NRI Secure SANS NewsBites 日本版

Vol.2 No.44 2007年11月5日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.44 2007年11月5日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

───────────────────────────────────
★無料 『事業継続セミナー』 開催★  http://www.idg.co.jp/expo/bcm
┃Business Continuity Management 2007
┃               -- 2007.11.30.Fri@東京ミッドタウン
┃ 迫る国際標準化(ISO)-「事業継続」と「IT継続」-
┃●Keynote>>世界におけるBCIの取組み、英国規格そして国際標準化への軌跡
┃      英国BCI Technical Services Director Lyndon Bird 氏
┃●session>>大手各社が一堂に勢揃い!!驚愕の20セッション!!
┗事前仮登録実施中!今すぐ!! http://www.idg.co.jp/expo/bcm ━━━━━
───────────────────────────────────

■■SANS NewsBites Vol.9 No.83-84(原版:2007年10月27日、10月31日)

■はじめに(Alan Paller:SANS Director of Research)

米国州・地方政府局のセキュリティ担当者各位:

12月に、州・地方政府局がノートパソコンの暗号化ソフトウェア(定価160ドル
~200ドル相当のもの)を16ドルで購入できるという大きな国家プログラムが発
表される。このプログラムに関しての詳細は、12月3日~4日にワシントンDCで
開かれるモバイル暗号化サミット(Mobile Encryption Summit)で説明される予
定:
http://www.sans.org/encryption07_summit/
────────────────

◆政府局のデータセキュリティインシデント報告件数増加(2007.10.23)

米行政予算管理局(OMB)の電子政府情報テクノロジー事務局(Office of
Electronic Government and Information Technology)の事務官Karen Evansは、
今週はじめに行われた会議で、連邦政府局で発生したセキュリティ侵害の報告
件数がこの数ヶ月間で2倍になったと述べた。米政府局は、個人の身元情報が
外部に晒されるインシデントが発生した場合、発生後1時間以内に米コンピュー
タ緊急対応チーム(US-CERT)へ報告するよう義務付けられている。2007年6月の
平均インシデント数は一日14件だったものの、今週は30件だった。この大幅な
変化の原因は政府局が「警戒の道を誤った」からで、「市場の認識を高められ
たのだから一概に悪いこととも言えない」と、Evansは述べている。
http://www.govexec.com/story_page.cfm?articleid=38348

【編集者メモ1】(Pescatore)
インシデント報告件数の増加は、たいてい悪いことを意味する。なぜならいか
ように解釈しても、インシデント件数自体の増加やインシデント発見数の増加、
インシデント発生に知らぬふりをする件数の減少を意味するのだから。これは
品質保証のようなもので、異常数が多ければ、たとえそれが異常数を実際に特
定することができるようになった結果だとしても、悪いことには違いないのだ。
大事なのは、根本原因の分析である。なぜ、これら異常やインシデントが発生
しているのか? 例えば、顧客の個人情報の漏えいについて言えば、何十年も
データ分類法を突き詰めていたのみで、漏えい対策への戦術的ステップを踏ん
でこなかったことが原因と言えるだろう。
【編集者メモ2】(Schultz)
Karen Evansが述べた、セキュリティインシデントの件数が増えた予想原因に
ついては、私も同意見である。また、インシデント発生後1時間以内に報告す
る義務があるため、技術スタッフが疑わしいインシデントを非常に短い時間で
調査せざるを得なかったとしても、後に誤報と判明したインシデントが増加し
たにしろ、現在、それらはほぼインシデントとして報告されるようになったわ
けだ。前に私が述べたとおり、正真正銘のインシデントであろうがなかろうが
1時間以内に報告させるという行為は、あまり現実的でない。
────────────────

◆TJXの侵害事件で侵害された口座件数は2倍だった(2007.10.24-25)

マサチューセッツ州ベースの企業、TJXのデータセキュリティ侵害についての
詳細情報がより明らかになるにつれ、同社は、侵害された支払カード口座の件
数を少なめに述べていたことが判明し、非難されている。2007年3月、TJXはお
よそ4570万件の口座情報が1年半の期間に盗まれていたことを認めた。しかし、
裁判所文書によると、その数は9400万件以上だという。この明らかな数字の違
いによって、同社はこの巨大な侵害事件の問題修正により多くの費用を投じな
ければならなくなるだろう。先月、カナダのプライバシー検査官は、TJXが必
要以上に多くのデータを保管していたことや、それらのデータを保護するのに
十分なセキュリティ対策を導入していなかったことを批判する報告をあげてい
る。この報告によると、アタッカーが脆弱な無線システムを悪用して社内ネッ
トワークへアクセスしていたようだ。弁護団も、このセキュリティ問題をまと
めた公表用報告書を作成するようTJXに求めているが、同社はこの求めに応じ
ない姿勢である。
http://www.theregister.co.uk/2007/10/24/tjx_breach_estimate_grows/print.html
http://www.boston.com/business/globe/articles/2007/10/24/court_filing_in_tjx_breach_doubles_toll?mode=PF
http://www.eweek.com/article2/0,1759,2206680,00.asp

【編集者メモ1】(Ullrich)
ここから学べる教訓:必要量以上のデータを保存すべからず。政府局や企業が
保存データを紛失した場合、その責任を問われるのだから。
【編集者メモ】(Schultz)
TJXは、自らのセキュリティの欠落に関する情報を内密にし、公表しないで済
むようにしようという負け試合を戦っているようなもの。実際のところ、大衆
はすでにメディアの報じた情報を通じて、同社のセキュリティの欠落状態をしっ
かり把握しているのに。また、TJXが公表を免れようと情報隠蔽に費やしてい
る労力を多くのセキュリティ問題の修正に費やした方が、同社の利益にもなる
というもの。
────────────────

◆オーストリア警察 監視ツールとしてトロイの木馬の使用望む(2007.10.27)

オーストリア警察は特定の捜査において、リモートの監視ツールとしてトロイ
の木馬を使用したいという意思を示した。同国の司法相および国務相は、裁判
所命令を携行すれば、警察がこのような監視を合法的に行えるようにする提案
を作成したという。この提案は法律家や内閣によって今後修正される見通しだ。
セキュリティソフトウェア産業の中には、警察が作成したツールが無法者に渡っ
て有害な用途に使われる結果となることを懸念する声もある。また、このツー
ルがアンチウィルスプログラムの検知をどのようにかいくぐるのかという問題
もある。ドイツ警察は、以前監視ツールとしてのトロイの木馬の使用で、法的
に異議申し立てを受けた経緯がある。
http://www.arnnet.com.au/index.php/id;661124581;fp;4194304;fpid;1
────────────────

◆ISP ファイル共有者を罰するか? 取り締まりを受けるか? (2007.10.24-25)

英国のインターネットサービスプロバイダ(ISP)や音楽産業団体の代表者らは、
インターネットで著作権法を侵害してファイルを共有しているISP加入者をど
のように扱うかについて、協定案を徹底的に検討する話し合いを続けている。
音楽出版社協会は、違法にファイルを共有している者を、ISPの手でインター
ネットから追放してもらおうと考えている。一方、ISPはどちらかというと彼
らに罰金を課したいようだが、いずれにしろ対処を行わなければ、政府によっ
て何らかの規制を受けることになる。
http://www.theregister.co.uk/2007/10/25/triesman_isps_music/print.html
http://news.bbc.co.uk/2/hi/technology/7059881.stm

【編集者メモ1】(Pescatore)
北米では、多くのISPは、顧客のファイル共有を禁止するサービス同意書があ
る。しかし、この条項を実施しようとすれとさまざまな騒動が起きるのが常だ。
ISPがユーザーを追放すれば利益の減少につながるが、罰金であればそうなら
ない。支払いをせずに料金所を通り過ぎたとしても、彼らは有料道路の進入を
禁止される(利益の減少)のではなく、代わりにチケットが自宅に送られてく
る、という按配だ。
【編集者メモ2】(Cole)
このような法は企業にも影響を与えることになる。違法コンテンツをインター
ネットで共有している社員を野放しにしている企業にも、その責任を課すこと
ができるからだ。組織内に問題があるかどうかを判断するには、ゲートウェイ
にmp3、jpgなどの知的所有物を臭わせるキーワードを設定したsnortなどのス
ニファを置くとよい。問題を修正すれば、法的な責任を軽減できるだけでなく、
利用可能な帯域が拡大されてコスト削減にもつながる。
────────────────

◆米サイバーセキュリティポリシーの総点検を目指す新委員会(2007.10.30)

米下院議会・国土安全保障委員会は、新しいサイバーセキュリティ委員会を始
動させた。この新委員会は、州の官民両部門のコンピュータおよびネットワー
クセキュリティを向上するための推奨策を次期大統領に提供する。並立党派性
というめずらしい事象ではあるが、新興の脅威およびサイバーセキュリティ分
科委員会の少数党の有力メンバーや委員長(テキサス州McCaul氏およびロード
アイランド州Langevin氏)が、個人的にこの新委員会の委員長を務めることを
承諾。同委員会のメンバーには、サイバーセキュリティの著名な専門家がいる。
この取り組みの統制に携わる下院議員の中には、元NSA長官および元CIA副長官
のBobby Inmanや、司法省コンピュータ犯罪および知的所有権部門の元主任で
現在Microsoft製品のセキュリティ向上プロジェクトを指導し、また、警察の
犯罪人検挙に助力しているScott Charneyなどもいる。この委員会は、戦略国
際研究センターによって運営される見込みだ。
http://www.fcw.com/online/news/150647-1.html
http://www.news.com/8301-10784_3-9807450-7.html
────────────────

◆支払カードデータシステムに徹底調査が必要(2007.10.29)

GartnerのアナリストAvivah Litanによると、小売業者によるカードデータセ
キュリティにのみ焦点を合わせるのは、この状況に対する視野を狭めることに
なるという。代わりに取り組むべきは、決済システムのセキュリティ全体の改
良であるようだ。Litanはまた、小売業者よりも「銀行やクレジットカード会
社の方が、このデータセキュリティ問題を」より簡単に解決できるはずだと述
べている。現在、店舗は不渡りを防ぐために、または再決済や払い戻しに対応
するために、カード所有者データの保持を余儀なくされている。銀行はすでに、
より強力なデータセキュユリティ対策を導入したので、銀行ならデータを保持
できるだろう。ほかに、カード決済ごとに暗証番号(PIN: Personal
Identification Numbers)の入力を義務化するという選択肢もある。署名によ
るカード決済詐欺件数は、PINによるカード決済詐欺よりもはるかに多い。
http://computerworld.com/blogs/node/6446

【編集者メモ1】(Ullrich)
小売業者に焦点をあてるという行為は、間違っているように思える。小売業者
もシステムセキュリティに一枚かんではいるものの、それをデザインしたのは
彼らではない。せめて、ペイメントカード産業自体は小売業者に何らかの支援
を提供すべきだ。PINを使用するというのは賢明な改善策だ。
【編集者メモ2】(Honan)
PINは英国ですでに導入されていることもあり、PIN認証による決済を導入して
特定の詐欺を減少させようというLitanの主張が補強された形になっている。
しかし、これが導入されればまた、犯罪者らもこの変化に適応していくのだ。
英国では、チップアンドピン(Chip and Pin)が導入されてから、「カードを介
在させない」詐欺が年間16%の割合で増加しているという。
http://www.computing.co.uk/computing/analysis/2194859/fraud-squad
────────────────

◆NIST 情報システムリスク管理原案文書を発行(2007.10.26)

米国立標準技術研究所(NIST)は、文書SP-800-39「情報システムのリスク管理:
組織的観点から」を発行する。この原案報告書は、米政府局がNISTのリスク管
理フレームワークを政府のITシステムに応用できるようにすることを目的とし
ており、FISMA関連のセキュリティ基準やNISTが作成したこれまでのガイドラ
インの中で最も重要な文書とされている。NISTは、この原案文書についてのコ
メントを2007年12月4日まで受け付けている。
http://www.gcn.com/cgi-bin/udt/im.display.printable?client.id=gcn_daily&story.id=45302
http://csrc.nist.gov/publications/drafts/800-39/SP-800-39-ipd.pdf

【編集者メモ】(Northcutt)
私は、もはや自分が政府職員でないことをうれしく思っている。これはあまり
に高水準すぎて、とても導入できるしろものではない。それに、全ての文書の
適切な部分を抽出してまとめたほうが大幅に効果的である。そんな総括文書が
あれば、実際に用いることができただろうに。
この文書によって何らかの影響を受ける方は、ダウンロードしてNISTにコメン
トを送った方がよいだろう。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年10月30日 Vol.6 No.44)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティWindowsアプリ          3 (#3)
Linux                     4
クロスプラットフォーム            21 (#1, 2, 4)
Webアプリ…XSS                11
Webアプリ…SQLインジェクション        9
Webアプリケーション             26
ネットワークデバイス             4
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

脆弱性の少ない一週間だったが、Lotus Notesユーザーだけが多くの心配ごと
を抱えることになった。大企業の多くがNotesに依存しているため、悪意ある
添付ファイルによってこれらの企業のファイウォールに大きな穴があいてしま
うおそれがある。
────────────────

1.危険度【重大】:IBM Lotus NotesおよびDominoに複数の脆弱性

<影響のある製品>
Lotus Notes 7.0.2までのバージョン

<詳細>
IBMの企業用グループウェアソリューション、IBM Lotus Notesには複数の脆弱
性がある。アプリケーション内のほかのファイルを閲覧する際に用いられる内
蔵ファイルビューアのいくつかには、バッファオーバーフローやその他の脆弱
性がある。メールやその他の文書への添付文書が細工されると、ユーザーが添
付ファイルを閲覧するときにこれらの脆弱性のどれかが引き起こされ、現在の
ユーザー権限で任意のコードが実行されてしまう。HTMLメール処理にあるバッ
ファオーバーフローによって問題のメッセージが操作された(返信する、クリッ
プボードにコピーするなどの操作)ときに、現在のユーザー権限で任意のコー
ドが実行されてしまうおそれが生じる。その他の脆弱性も、添付ファイルが自
動的に実行されるか、もしくは情報開示につながってしまうおそれにつながる。
これらの脆弱性の複数の概念実証コードと技術的詳細が公表されている。

<現状>
IBMはこの問題を認めており、更新をリリースしている。

<参考>
IBMのセキュリティアドバイザリ
http://www-1.ibm.com/support/docview.wss?uid=swg21272836
http://www-1.ibm.com/support/docview.wss?uid=swg21271111
http://www-1.ibm.com/support/docview.wss?uid=swg21272930
http://www-1.ibm.com/support/docview.wss?uid=swg21270884
http://www-1.ibm.com/support/docview.wss?uid=swg21257030
http://www-1.ibm.com/support/docview.wss?uid=swg21271957
Vuln.sgのアドバイザリ (概念実証コードを含む)
http://vuln.sg/lotusnotes702wpd-en.html
http://vuln.sg/lotusnotes702doc-en.html
http://vuln.sg/lotusnotes702sam-en.html
http://vuln.sg/lotusnotes702mif-en.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/26200
http://www.securityfocus.com/bid/26175
────────────────

2.危険度【高】:Symantec Mail Securityに複数の脆弱性

<影響のある製品>
Domino用Symantec Mail Security
SMTP用Symantec Mail Security

<詳細>
Symantec Mail Securityは、ウィルス、マルウェア、スパム対策用Symantecの
企業用メール分析エンジンである。しかし、Symantec Mail Securityには、さ
まざまな文書形式処理に複数の脆弱性がある。文書が細工されると、これらの
脆弱性が悪用され、脆弱なプロセス権限で任意のコードが実行されたり、DoS
状態を引き起こしたりするおそれがある。これらの欠陥は、前述のIBM Lotus
Notesの欠陥と関連性がある可能性がある。これらの脆弱性の悪用にはユーザー
の操作は必要ないので注意が必要だ。また、サーバを通過するメッセージが脆
弱性を悪用する可能性もある。

<現状>
Symantecはこの問題を認めており、更新をリリースしている。

<参考>
製品のホームページ
http://www.symantec.com/business/products/overview.jsp?pcid=2250&pvid=848_1
http://www.symantec.com/business/products/overview.jsp?pcid=2250&pvid=848_1
Secuniaのアドバイザリ
http://secunia.com/advisories/27367/
http://secunia.com/advisories/27388/
SecurityFocus BID
http://www.securityfocus.com/bid/26175
────────────────

3.危険度【高】:Real Networks RealPlayerの複数の脆弱性

<影響のある製品>
Real Networks RealPlayer 10までのバージョン
Helix Player 10までのバージョン

<詳細>
Real Networks RealPlayerは、マルチプラットフォームのメディアプレーヤー
として広範囲で使用されている。Helix Playerは、Real Networksがリリース
したコードをベースにした、オープンソースのメディアプレーヤーだ。しかし、
これらのアプリケーションには、さまざまなファイル形式処理に欠陥がある。
これらのアプリケーションによって細工されたファイルが開かれると、これら
の脆弱性のどれかが悪用され、バッファオーバーフローが引き起こされてしま
い、現在のユーザー権限で任意のコードを実行できるようになってしまう。設
定によっては、脆弱なアプリケーションによって脆弱なファイルが自動的に開
かれてしまうこともある。これらの脆弱性の技術的詳細は、ソースコードの分
析やさまざまなアドバイザリから入手できる。また、これらの脆弱は、@RISK
のバックナンバーで言及された脆弱性に関連がある可能性もある。

<現状>
Real Networksはこの問題を認めており、更新をリリースしている。

<参考>
Real Networksのアドバイザリ
http://service.real.com/realplayer/security/10252007_player/en/
Piotr Baniaによるアドバイザリ
http://www.piotrbania.com/all/adv/realplayer-memory-corruption-adv.txt
http://www.piotrbania.com/all/adv/realplayer-heap-corruption-adv.txt
@RISKのバックナンバーに掲載された関連記事
https://www2.sans.org/newsletters/risk/display.php?v=6&i=43#widely1
Real Networksのホームページ
http://www.real.com
Helixのホームページ
https://helixcommunity.org/
SecurityFocus BID
http://www.securityfocus.com/bid/26214
────────────────

4.危険度【高】:Sun Java Runtime Environmentに複数のApplet脆弱性

<影響のある製品>
Sun Java Runtime Environment 6 Update 3までのバージョン

<詳細>
Sun Java Runtime EnvironmentのJava Appletおよびアプリケーションのサン
ドボックス処理には複数の脆弱性がある。Appletやアプリケーションが細工さ
れると、runtime environmentによって提供されている内蔵の保護が破られ、
現在のユーザー権限で任意のファイルが読み取られたり上書きされたり、また、
任意のコードが実行されたりする。これらの脆弱性の技術的詳細は今のところ
公表されていない。Sun Java Runtime Environmentは、Apple Mac OS Xシステ
ム全てやMicrosoft Windowsシステムの多くに、またさまざまなLinux、Unixお
よびUnix類似システムにデフォルトでインストールされている。

<現状>
Sunはこの問題を認めており、更新をリリースしている。

<参考>
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103112-1
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103112-1
SecurityFocus BIDs
http://www.securityfocus.com/bid/25918
http://www.securityfocus.com/bid/26185

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。