NRI Secure SANS NewsBites 日本版

Vol.3 No.23 2008年6月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.23 2008年6月16日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
        SANS Future Visions 2008 Tokyo 開催決定!
    ~情報セキュリティの最新動向をキャッチアップする2日間~

    2008年7月1日(火)-2日(水) 会場:ホテル日航東京(お台場)

 ■セキュリティ管理者必須のトレーニングが特別価格にて受講可能!■
  Mike Poor、James Tarala SANS認定のトップインストラクターが来日!!
    http://www.event-information.jp/sans-fv08/training.html

     参加受付け開始(事前登録制)詳細はこちら↓↓↓
       http://www.event-information.jp/sans-fv08/

   ※希望セッションが満員になる前に!!お早めにご登録ください!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■はじめに(Alan Paller:SANS Director of Research)

SANS Future Visions returns to Tokyo in July, 2008!
昨年に引き続いて、私どもSANSは、情報セキュリティに熱心に取り組まれてい
る多くの方々と東京でお会いする機会に恵まれました。昨年来日したときも、
皆様のセキュリティに対するお考えや姿勢は、私にとってとても印象的でした。
そのような皆様と再びお会いできますことは、非常にエキサイティングで、今
から楽しみにしています。
SANS Future Visions 2008 Tokyoは、ますます深刻化する脅威に対抗するため
の情報セキュリティ対策の今後の方向性、自社における現状課題の改善方法・
解決策を得ていただく機会になると信じております。
http://www.event-information.jp/sans-fv08/index.html

 □情報セキュリティが企業ブランドに及ぼすインパクト
   ┗ 一橋大学大学院商学研究科 伊藤 邦雄 教授

 □重要インフラに対する脅威と防御対策の最前線
   ┗ アイダホ・ナショナル・ラボラトリー ロバート・ホフマン 氏

 □企業の情報セキュリティのレベルを評価し、
        格付する世界初の「格付専門会社」が登場!!
   ┗ 株式会社アイ・エス・レーティング 執行役員 三好 眞 氏

 □中国における情報セキュリティの最新事情
   ┗ NTTコミュニケーションズ 中国総代表 猪瀬 崇 氏

 □情報セキュリティリスク、脅威・脆弱性の最新動向
   ┗ SANS Institute アラン・パーラー

このほかにも注目のセッション多数!
事前登録はお早めに。
http://www.event-information.jp/sans-fv08/index.html
────────────────

■■SANS NewsBites Vol.10 No.45-46
   (原版:2008年6月7日、6月11日配信)

◆身元詐称詐欺件数に侵害通知法の効果なし(2008.6.5)

カーネギーメロン大学研究者らが行った調査によると、データ侵害通知法が施
行されても、身元詐称詐欺の被害報告の件数はまったく減少していないという。
連邦取引委員会(FTC)のデータをもとに調査された。これまで5年間、43州でデー
タ侵害通知法が施行されてきたが、各州の分析を見ても、FTCに報告された身
元詐称詐欺の件数に何の影響もなかったことがわかる。Gartner社のAvivah
Litan氏は、ニュースなどでデータ侵害の報告がより頻繁に聞かれるようになっ
たものの、同法によって、実際のセキュリティよりもコンプライアンスに重き
を置くようになってしまった本末転倒の企業もあると述べている。法の趣旨に
従うよりも監査に通るべし、という当面の目標達成を指向するようになったか
らではあるまいか。研究者らは、調査に使用したデータサンプルは自己選択で
収集したもので、調査用データとしての完全性には欠けていると認めている。
http://www.csoonline.com/article/383313/Researchers_Notification_Laws_Not_Lowering_ID_Theft
http://www.theregister.co.uk/2008/06/05/breach_disclosure_effects/print.html

【編集者メモ1】(Paller)
なんと愚かな調査だろう。誤った焦点の当て方で測定している。データ侵害通
知において重要なのは、それによって防御の質にどのような変化が現れるかで
ある。セキュリティに従事する役人の多くが証言台に立つことになるからこそ、
必須のデータ侵害通知が抑止力となり、よりよい防御を導入せざるを得なくな
るのだ。つまり、データ侵害通知は媒体の役割を果たしているのである。
Gartner社のJohn Pescatoreがそれをよく表す一言をNewsBitesのバックナンバー
で述べている。「醜聞の効力は見事である」と。
【編集者メモ2】(Schultz)
科学的見地から見ると、この調査はひどい欠陥を伴うものだ。残念なことに、
情報セキュリティコミュニティの企業や団体の多くは科学的なトレーニングを
受けていないため、この調査結果を額面通りに受け止めてしまうだろう。また、
Litanのコメントにも科学的なデータの裏づけはない。したがって、読者の皆
様には、このニュースの内容はすべて推論であって事実ではないと解釈してい
ただきたい。
【編集者メモ3】(Kreitner)
コンプライアンスそのものを最終目的と考えるのは偽善だという風潮が強くなっ
ていく様を見届けられるくらいは、長生きしたい。それよりもむしろ、セキュ
リティインシデント発生頻度とその影響という観点でのセキュリティ効果の傾
向に重点を置き、これらインシデントとセキュリティプラクティスの有無との
相関関係を見出してほしい。そうすることで、ようやくセキュリティを提供す
る合理的基盤ができるというものだ。
────────────────

◆カリフォルニア大学アーバイン校生らに不正確定申告:United Healthcare
  がデータ漏えい源(2008.6.2-4)

United Healthcareが、カリフォルニア大学アーバイン校(UCI)大学院生1,132
人の個人情報データ漏えい源として特定された。この侵害によって、UCI大学
院医療保険プログラムを使用しているUCIの大学院生は影響を受けることにな
る。この侵害は、大学院生の多くが電子確定申告を行おうとした際、国税庁
(IRS)から「すでに申告済みで還付金も還付済み」という返事が来たことから、
2008年2月に明らかになった。問題を経験した155人全員が、前述の医療保険プ
ログラムを使用していたという。この侵害で、2006~2007学業年度の在籍学生
が影響を受けるという。
http://www.newuniversity.org/main/article?slug=identity_thefts_traced_to156
http://www.csoonline.com/article/381513/UnitedHealthcare_Data_Breach_Leads_To_ID_Theft

【編集者メモ】(Northcutt)
このようなセキュリティ欠陥の最悪な点は、やはり人の生活をめちゃくちゃに
してしまうということである。
────────────────

◆原子力発電所 ソフトウェア更新で緊急閉鎖(2008.6.5)

ジョージア州バクスレーのハッチ原子力発電所では、ソフトウェア更新に欠陥
があったことが原因で、今年3月に発電所が緊急閉鎖されていた。問題のソフ
トウェア更新は、発電所のビジネスネットワーク上のコンピュータ1台に行わ
れたに過ぎなかった。そのコンピュータは、発電所の主要コントロールシステ
ムのひとつにある化学データおよび診断データを監視していた。広報によると、
緊急時システムが当初の意図どおりに発動したため、発電所のセキュリティと
安全性に問題は一切生じなかったという。企業ネットワークとコントロールネッ
トワークのコンピュータの間で行われる双方向通信の技術者らによれば、この
更新をインストールしたエンジニアが、企業ネットワークを再起動してしまう
とコントロール側もリセットされてしまうことを知らなかったのだろうと述べ
ている。その結果、影響を受けるサーバのネットワーク接続が切断されたのだ
という。
http://www.washingtonpost.com/wp-dyn/content/article/2008/06/05/AR2008060501958_pf.html

【編集者メモ】(Northcutt)
特に驚くべきことでもなく、このような事件は初耳ではない。
http://www.cdi.org/nuclear/kurchatov.cfm
http://findarticles.com/p/articles/mi_m1511/is_n5_v17/ai_18199114
http://www.nbcsandiego.com/news/15415516/detail.html
────────────────

◆変わりゆくサイバー空間の脅威(2008.6.4)

インシデントレスポンスおよびセキュリティチームの政府フォーラム(FIRST
:Government Forum of Incident Response and Security Teams)カンファレ
ンスで、米国エネルギー省のインシデント管理部門プログラムマネージャ
Jeanie Larson氏は、「サイバーセキュリティのインシデントレスポンスにお
いて、古い境界モデルはもはや効果がない」と述べた。サイバーアタックの絶
対数が減少しても、サイバー空間の脅威が減ったわけではない。むしろ、サイ
バーセキュリティインシデントに対応する責任のある人間が、ターゲット・ア
タックに警戒する必要がある。ワークステーションがたった一台侵害されただ
けでも、そのワークステーションのユーザーが誰であるかによって、感染が広
がるよりも深刻な脅威をもたらし得る。サイバー脅威の効果的対処を行うにあ
たっての障壁は、政府局の多くにおいて、局間および組織内の情報共有がうま
くいっていないことである。
http://www.federalnewsradio.com/?nid=169&sid=1415201

【編集者メモ1】(Ranum)
「サイバーセキュリティのインシデントレスポンスにおいて、古い境界モデル
はもはや効果がない」と言う人はいても、それに代わる実行可能な選択肢を提
示する人はいない。となると、これは少々不安定な状況ではなかろうか? 私
はこの業界に長いが、境界セキュリティアプローチとホストセキュリティアプ
ローチの間をコロコロ行き来している企業をいくつも見てきた。しかし結局ど
ちらにおいても、一貫した規律で実行しなければ、うまく働かない。「境界モ
デルでは効果がない」とだけほざくような人間が無責任極まりないことは一目
瞭然。そういう輩には、「では、DNSとARPについてはどのように対処するつも
りか」聞いてみるとよい。しかるべき返答がなければ(まずないのだが)、彼
らの戯言がやむまで、インターネットの舞台から退場していてもらおう。
【編集者メモ2】(Schultz)
米国政府局の情報共有不足は長年の問題であった。情報共有促進の試みはたく
さんあったが、政府内の人間は、ある種の権威として、執拗なまでに個人レベ
ルでセキュリティ関連情報を手元に置いておこうとする。セキュリティ関連の
脅威やインシデント情報については特にそうだ。他人にこうした情報を与えよ
うとはしないのだ。
────────────────

◆調査:香港と中国 悪意のあるサイトのホスティングが最高割合
  (2008.6.4-6)

McAfeeの報告によると、悪意のあるWebサイトをホスティングしている割合が
最も高い国ドメインは、香港(.hk)で、テストしたWebサイトに何らかのマルウェ
アがあった確率は19.2%であった。続いて11.8%の中国(.cn)、フィリピン(.ph)、
ルーマニア(.ro)であった。報告によれば、ネットサーフィン中に悪意のある
ソフトウェアをダウンロードしてしまう可能性は前年比41%増だという。一方、
最も安全な国ドメインはフィンランド(.fin)を筆頭に、日本(.jp)、オース
トラリア(.au)であった。また、.govドメインも、悪意のあるサイトである可
能性は非常に低かった。一般的によく知られているドメインの中では、引き続
き.infoが最もリスクが高く、マルウェアを含んでいる可能性11.7%である。
http://www.securityfocus.com/brief/749
http://www.gcn.com/online/vol1_no1/46417-1.html?topic=security&CMP=OTC-RSS
http://www.msnbc.msn.com/id/24966835/
────────────────

◆Trend Micro VB100認定求めず(2008.6.8-9)

TrendMicroは、自社製品に対するVB100認定をもはや求めない意向を明らかに
した。VB100認定は、WildList(注:世界の少なくとも2カ所以上の国/地域で
実際にユーザーから感染報告のあったコンピュータ・ウイルスのリスト)にし
たがってアンチウィルス製品をテストする認定で、これにしたがって、誤検出
なしに報告されているウィルス署名のサンプルを検出できるかどうか判定する
ものだ。Trend Microは、インターネットにおける最大の脅威はもはやウィル
スではなく、VB100ではテストされていないトロイの木馬とbotソフトウェアで
あるから、としている。Pandaは、すでに2002年からVB100認定用に製品提出し
ていない。アンチウィルス製品のテスト基準や方法をどうするかというのが、
しばらく話題の的だった。今年はじめに、セキュリティソフトウェア製造企業
とテスト実施企業は、共同でアンチマルウェアテストおよび基準組織
(AMTSO:Anti-Malware Testing and Standards Organization)を編成し、製品
テストのベストプラクティスや基準の設定に合意。VB100実施企業であるVirus
Bulletin社は、一貫して認定に合格しているということが、管理の優秀な製品
であることを示す手段にもなると主張している。また、今後はWildListにトロ
イの木馬を含める意向だという。
http://www.securityfocus.com/news/11522
http://www.pcworld.com/businesscenter/article/146833/antivirus_vendors_gripe_that_test_isnt_current.html
────────────────

------『SecureCube / Access Check』が支援するIT全般統制 -------------
      IT全般統制の鍵となる「アクセス管理」を強力に支援   
   エージェントレスで導入が容易!!  既存システムの変更不要!!
    これ1台で、複数のシステムのアクセス制御とログ管理を実現!!
  ☆詳細は → http://www.nri-secure.co.jp/service/cube/accesscheck.html
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年6月6日 Vol.7 No.23)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          2 (#3, #4, #5, #6)
Mac OS                     13
Solaris                     1
Unix                       1
クロスプラットフォーム             7 (#1, #2)
Webアプリ-クロスサイトスクリプティング     3
Web アプリ- SQLインジェクション         6
Webアプリ                    7
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週、新たに重大な脆弱性が見つかっている。CA eTrust、そしてHP
StorageWorksに。
────────────────

1.危険度【重大】:Computer Associates eTrust Secure Content Managerのゲー
  トウェイに複数の脆弱性

<影響のある製品>
Computer Associates eTrust Secure Content Manager r8までのバージョン

<詳細>:
Computer Associates eTrust Secure Content Managerは、メッセージングお
よび通信を監視・保護するWebコンテンツ・ゲートウェイである。しかし、リ
モートサーバのレスポンス処理にさまざまな脆弱性がある。Secure Content
Managerを介して悪意のあるFTPサーバに接続すると、悪意のあるサーバからの
レスポンスによって、脆弱性のいずれかが引き起こされるおそれがある。悪用
が実現すると、脆弱なプロセス(SYSTEMの場合が多い)権限で任意のコードが実
行できるようになってしまう。悪意のあるWebページやメールのリンクによっ
て引き起こされる可能性がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-08-05
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-036/
http://zerodayinitiative.com/advisories/ZDI-08-035/
Computer Associatesのセキュリティアドバイザリ
http://www.ca.com/us/securityadvisor/vulninfo/vuln.aspx?id=36408#section2
製品のホームページ
http://www.ca.com/us/products/product.aspx?id=4673
SecurityFocus BID
http://www.securityfocus.com/bid/29528
────────────────

2.危険度【重大】:HP StorageWorksの認証にバッファオーバーフローの脆弱性

<影響のある製品>
Hewlett-Packard StorageWorks Storage Mirroring 4.5 SP2までのバージョン

<詳細>
StorageWorksは、HPのストレージ管理システムとして広範で使用されている。
しかし、ストレージミラリングコンポーネントの認証リクエスト処理に欠陥が
ある。認証リクエストが過剰に長いと、スタックベースのバッファオーバーフ
ローの脆弱性が引き起こされるおそれがある。このバッファオーバーフローの
悪用が実現すると、脆弱なプロセス権限で任意のコードを実行できるようになっ
てしまう。このバッファオーバーフローは認証リクエスト処理時に発生するた
め、悪用にあたって認証が必要ない点、注意が必要だ。この脆弱性の技術的詳
細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。
可能であれば、TCP1100番ポートおよび1106番ポートへのアクセスをネットワー
ク境界でブロックすれば、影響を軽減できる。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-034/
製品のホームページ
http://h18006.www1.hp.com/storage/
SecurityFocus BID
まだリリースされておらず
────────────────

3.危険度【高】:Skypeの実行可能ファイルのダウンロードにセキュリティ回避
  の脆弱性

<影響のある製品>
Skype 3.8.0.139までのバージョン

<詳細>
Skypeは、メッセージングおよびカンファレンシングアプリケーションとして
広範に使用されているほかに、ユーザーが互いにリンクを送信し合える機能が
ある。"file:"スキームを使用したリンクが実行可能ファイルを参照しないよ
うに、その検証が行われるようになっている。しかし、Skypeの検証ロジック
にある欠陥によって、"file:"リンクは実行可能ファイルを指し示してしまう
ように細工される。このようにリンクが細工されると、Skypeは「リンクが危
険なおそれのある実行可能ファイルを指し示している」ことを最初にユーザー
に通知しなくなってしまう。この脆弱性の全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=711
Skype のセキュリティ警告
http://www.skype.com/security/skype-sb-2008-003.html
Skype のホームページ
http://www.skype.com
SecurityFocus BID
まだリリースされておらず
────────────────

4.危険度【高】:Sun Java System Active Server Pagesに複数の脆弱性

<影響のある製品>
Sun Java System Active Server Pages 4.0.3までのバージョン

<詳細>
Sun Java System Active Server Pagesは、クロスプラットフォームのActive
Server Pages(ASP)サーバである。しかし、さまざまなユーザーリクエスト処
理に複数の脆弱性がある。少なくともバッファオーバーフローの脆弱性がひと
つあり、任意のリモート・コード実行が可能になってしまう。その他、認証回
避、任意のファイル上書き、パストラバーサル、情報開示などの脆弱性がある。
これらの脆弱性の多くについて、全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=710
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=709
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=708
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=707
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=706
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=705
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238184-1
Product Home Page
http://www.sun.com/software/chilisoft/index.xml
────────────────

5.危険度【高】:HP Instant Support ActiveXコントロールに複数の脆弱性

<影響のある製品>
HP Instant Support ActiveXコントロール1.0.0.24までのバージョン

<詳細>
HP Instant Support ActiveXコントロールは、HPデスクトップシステムにサポー
トを提供するために、HPが用いているものである。しかし、このコントロール
にはいくつかのバッファオーバーフローやファイル上書き脆弱性など、さまざ
まな脆弱性がある。悪意のあるWebページがこのコントロールをインスタンス
化すると、脆弱性のいずれかが引き起こされる。悪用が実現すると、現在のユー
ザー権限で任意のコードを実行できるようになってしまう。脆弱性の技術的詳
細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。
Microsoftの"kill bit"機能をCLSID"14C1B87C-3342-445F-9B5E-365FF330A3AC"
に設定して問題のコントロールを無効にすれば、影響を軽減できる。しかし、
この操作により通常の機能に影響が出るおそれもあるので注意。

<参考>
CSISのセキュリティアドバイザリ
http://www.csis.dk/dk/forside/CSIS-RI-0003.pdf
Microsoft Knowledge Base Article (describes the "kill bit" mechanism)
http://support.microsoft.com/kb/240797
SecurityFocus BIDs
http://www.securityfocus.com/bid/29529
http://www.securityfocus.com/bid/29530
http://www.securityfocus.com/bid/29531
http://www.securityfocus.com/bid/29532
http://www.securityfocus.com/bid/29533
http://www.securityfocus.com/bid/29534
http://www.securityfocus.com/bid/29535
http://www.securityfocus.com/bid/29536
────────────────

6.危険度【高】:Akamai Download Manager ActiveXコントロールに任意のファ
  イルダウンロードの脆弱性

<影響>
Akamai Download Manager ActiveXコントロール2.2.3.7までのバージョン

<詳細>
Akamai Download Managerは、ダウンロード管理機能を提供する。この機能の
一部はActiveXコントロールによって提供されている。しかし、このコントロー
ルの"URL"パラメータ処理にはインプット検証欠陥がある。悪意のあるWebサイ
トがこのコントロールをインスタンス化すると、脆弱性が悪用されて、犠牲者
のコンピュータの任意のロケーションに任意のファイルがダウンロードされて
しまう。悪用されると、現在のユーザー権限で任意のリモート・コード実行に
つながるおそれがある。この脆弱性の全技術詳細と概念実証コードが公表され
ている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Cocoruderによる掲示(技術的詳細と概念実証コードを含む)
http://lists.grok.org.uk/pipermail/full-disclosure/2008-June/062669.html
Akamaiによる掲示
http://lists.grok.org.uk/pipermail/full-disclosure/2008-June/062672.html
ベンダーのホームページ
http://www.akamai.com
SecurityFocus BID
まだリリースされておらず

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。