NRI Secure SANS NewsBites 日本版

Vol.3 No.14 2008年4月15日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.14 2008年4月15日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■はじめに(Alan Paller:SANS Director of Research)

NewsBitesで特定のブログ記事に着目するのはめずらしい。しかし、Oracleの
Mary Ann Davidsonによる記事は、大学機関に対してセキュアプログラミング
を中核的なカリキュラムとして指導するように説得しようという長期的探求に
おいて、最初の重要な一歩となっている。他のどのソフトウェア企業も、
Oracleが行ったほど大きな成果をあげていない。彼女のブログをご覧になるに
はこちらへ:
http://blogs.oracle.com/maryanndavidson/
詳細は本号にて。

─[PR]────────────────────────────────
エンドポイント・セキュリティ強化セミナー
シングル・エージェントによる包括的な保護と簡素化された管理の実現
2008年4月23日(水) 大阪で開催
   主催:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
詳細・お申込み http://www.checkpoint.co.jp/seminar
────────────────────────────────[PR]─

■■SANS NewsBites Vol.10 No.27-28
   (原版:2008年4月5日、9日配信)

◆ソフトウェアエンジニア 企業秘密盗難で起訴される(2008.4.3)

シカゴを本拠地とする電気通信企業のソフトウェア技術者Hanjuan Jinは、同
社の企業秘密を盗み、中国に持ち込もうとした疑いで起訴された。シカゴのオ
ハラ空港で彼女の荷物が検査されたとき、当局が機密技術文書、およびある企
業の文書が保存されたコンピュータメモリデバイスを発見した。通関業者は、
問題の文書とデバイスをそこで留保。データの知的財産価値は6億ドル相当と
見積もられている。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=207001607
http://www.chicagotribune.com/news/local/chi-trade-secrets-both-03apr03,1,7663316.story

【編集者メモ】(Honan)
印刷された文書にデータ分類用のマークをつけていたこの企業に拍手。そのマー
クを見た通関業者が、通過は適切でないと注意喚起を促されたわけだ。
────────────────

◆英国ISP BPIのアンチ著作権侵害提案を適用せず(2008.4.4)

Carphone Warehouseが所有するインターネットサービスプロバイダ
(ISP)TalkTalkは、英国レコードー産業連盟(BPI:British Phonographic
Industry)の提案を断固拒否した。この提案では、ISPにダウンロード習性を監
視させ、繰り返し違反を繰り返す者にはISPが三振アウトルールを適用するよ
うにするというものだった。Carphone Warehouse社長のCharles Dunstoneは、
「音楽業界は、今まで一貫して技術の変化への順応に失敗してきた。その失敗
を今になって他人に押し付けようとしているだけだ」と述べた。
http://www.guardian.co.uk/technology/2008/apr/04/internet.technology
http://www.telegraph.co.uk/money/main.jhtml?xml=/money/2008/04/04/cncarphone10.xml

【編集者メモ】(Schultz)
Dunstoneの言う通りである。楽曲および映画の著作権侵害問題に対する真の解
決策は、同産業が著作権侵害を阻止する技術を開発することである。ISPに著
作権侵害を監視し、阻止するように強いるのではなく。
────────────────

◆TJX MasterCardと暫定的な示談成立(2008.4.2)

MasterCard Incとの示談で、TJX Cosは、TJXの顧客数百万人のペイメントカー
ド情報の漏えいに発展したデータ侵害で生じた損失補填として、金融機関に
2,400万ドルを支払うことに合意した。この示談は、詐欺事件に関わりのある
カードを発行した銀行の90%が示談内容を受け入れれば成立する。TJXは昨年
11月、Visaとの示談(最高で4億900万ドルを支払う)に合意した。
http://www.boston.com/business/ticker/2008/04/tjx_settles_wit_1.html
http://www.informationweek.com/news/security/showArticle.jhtml;jsessionid=BHVOKI12BIYXYQSNDLPSKH0CJUNN2JVN?articleID=207001404&_requestid=621884
────────────────

◆米国大学でのセキュアプログラミング教育推進で Oracle先導的役割を担う
  (2008.4.8)

Oracleの最高情報責任者(Chief Information Security Officer)Mary Ann
Davidsonは、昨晩のブログ記事で、米国大学などでのセキュアプログラミング
教育改善の重要な第一歩を歓待した。
以下抜粋:
「昨年、本来は優秀かつ有能なはずのコンピュータ科学学位取得者に対し、セ
キュアプログラミング101コースのトレーニングをOracleが行わなければなら
なかったという事態に嫌気がさしてしまった。そのため私は、我々が新入社員
を募る大学の上位約10校に対し、レターを作成した。特に、コンピュータ科学
学科(CS)の手落ちを指摘した内容であり、CS(もしくはそれ相応の学科)の学
科長宛に送付した上で、学部長に対するコピーも同封した。レターでは、
OracleがCS卒業者に対し、セキュアプログラミングについてトレーニングを行
うために多大なリソースを費やしていることを説明した。我々、および我々の
顧客に対して与えうる、本当は回避され、阻止されるべきセキュリティ欠陥に
よる影響についてだけでなく、商用ソフトウェアが安全でないと国家的なセキュ
リティ問題に発展することも述べた。そして、Oracleは今後セキュアプログラ
ミングに注力した大学から優先的に新入社員を雇用するという意向も伝えた」
http://blogs.oracle.com/maryanndavidson/
Oracleが送付したレターはこちらに掲示されている:
http://www.oracle.com/security/docs/mary-ann-letter.pdf

【編集者メモ】(Paller)
テストの準備は整った(www.sans.org/gssp):
プログラマーは、このテストに合格すれば、基本をマスターしていることを簡
単に証明できる。多く大学の学部が来月集結し、既存のCSおよびプログラミン
グコースにセキュリティを組み込むための演習やその他のツールについての意
見をまとめる。きっと大学は、セキュリティ欠陥のより少ないプログラムを作
成するプログラマーを育成する取組みのリーダーとなるだろう。大学に対して
「卒業生がセキュアプログラミングを必ずマスターした状態にしてほしい」と
いう、ますます高まる要望にご賛同いただきたい。そうした声を集めれば、大
学側も、国家として必要なことであり、無視できないことであると理解してく
れるだろう。
────────────────

◆ISP ディープパケット検査を実施(2008.4.4)

少なくとも10万人の米国民によるインターネットの用途が、ISPに監視されて
いる。ISPは、ユーザーの興味に応じた広告が出せるように、また、広告業者
が広告をより受け入れやすい人に届けられるように、情報を収集している。こ
れはディープパケット検査と称されるものだ。この検査に関わっている企業は、
個人が特定できるような情報は共有されないため、ユーザーのプライバシーは
保護されていると主張している。
http://www.washingtonpost.com/wp-dyn/content/article/2008/04/03/AR2008040304052_pf.html

【編集者メモ1】(Schultz)
冗談だろう? そらきた、『Animal Farm』(動物農場:ジョージ・オーウェル
の書いた寓話的な動物物語。全体主義やスターリン主義への痛烈な批判を描い
た)ではないか。
【編集者メモ2】(Northcutt)
このプラクティスは、一般に考えられているより大幅に蔓延しているものだ。
以下は、私がSANSカレッジのセキュリティ研究所(SANS college's Security
Laboratory)で、この不穏なトレンドを追跡するために書いた研究メモである:
http://www.sans.edu/resources/securitylab/superclick_privacy.php
【編集者メモ3】(Liston)
これは、Phormに対する騒動を引き起こしたプラクティスである(本号の記事
「Phormのターゲット広告プラン さらに非難の的に」)。興味深いのは、これ
らのシステムにおけるプライバシーとの関係は、今さら驚くことではないとい
うことだ。あなたのブラウジングデータがそのままISPネットワークを行き来
しているだけでなく、常にこの種の分析の対象にもなってきたのである。分析
の実施をISPが認めた今、突然、プライバシーに対する懸念が浮上するとはこ
れいかに?
────────────────

◆TIGTAの報告書 IRSのセキュリティ問題を指摘(2008.4.7)

税務行政事務局の米国財務監査官(TIGTA:US Treasury Inspector General for
Tax Administration)の報告書によれば、国税庁(IRS)は、納税者データが本来
保護されるべき状態で保護されていないという。セキュリティ問題はルータや
スイッチにあるようだ。IRS職員が、ルータを管理および設定するためにシス
テムにアクセスした際、その84%において、正式な認証のないアカウントを通
じて行われていたという。IRSは、報告書にある問題のいくつかには対処した
が、それらの脆弱性によって侵害は発生していないと述べている。
http://www.cnn.com/2008/TECH/04/07/irs.computers/
http://www.usatoday.com/tech/techinvestor/2008-04-07-irs-computer-security_N.htm?csp=34
http://www.treas.gov/tigta/auditreports/2008reports/200820071fr.pdf

【編集者メモ】(Honan)
この報告書は、監査人や情報セキュリティ専門家が監査人のレビューにびくび
くするのでなく、監査人と綿密に連携をとり、彼らの意見をセキュリティ向上
に利用するべきだということを示すよい事例である。
────────────────

◆Phormのターゲット広告プラン さらに非難の的に(2008.4.4-7)

ケンブリッジ大学のコンピュータセキュリティ研究者によると、Phormの広告
システムは違法であるという。Richard Clayton博士は、「Phorm」システムは
捜査権限規制法(Regulation of Investigatory Powers Act)の第1章の定義に
よると、違法な傍受を行っていることになると述べる。ICO(The Information
Commissioner's Office)は、BT(ブリティッシュテレコム:英国最大手のISP)
のPhorm技術の裁判を細かく監視していく見込みだ。この裁判には、およそ1万
人のブロードバンド利用者が関わる。ICOによれば、利用顧客が裁判に参加す
るにはオプトインする必要があることをBTは承知しているという。利用顧客の
同意なしに情報は収集されない。
http://news.bbc.co.uk/2/hi/technology/7331493.stm
http://www.theregister.co.uk/2008/04/07/bt_phorm_ico/print.html
http://www.lightbluetouchpaper.org/2008/04/04/the-phorm-webwise-system/

─[PR]────────────────────────────────
★無料 事業継続セミナー 開催 -- 2008.4.22.Tue@東京ミッドタウン ★
┃ Business Continuity Management Conference 
┃ 迫る国際標準化その2 -『サプライチェーン』 と 『事業継続』-
┃●Keynote【経済産業省の情報セキュリティ政策と事業継続計画の位置付け】
┃        経済産業省 商務情報政策局
┃        情報セキュリティ政策室 課長補佐 井土 和志 氏
┃●session>>大手各社が一堂に勢揃い!!驚愕の12セッション!!
┗事前登録実施中! http://www.idg.co.jp/click/location.cgi?expo_bcm14
────────────────────────────────[PR]─

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年4月4日 Vol.7 No.14)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成されたもので、組織のシステムを保護するために有益で
的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品             2
サーとパーティのWindowsアプリ         8 (#2, #3)
Linux                     8
BSD                       1
Aix                      1
Apple                      1 (#1)
Unix                      1
Novell                     1
クロスプラットフォーム            24
Webアプリ・クロスサイトスクリプティング    16
Webアプリ・ SQLインジェクション        12
Webアプリ                   20
ネットワークデバイス              7
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

重大な問題の件数は減ってきているが、その影響は大きい。Both Macsと
Windowsのコンピュータは、複数の重大なQuickTime脆弱性のリスクに晒されて
いる。また、企業や政府、大学の大部分が、HP Open Viewのバッファオーバー
フロー脆弱性のリスクにさらされている。一週間では対応しきれないかもしれ
ない。現在、インターネットストームセンターは、Adobe Readerにパッチを適
用していないマシンに対して、容易に被害を与えうる悪意あるPDFを使用した
アタックが急激に増えている(以下に報告されていないが)のを確認している。
────────────────

1.危険度【重大】:Apple QuickTimeに複数の脆弱性

<影響のある製品>
Apple QuickTime 7.4.5までのバージョン

<詳細>
QuickTimeは、Apple Mac OS XとMicrosoft Windows用のAppleメディアストリー
ミングフレームワークである。しかし、ストリーミングメディアコンテンツの
処理に複数の欠陥がある。動画ファイルが細工されると、欠陥のいずれかが細
工され、さまざま脆弱性の悪用に繋がる可能性がある。脆弱性の危険度はさま
ざまで、現在のユーザー権限での任意のコード実行から、DoSや情報開示まで
広がる。脆弱性の中には、技術的詳細がいくつか公表されているものもある。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-014/
http://zerodayinitiative.com/advisories/ZDI-08-015/
http://zerodayinitiative.com/advisories/ZDI-08-016/
http://zerodayinitiative.com/advisories/ZDI-08-017/
http://zerodayinitiative.com/advisories/ZDI-08-018/
http://zerodayinitiative.com/advisories/ZDI-08-019/
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT1241
QuickTimeのホームページ
http://www.apple.com/quicktime/
SecurityFocus BID
http://www.securityfocus.com/bid/28583
────────────────

2.危険度【重大】:HP OpenView にバッファオーバーフロー脆弱性

<影響のある製品>
HP OpenView Network Node Manager 7.5.1までのバージョン

<詳細>
Network Node Managerは、アプリケーションのHP OpenViewスイートのコンポー
ネントを監視するシステムである。しかし、'ovas.exe'コンポーネントには、
バッファオーバーフロー脆弱性がある。このコンポーネントへのリクエストが
細工されると、バッファオーバーフロー脆弱性が引き起こされ、アタッカーは
脆弱なプロセス(SYSTEMの場合が多い)権限で任意のコードを実行できるよう
になってしまう。この脆弱性の概念実証コードが公表されている。Microsoft
Windows版以外のOpenViewが脆弱かどうかは、今のところ定かでない。

<現状>
HPはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://milw0rm.com/exploits/5342
製品のホームページ
http://www.openview.hp.com/products/nnm/
SecurityFocus BID
http://www.securityfocus.com/bid/28569
────────────────

3.危険度【高】:Macrovision InstallShieldの"One-Click Install"にリモー
  トのコード実行脆弱性

<影響のある製品>
Macrovision InstallShield 12.0までのバージョン

<詳細>
Macrovision InstallShieldは、Webベースの「ワンクリック」インストールシ
ステムを提供する。この機能は、Active Xコントロールによって提供されるも
のだが、問題のコントロールはインプットを正しく検証することができない。
そのため、ユーザーが任意のライブラリをロードしたり、任意のコードを実行
したりできるようになってしまう。このコントロールをインスタンス化する
Webページが細工されると脆弱性が引き起こされ、現在のユーザー権限で任意
のコードを実行できるようになってしまう。この脆弱性の技術的詳細が公表さ
れている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能をCLSID"53D40FAA-4E21-459f-AA87-E4D97FC3245A"に設定して
問題のコントロールを無効にすれば、これらの脆弱性の影響を軽減できる。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=649
Macrovisionナレッジベースの記事
http://knowledge.macrovision.com/selfservice/microsites/search.do?cmd=displayKC&externalId=Q113640
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/28533

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。