。現状では、コンピュータへの損害で生じた被害額が5,000ドルを
超えなければ起訴できないが、新法案ではこの前提条件がなくなる。
http://www.msnbc.msn.com/id/21336074/
http://arstechnica.com/news.ars/post/20071017-identity-theft-bill-would-allow-consumers-to-seek-restitution.html

【編集者メモ】(Schultz)
この法は不要では? と思う人もいるかもしれない。こんな法によらずとも、
身元詐称詐欺の犠牲者には損害賠償請求権があるのでは? と……。
────────────────

◆3Com買収のHuawei 国家セキュリティの問題露呈(2007.10.12-18)

共産党議員らはブッシュ大統領に対し、ペンタゴンにアタック阻止ハードウェ
アを納入している米国企業(3Com)と中国軍と親密だと思われる中国企業
(Huawei)との合併を防ぐよう求めている。当該企業が、以前不正輸出と産業ス
パイを行っていた経緯があるのだ。Bain Capital Partnersと中国のHuawei
Technologyは、3Comを買収しようと計画しており、米外国投資委員会
(CFIUS:Committee on Foreign Investment in the United States)は、この合
併の実現が与えうる国家セキュリティへの影響を検査している。Bain Capital
Partnersは「合併取引が成立したら、代わりにHuaweiを米国の機密テクノロジー
へのアクセスを不可にするか、米国政府に対する販売は行わないものとする」
と主張している。
http://www.washingtontimes.com/apps/pbcs.dll/article?AID=/20071016/NATION/110160071/1001
http://www.cbronline.com/article_news.asp?guid=DB44B253-4D39-46F8-8118-CDDBEB00207F
http://www.hawaiireporter.com/story.aspx?a0d2f3e4-e51a-4369-af02-6d66e33c1a6d
http://www.msnbc.msn.com/id/21258026/
http://money.cnn.com/2007/10/18/magazines/fortune/dubairedux.fortune/
────────────────

◆議会 検察へデータを提供する企業はその行為に免責措置(2007.10.22)

米諜報局からの通信情報提出リクエストに対し、複数の電気通信企業がどのよ
うに準拠しているのかを調査する公聴会が開かれた。これを受けて、上院議会
諜報委員会は、電気通信企業が検察側へ個人情報を提出した場合、その行為に
遡及免責措置を与える法案を提案した。この法案は、下院で議論されていた同
様の法案からさらに踏み込んだ形になっている。新法案では、この免責措置の
適用範囲をWebサイト、電子メールプロバイダ、検索エンジン、ISP、インスタ
ントメッセージサービスへ拡大している。電子プライバシー情報センター
(Electronic Privacy Information Center)所長Marc Rotenberg氏は、「この
免責条項の適用範囲によって、隠れた影響力の存在範囲も明らかになる」と感
じているようだ。反対派は、この免責措置の設置が危険な先例になりかねない
と懸念の示している。
http://www.news.com/2102-7348_3-6214609.html?tag=st.util.print
http://www.washingtonpost.com/wp-dyn/content/article/2007/10/21/AR2007102101041_pf.html

【編集者メモ1】(Ullrich)
免責措置を与えるのは誤った対策だ。ネットワーク運営者による警戒こそが、
不法傍受に対する一番の防御策であろう。
【編集者メモ2】(Paller)
免責措置は、ルールや監視と同様に必要だ。対サイバー犯罪戦争においては、
ネットワーク通信の発信源データへの素早いアクセスが不可欠だ。ネットワー
ク運営者だけがそのデータを入手できるのだから。したがって、国がネットワー
ク運営者からの助けを必要としているなら、彼らにも相応の安息地を与える必
要があろう。しかし、データへのアクセス以外にも、感染システムの特定・除
去から進行中アタックのフィルタリングなど、国はネットワーク運営者にネッ
トワークセキュリティの改善を求める必要がある。連邦政府のネットワークサー
ビス調達ルールが改革されれば、それも可能になろう。
────────────────

◆調査分析:シークレットサービスのID情報窃盗事件より(2007.10.22)

ID管理・情報保護センターが、米シークレットサービスによる解決済みの身元
査証詐欺事件500件を調査したところ、同犯罪において広く信じられてきた神
話の真偽が明らかになった。まず、逮捕された者の8%が、盗んだID情報の持
ち主の親戚か知人であったということ。以前の調査では、詐欺犯をすでに特定
できた犠牲者らから情報を収集していたため、この数字は今回のものより大幅
に高かった。2番目に、20%の事件がインターネット詐欺やハッキングによる
ものであったこと。ダンプスターダイビングおよびメールの窃盗もまた20%。
そして、37%がクレジットカードエンコーダや電話機などのデバイスを使用し
たものだった。また、今回の調査でID窃盗犯の特徴について統計が出た。逮捕
された者の3分の2が男性で小売業界勤務。単独で犯行に及んでいた。
http://ap.google.com/article/ALeqM5jBjECfF8gY0jnrgCQhdMPPzDRUVQ
http://abclocal.go.com/kfsn/story?section=local&id=5719220
────────────────

◆米下院委員会 P2Pのリスク情報をFTCに求める(2007.10.19)

米下院議会・監視および政府改革委員会(House Oversight and Government
Reform Committee)のメンバーは、ピアツーピア(P2P)ファイル共有プログラム
が消費者に与えるセキュリティリスクの詳細情報を求める書簡を連邦取引委員
会(FTC)に送付した。同委員会は、P2P販売者らがユーザーに、「コンピュータ
にあるファイルを共有するように誘い込む」機能を繰り返し実行している、と
いう米国特許商標局の報告を受け、これに関する調査と公聴会を今年行った。
その結果、このテクノロジーによるリスクは、当初考えられていたものよりも
はるかに大きいことがわかった。また、広範囲で使用されているP2Pプログラ
ムの一般検索入力項目に、いくつもの機密文書名が入力されていた。それら文
書名の中には、個人銀行取引記録や確定申告用紙、弁護士とクライアントの連
絡メモ、企業戦略文書、企業会計文書、政府有事対策プラン、さらには軍の作
戦命令までもが含まれていた。
http://www.fcw.com/online/news/150560-1.html?type=pf

【編集者メモ】(Schmidt)
このような動向は喜ばしいことであるが、この問題は、FTCや単に「ユーザー
にソフトウェアをインストールするように誘い込む」という域をはるかに超え
ている。この数年間最も軽視されていたセキュリティリスクといえるだろう。
パスワードを含む「機密」ネットワークの構造チャートから世界的大企業の機
密財務情報および医療情報までの文書がファイル共有サイトにあったのだ。犯
罪者らは、これらの情報だけではあきたらず、検知可能なファイルを全て検索
・入手しているのだ。
────────────────

───────────────────────────────────
★無料 『事業継続セミナー』 開催★  http://www.idg.co.jp/expo/bcm
┃Business Continuity Management 2007
┃               -- 2007.11.30.Fri@東京ミッドタウン
┃ 迫る国際標準化(ISO)-「事業継続」と「IT継続」-
┃●Keynote>>世界におけるBCIの取組み、英国規格そして国際標準化への軌跡
┃      英国BCI Technical Services Director Lyndon Bird 氏
┃●session>>大手各社が一堂に勢揃い!!驚愕の20セッション!!
┗事前仮登録実施中!今すぐ!! http://www.idg.co.jp/expo/bcm ━━━━━
───────────────────────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年10月23日 Vol.6 No.43)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
Windows                    1
その他のMicrosoft製品             2
サードパーティWindowsアプリ           6 (#1)
Linux                     8
HP-UX                     1
Solaris                    2
クロスプラットフォーム            24 (#2)
Webアプリ…XSS                 7
Webアプリ…SQLインジェクション         7
Webアプリケーション              16
ネットワークデバイス              6 (#3)
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Real Playerの脆弱性は深刻である。要修正。

Data Leakage Summitの情報:
CIOらは、「なぜ?」ベースの思考から「どれだけ早く導入可能か?」ベース
の思考に変わったようだ。それならなおのこと、資金の無駄遣いは避けたいだ
ろう。他企業がデータ漏えいコントロール措置として何を行ったかご覧になり
たい方はこちらへ:
http://www.sans.org/info/18226
────────────────

1.危険度【重大】:Real Networks Real PlayerのActiveXコントロールにバッ
  ファオーバーフロー

<影響のある製品>
Microsoft Windows版Real Networks Real Player10.0までのバージョン

<詳細>
Real Networks Real Playerは、マルチプラットフォームのストリーミングメ
ディアプレーヤとして広範囲で使用されているが、含まれているActive Xコン
トロールに欠陥がある。悪意あるWebページがこのコントロールをインスタン
ス化すると、このコントロールにバッファオーバーフローが引き起こされ、現
在のユーザー権限で任意のコードが実行されてしまう。この脆弱性は、現在活
発に悪用されている。同脆弱性の技術的詳細は公表されているものの、現在使
用されているエクスプロトコードはまだ公表されていない。

<現状>
Realはこの問題を認めており、preliminary更新をリリースしている。
Microsoftの"kill bit"機能をCLSID" FDC7A535-4070-4B92-A0EA-D9994BCC0DC5"
に設定して問題のコントロールを無効にすれば、脆弱性の影響を軽減できる。
しかし、通常の機能に影響が出るおそれもあるので注意。

<参考>
Real Networks セキュリティアドバイザリ
http://service.real.com/realplayer/security/191007_player/en/
ZDNet ブログ記事
http://blogs.zdnet.com/security/?p=599
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
Real Networkのホームページ
http://www.real.com
SecurityFocus BID
http://www.securityfocus.com/bid/26130
────────────────

2.危険度【高】:Mozilla Firefoxの複数の脆弱性

<影響のある製品>
Mozilla Firefox 2.0.0.8までのバージョン

<詳細>
Mozilla Firefoxには、リモートのコード実行から情報開示脆弱性まで、さま
ざまな深刻な脆弱性がある。WebページやJavaScripスクリプトが細工されると、
現在のユーザー権限で任意のコードを実行できるような形でメモリ崩壊の脆弱
性が生じる。WebページやURL処理にあるその他の脆弱性は、任意のファイルが
アップロードや、クロスサイトスクリプティング、フィッシングにつながって
しまう。同脆弱性群の技術的詳細は、ソースコードを分析すれば入手できる。
また、いくつかの脆弱性に関しては、概念実証コードが公表されている。なお、
これら脆弱性は、Mozilla SeaMonkeyやMozilla ThunderbirdなどMoizzlaエン
ジンをベースにしている製品にも影響を与えるおそれがある。

<現状>
Mozillaはこの問題を認めており、更新をリリースしている。

<参考>
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2007/mfsa2007-30.html
http://www.mozilla.org/security/announce/2007/mfsa2007-32.html
http://www.mozilla.org/security/announce/2007/mfsa2007-29.html
http://www.mozilla.org/security/announce/2007/mfsa2007-33.html
http://www.mozilla.org/security/announce/2007/mfsa2007-34.html
http://www.mozilla.org/security/announce/2007/mfsa2007-35.html
http://www.mozilla.org/security/announce/2007/mfsa2007-31.html
概念実証コード
http://yathong.googlepages.com/FirefoxFocusBug.html
http://lcamtuf.coredump.cx/ietrap/ff
SecurityFocus BIDs
http://www.securityfocus.com/bid/22688
http://www.securityfocus.com/bid/24725
http://www.securityfocus.com/bid/26132
http://www.securityfocus.com/bid/23668
────────────────

3.危険度【高】:Apple iPhone/iPod TouchのTIFF処理にバッファオーバーフ
  ロー

<影響のある製品>
Apple iPod Touch
Apple iPhone 1.1.1 までのバージョン

<詳細>
Apple iPhoneやiPod Touchは、内臓のアプリケーションでWebのブラウジング
や画像の閲覧ができるようになっている。しかし、これらのアプリケーション
には、LibTIFFライブラリの脆弱なバージョンが使用されていることがわかっ
た。LibTIFFライブラリは、 Tagged Image File Format(TIFF)画像ファイルを
読むとるときに用いられる。TIFF画像が細工されると、このライブラリにバッ
ファオーバーフローが生じ、それが任意のコード実行に悪用されるおそれがあ
る。この脆弱性の技術的詳細や概念実証コードが公表されている。また、
LibTIFFそのものにある脆弱性は、@RISKのバックナンバーに掲載されている。

<現状>
Appleはこの問題を認めていないため、更新もリリースしていない。

<参考>
Niacinによる掲示
http://www.toc2rta.com/?q=node/23
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/mobilemail_libtiff.rb
http://downloads.securityfocus.com/vulnerabilities/exploits/safari_libtiff.rb
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=31#vulnerabilities4
SecurityFocus BID (LibTIFF脆弱性を具体的に説明している)
http://www.securityfocus.com/bid/19793

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。