NRI Secure SANS NewsBites 日本版

Vol.2 No.47 2007年11月28日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.47 2007年11月28日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

───────────────────────────────────
★いよいよ今週金曜日!!『事業継続セミナー』 開催★  
┃Business Continuity Management 200711.30.Fri@東京ミッドタウン
┃ 迫る国際標準化(ISO)-「事業継続」と「IT継続」-
┃●BCMの将来~世界におけるBCIの取組み、英国規格そして国際標準化への軌跡

┃  >>>英国BCI Technical Services Director Lyndon Bird 氏
┃●『事業継続マネジメントシステム(BCMS)の認証制度への課題
┃   >>>財団法人 日本情報処理開発協会(JIPDEC) 高取 敏夫 氏
┗今すぐ!! http://www.idg.co.jp/expo/bcm ━━━━━
───────────────────────────────────

■■SANS NewsBites Vol.9 No.89-90(原版:2007年11月16日、11月21日)

◆Yahoo 投獄された反乱分子の家族による告訴で示談 (2007.11.13-14)

Yahooは、同社が提供した情報をもとに中国当局に身元が判明して投獄された、
中国の反乱分子2人の家族による告訴を示談処理で解決した。Yahooは、中国当
地の法令遵守のために情報を提供せざるをえなかったという姿勢を維持してい
るものの、Jerry Wang 社長は、反体制の人々に対してYahooとして今後のため
に正しい対応を行う趣旨より示談に応じたと述べている。示談の合意内容につ
いては公表されていないが、Yahooは告訴費用およびその他政治的反体制派を
支援する基金設立の資金を支払う模様。先週、Yahooの取締役らは、前回状況
説明を求められた際に詳細が抜けていたため、米国下院審議会で追及を受けて
いた。
http://news.bbc.co.uk/2/hi/business/7093564.stm
http://www.washingtonpost.com/wp-dyn/content/article/2007/11/13/AR2007111300885_pf.html
http://technology.timesonline.co.uk/tol/news/tech_and_web/article2868689.ece
http://www.smh.com.au/news/Technology/Yahoo-settles-lawsuit-by-jailed-journalists-over-decision-to-giveinfo-to-Chinese-government/2007/11/14/1194766724468.html
────────────────

◆セキュアプログラミング委員会 Javaプログラマーに最低限のセキュリティ
  スキルを列挙(2007.11.15)

セキュアプログラミング委員会(SANS Instituteによって集められたセキュリ
ティマネージャのグループ)は、"Java/J2EEを使用するプログラマーに必要不
可欠なセキュリティスキル"と題した文書を公表した。Javaのプログラマーが
アプリケーションを作成するにあたって最も重要なスキルと知識が列挙されて
いる。リストには、カテゴリー分けされた詳細な要素が記載されており、イン
プット処理、認証、セッション管理、アクセスコントロール、エラーおよび例
外処理、暗号化サービスなどがある。
http://www.computerworld.com/action/article.do?command=printArticleBasic&articleId=9047098
http://www.gcn.com/online/vol1_no1/45421-1.html?topic=security&CMP=OTC-RSS

【編集者メモ】(Paller)
今後3ヶ月間、大手企業2社程でパイロットプロジェクトとしてオンライン試験
が施行される。この試験は、プログラマーがこの委員会で定義された必要不可
欠なスキルと知識をどれだけマスターできているかを実証するものである。こ
のテストではプログラマーのスキルと知識のギャップを特定するほか、社内、
インドや中国、米国の委託プログラマーのそれぞれに対してどれだけ効果的で
あるかが査定される。12月初旬にはロンドンやワシントンで、2008年初期には
その他17の都市で総合テストが行われる。
詳細はこちら: http://www.sans.org/gssp.
────────────────

◆英国情報長官 データ管理ミスの厳罰化推進(2007.11.15)

英国情報長官(UK Information Commissioner) Richard Thomas氏は、個人情報
を含むデバイスを紛失した者に刑事責任を負わせたいと考え、治安判事裁判所
の罰金を最高5,000ポンド(約1万221ドル)に引き上げようとしている。また、
データ保護法侵害による起訴案件が刑事裁判所に持ち込まれた場合、その最高
罰金額は上限無制限となる。Thomas氏は、企業のデータ保護法遵守を確認する
目的で、企業に対する抜き打ちチェックとしての現場検証を行う権限も求めて
いる。
http://www.pcpro.co.uk/news/139302/doctors-may-be-liable-for-stolen-laptops.html
http://www.computerweekly.com/Articles/2007/11/15/228104/information-commissioners-office-asks-uk-to-criminalise-severe-data.htm
────────────────

◆米上院議会 ID情報窃盗および損害賠償法(Identity Theft and
  Restitution Act)可決(2007.11.16)

米国上院議会は、ID情報窃盗および損害賠償法(Identity Theft and
Restitution Act)を可決した。この法では、サイバー恐喝の定義範囲が拡大
され、個人情報盗難の被害者が、その問題による対応に費やした時間分の損害
賠償請求が可能になる。スパイウェアやキーストロークロガーを使用するサイ
バーアタッカーで、10台以上のコンピュータを標的にしていた場合は、重犯罪
者となるという。また、最低5,000ドルはかかるとされている重罪起訴費用の
基準も取り除かれる。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9047578&source=rss_topic17

【編集者メモ】(Schultz)
これは元気付けられる進展である。米国ID窃盗法の抜け穴が埋められ、スパイ
ウェアやキーストロークロガーの使用に関する新しい条項も加えられるからだ。
しかし、「キーストローグロガーの使用行為が重罪扱いとなるには、10台以上
のコンピュータに損害を与えていなければならない」という条項は奇妙だ。こ
の最低「10台」という数字は、不当に高いように思えるが……。
────────────────

◆カナダ 古い著作権法の改正を懸案 (2007.11.17)

カナダ議会は近々、同国の著作権法を更新できる法案を審議する見込み。1921
年施行の同法では、デジタルメディアやファイル共有の到来で浮上した問題に、
十分に対処できない。そのため、カナダの音楽アーティストは、法改正によっ
て全米レコード協会(RIAA)が起こした著作権法違反裁判の類を、カナダレコー
ド協会(CRIA)も推し進めてよいと考えてしまうのではないかと懸念している。
CRIAのGraham Henderson会長は、同協会はそのような訴えを起こすつもりは一
切ないと否定している。
http://today.reuters.co.uk/news/articlenews.aspx?type=internetNews&storyID=2007-11-17T035630Z_01_N16414216_RTRIDST_0_OUKIN-UK-CANADA.XML&archived=False
────────────────

◆Storm GeoCitiesで拡大(2007.11.6)

Stormによってコントロールされたボットが、現在GeoCitiesサイトへのリンク
の付いたスパムを送信している。これらのサイトには、他のURLにブラウザを
リダイレクトしてしまう悪意あるコードが埋め込まれている。リダイレクト先
のURLでは、「GeoCitiesサイトの画像を閲覧するために必要」と宣伝されたコー
デックをダウンロードするように仕向けられている。しかし、実際は機密情報
を盗むように設計されたマルウェアなのだ。このアタックは、RBNに関連性が
あると考えられている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9047483&source=rss_topic17

【編集者メモ】(Skoudis)
Stormは2007年最大のマルウェア事件だ。1月の時点ではたいしたことはないよ
うに思えた。しかし、ヘッドラインから取った件名「ヨーロッパに発生した大
規模なStorm」なる巨大なメールワームも発生し、それ以後Stormが発達してい
るというのが私の見解である。そして、Stormは今や、システムを悪用したり、
ビジネスモデルを磨き上げたりする新しい技術を開発するプラットフォームに
なっている。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年11月20日 Vol.6 No.47)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     2
Microsoft Office                1
サードパーティWindowsアプリ           6
Mac OS                     4(#1)
Linux                      6
Unix                      1
Novell                     1
クロスプラットフォーム             15 (#2)
Webアプリ…XSS                9
Webアプリ…SQLインジェクション         13
Webアプリケーション              10
ネットワークデバイス              1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

セキュリティバグ研究者ら(および悪意ある者たち)が、Apple OS Xにますま
す注目を集めるようになっており、そのアタックも今のところ成功してしまっ
ているようだ。今号冒頭の問題から引用すると、「OS Xのいくつかの脆弱性は、
リモートユーザーが悪用できるものである。ファイル形式の脆弱性もいくつか
あり、Mac OS Xアプリケーションファイヤウォールの中には実装エラーもいく
つかあるようだ」という。

どのOSがより安全か問われたことがあるなら、次のルールが役に立つかもしれ
ない。プログランミングスキルが一定だと仮定した場合、ソフトウェア内に存
在する脆弱性の数は、コードの列数に比例しており、そのソフトウェアが広範
囲で使用されている期間の長さに反比例するという。
大量の重大な脆弱性が、AppleのOSに現在発見もしくは存在が確実視されてい
る。Steve Jobsがより素晴らしいハードウェアをデザインしたとしても、安全
なコードを作成するという観点は不十分だったのではないか。
────────────────

1.危険度【重大】:Apple Mac OS Xに複数の脆弱性(セキュリティ更新2007-008)

<影響のある製品>
Apple Mac OS X 10.4.10までのバージョン
Apple Mac OS X 10.5までのバージョン

<詳細>
Apple Mac OS Xには、複数の脆弱性がある。これらの脆弱性は、リモートのコ
ード実行から情報開示、DoSまで、深刻度もさまざまである。また、大部分は
ローカルユーザーかローカルネットワーク内のユーザーしか悪用できない脆弱
性であるが、リモートユーザーによって悪用可能なものもある。さらに、ファ
イル形式の脆弱性もいくかあり、Mac OS Xアプリケーションファイヤウォール
にも実装エラーがある。このファイヤウォールの欠陥は、Mac OS X 10.5のみ
に影響を及ぼす。その他の脆弱性は、Mac OS X 10.4.10までのバージョンに影
響を及ぼすようだ。これらの脆弱性の中には、@RISKのバックナンバーに掲載
されたものもある。また、一部の脆弱性の技術的詳細が公表されている。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=307004
http://docs.info.apple.com/article.html?artnum=307041
SecurityFocus BID
http://www.securityfocus.com/bid/26444
────────────────

2.危険度【高】:Sambaに複数のバッファオーバーフローの脆弱性

<影響のある製品>
Samba 3.0.27までのバージョン

<詳細>
Sambaは、Microsoft Windowsを使用しているクライアントとUnixやUnixに類似
したシステムを運用しているサーバとの間に相互運用性を提供できるオープン
ソースのアプリケーションスイートである。しかし、さまざまなリクエスト処
理にバッファオーバーフローにつながる欠陥がいくつかある。このバッファオー
バーフローの悪用が実現すると、脆弱なプロセス権限か、多くの場合ルート権
限で任意のコードを実行できるようになってしまう。これらの脆弱性の技術的
詳細は、ソースコードを分析すれば入手できる。

<現状>
Sambaはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2007-90/advisory/
Sambaのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/483742
http://www.securityfocus.com/archive/1/483743
SecurityFocus BIDs
http://www.securityfocus.com/bid/26455
http://www.securityfocus.com/bid/26454

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。