NRI Secure SANS NewsBites 日本版

Vol.2 No.49 2007年12月11日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.49 2007年12月11日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2008 Spring
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2008年2月25日~3月1日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          https://www.event-information.jp/sanstokyo08/

┃   !!SANSのトップインストラクター Eric Cole 再来日!!
┃   !!短期コース開催! 短い時間で効果的にスキルアップ!!

┃ SEC401 SANS Security Essentials Bootcamp Style(6日コース)
┃ SEC519 Web Application Security Workshop(2日コース)
┃ SEC517 Cutting-Edge Hacking Techniques Hands-On(2日コース)
┃ SEC533 Windows PowerShell(1日コース)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!

■はじめに(Alan Paller:SANS Director of Research)

民族国家による経済スパイ活動目的のサイバーアタックにおいて、直接のター
ゲットとなっている組織が増えているという。法律事務所や大手銀行ほか、あ
らゆる規模の企業がターゲットであるようだ。TimesOnlineには、MI5のリーダー
(ジェームズボンドファンお馴染み、スパイ組織のリーダー"M"にあたる人物)
がCEO300人に送付したレターについての話が掲載されている。

米国でも前述と同様の警鐘が:
ワシントンDC全域でも、システムが深部まで侵食されて、膨大な量の機密デー
タを盗んでいる未承認ユーザーによってシステムの制御が奪われていることが
判明したため、政府上層部や受託業者はショックを隠せないでいる。これらの
侵入行為は、スピアフィッシングに引っかかってファイルを添付したり、悪意
のあるWebサイトに誘導したりすることによって行われている。

最近、連邦政府や民間のWebサイトに直接アタックが仕掛けられている。どう
やら、Webサイトやその他アプリケーション開発者のほとんどが、安全なプロ
グラミングに関する集中トレーニングを受けた経験がなく、自分が何を知らな
いかについても把握できていないらしい。関係している開発者が、C言語や
Javaで優れた「安全なプログラミングのスキル」を備えているかどうか確認す
るなら、ワシントンDCで来週行われる無料アセスメントの利用をお勧めする
(来年1月1日以降の価格は250ドル)。 セキュリティ知識の欠落部分を把握し
たいと考えているプログラマーの所属組織の方は、apaller@sans.orgまで。
────────────────

■■SANS NewsBites Vol.9 No.94-95 (原版:2007年12月1日、5日)

◆SANSトップ20:アタッカー Webアプリとソーシャルエンジニアリングに着目
  (2007.11.27)

SANSによるインターネットセキュリティリスク・トップ20最新版によれば、サ
イバー犯罪者らは、カスタムアプリケーションをターゲットにしたり、ソーシャ
ルエンジニアリングでユーザーの信頼を獲得するなど、そのアタック手法を変
えている。この一連の動きは、システムやネットワークのセキュリティが強化
されてきたためである。とはいえ、SANSトップ20では従来のアタック手法に潜
む深刻性も軽視していない。ブラウザの欠陥は、依然重大な問題である。ポリ
シー遵守や監視を徹底し、一貫して警戒する必要があり、防御はより難しくなっ
ている。したがって、開発者はシステム保護のため、安全なプログラミングを
組み込む方法を学ぶ必要がある。
http://www.theregister.co.uk/2007/11/27/sans_top_20_security_risks/print.html
http://www.gcn.com/online/vol1_no1/45468-1.html?topic=security&CMP=OTC-RSS
http://www.sans.org/top20/
────────────────

◆政府の受注契約候補業者に 倫理規定の設置・施行を義務付け(2007.11.29)

2007年12月24日より、米国政府からの受注を獲得しようとする企業は、事業の
倫理規定や行動規範、倫理遵守訓練プログラム、内部コントロールのシステム
を設けなければならない。この最終的な規則によって、連邦取得規制が改正さ
れることになる。しかし、契約期間が120日以内で契約金額が500万ドル以下の
ものを請け負う中小企業および米国外での業務は対象とされない。
http://www.govexec.com/story_page_pf.cfm?articleid=38695&printerfriendlyvers=1
http://a257.g.akamaitech.net/7/257/2422/01jan20071800/edocket.access.gpo.gov/2007/07-5800.htm

【編集者メモ1】(Skoudis)
ここで言及されている内部コントロールのシステムは、特に有益なものである。
所属組織内に重大なセキュリティ問題(脆弱性、侵害など)があることを知り
ながら、経営管理層から黙秘を強制されたといった類の報告が年に数回ある。
そして、彼らは私にどうしたらよいか尋ねてくる。これに対し、組織内の倫理
審査会に連絡をとることをまず勧める。所属企業にそのような受け皿がない場
合は物事が複雑化してしまうので、弁護士が必要になるケースも出てくる。
【編集者メモ】(Northcutt)
よい動向だと思う。正直者の善の芽を摘まないようにするのである。正しい規
制が次々に設定されれば、多くの人が道を踏み外すこともなくなるだろう。政
府がより信用を得たいなら、無料のサンプルプログラムを作って、納税者にか
かる費用を最小限に抑えてみてはどうか。そうすれば、その政府からの受注企
業の手間も省ける。まあ結局のところ、なんらかの費用は必ず納税者に回って
くるわけだが……。
────────────────

◆Fifth Third Bank 店舗のデータセキュリティ遵守違反による罰金はお馴染
  み(2007.11.24)

Fifth Third Bancorpは、TJXのデータセキュリティ侵害事件で、Visaにより88
万ドルの罰金を科された経緯がある。法廷文書によると、同社は数年前にも
BJ's Wholesale Clubでのデータ侵害で、より高額な罰金を支払っていた。ク
レジットカード企業から店舗に直接罰金を要求できないため、代わりに決済処
理銀行が支払うことになっている。すなわち、銀行は、店舗がデータセキュリ
ティ基準を確実に満たすようにする責任を負っているのである。データセキュ
リティに関してこのような婉曲的な考え方があるため、たとえ責任を追及され
ても、その所在をあまり真剣に受け止めようとしない状態に陥っている。
http://www.boston.com/business/globe/articles/2007/11/24/visa_fines_ohio_bank_in_tjx_data_breach/?page=full
────────────────

◆MI5 英国企業に中国政府によるサイバーアタック警戒の呼びかけ
  (2007.12.2-3)

英国メディアによれば、政府は、中国が英国有名企業のコンピュータシステム
に侵入した疑いを持っているという。報告書には、MI5長官Jonathan Evans氏
が、大手英国企業のCEOおよびセキュリティ責任者300人に機密レターを送付し、
アタックを警戒するように呼びかけたことが示されている。ロールスロイス
(Rolls Royce) やロイヤル・ダッチ・シェル(Royal Dutch Shell)のほか、中
国で事業を行っている中小企業や法律事務所もこのサイバーアタックのターゲッ
トになっているという。ロンドンの中国大使館関係者はこの容疑を否認してい
る。
http://business.timesonline.co.uk/tol/business/markets/china/article2988228.ece
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9050499&source=rss_topic17
http://news.bbc.co.uk/2/hi/business/7123970.stm
────────────────

◆TJX社 銀行の損失を補填することに合意(2007.12.1-2)

TJX社は、同社で発生した大規模なデータセキュリティ侵害で生じた銀行側の
損失の払い戻しをするために、約4100万ドル用意する見込みだ。この侵害事件
では、クレジットカードおよびデビットカード口座およそ1億件の情報が外部
にさらされた。今回、銀行側の損失が補填されることになったため、被害を受
けた銀行はTJX社とその共同事業者を起訴しない運びとなった。また、TJX社は
Visaとも合意に至っているが、Visaを発行している銀行側がこの合意内容を承
認するまでは最終的な結論とはならない。マスターカードの広報担当者はコメ
ントを発表していないが、TJX社とマスターカードも同様の合意に達すると思
われる。
http://www.boston.com/business/globe/articles/2007/12/01/tjx_agrees_to_reimburse_banks?mode=PF
http://www.channelregister.co.uk/2007/12/03/tjx_settlement_agreement/print.html
http://www.businesswire.com/portal/site/google/index.jsp?ndmViewId=news_view&newsId=20071130005355&newsLang=en
────────────────

◆スパマー 米連邦取引委員会による裁判で罰金(2007.11.29)

オンライン広告企業Adteractive社は、米国CAN-SPAM法違反で65万ドルの罰金
を支払うことに合意した。米国連邦取引委員会 (FTC)は、Adteractive社が受
信者に無料でアイテムを提供することを約束する迷惑メールを送信していたと
考えている。問題のメールのオファーを受け入れようとした場合には、車両の
ローンやクレジットカードに申し込みを行ったり、さまざまなサービスに加入
したり、その「無料アイテム」を獲得するために他のアイテムを購入したりし
なければならなかった。同社は当該オファーに関する制約条項の説明義務を怠っ
たため、CAN-SPAM法違反となる。Adteractive社は、今回の示談の条件として、
今後発信するメッセージでは購入について明示的な説明を付与することを義務
付けられる。少なくともFTC委員のうち一人は、この示談の罰金額が過去の例
に比べて減少しているものとなったため、今後のスパム行為の抑止力にはなら
ないと考えている。
http://www.vnunet.com/vnunet/news/2204589/ftc-nails-free-gift-spammer
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2007年12月5日 Vol.6 No.49)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
Microsoft Office                1
サードパーティWindowsアプリ          11 (#1,#4)
Mac OS                     2
Linux                     10
Solaris                     2
クロスプラットフォーム             20 (#2,#3)
Webアプリ…XSS                 13
Webアプリ…SQLインジェクション         20
Webアプリケーション              37
ネットワークデバイス              1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Computer AssociatesのARCserveバックアップソフトウェアに、またセキュリ
ティ欠陥が発見された。これらの脆弱性は、全て広範囲で利用されているバッ
クアップソフトウェアに内包されているのが現状だ。犯罪者らは、低品質なバッ
クアップソフトウェアを使用して、機密で高価値な情報や、企業・政府局ネッ
トワークへのバックドアに即時アクセスしているようだ。

PS.
2007月12月のお役立ちチェック:
お使いのバックアップソフトウェアに、最後にパッチを適用したのはいつ?
Microsoftの自動アップデートは、SymantecやCAのバックアップソフトウェア
をカバーしていないことを知らない方が何と多いことか!

PPS.
2008年のお役立ちチェック:
ご使用のソフトウェアの開発者のGSSP (安全なプログラミング)の点数は?
それを知らずして、安全なコード作成に関して開発者が有する知識は検証でき
ない。http://www.sans.org/gssp
────────────────

1.危険度【重大】:Computer Associates BrightStor ARCserve Backupに不安
  定なメソッド公開脆弱性

<影響のある製品>
Computer Associates BrightStor ARCserve Backup r11.5までのバージョン
Computer Associates BrightStor Enterprise Backup r10.5 までのバージョ


<詳細>
Computer Associates BrightStor ARCserveは、企業用バックアップソフトウェ
アとして広範囲で使用されており、複数のリモートプロシージャコール(RPC)
インタフェースが外部に面している。これらのインタフェースのうちのひと
つが、任意のファイルオペレーションのいくつかとMicrosoft Windows登録キー
を外部にさらしている。これらの動作に認証は一切必要ない。これらの機能を
呼び出せば、任意のコードを実行できるようになるか、脆弱なプロセス権限
(SYSTEM権限の場合が多い)でシステムを操作できるようになってしまう。この
脆弱性の技術的詳細がアドバイザリに掲載されている。

<現状>
Computer Associatesはこの問題を認めており、更新をリリースしている。可
能であれば、TCP6504番ポートおよび7978ポートへのアクセスをネットワーク
境界でブロックして、この脆弱性の影響を軽減できる。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-069.html
Computer Associatesのホームページ
http://www.ca.com
SecurityFocus BID
http://www.securityfocus.com/bid/26015
────────────────

2.危険度【高】:Mozillaベースのブラウザに複数のメモリ崩壊脆弱性

<影響のある製品>
Mozilla Firefox 2.0.0.10までのバージョン
Mozilla SeaMonkey 1.1.7までのバージョン
Netscape Navigator 9.0.4までのバージョン

<詳細>
FirefoxなどMozillaスイートをベースにしたWebブラウザのWebコンテンツ処理
には、複数の脆弱性がある。Webページやスクリプトが細工されると、これら
の脆弱性のどれかが引き起こされる。問題の脆弱性のうちひとつでも悪用が実
現すれば、現在のユーザー権限で任意のコードを実行できるようになってしま
う。Mozillaフレームワークをベースにしたその他のブラウザやアプリケーショ
ンも脆弱であるおそれがあるので注意が必要だ。これらの脆弱性の詳細はソー
スコードを分析すれば入手できる。

<現状>
Mozillaはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2007/mfsa2007-38.html
Netscapeのリリースメモ
http://browser.netscape.com/releasenotes/#whatsnew
SecurityFocus BID
http://www.securityfocus.com/bid/26593
────────────────

3.危険度【高】:IBM Lotus Notesの添付解析に複数のバッファオーバーフロー
  の脆弱性

<影響のある製品>
Lotus Notes 8.0までのバージョン

<詳細>
Autonomy KeyViewは、IBMのLotus Notesグループウェアスイートに同梱されて
いるメディア閲覧用コンポーネントである。しかし、このコンポーネントでは
各種ファイル形式処理にバッファオーバーフロー脆弱性がある。メッセージ添
付ファイルが細工されると、これらオーバーフローが引き起こされ、現在のユー
ザー権限で任意のコードを実行できるようになってしまう。さまざまなデータ
を用いて、添付ファイルを表すアイコンやそれを開くアプリケーションを決め
るのは、Lotus Notesである。そのため、悪質な添付が無害な形式であるかの
ようになりすますのも可能だ。これらの脆弱性の技術的詳細や概念実証コード
が公表されている。Autonomy KeyViewを使用するその他の製品も脆弱なおそれ
があるので注意が必要だ。

<現状>
IBMはこの問題を認めており、更新をリリースしている。

<参考>
IBMのセキュリティアドバイザリ
http://www-1.ibm.com/support/docview.wss?uid=swg21285600
COREのセキュリティアドバイザリ
http://www.coresecurity.com/index.php5?action=item&id=2008
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/26604.py
SecurityFocus BID
http://www.securityfocus.com/bid/26604
────────────────

4.危険度【高】:VideoLAN ClientのActiveXコントロールにメモリ崩壊の脆弱
  性

<影響のある製品>
VideoLAN Client Media Plaer 0.8.6dまでのバージョン

<詳細>
VideoLAN Client Media Player (VLC)は、クロスプラットフォームのメディア
プレーヤとして広範囲で使用されている。Microsoft Windows版はActiveX コ
ントロールを提供しているため、開発者がアプリケーションにVLC機能を埋め
込むことができる。また、このコントロールはWebページによってインスタン
ス化される。しかし、このコントロールでは特定のコール処理に脆弱性がある。
悪意あるWebページがこのコントロールをインスタンス化すると、現在のユー
ザー権限で任意のコードが実行されてしまう。これらの脆弱性の技術的詳細は、
ソースコードを分析すれば入手できる。

<現状>
VideoLANはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能を介して問題のコントロールを無効にすれば、これら脆弱性の
影響を軽減できる。

<参考>
VideoLANのセキュリティアドバイザリ
http://www.videolan.org/sa0703.html
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.videolan.org
SecurityFocus BID
http://www.securityfocus.com/bid/26675

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。