NRI Secure SANS NewsBites 日本版

Vol.3 No.24 2008年6月23日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.24 2008年6月23日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
       SANS Future Visions 2008 Tokyo 開催間近!!
    ~情報セキュリティの最新動向をキャッチアップする2日間~

    2008年7月1日(火)-2日(水) 会場:ホテル日航東京(お台場)


 ■セキュリティ管理者必須のトレーニングが特別価格にて受講可能!■
  Mike Poor、James Tarala SANS認定のトップインストラクターが来日!!
    http://www.event-information.jp/sans-fv08/training.html

       開催まであと一週間! 今すぐお申込みを!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
     ※希望セッションが満員になる前に!!お早めにご登録ください!


■はじめに(Alan Paller:SANS Director of Research)

SANS Future Visions returns to Tokyo in July, 2008!
昨年に引き続いて私どもSANSは、情報セキュリティに熱心に取り組まれている
多くの方々と東京でお会いする機会に恵まれることとなりました。昨年来日し
たときも、皆様のセキュリティに対するお考えや姿勢は、私にとって大変印象
的でした。そのような皆様と再びお会いできますことは、非常にエキサイティ
ングで、今から楽しみにしています。
SANS Future Visions 2008 Tokyoは、ますます深刻化する脅威に対抗するため
の情報セキュリティ対策の今後の方向性、自社における現状課題の改善方法・
解決策を得ていただく機会になると信じております。
http://www.event-information.jp/sans-fv08/index.html

 □情報セキュリティが企業ブランドに及ぼすインパクト
   ┗ 一橋大学大学院商学研究科 伊藤 邦雄 教授

 □重要インフラに対する脅威と防御対策の最前線
   ┗ アイダホ・ナショナル・ラボラトリー ロバート・ホフマン 氏

 □企業の情報セキュリティのレベルを評価し、
        格付する世界初の「格付専門会社」が登場!!
   ┗ 株式会社アイ・エス・レーティング 執行役員 三好 眞 氏

 □中国における情報セキュリティの最新事情
   ┗ NTTコミュニケーションズ 中国総代表 猪瀬 崇 氏

 □情報セキュリティリスク、脅威・脆弱性の最新動向
   ┗ SANS Institute アラン・パーラー

このほかにも注目のセッション多数!
事前登録はお早めに。
http://www.event-information.jp/sans-fv08/index.html
────────────────

■■SANS NewsBites Vol.10 No.47-48
   (原版:2008年6月14日、18日配信)

◆議員のコンピュータシステムへのアタックは中国から(2008.6.12)

米国下院議員Frank R. Wolf氏(バージニア州共和党)によると、2006年8月から
同議員事務局の複数のコンピュータに仕掛けられているアタックは、中国にあ
るコンピュータからだという。また、その他の事務局もアタックされているら
しい。Wolf議員は、世界中で大々的に人権問題に対する活動を行っており、ア
タッカーはWolf議員と連携していた中国反体制派および中国人難民の身元・居
場所情報などへのアクセスを得ていたようである。Wolf議員および中国の人権
侵害に声高に異議を唱えているChristopher H. Smith議員(ニュージャージー
州共和党)の2人は、その活動を理由にターゲットにされた可能性が高い。米
国下院外交委員会もターゲットにされている。Wolf議員は政府用コンピュータ
と携帯電話のサイバー保護強化を訴えている。中国大使館はアタックの責任を
否定している。
http://www.washingtonpost.com/wp-dyn/content/article/2008/06/11/AR2008061102790_pf.html
http://www.nytimes.com/idg/IDG_852573C40069388048257466000851ED.html?partner=rssnyt&emc=rss&pagewanted=print
http://www.latimes.com/news/nationworld/politics/la-na-hackers12-2008jun12,0,6620466.story
http://www.informationweek.com/news/security/attacks/showArticle.jhtml?articleID=208403581

【編集者メモ1】(Pescatore)
停電などを引き起こしたのは中国からのアタックだという主張の多くは、結局
誤りだったと証明されている。実のところ、きちんと保護ができていれば、誰
がアタッカーであろうが問題ではないのだ。連邦政府は、ノートパソコンの暗
号化やその他のセキュリティ保護に、数百万ドルの予算を組んできた。Wolf議
員はアタックの発信源を懸念するよりも、自身のコンピュータがなぜ十分に保
護されていなかったのかを調査すべきである。アタックの発信源が、ニュージャー
ジー州の14歳、Perth Amboyだったからといって、何か異なるとでも言うのだ
ろうか。
【編集者メモ2】(Northcutt)
SANSFIRE(www.sans.org/sansfire08/)の基調講演では、インターネットストー
ムセンターのハンドラー、Maarten Van Horenbeckによる詳細な説明も行われ
る予定である。彼は、これまで何年もアタックを分析してきた経験をもとに、
その発信源についてユニークな見解を述べている。SANSFIREに参加されるなら、
このプレゼンテーションを逃すべからず。
────────────────

◆SCADAに2番目の脆弱性 開示される(2008.6.11-12)

CitectSCADAソフトウェアにあるセキュリティ欠陥は、悪用されると、システ
ムのリモートコントロールを奪われてしまうおそれが生じる。このソフトウェ
アは、世界中の国家的かつ重大なインフラを成す、さまざまな産業の
SCADA(Supervisory Control and Data Acquisition)システムで使用されてい
る。問題の欠陥は5ヶ月前に発見されたものの、修正プログラムがリリースさ
れたのはごく最近だった。理論的に、SCADAシステムはインターネットにさら
されるべきものではないので、脅威は少ないはずだ。しかし実際のところ、社
用ネットワークはSCADAシステムに接続してデータを収集する必要があるため、
アタックの通り道がそこで開かれてしまう。また、SCADAのInTouch SuiteLink
監視ソフトウェアにもうひとつ欠陥が見つかっており、5月に公表されている。
http://www.technewsworld.com/story/Critical-Flaw-Left-Utilities-Vulnerable-to-Attack-for-5-Months-63364.html?welcome=1213304103
http://www.theregister.co.uk/2008/06/12/scada_vuln_discovered/print.html
http://www.kb.cert.org/vuls/id/476345

【編集者メモ1】(Skoudis)
最近見つかったSCADAの脆弱性は氷山の一角に過ぎない、と私は考えている。
我々は、もう15年強、Windows、Unix、LinuxのTCP/IPスタックにあるバグを排
除してきた。Landの脆弱性やピングオブデス(Ping of Death)は、それぞれ11
年前と12年前に発見されたが、ベンダーのプログラミングエラーが原因で定期
的にカムバックしている。SCADA部門でも、これらと同じような欠陥が相次ぐ
と考えられるが、SCADAシステムが制御している対象を考えると、かなり深刻
な結果を招くおそれは否めない。
【編集者メモ2】(Weatherford)
理論的には、クマバチは小さな羽根に比して身体が大きすぎるので飛べないは
ずだ。しかし実際には飛べる。同じように、あらゆるSCADAシステムは、管理
するために独立型環境から進化してしまった結果、社用ネットワークを通じて
インターネットに接続しているのが現状だ。これらの脆弱性が発見されたこと
で、SCADAシステムに対する脆弱性検査を絶対的必須条件にしようという考え
を推進しやすくなった。技術革新反対者の多くを仰天させるべく……。
【編集者メモ3】(Cole)
SCADAシステムは、完全な隔離で保護されているという前提のもとに構築され
た。したがって、SCADAシステムを運営している方はシステム全体を再構築す
るか、外部に接続可能な全ネットワークに接続させないようにしなければなら
ない。非直接的であってもインターネットへ接続していれば、これらのシステ
ムには高いリスクが生じる。
────────────────

◆米国下院議会 知的財産法を可決(2008.6.11)

米国下院議会はこのほど、知的財産のためのリソース・組織優先2008年法(HR
4279:Prioritizing Resources and Organization for Intellectual
Property Act of 2008(PRO- IP))を可決。同法によって、司法省内に米国知的
所有権執行代表部 (Office of the United States Intellectual Property
Enforcement Representative:USIPER)が設置されることになる。これによっ
て、民事上の損害賠償額を増加できた連邦著作権法、著作権侵害および偽造品
に関する連邦刑法が修正され、外国政府と連携して偽造品や海賊版を減らすた
めの10件の新知的財産関連法が作成される。しかし、同法は大量コンテンツ所
有者(全米レコード協会や米国映画協会など)に有利であり、国内の懲罰が厳格
化され、州や地方の警察に知的財産窃盗・侵害罪との対決を促しているため、
論議を醸している。
http://www.washingtonwatch.com/bills/show/110_HR_4279.html
http://www.govtrack.us/congress/bill.xpd?bill=h110-4279

【編集者メモ1】(Schultz)
これは恐るべき進展劇だ。実際に法として成立してしまうと、多数の「魔女狩
り」が行われるようになり、取るに足らない理由による機器差し押さえに発展
するおそれがある。
【編集者メモ2】(Northcutt)
私も著者のひとりであるから、知的財産の保護はもちろんありがたく思う。し
かし、これでは収集がつかなくなる気がする。でも、賛成410人/反対11人では、
法案は成立してしまうようだ。
http://www.govtrack.us/congress/bill.xpd?bill=h110-4279
────────────────

◆Webアプリケーションの脆弱性増加:ジャーナリスト 侵入テスト訓練に参
  加(2008.6.9)

SANSセキュリティアラートニュースレターに掲載されている脆弱性の半分以上
は、Webアプリケーションの脆弱性である。今年はじめ、GCNの編集主任Joab
Jackson氏がSANSのコースに参加。このコースでは、Kevin Johnsonが侵入テス
ターとして自身で使用しているテクニックをいくつか説明し、なぜWebアプリ
ケーションの脆弱性がこれほどまでに多いのか語った。近年、OSがより安全に
なってきたため、サイバー犯罪者らは他のアタック手段を考えざるをえなかっ
たという。Webアプリケーションのほとんどは、セキュアプログラミングに必
要不可欠なトレーニングを施されていないプログラマーによって作成されてい
る。また、Johnsonは、アタック発生前に情報収集するなら、ハッカーのよう
に考えることが大事だと特に強調した。
http://www.gcn.com/cgi-bin/udt/im.display.printable?client.id=gcn&story.id=46418
http://www.gcn.com/cgi-bin/udt/im.display.printable?client.id=gcn&story.id=46420

【編集者メモ1】(Siles and Paller)
実際の状況は統計発表よりも悪い。カスタムのWebアプリケーションケットが細工されるとこの脆弱性が引き起こされ、
認証を回避できるようになってしまう。設定によっては、機密情報を獲得した
り、管理デバイスの設定を改変したりできるようになってしまうおそれがある。
この脆弱性を悪用するには、正しいユーザー名を把握しておく必要がある。こ
の脆弱性の技術的詳細と概念実証コードは、ソースコードを解析すれば入手で
きる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
oCERTのアドバイザリ
http://www.ocert.org/advisories/ocert-2008-006.html
US-CERTの脆弱性ノート
http://www.kb.cert.org/vuls/id/878044
Ciscoの脆弱性ノート
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a00809adfc8.html
概念実証コード
http://milw0rm.com/exploits/5790
SNMPについてのWikipediaの説明
http://en.wikipedia.org/wiki/SNMP
SecurityFocus BID
http://www.securityfocus.com/bid/29623
────────────────

6.危険度【高】:OpenOffice.orgにリモートコード実行の脆弱性

<影響のある製品>
OpenOffice.org 2.4 までのバージョン
StarOffice 8.xのバージョン

<詳細>
OpenOffice.orgは、広範で使用されているオープンソースのオフィススイート
であり、ほとんどのUnix、Unixに類似したシステム、Linux商品にデフォルト
で同梱されている。そして、Microsoft WindowsやMac OS版もリリースされて
いる。しかし、不正形式文書の処理に欠陥がある。OpenOffice.org文書が細工
されると、この脆弱性が引き起こされ、現在のユーザー権限で任意のコードを
実行できるようになってしまう。設定によっては、文書がユーザーへのプロン
プトなしに受信時に開かれるおそれがある。この脆弱性の全技術的詳細は、ソー
スコードを介して入手できる。Note that OpenOffice.orgの派生商品で広範に
使用されているStar Officeも脆弱である。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=714
OpenOffice.orgのホームページ
http://www.openoffice.org
SecurityFocus BID
http://www.securityfocus.com/bid/29622
────────────────

7.危険度【高】:FreeTypeに複数の脆弱性

<影響のある製品>
FreeType 2.3.5までのバージョン

<詳細>
FreeTypeは、オープンソースのフォント処理およびレンダリングライブラリと
して広範で使用されている。これは、X.Org X Window SystemサーバやSun
Java Runtime Environmentなど、さまざまなアプリケーションで使用されてい
る。しかし、これのフォントファイル処理には複数の脆弱性がある。フォント
ファイルが細工されると、脆弱性のいずれかが引き起こされ、現在のユーザー
権限で任意のコードを実行できるようになってしまう。ライブラリを使用して
いるアプリケーションの中で、侵害される対象によっては、悪意のあるフォン
トがユーザーへのプロンプトなしに受信時に開かれるおそれがある。これらの
脆弱性の全技術的詳細は、ソースコードを解析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=715
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=716
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=717
FreeTypeのホームページ
http://freetype.sourceforge.net
SecurityFocus BIDs
http://www.securityfocus.com/bid/29637
http://www.securityfocus.com/bid/29639
http://www.securityfocus.com/bid/29640
http://www.securityfocus.com/bid/29641
────────────────

8.危険度【高】:Novell GroupWiseのメッセージングクライアントにバッファ
  オーバーフロー脆弱性

<影響のある製品>
Novell GroupWise Messenger 2.0.3 HP1までのバージョン

<詳細>
Novell GroupWiseは、企業用インスタントメッセージアプリケーションとして
広範に使用されている。しかし、Microsoft Windowsのクライアントには、サー
バレスポンス処理に欠陥がある。悪意のあるサーバからのレスポンスが細工さ
れていると、この欠陥が引き起こされ、バッファオーバーフローにつながるお
それがある。このバッファオーバーフローの悪用が実現すると、現在のユーザー
権限で任意のコードを実行できるようになってしまう。この脆弱性の技術的詳
細のいくつかは、公表されている。
<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Novellのセキュリティ警告
http://download.novell.com/Download?buildid=HHSfPO91pLQ~
製品のホームページ
http://www.novell.com/products/groupwise/
SecurityFocus BID
http://www.securityfocus.com/bid/29602

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。