NRI Secure SANS NewsBites 日本版

Vol.2 No.48 2007年12月3日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.48 2007年12月3日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2008 Spring
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2008年2月25日~3月1日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          https://www.event-information.jp/sanstokyo08/

┃   !!SANSのトップインストラクター Eric Cole 再来日!!

┃ SEC401 SANS Security Essentials Bootcamp Style(6日コース)
┃ SEC519 Web Application Security Workshop(2日コース)
┃ SEC517 Cutting-Edge Hacking Techniques Hands-On(2日コース)
┃ SEC533 Windows PowerShell(1日コース)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!

■はじめに(Alan Paller:SANS Director of Research)

セキュリティ専門職の方にキャリアアップのチャンス:
セキュリティ分野で著しい成長を見せているのは、脆弱なWebアプリケーショ
ンを防御する業務である。企業内もしくは委託開発されたWebアプリケーショ
ンのうち、4分の1に重大な脆弱性がみられるのが現状。これらのセキュリティ
ホールが悪用されると、深刻な損害を受けることになる。アタッカーもすでに
この事実に注目している。アタックパターンの変化に伴い、Webアプリケーショ
ンを診断する需要が大いに高まっており、Webアプリケーションを運用管理す
る全ての組織においてその実施が必要不可欠となっている。ある米国大企業に
よれば、600ものWebアプリケーションに含まれる重大な脆弱性のうち75%は脆
弱性診断によって発見されたという。Webアプリ・テストツールで発見された
のは残る25%に過ぎない。しかし残念なことに、現状ではこの業務を効果的に
行えるスキルを備えた技術者がいないのだ。すなわちこれは、新規にセキュリ
ティのフィールドに従事しようとするエンジニアにとっては大きなチャンスと
もいえる。
Ed Skoudisと彼が所属する企業インテルガーディアンのチームが、脆弱性診断
を行うエンジニアを準備万端な状態にするために重要かつエキサイティングな
新コース「Advanced Web Application Penetration Testing」を開発した。こ
の4日間コースの第1回目は、1月14日から17日にかけて、ニューオリンズで開
催される。
http://www.sans.org/security08/description.php?tid=1722
────────────────

■■SANS NewsBites Vol.9 No.9X (原版:2007年11月26日)

◆電子投票ベンダー 無認可のデバイスで起訴される(2007.11.21-23)

Election Systems & Software(ES&S)社は、同社製の電子投票デバイスについ
て、2件の起訴を受けている。これらは、カリフォルニア州務長官およびサン
フランシスコ市によるもので、ES&S社納入のマシンが無認可だったかどで訴え
られている。サンフランシスコ市による裁判では、ES&S社は同社の製造手順に
変更があったにもかかわらず、製品の再認可を受けることなく納入したことが
問題となった。つまり、ES&S社は不正行為により、サンフランシスコ市との契
約に違反したとされている。また、州務長官による裁判でも同様の申し立てが
あったほか、影響を受けた郡に対して500万ドルの返金、およびマシン1台につ
き1万ドルの損害賠償、その他の罰金が求められている。これに対し、ES&S社
はこれらの訴訟での申し立てに対する反論の表明文を公表している。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9048478&source=rss_topic17
http://www.eweek.com/article2/0,1895,2220546,00.asp

【編集者メモ1】(Schultz)
今後、このような出来事がますます増えてくるだろう。電子投票に関するセキ
ュリティ上の懸念全てが今までに浮上したこと、また、これらの懸念によって
生じた問題があることを踏まえると、電子投票ベンダーに対する訴訟が起きた
ことにはあまり驚きを感じない。
【編集者メモ2】(Kreitner)
この動向が、ITシステムベンダーによるソフトウェアの品質について、購入者
が特に高いレベルのものを求める傾向の幕開けだとしたら、大賛成だ。
────────────────

◆英国情報長官 データセキュリティの現場検査を行える権限を認められる可
  能性(2007.11.22-23)

英歳入関税局(HMRC)によるデータ紛失事件が大きく取り上げられたことを受け
て、英首相Gordon Brownは、情報長官局に政府局の抜き打ち監査および検査を
行い、各局のデータ保護法遵守の実態を把握する権限を与えると述べた。情報
長官Richard Thomasは、この権限の適用対象に民間企業も組み込む意向だが、
実現するかどうかは今のところ不明である。
http://business.timesonline.co.uk/tol/business/industry_sectors/banking_and_finance/article2914458.ece
http://software.silicon.com/security/0,39024888,39169238,00.htm

【編集者メモ】(Honan)
過去にデータ紛失事件が多数発生しているにもかかわらず、その姿勢にあまり
改善が見られないのが現状だ。打開するには、一大異変的な個人情報の誤処理
事件が発生しなければならないのかもしれない。タイタニックが沈んだために、
救命ボート規定が生まれたように……。
────────────────

◆フランスのデジタルコンテンツ海賊版で インターネットサービス停止
  (2007.11.23-24)

新反著作権侵害法の施行団体は、「著作権違反行為をやめるように」というリ
クエストに応じない個人に対し、インターネットサービス停止権限を持つよう
になる。「スリーストライクアウト」制で、実際にサービスが停止されるまで
に2回警告を受けることとなる。仏首相Nicolas Sarkozyは、この一連の動きを
「インターネット文明の未来の決め手となる動き」と称し、支持している。
http://www.dailytech.com/France+Unveils+Plan+to+Cut+Service+to+Internet+Pirates/article9762.htm
http://news.bbc.co.uk/2/hi/technology/7110024.stm
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2007年11月27日 Vol.6 No.48)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
Microsoft Office                1
サードパーティWindowsアプリ           2
Mac OS                     1(#2)
Linux                      7
Unix                      2
クロスプラットフォーム            8 (#1)
Webアプリ…XSS                6
Webアプリ…SQLインジェクション         10
Webアプリケーション              10
ネットワークデバイス              3
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週は、QuickTimeに最も多くの欠陥が発見された。問題のQuickTimeは、
Apple OS/Xシステム全てとWindowsのiTunesにデフォルトでインストールされ
ている。悪意あるWebサイト(アタッカーにすでに侵害されてしまった通常のサ
イトも含む) によって利用される可能性がある、いや、まず確実にそうなるだ
ろう。
────────────────

1.危険度【重大】:Apple QuickTimeのレスポンス処理にバッファオーバーフロ
  ーの脆弱性

<影響のある製品>
Apple QuickTime 7.3までのバージョン

<参考>
QuickTimeは、AppleのApple Mac OS XとMicrosoft Windowsのストリーミング
メディアのフレームワークである。QuickTimeは、さまざまなリモートサーバ
からメディアをストリームできる。しかし、Real Time Streaming Protocol
(RTSP)へ向かうサーバレスポンスの処理に、バッファオーバーフローの脆弱性
がある。QuickTimeサーバからのレスポンスが細工されると、このバッファオー
バーフローが引き起こされ、現在のユーザー権限で任意のコードを実行できる
ようになってしまう。QuickTimeは、 Apple Mac OS Xシステムにはデフォルト
でインストールされており、Microsoft WindowsではiTunesスイートの一部と
してインストールされている。この脆弱性の技術的詳細や複数の概念実証コー
ドが公表されている。設定によっては、Webページ訪問の際、QuickTimeのコン
テンツが自動的に開かれてしまう可能性があるので注意が必要だ。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
概念実証コード
http://milw0rm.com/exploits/4651
http://milw0rm.com/exploits/4657
US-CERT脆弱性メモ
http://www.kb.cert.org/vuls/id/659761
SecurityFocus BID
http://www.securityfocus.com/bid/26549
────────────────

2.危険度【高】:Apple Mailに添付スプーフィングの脆弱性

<影響のある製品>
Apple Mac OS X 10.5.1までのバージョン

<詳細>
Appleの Mailアプリケーションは、Mac OS Xに同梱されているデフォルトのメ
ールクライアントである。このアプリによって、メールに添付されたファイル
の拡張属性に"AppleDouble"として知られる特別のエンコーディングを使用し
た添付が含められるようになる。そして、ファイルに関する高度な情報もOSが
アクセスできるようになる。これらの拡張属性によって、ファイルを開くとき
に使うべきアプリケーションやファイルを示すアイコンを特定できるようになっ
ている。しかし、メールへの添付が細工されると、それは実行不可能なファイ
ルタイプ(画像など)として表示されてしまい、ユーザーによって開かれると
任意のコマンドを実行してしまう。この添付を手動で開くことで、ユーザーが
影響を受ける。この脆弱性は以前開示されてパッチが適用された脆弱性に関連
がある可能性がある。

<現状>
Appleはこの問題を認めていないため、更新もリリースしていない。

<参考>
Heise Securityの討論
http://www.heise-security.co.uk/services/emailcheck/demos/go.shtml?mail=apple
AppleDoubleエンコーディングについてのWikipediaの記事
http://en.wikipedia.org/wiki/AppleDouble
SecurityFocus BID
http://www.securityfocus.com/bid/26510

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。