NRI Secure SANS NewsBites 日本版

Vol.3 No.19 2008年5月20日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.19 2008年5月20日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■はじめに(Alan Paller:SANS Director of Research)

米国下院議会・新興の脅威およびサイバーセキュリティ分科委員会の議長の
Langevinは、国土安全保障省(DHS)において、セキュリティ測定方法を変更す
る新法案を承認したはずだ。FISMAによる大量の無駄な行為にピリオドを打つ
と同時に、継続的な監視・オートメーションを行う時代に突入する兆しである。
詳細が発表された際は是非ご一読を。

ワシントンとロンドンの政府リーダーは、官や民の組織に対するサイバー脅威
が実際どれほど大きいか、また、毎日どれほどの重大情報が盗まれているか、
明らかするようになった。そのため、安全で有効かつ徹底的な侵入テストに対
する需要が、急激に増大している。Ed Skoudisの徹底的かつ実践的な侵入テス
トコースについて、侵入テスター(およびその顧客)の皆さんから、侵入テス
ターのためのSANSの認定はないのかと問い合わせを頂いている。もちろんある
が、まだその認定に対するフィードバック収集に至っていない。テスト結果が
出たこともあり、新GPEN認定がツールベースの認定とどのように違うかという
声を集めたので、以下に紹介する。

「単に若干のツールの知識を問うのではなく、侵入テストの実際の手順に焦点
をあてる最新の認定がついに出た。GIACやGPENは、侵入テスターの間に新風を
巻き起こした」
(Infogressive, Inc. Justin Kallhoff)

「GPEN認定には、プロのセキュリティテスターが知っておくべき手順、ツール、
技術が適切に織り交ぜられている。私はコースを受講したり、本を読んだりせ
ずとも、テスト分野における実務経験のみで合格できた。この専門職に対する
この認定の適格さの表れであろう」(Bell Canadaプロフェッショナルサービス
脆弱性検査及び侵入テスト・マネージャ Adrien de Beaupre)

「SANSの新侵入テストおよび倫理的なハッキングコースは、私が受けたSANSコー
スの中でベストであり、最も集中的なトレーニングだ。このコースは、プロの
侵入テスターを目指す者の必須トレーニングにすべきだ。このコースだけで、
テストの正確な影響範囲を設定してから、テストを完全に、安全に行う方法を
学ぶことができた」
(Rick Smith)

2週間後に、トップ侵入テスターが多数、ラスベガスでEdとともに集結。最新
のアタック方法について議論する。Edのコース参加希望者はこちらまで:
http://www.sans.org/info/22104
10人以上の侵入テスターを擁していて、コース割引や認定割引が適用される招
待者のみのプログラム参加希望者は、mbrown@sans.orgまで。すでに技術をお
持ちのGPEN挑戦希望者は、こちらに詳細あり:
http://www.giac.org/certifications/security/gpen.php.
────────────────

■■SANS NewsBites Vol.10 No.37-38
   (原版:2008年5月10日、14日配信)

◆新法案 米国土安全保障省により厳格なサイバーセキュリティ基準を必須に
(2008.5.8-9)

米国下院議会議員Jim Langevin(ロードアイランド州民主党)は、国土安全保障
ネットワーク防御および説明責任2008年法(HR 5983)を提案した。同法案は、
国土安全保障省(DHS)に対し、CIOも含め、サイバーセキュリティ関連の役職に
より厳しい適正資格を設けることを要請している。また、同法案は連邦情報セ
キュリティ管理法(FISMA)にある基本的な欠陥を修正する。FISMAでは、政府局
に、同局のシステムが特定の必須条件に準拠していることを認定・認可するよ
う求めていたものの、有効かつ最新の脆弱性診断を行うことを必須化していな
かった。DHSは、同省のネットワークと請負委託先のネットワークを、すでに
報告されているサイバーアタックの脆弱性について厳しく検査するように義務
付けられることとなる。DHSは今後、国家安全保障局(NSA)やその他の政府局、
民間組織から、アタック情報を受け取ることになる。この法案は可決されれば、
即座に有効となる見込み。Langevin議員は、新興の脅威・サイバーセキュリティ
および科学技術についての下院分科委員会議長を務めている。
http://homeland.house.gov/press/index.asp?ID=369
http://www.nextgov.com/nextgov/ng_20080509_6170.php

【編集者メモ】(Paller)
この法案は、以前は軽くあしらわれていた連邦政府のシステムを悩ませている
問題について、一つの見識を示している。Langevin議長はワシントンで、サイ
バーセキュリティおよび医療分野で大きな功績を残しており、今年のRSAカン
ファレンスにて公共政策分野の最優秀賞を受賞した。共和党・民主党双方とう
まく連携できる能力がある人物で、その大きな成果を分かち合おうとする姿勢
も素晴らしい。したがって、今後期待される議員のひとりと言えよう。
────────────────

◆英国の改正銀行法 詐欺被害の責任を顧客に負わせる可能性(2008.5.5)

最近英国の銀行法が改正され、銀行は顧客が自身の個人情報を保護するために
セキュリティ上の注意を十分に払っていなかった場合は、詐欺被害の責任を顧
客に負わせてもよいとなっている。しかし、顧客の多くは、セキュリティにつ
いて高レベルの警戒心を維持するよう訓練されていないのが現状である。その
ため、この措置は、システムを安全化する基本的かつ具体的な情報が欠けてい
るとして非難を浴びている。Gartner社の調査によると、回答者の37%が、自
分の口座がどのように詐欺に使われるかを知らないという。また、19%は、店
舗や政府局、その他のサードパーティ組織に侵害の責任があると考えている。
改正法12章11節によると、「当人が相当な注意を払わなかったために、損失が
生じた場合は、その責任は当人に問われる可能性がある」という。ここでいう
「相当な注意」には、暗証番号やその他の口座情報を内密にするほか、アンチ
ウィルスやアンチスパイウェアのソフトウェアやパーソナルファイヤウォール
を最新の状態に保つこと、オンラインバンキングサイトにはアドレスをブラウ
ザにタイプしてアクセスすること、などが含まれている。
http://www.securitypark.co.uk/security_article261598.html
http://www.bba.org.uk/bba/jsp/polopoly.jsp?d=348&a=13157&artpage=all
────────────────

◆英国の新法 ICOに見境のないデータ開示に対する多額の罰金を課す権限
  (2008.5.12)

英国情報長官局(ICO:Information Commissioner’s Office)は、「意図的に、
もしくは見境なく情報を開示した者、また、不注意で繰り返し個人情報を漏え
いした者」には、多額の罰金を科すことのできる権限を持つことになる。英国
議会は、刑事司法および入国法(Criminal Justice and Immigration Act)の改
正を承認し、新しい民事犯罪を設けた。同法案は、5月9日に国王の裁可を受け
たものの、いつこの新法が有効になるのか定かではない。
http://www.silicon.com/publicsector/0,3800010403,39216158,00.htm
http://www.scmagazine.com/uk/news/article/808512/privacy-watchdog-welcomes-tough-data-laws/
http://www.vnunet.com/vnunet/news/2216374/fines-data-protection-breaches

【編集者メモ】(Schultz)
米国にもこのような連邦法が切に必要だ。まだ提案も可決もされていないとは、
何とも恥ずかしい。
────────────────

◆国家セキュリティレター 裁判所で問題に:FBI折れる(2008.5.7-8)

Internet Archive社がFBIの情報提供命令を阻止する裁判を起こしため、FBIは
Internet Archiveの顧客に関する情報提供を求める命令の要求を撤回した。国
家セキュリティレター(NSL:National security letter)には裁判所の承認が必
要ないほか、口外禁止令によって、そのレターを受け取った者がそれについて
他人と話すことも阻止されるようになっている。Internet Archiveはこの命令
に対し、再認可された米国愛国者法の条項で「図書館が同様の求めに応じなく
てよい」となっていたことをもとに異議を申し立てていた。しかし、今回は示
談が成立した。FBIは、NSLを取り下げ、口外禁止令を撤回。また、Internet
Archive社も異議申し立てを撤回した。このほかにも、国家セキュリティレター
に関する2つのケースが今まで裁判所で議論されている。そのどちらにおいて
も、FBIは要求を撤回している。
http://www.washingtonpost.com/wp-dyn/content/article/2008/05/07/AR2008050703808_pf.html
http://www.theregister.co.uk/2008/05/07/fbi_withdraws_secret_demand/print.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9083878&source=rss_topic17
http://www.news.com/8301-10784_3-9938603-7.html?part=rss&subj=news&tag=2547-1_3-0-20
http://www.eff.org/files/filenode/ia_v_mukasey/Nov2007_NSL.pdf

【編集者メモ】(Schultz)
どんなに小さなことであっても、これは米国におけるプライバシー権の勝利と
いえる。裁判所の判決のほとんどが、プライバシー権に反した内容になってい
るトレンドが、今回の結果で覆されたことになる。
────────────────

◆米国議会 知的財産法を可決(2008.5.8)

米国下院議会で、知的財産資源および組織優先法(Pro-IP: Prioritizing
Resources and Organization for Intellectual Property Act)が、大差で可
決された。知的財産の第一人者として行政府で大統領の任命を受ける、米国知
的財産実施代表という地位が設けられることになる。さらに、連邦政府の職員
にも、入手された違法コピー物の作成や販売に使用された機器、知的財産関連
の犯罪の利益で獲得した物を差し押さえる権限が付与される。
http://www.news.com/8301-10784_3-9939265-7.html?part=rss&subj=news&tag=2547-1_3-0-20

【編集者メモ】(Pescatore)
政府の「第一人者」という地位が大きな影響を与えるとは考えにくい。このよ
うな「新技術と戦おう」的問題に関してはなおさらだ。コピー機が広範に普及
するようになった頃を思い出してほしい。「コピー料金の資源および組織」に
もし第一人者が任命されていたとしても、影響などほとんどなかっただろう。
デジタル権管理は禁句になってしまったが、HDおよびDVDの世界では、合法的
な使用を許可して顧客を犯罪者扱いせずに、違法コピーの制限(および排除)
を行うという革新的なアプローチをいくつか見せ始めている。必要なのはこの
ような進展であって、第一人者の地位ではない。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年5月9日 Vol.7 No.19)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ        5 (#1)
Mac OS                   3
Linux                    3
Solaris                   2
クロスプラットフォーム           19
Webアプリ-クロスサイトスクリプティング   15
Web アプリ- SQLインジェクション       14
Webアプリ                 26
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

非常に脆弱性の少ない一週間だった。このつかの間の期間を楽しもう。きっと
来週は大幅に忙しくなるのだから。
────────────────

1.危険度【重大】:Yahoo! AssistantのActiveXコントロールにメモリ崩壊の脆
  弱性

<影響のある製品>
Yahoo! Assistantの'yNotifier.dll'ActiveXコントロール

<詳細>
Yahoo! Assistantは、Microsoft Internet Explorer用のBrowser Helper
Object (BHO)である。ユーザーが、Explorerでさまざまな有用な機能を使うこ
とができるようになっている。機能の一部は、"yNotifier.dll" ライブラリに
よって提供される。同ライブラリには、IE内でインスタンス化されるようには
設計されていないものがいくつか含まれるなど、エクスポートされたオブジェ
クトが複数ある。悪意のあるWebページがこれらのオブジェクトをIE内でイン
スタンス化すると、メモリ崩壊状態が引き起こされる。悪用が実現すると、現
在のユーザー権限で任意のコードを実行できるようになってしまう。脆弱性の
全技術的詳細や概念実証コードが公表されている。

<現状>
Yahoo!はこの問題を認めており、更新をリリースしている。
Microsoftの"kill bit"機能をCLSID"2283BB66-A15D-4AC8-BA72-9C8C9F5A1691"
に設定して問題のコントロールを無効にすれば、影響を軽減できる。

<参考>
Secwayのアドバイザリ
http://secway.org/advisory/AD20080506EN.txt
Yahoo! AssistantについてのWikipediaの説明
http://en.wikipedia.org/wiki/Yahoo!_Assistant
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/29065

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。