NRI Secure SANS NewsBites 日本版

Vol.3 No.25 2008年6月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.25 2008年6月30日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
    SANS Future Visions 2008 Tokyo いよいよ明日から開催!!
    ~情報セキュリティの最新動向をキャッチアップする2日間~

    2008年7月1日(火)-2日(水) 会場:ホテル日航東京(お台場)


 ■セキュリティ管理者必須のトレーニングが特別価格にて受講可能!■
  Mike Poor、James Tarala SANS認定のトップインストラクターが来日!!
    http://www.event-information.jp/sans-fv08/training.html

       まだ間に合います! 今すぐお申込みを!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■はじめに(Alan Paller:SANS Director of Research)

JavaやCのセキュアプログラミング試験が初めて大々的に行われたが、驚くべ
き結果が出た。試験結果によれば、プログラマーは突発するおそれのある脆弱
性の種類についてかなり精通しているにもかかわらず、脆弱性の検知や修正が
できないのだ。どうやら、セキュリティ意識(Security Awareness)コースは、
この問題を解決できないまま、間違った自信を植え付けてしまったようだ。来
月にはもうひとつ大々的な試験がオンラインもしくは試験会場(ワシントンDC)
で行われる予定だ。100人以上のプログラマーを抱える組織で、うち10人くら
いによる受験と受験後のフィードバックをくださるという場合はspa@sans.org
までご一報を。テスト費用の大幅な割引を進呈。
────────────────

■■SANS NewsBites Vol.10 No.49-50
   (原版:2008年6月21日、25日配信)

◆控訴裁判所 電子メッセージに合衆国憲法修正第4条の保護を(2008.6.19)

第9米国巡回控訴裁判所(9th US Circuit Court of Appeal)は、「企業のメッ
セージの送受信を、外部組織に委託している場合は、雇用主は従業員のテキス
トメッセージおよびメールメッセージにアクセスしてはならない」という判決
を出した。この判決では、雇用主はメッセージが内部のサーバに保存されてい
る場合のみ、従業員のメールにアクセスしてもよいとなっている。このケース
は、ワイヤレスプロバイダが受信したメッセージを警察に提出したことを受け
て、カリフォルニア州警察官Ontarioが訴えを起こしたことに端を発する。連
邦控訴判決として、電子メッセージに対して合衆国憲法修正第4条の保護が適
用された初めての判決となった。
http://www.usatoday.com/tech/news/techpolicy/2008-06-19-privacy-work-communications_N.htm?csp=34
http://www.latimes.com/business/la-me-text19-2008jun19,0,933444.story

【編集者メモ1】(Schultz)
修正第4条は、不当な捜索や差押えから個人を守るものである。そういう意味
では、従業員のメールを傍受・閲覧する雇用主の権利に異議を唱える従業員の
ために強固な主張がなされてもおかしくない。この判決では、企業内のメール
サーバが関与している場合は、企業は従業員のメッセージにアクセスしてもよ
いとなっており、メールサービスを外部に委託している場合は否となっている。
それが、この問題を興味深くしているようだ。
【編集者メモ2】(Skoudis)
この判決が維持されれば、メッセージングサービスの外部委託についてかなり
重要な意味が生まれることになろう。いろいろなCIOの口から、コスト高で維
持の難しい内部のメール・インフラを排除して、個人用のGmailの類のものへ
の移行を検討しているという話を、いたるところで耳にしてきた。このような
判決があると、特に企業のインシデントハンドラーにとって、こうしたプラン
の実行が確実に難しくなるだろう。
【編集者メモ3】(Veltsos)
市は職員に対して、メールおよびテキストメッセージ監視ポリシーの存在を知
らせてはいるものの、職場全体にそのポリシーを行き渡らせるのではなく、一
部の個人に対してのみ、かたくなに適用しているようだ。雇用主は、通信サー
ビスの外部委託契約を再検討し、監視する権利、従業員のプライバシー、一貫
したポリシー施行それぞれのバランスをとる必要がある。
────────────────

◆ソフトウェアエンジニア 経済スパイ活動法で初の懲役(2008.6.18-19)

このほど、ソフトウェアエンジニアXiaodong Sheldon Mengは、経済スパイの
罪で2年の懲役に科せられることとなった。Mengは、懲役後も3年の観察措置下
に置かれるほか、1万ドルの罰金、このケースで差し押さえられたコンピュー
タ機器の没収が科される。経済スパイ活動1996年法による懲役判決はこれが初
めてである。Mengは、元雇用主のQuantum3D Inc.から企業の極秘情報を盗み出
し、その情報を外国政府への売り込みのため、プレゼンに用いていた。
http://www.cybercrime.gov/mengSent.pdf
http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2008/06/19/BARD11B9U7.DTL

【編集者メモ】(Skoudis)
成立後12年も経つ法のもとで下された初めての懲役判決だ。スパイの実態が進
化していることを考えると、このケースを筆頭に、今後たくさんのケースが出
てくるだろう。
────────────────

◆スウェーデン議会 盗聴法を可決(2008.6.19)

スウェーデンの新しい議会は、同国諜報機関による国際通話やメール、FAXの
傍受を許可する意向だ。この監視行為は、裁判所命令の事前取得無しに実行で
きる。新法の批判者らは、同法によって個人の権利が踏みにじられると主張。
これに対し、賛成者らは、国家のセキュリティ保護にはこの法が必要だと反論
している。
http://news.bbc.co.uk/2/hi/europe/7463333.stm

【編集者メモ】(Northcutt)
この法への投票が行われる前の時期には、抗議デモなどについてのブログ記事
があった。しかし、可決後にインターネットで検索してみると、その手の記事
はもうなかった。同法は143対138で可決している。しかも根回し工作付きの投
票だ。そして1月には有効となる。まさに独裁政治であり、プライバシーに関
するヨーロッパの従来の姿勢も揺らぎつつあるように思えてならない。フラン
スも、インターネットの著作権侵害を阻止する目的とはいえ、非常に侵略的な
法を先に可決していることは記憶に新しい。本当に興味深いのは、スカンジナ
ビア諸国の電話システムは密接に絡み合っているため、今後隣国にも影響が及
ぶ可能性があるということだ。
http://technology.timesonline.co.uk/tol/news/tech_and_web/article4150152.ece
http://technology.timesonline.co.uk/tol/news/tech_and_web/article4173030.ece
────────────────

◆米国議会 盗聴法を議論(2008.6.19)

米国の新・外国諜報活動法(FISA)では、同国の諜報機関による国際通話やメー
ル、FAXの傍受が許可されるという。この監視行為は、裁判所命令を先に取得
せずとも実行できる。反対派は、個人の権利が踏みにじられると主張。一方、
賛成派は、国家のセキュリティ保護には同法が必要、と反論している。
http://www.cnn.com/2008/POLITICS/06/19/congress.wiretaps/index.html
http://www.eff.org/files/filenode/att/FISAINTRO_001_xml.pdf

【編集者メモ】(Northcutt)
どこかで聞いたような話だ。
────────────────

◆投票マシン業界団体 認定基準原案作成に協力(2008.6.19)

投票システムプロバイダを代表する業界団体、Election Technology Council
(ETC)は、投票システムの認定必須要件を作成するにあたって意見を募る報
告書を発表した。これによると、現在のプロセスは、選挙支援委員会
(EAC:Election Assistance Commission)によって監視されているが、「これ
では、この統制された産業自体を、主要投資者でなく敵対者と見なすような誤っ
たシステムになる」と懸念している。しかし、投票システムの製造企業は、理
論的には統制産業に当てはまらない。ETCの主張とは裏腹に、EACは統制局でな
く、認定プロセス自体も完全に任意であるのが現状だ。しかし、米国の州の
80%は、選挙に使用される投票システムに対し、ある一定レベルの認定を必要
としている。
http://www.gcn.com/cgi-bin/udt/im.display.printable?client.id=gcn_daily&story.id=46489
http://www.electiontech.org/documents/ETC-BROKEN.pdf
────────────────

◆米国下院議会FISA修正法を可決:電気通信企業 遡及的免責を獲得(2008.6.20)

米国下院議会は、外国諜報偵察法(FISA)修正法を可決した。同法では、国家安
全保障局による包括的許可範囲を、米国の内外に出入りする通話やメールの監
視にまで広げている。また、米国政府の命令に従って2001年9月11日から2007
年1月17日までの期間に監視を行った電気通信企業は、遡及的免責となる。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9101538&intsrc=hm_list
http://online.wsj.com/article/SB121391360949290049.html?mod=googlenews_wsj
────────────────

◆PCI基準6.6節 Webアプリケーションセキュリティに言及(2008.6.23)

ペイメントカード産業(PCI)データセキュリティ基準6.6節が、6月30日に有効
となる。6.6節では、クレジットカードやその他の消費者財務情報を保管して
いる企業は、アプリケーション・ファイヤウォールのインストールか、セキュ
リティ欠陥の有無についての全アプリケーションのコード見直しを義務付けら
れる。
http://www.vnunet.com/vnunet/news/2219820/pci-standard-lacking-secerno
https://www.pcisecuritystandards.org/pdfs/infosupp_6_6_applicationfirewalls_codereviews.pdf
────────────────

◆Microsoftのツール PC200万台からパスワード窃盗マルウェアを除去
  (2008.6.20)

Microsoftの悪意のあるソフトウェア除去ツールの更新版が、6月10日にリリー
スされた。このツールで、すでにPC200万台以上のパスワード窃盗マルウェア
が除去されたという。問題の悪意のあるソフトウェアは、ゲームのパスワード
をターゲットにしていた。更新版がリリースされた初日だけで、70万台から
Taterfというマルウェアが除去された。このマルウェアは、非公開の欠陥を通
じてPCに乗り込んでしまう場合が多い。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9101878&intsrc=hm_list

【編集者メモ1】(Pescatore)
このマルウェアは、ユーザーがダウンロードしてインストールしてしまうから、
PCに乗り込まれるのだ。「非公開」の欠陥などと言う必要はない。これは簡単
なソーシャルエンジニアリングである。このような脅威に対する解決策として
は、パッチ適用よりも、侵入してくるマルウェアをブロックしたり、PCに乗り
込んでしまうアプリケーションをコントロールする方がよい。
【編集者メモ2】(Skoudis)
これは、膨大な数字だ。このマルウェアがパスワードを盗むものだったとする
と、感染が除去されたマシンのユーザーは、自分のOSやWebアプリケーション
が侵害されていたと考えるべきだ。つまり、バンキング、eコマース、その他
の企業システムの管理者パスワードのパスワードも侵害されていたおそれがあ
る。自分のマシンが感染された人は、そのマシンでアクセスした口座のパスワー
ドを全て変更した方がよい。
────────────────

◆オランダの研究者ら Mifare RFID技術を破る(2008.6.21-23)

オランダの大学の研究者らが、Mifare RFIDチップのセキュリティを破ること
に成功した。同チップは、英国の公共交通機関で使用されているプリペイドの
スマートカード、Oysterカードに使用されているものだ。また、Mifare RFID
技術は、英国内で政府省庁や病院、学校にアクセスするときにも用いられてい
る。オランダ議会は今年はじめ、この研究結果を受けて、同様の技術をベース
にしたプリペイド交通機関スマートカードの導入を延期した。さらに、オラン
ダ政府は、政府の建物にアクセスするときに用いられるMifareカードも切り替
えていく意向である。
http://www.zdnet.co.uk/misc/print/0,1000000169,39437719-39001093c,00.htm
http://www.vnunet.com/vnunet/news/2219828/london-oyster-cracked
http://www.telegraph.co.uk/news/newstopics/politics/2168791/Oyster-card-fears-over-Mifare-security.html
http://www.theregister.co.uk/2008/06/23/dutch_clone_oyster_card/print.html

【編集者メモ】(Schultz)
これまでの数年間で、繰り返しRFIDチップにあるセキュリティ上の弱点が言及
されてきた。これら弱点が実際の設定でどのように悪用されるかを示した概念
実証コードがリリースされるのは、時間の問題である。
────────────────

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年6月20日 Vol.7 No.25)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Microsoft Office                 1 (#1)
サードパーティのWindowsアプリ          4
Linux                      2
Solaris                     4
Novell                      1 (#3)
クロスプラットフォーム             22 (#2)
Webアプリ-クロスサイトスクリプティング     10
Web アプリ- SQLインジェクション         33
Webアプリ                    41
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Microsoft WordとFirefoxに脆弱性がある。それらによって、リモートでも、
ターゲットのコンピュータを制御できるようになってしまう。Wordでは崩壊し
た文書を通じて、Firefoxでは悪意のあるWebサイトを通じて引き起こされる。
ベンダーは、これに対してパッチをリリースしていない。したがって、知人か
ら届く予定がない限り、添付ファイルは開かないよう留意してほしい。
Firefoxの脆弱性については、すでに信頼できるはずのサイトから感染が広がっ
ているため、防御方法がないのが現状だ。

P.S.
仮想化セキュリティサミットがラスベガスで、
(http://www.sans.org/virtualization08_summit/)
そしてヨーロッパSCADAサミットがアムステルダムで
(http://www.sans.org/euscada08_summit/) 開催される予定。
これらのサミットの申し込みは本日から。
────────────────

1.危険度【重大】:Microsoft Wordのリスト処理にメモリ崩壊脆弱性

<影響のある製品>
Microsoft Office 2000
Microsoft Office 2003

<詳細>
Microsoft Wordのunordered (bulleted) lists(順番のないリスト)処理には、
メモリ崩壊脆弱性がある。Word文書がこのようなリストを含むように細工され
ると、この脆弱性が引き起こされる。この脆弱性の悪用が実現すると、現在の
ユーザー権限で任意のコードを実行できるようになってしまう。Microsoft
Officeの最近バージョンでは、Word文書はプロンプトなしに開かれることはな
い。この脆弱性のいくつかの概念実証コードとアタックを実演したデモビデオ
が公表されている。しかし、それ以上の詳細は今のところ不明だ。最も重要な
のは、Microsoft Officeの他のバージョンが影響を受けるかどうか、まだ定か
でないことだ。デモビデオでは、脆弱性を悪用するのにユーザー操作は必要な
いことが指摘されているが、まだ確認がとれているわけではない。

<現状>
ベンダーはこの問題を認めていないため、更新をリリースしていない。

<参考>
デモビデオ
http://www.nullcode.com.ar/ncs/crash/video.htm
http://www.nullcode.com.ar/ncs/crash/video2.htm
概念実証コード(バイナリファイルリンク)
http://www.securityfocus.com/data/vulnerabilities/exploits/crash-word-1.doc
http://www.securityfocus.com/data/vulnerabilities/exploits/crash-word-2.doc
http://www.securityfocus.com/data/vulnerabilities/exploits/crash-word-3.doc
http://www.securityfocus.com/data/vulnerabilities/exploits/crash-word-4.doc
SecurityFocus BID
http://www.securityfocus.com/bid/29769
────────────────

2.危険度【高】:Mozilla Firefoxにリモートのコード実行脆弱性

<影響のある製品>
Mozilla Firefox 3までのバージョン

<詳細>
Mozilla Firefoxには、詳細不明なリモートコード実行脆弱性がある。Webペー
ジが細工されるとこの脆弱性が引き起こされ、現在のユーザー権限で任意のコー
ドを実行できるようになってしまう。この脆弱性については、何の詳細もリリー
スされていないが、ソースコードを解析すれば入手できる。

<現状>
ベンダーはこの問題を認識しているものの、更新をリリースしていない。

<参考>
TippingPoint DVLabsの記事
http://dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firefox-30
Zero Dayイニシアチブにの次回のアドバイザリ
http://zerodayinitiative.com/advisories/upcoming/
ZDNetのブログ記事
http://blogs.zdnet.com/security/?p=1288
Mozillaのホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/29794
────────────────

3.危険度【高】:Novell iPrintに複数の脆弱性

<影響のある製品>
Novell iPrint ActiveX コントロール 4.36までのバージョン

<詳細>
Novell iPrintは、ネットワークの印刷システムであり、これのクライアント
機能の一部が、ActiveXコントロールによって提供されている。しかし、この
コントロールには、さまざまなパラメータ処理に複数の脆弱性がある。このコ
ントロールをインスタンス化するWebページが細工されると、脆弱性のいずれ
かがインスタンス化されてしまう。悪用されると、現在のユーザー権限で任意
のコードを実行できるようになってしまう。この脆弱性の技術的詳細がいくつ
か公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能をCLSID"36723F97-7AA0-11D4-8919-FF2D71D0D32C"に設定して
問題のコントロールを無効にすれば、影響を軽減できる。しかし、通常の機能
に影響が出るおそれもあるので注意。

<参考>
Novellのパッチ情報
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5028061.html
http://download.novell.com/Download?buildid=cbAVckbi_AM~
US-CERTの脆弱性ノート
http://www.kb.cert.org/vuls/id/145313
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/29736

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。