NRI Secure SANS NewsBites 日本版

Vol.3 No.26 2008年7月9日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.26 2008年7月9日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。


■はじめに(Alan Paller:SANS Director of Research)

興味深いイベントが3つ。それぞれ、セキュリティコミュニティの特殊分野の
ためのイベントになっている。
ヨーロッパの重要インフラ事業者(ユーティリティや石油、ガスなど)や政府
機関の専門家らが、9月8-9日にアムステルダムで、SCADAコントロールシステ
ムを保護するうえで有効な事項を教えてくれる。
http://www.sans.org/euscada08_summit/agenda.php
バーチャルセキュリティの権威が、8月7-8日のワシントンDCのカンファレンス
で、有効なものとそうでないものの情報を共有する。
http://www.sans.org/virtualization08_summit/
司法省に仕掛けられた攻撃や、議会に侵入した攻撃のような中国からの感染の
検知方法、およびFBIやCIAから自分の上司に、組織のシステムの多くが侵害さ
れていると告げられたときの対応方法を熟知しているような人材が10月、ラス
ベガスに集結。フォレンジック技術や有益なツールについて教えてくれる。
http://www.sans.org/forensics08_summit/
────────────────

■■SANS NewsBites Vol.10 No.51-52
   (原版:2008年6月28日、7月2日配信)

◆英国情報長官 英国歳入関税局と国防省に施行警告通知(2008.6.25)

独立警察苦情委員会(Independent Police Complaints Commission)の決定、お
よび、プライスウォーターハウスクーパーズ会長Kieran Poynterによる英国歳
入関税局(HMRC)のデータ紛失事件についての報告書、Sir Edward Burtonによ
る国防省(MoD)のインシデントについての報告書が発表されたのを受け、英国
情報長官(UK Information Commissioner)Richard Thomasは、英国歳入関税局
(HMRC)と国防省(MoD)に対し、両局の「遺憾な失敗」がデータ保護法の違反に
つながったとし、施行警告通知を発行する意向だと述べた。昨年、HMRCは2500
万世帯の個人情報が入っていたコンピュータディスクを紛失したことを認め、
MoDはノートパソコンを多数紛失し、その中の1台に新兵60万人の個人情報が入っ
ていたことを認めている。施行警告通知に準拠するには、すべての推奨策を導
入しなくてはならないという。また両局には、今後3年間にわたって年次の進
捗報告提出が義務付けられている。
http://news.zdnet.co.uk/security/0,1000000189,39439030,00.htm
http://www.vnunet.com/computing/news/2220012/hmrc-mod-guilty-deplorable
http://www.heise-online.co.uk/security/Information-Commissioner-to-sanction-HMRC-and-MOD-for-data-loss--/news/111004
http://www.scmagazineuk.com/Poynter-Review-IPCC-severely-criticise-HMRC-over-data-breach/article/111698/
http://www.theregister.co.uk/2008/06/25/hmrc_data_loss_reports/print.html

【編集者メモ】(Honan)
ポインター研究所の報告書:
http://www.hm-treasury.gov.uk/media/0/1/poynter_review250608.pdf
20ページ近くの推奨策が含まれており、一読に値する。ご所属の組織に推奨策
のいずれかが当てはまるかもしれないので、是非。
────────────────

◆米国上院分科委員会公聴会 税関国境警備局での電子デバイス差押えに焦点
  (2008.6.24-25)

米国上院司法委員会「憲法、公民権および財産権」分科委員会は、税関国境警
備局(CBP)の捜査ポリシーによって、米国国境で、個人および事業用のノート
パソコンやその他の電子デバイスの差押えが許可されていたという証言を取得
した。ノートパソコンは鞄と何ら変わりはないと主張する者もいたが、相当な
理由のないままデバイスが差し押さえられていることから、この行為は違法で
あると反論する声もある。今年はじめ、第9巡回控訴裁判所(9th Circuit
Court of Appeals)が、捜査をするにあたって税関国境警備局(CBP)に相当な理
由は必要ないという裁定を下していた。電子フロンティア財団(EFF)の上級主
任弁護士Lee Tienは、「我々は、国境で合衆国憲法修正第4条が異なる形で適
用されていること自体を争っているのではないが、“異なる”とは“全く適用
されない”ということを意味しない」と述べている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=15&articleId=9103338&intsrc=hm_topic
http://www.nextgov.com/nextgov/ng_20080624_3037.php

【編集者メモ1】(Northcutt)
自由の国ももはやこれまで。以下に示す実際の体験談を一読されよ。そして覚
えておいてほしい。あなた自身にふりかかるかもしれない話だということを。
あなたに嫌がらせを企む通関業者が一人いるだけで、悩まされるハメになる。
http://www.washingtonpost.com/wp-dyn/content/article/2008/02/06/AR2008020604763.html
http://blogs.ittoolbox.com/security/dmorrill/archives/search-and-seizure-of-your-laptop-at-the-border-approved-23927
http://www.usnews.com/articles/news/national/2008/06/24/seizing-laptops-and-cameras-without-cause.html
http://www.freep.com/apps/pbcs.dll/article?AID=/20080626/NEWS07/806260435/1009
http://www.truthout.org/article/us-border-agents-copying-contents-travelers-laptops
【編集者メモ2】(Honan)
CBPの捜査ポリシーから面白い副作用が生じている。多くの企業がモバイルユー
ザーの機密データをどうしたら最も堅牢に保護できるか、再考するようになっ
たことである。犯罪者が機密情報を獲得するかもしれない脅威ではなく、米国
政府局が企業の機密データにアクセスするかもしれない脅威が企業の再考を促
しているとは、何とも皮肉なことだ。
────────────────

◆プライバシー関連部門とマーケティング部門でデータセキュリティについて
  の考え方異なる(June 23, 2008)

Ponemon Instituteの調査によれば、プライバシーおよびセキュリティ関連従
事者が考える顧客データ保護のレベルと、マーケティング部門によるそのデー
タの実使用のレベルに食い違いがあるという。マーケティング部門回答者の80
%が、所属企業はサードパーティと顧客のメールアドレスを共有しているとし
た一方、セキュリティおよびプライバシー関連従事者では47%だった。また、
マーケティング関連の回答者の29%が、所属企業は社会保険番号をサードパー
ティと共有していると考えていたが、プライバシー関連従事者では7%にとど
まった。このような食い違いのある回答が同一企業からきたものと信じる理由
はないが、これが一般的傾向だとすると不安が募る。この調査はStrongmailの
スポンサードで行われた。
http://www.forbes.com/2008/06/21/privacy-security-marketing-tech-security-cx_ag_0623privacy_print.html

【編集者メモ】(Schultz)
この調査結果は興味深い。人は、データ保護が実態よりも高いレベルで行われ
ていると信じて油断しがちである。解決するには、多くの組織でほとんど満た
されていないか不足がちである、系統的かつ徹底的な法遵守を施行するよりほ
かない。
────────────────

◆毎年 空港でノートパソコン63万台紛失(2008.6.30)

Ponemon Instituteが46州の106の空港で調査を行ったところ、ノートパソコン
の紛失件数は毎年63万7,000台に上るという。つまり、空港で毎週1万2,000台
のノートパソコンが行方不明になっている計算になり、うち67%は再度発見さ
れることがないという。米国における36(空港規模上位36)の大型空港のみで、
毎週1万台のノートパソコンが行方不明になっている。ノートパソコンは、セ
キュリティのチェック地点や出発ゲートでなくなることが最も多いようだ。こ
の調査には、出張者864人のフィードバックコメントも含まれている。彼らの
53%がノートパソコンに機密情報が入っていると答えており、42%がそれらの
データをバックアップしていないという。また、16%が出張中にノートパソコ
ンをなくしても何の対処もしないと答えており、77%がノートパソコンが再発
見される確率は10%以下だと考えているという。この調査は、このほど「デー
タ保護およびアセット保護サービススイート」をリリースしたDellの委託によっ
て行われた。このスイートには、ノートパソコンの追跡およびリモートのデー
タ削除機能が備わっている。
http://www.dell.com/downloads/global/services/dell_lost_laptop_study.pdf
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9105198&source=rss_topic17
http://www.crn.com/managed-services/208801451
────────────────

◆企業はITリスク管理に投資すべき(2008.6.28)

2008年情報週間・戦略的セキュリティ調査によれば、ほとんどの企業が昨年よ
り多くの費用をITセキュリティに投じているが、うち66%の企業はアタックに
対する脆弱さは去年と同じかそれ以上だと答えている。問題は、ITのリスク管
理が効率的にできていないことにあるという。企業にとって、認識できるセキュ
リティ上の全ての脅威からシステムを保護することは、事実上不可能であるた
め、IT資産を分類し、その価値を割り当て、脅威を測定してから、リスクをど
こでどのように緩和するか考えた方が有益だ。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=208800942
────────────────

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年6月27日 Vol.7 No.26)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          4 (#2, #3)
Mac OS1
Linux                      1
BSD                     1
Unix                      1
クロスプラットフォーム             17 (#1)
Webアプリ-クロスサイトスクリプティング     16
Web アプリ- SQLインジェクション         39
Webアプリ                    48
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

PCがどのように感染しているか知りたければ、PDF(Adobe Reader)の欠陥だけ
見れば十分である。PDF文書は、ユーザーにプロンプトすることなく開かれて
しまう。そして、システムが乗っ取られるのだ。そのほか、Apple Safriには
リモートのコード実行の新たな脆弱性が2件ある。
────────────────

1.危険度【重大】:Adobe Acrobat JavaScriptにリモートのコード実行の脆弱
  性

<影響のある製品>
Adobe Reader 8.1.2までのバージョン
Adobe Acrobat 8.1.2までのバージョン

<詳細>
AcrobatとReaderはAdobeのPortable Document Format(PDF)文書閲覧用のビュー
アである。特定のJavaScript構造の処理に欠陥がある。JavaScriptが組み込ま
れたPDF文書によってこの欠陥が引き起こされると、バッファオーバーフロー
状態に繋がる。このバッファオーバーフローの悪用が実現すると、現在のユー
ザー権限で任意のコードを実行できるようになってしまう。設定によっては、
PDF文書はユーザーにプロンプトすることなく、受信時に脆弱なアプリケーショ
ンによって開かれてしまうおそれがある。報告によれば、この脆弱性は盛んに
悪用されているという。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/bulletins/apsb08-15.html
Portable Document Format(PDF文書)についてのWikipediaの説明
http://en.wikipedia.org/wiki/Portable_Document_Format
SecurityFocus BID
http://www.securityfocus.com/bid/29908
────────────────

2.危険度【高】:Apple Safariに複数の脆弱性

<影響のある製品>
Microsoft Windows版Apple Safari 3.1.1までのバージョン

<詳細>
Mac OS XとMicrosoft Windows版のAppleのWebブラウザ、Safariにおいて、さ
まざまなインプットの処理に複数の脆弱性がある。2件の脆弱性は、リモート
のコード実行の脆弱性に繋がる。うち1件目の脆弱性は、Safariのユーザープ
リフェレンス処理の論理欠陥に関連している。SafariはMicrosoft Internet
Explorerの設定から設定の一部を読み込んでいる。そのため、設定の組み合わ
せによっては、ダウンロードしたファイルの自動実行の脆弱性につながってし
まう。Safariは、Internet Explorerの「ローカル」ゾーンにないサイトでは、
デフォルト設定でも脆弱にならない。ほか、SafariのJavaScript配列処理には、
バッファオーバーフローの脆弱性がある。JavaScriptがこのオーバーフローを
引き起こすと、現在のユーザー権限で任意のコードを実行できるようになって
しまう。この脆弱性の技術的詳細は、ソースコードを解析すれば入手できるだ
ろう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。影響を受けるの
は、Microsoft Windows版のSafariのみである。

<参考>
US-CERTの脆弱性ノート
http://www.kb.cert.org/vuls/id/127185
Safariのホームページ
http://www.apple.com/safari/
SecurityFocus BIDs
http://www.securityfocus.com/bid/29835
http://www.securityfocus.com/bid/29836
────────────────

3.危険度【高】:IBM AFP Viewer Pluginにバッファオーバーフローの脆弱性

<影響のある製品>
IBM AFP Viewer Plugin 3.4.1.7までのバージョン

<詳細>
Advanced Function Presentation(AFP)は、文書のプレゼンテーションシステ
ムであり、IBM製品とともに広範に使用されている。AFP Viewer Pluginは、ユー
ザーがAFP文書をwebブラウザで閲覧できるようにするものだ。しかし、このプ
ラグインには、特定のインプットの処理にバッファオーバーフローの脆弱性が
ある。このプラグインを使用しているWebページが細工されると引き起こされ
る。悪用が実現すると、現在のユーザー権限で任意のコードを実行できるよう
になってしまう。この脆弱性の技術的詳細は公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/27995/
製品のダウンロードページ
http://www-1.ibm.com/support/docview.wss?rs=95&context=SRNPPZ&q=psd1*&uid=psd1P4000233
AFPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Advanced_Function_Presentation
SecurityFocus BID
http://www.securityfocus.com/bid/29932

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。