NRI Secure SANS NewsBites 日本版

Vol.3 No.27 2008年7月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.27 2008年7月14日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          SANS Tokyo 2008 Autumn 開催決定!!
    ~世界で最も体系化された情報セキュリティトレーニング~

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者・技術者、Java開発者必須の3コースを開催■
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!

■はじめに(Alan Paller:SANS Director of Research)

7月24日(木)、ワシントンDCのSANSFIREにて、中国のアタックがどのように
作用するかについての無料ブリーフィング「トロイの木馬は燃えているか
("Is Troy Burning?")」が開催される。

ユーティリティ産業やパイプライン、その他の重要インフラのITシステムやプ
ロセスコントロールに携わっている方は、9月初旬にアムステルダムで開催さ
れるSCADAセキュリティサミットへの参加準備を。ヨーロッパの主要国のほと
んどがこのプラグラム開催を支援しており、素晴らしい内容となっている。参
加登録はこちら:http://www.sans.org/euscada08_summit/

────────────────

■■SANS NewsBites Vol.10 No.53
   (原版:2008年7月10日配信)

◆新バイエルン法で警察は物理的にスパイウェアのインストールが可能に
  (2008.7.7)

ドイツのバイエルン州議会は、テロリストもしくはその他の重大な犯罪の容疑
者のコンピュータに、警察がスパイウェアを設置できる法を可決した。これは、
容疑者のコンピュータにリモートでスパイウェアを設置してよいとしている連
邦法を上回る内容だ。バイエルン法では、当局に対し、リモートインストール
が上手く行かなかった場合、容疑者の自宅に入って物理的にスパイウェアを設
置することを許可している。この際、裁判所命令は必要ない。また、当局は家
宅捜索も許可されている。反対派は、違憲だと主張している。
http://www.theregister.co.uk/2008/07/07/bavaria_police_spyware_plan/print.html

【編集者メモ1】(Pescatore)
どの社会も、プライバシーと法執行のバランスを図らなくてはならない。現代
社会の多くでは、事件発生の際は、警察のニーズがプライバシー権を上回った
場合に裁判所命令が発行されるようになっている。このアプローチでさえ、も
ちろん完全とは言えない。必要手続きから令状部分が除去されてしまうと、ほ
とんど例外なしに、度重なる濫用が発生してしまうのが現状だ。さらに悪いこ
とに、実際にそのような濫用実態が発覚してしまうと、今度は反動でプライバ
シーを過剰に保護する法が成立することになり、結果、警察や諜報機関の職務
の妨げとなっていく。バランスをとるということが、どちら側をも利すると言
えよう。
【編集者メモ2】(Veltsos):
警察が令状なしにスパイウェアをインストールできるとなると、プライバシー
的、法的の両観点から見て、先行きが危ぶまれる。バイエルン在住の米国人ビ
ジネスマンの自宅にスパイウェアがインストールされてしまったら…と考えて
みよう。彼の雇用主はどのように対処するのだろうか? そして、米国政府は
いかに?
────────────────

◆テキサス州法 コンピュータ技術者に私立探偵免許を求む(2008.6.26.)

司法研究所は、コンピュータ修繕技術者に対して政府発行の私立探偵(PI)免許
取得を必須としている2007年法について、テキサス州民間セキュリティ委員会
(Texas Private Security Board)を訴えている。修繕技術者は、「政府が捜査
とみなす行動」をとれば、民事および刑事責任を問われるおそれがある。「捜
査」の定義は広範囲に及び、一般的な修繕の多くがその範中に入ってしまうと
いう。コンピュータ修理店のオーナーが免許を獲得するには、刑事裁判の学位
を取得するか、免許を持っている私立探偵の見習い期間3年を経るかのどちら
かが必要になる。免許のない修理技術者とわかっていながら修理を依頼した消
費者も、懲罰の対象となる。
http://www.ij.org/first_amendment/tx_computer_repair/6_26_08pr.html

【ゲスト編集者メモ】(Rob Lee)
この裁判は、Best Buy社のPCサポート部門であるGeek Squadが、顧客に「クラ
イアントが実際にどのように侵害されるか観察できるようにコンピュータフォ
レンジックを行える」と言って、停止命令レターを受け取ったことが発端だっ
た。このPI免許必須要件は、つじつまが合っているのだろうか?
【編集者メモ1】(Northcutt)
テキサス州は、Geek Squadのスローガン「当社にわからぬものなどありません。
さぁ、ぜひご利用を」の真価を問うている。
この法は、「愚か」を通り越している。Geek Squadの言う「フォレンジック」
は、エンドユーザーに対し、「システム侵害の原因となったエラーを理解させ
る」支援をしようという行為にすぎない。まさに政府が目指す行為だと思うが…。
Best Buy社がテキサス州に賄賂を贈っていないのだとしたら、それも驚きだ。
【編集者メモ2】(Schultz)
良識が打ち勝って、この無意味な法が撤回されることを願うばかりだ。コンピュー
タの修理にPI免許が必要だなんて、まったくわけがわからない。
────────────────

◆Viacom YouTubeの閲覧データベース求む(2008.7.4)

YouTubeは、ユーザーの閲覧習性のログインデータベースを提出するように命
令されている。この命令は、YouTubeのオーナーであるGoogleがViacomに訴え
られたケースから来ている。このケースでは、YouTubeのユーザーはViacom所
有のネットワーク(MTV、VH1およびNickelodeon)から侵害したコンテンツをアッ
プロードするように促されているという疑いが争点だった。また、侵害された
クリップの方が、YouTubeにアップロードされているアマチュアコンテンツよ
りも頻繁に閲覧されていることを、裁判で実証しようとしていた。データベー
スには、閲覧者のユーザー名とIPアドレス情報も含まれている。YouTubeは、
情報を提出する前にユーザー名とIPアドレスのデータを削除する許可を求めた。
Viacomの総合弁護士Michael Fricklasによれば、同社は、個人の閲覧者を追及
するつもりはなく、著作権を侵害しているコンテンツの方が、そうでないコン
テンツよりも頻繁に閲覧されていることを証明したいだけであると主張。プラ
イバシー擁護者らは、ユーザー名やIPアドレスが除去されても、その他のデー
タでユーザー個人が特定されてしまうことを懸念している。Viacomは、
「Google検索エンジンのソースコードにアクセスする」ために裁判所の許可を
求めていたが、判事に却下された。
http://www.washingtonpost.com/wp-dyn/content/article/2008/07/03/AR2008070302359_pf.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9106518&intsrc=hm_list
http://www.cnn.com/2008/TECH/biztech/07/03/youtubelawsuit.ap/index.html
http://www.msnbc.msn.com/id/25522070/
http://www.latimes.com/business/la-fi-youtube4-2008jul04,0,7881532.story
────────────────

------『SecureCube / Access Check』が支援するIT全般統制 -------------
      IT全般統制の鍵となる「アクセス管理」を強力に支援   
   エージェントレスで導入が容易!!  既存システムの変更不要!!
    これ1台で、複数のシステムのアクセス制御とログ管理を実現!!
  ☆詳細は → http://www.nri-secure.co.jp/promotion/accesscheck/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年7月4日 Vol.7 No.27)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              3 (#1)
サードパーティのWindowsアプリ          4
Mac OS1 (#2)
Linux                      6
Solaris 1
Unix                      1
クロスプラットフォーム             17 (#3.#4.#5)
Webアプリ-クロスサイトスクリプティング     10
Web アプリ- SQLインジェクション         38
Webアプリ                    43
ネットワークデバイス2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週は、Firefox、Apple OS-XおよびMicrosoft's GP(Great Plains)の会計ソ
フトすべてが「重大」リストに挙がっている。そのほか商用Webアプリケーショ
ンにも、新たな脆弱性が90件以上発見された。ご所属の組織の開発者が作成し
ているWebアプリケーションに、いくつ脆弱性があるとお思ですか? 把握はさ
れていますか? 今こそそれを見極めるときでは?
────────────────

1.危険度【重大】:Microsoft Dynamics GPに複数の脆弱性

<影響のある製品>
Microsoft Dynamics GP 10.0までのバージョン

<詳細>
Microsoft Dynamics GP(以前Microsoft Great PlainsおよびMicrosoft
Dynamicsという名前だった)は、ソフトウェアパックとして広範で使用されて
いる。しかし、Distributed Process ManagerおよびDistributed
ProcessServerコンポーネントのさまざまなユーザーインプット処理に複数の
脆弱性がある。ユーザーリクエストが細工されると、これらのバッファオーバー
フローもしくは文字列の脆弱性のいずれかが引き起こされる。悪用が実現する
と、脆弱なプロセス権限で任意のコードを実行できるようになってしまう。脆
弱性について、技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
IBM ISS X-Forceのアドバイザリ
http://xforce.iss.net/xforce/xfdb/25840
http://xforce.iss.net/xforce/xfdb/25842
http://xforce.iss.net/xforce/xfdb/25844
http://xforce.iss.net/xforce/xfdb/25841
Microsoftのリリースノート
http://www.microsoft.com/dynamics/gp/product/10.mspx
Microsoft Dynamics GPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Microsoft_Dynamics_GP
SecurityFocus BID
http://www.securityfocus.com/bid/29991
────────────────

2.危険度【重大】:Apple Mac OS Xに複数の脆弱性(セキュリティ更新2008-004)

<影響のある製品>
Apple Mac OS X 10.5.4までのバージョン

<詳細>
Apple Mac OS Xのサブシステムにいくつかには複数の脆弱性がある。悪用が実
現すると、現在のユーザー権限でリモートのコード実行の脆弱性から、DoSの
脆弱性までの範囲で影響が及ぶ。Mac OS X上の複数のアプリケーションでHTML
コンテンツをレンダリングするために使用されているWebKitフレームワークに
も、脆弱性が数件ある。これらのアプリケーションには、SafariやMailが含ま
れている。このセキュリティ更新は、OSに同梱されているサードバーティのア
プリケーションに発見された脆弱性にも対処している。WebKitの脆弱性は
@RISKのバックナンバーにも掲載されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleセキュリティアドバイザリ
http://support.apple.com/kb/HT2163
SecurityFocus BIDs
http://www.securityfocus.com/bid/30018
http://www.securityfocus.com/bid/29836
────────────────

3.危険度【重大】:Mozilla Firefox、Thunderbird、SeaMonkeyに複数の脆弱性

<影響のある製品>
Mozilla Firefox 3.0までのバージョン
Mozilla Thunderbird 2.x
Mozilla SeaMonkey 1.1.10までのバージョン

<詳細>
コードが共有されているMozilla Firefox、ThunderbirdおよびSeaMonkey製品
に脆弱性が数件ある。Webページのレイアウト、JavaScriptのスクリプト、
Mozillaクロームやその他のインプット処理にある欠陥によってクラッシュし
てしまうおそれがある。こういったクラッシュの少なくともいくつかは、現在
のユーザー権限で、リモートでコードを実行するために悪用できると考えられ
ている。これらの脆弱性の全技術的詳細はソースコードを解析すれば入手でき
る。Thunderbirdは、デフォルト設定であれば脆弱ではないようだ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2008/mfsa2008-21.html
http://www.mozilla.org/security/announce/2008/mfsa2008-24.html
http://www.mozilla.org/security/announce/2008/mfsa2008-25.html
http://www.mozilla.org/security/announce/2008/mfsa2008-33.html
SecurityFocus BID
http://www.securityfocus.com/bid/30038
Mozillaのホームページ
http://www.mozilla.org
────────────────

4.危険度【高】:Operaにリモートの複数の脆弱性

<影響のある製品>
Opera 9.51までのバージョン

<詳細>
Operaは、クロスプラットフォームのWebブラウザおよびインターネットアプリ
ケーションスイートとして広範に使用されている。インプット処理に詳細不明
な脆弱性があり、それによって現在のユーザー権限で任意のコード実行が生じ
るおそれがある。ほか、情報開示の脆弱性も発見されている。報告書によれば、
Microsoft Windows版のみ脆弱であるという。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Operaの変更ログ
http://www.opera.com/docs/changelogs/windows/951/
Operaのセキュリティアドバイザリ
http://www.opera.com/support/search/view/887/
Operaのホームページ
http://www.opera.com
SecurityFocus BID
http://www.securityfocus.com/bid/30068
────────────────

5.危険度【高】:VideoLAN ClientのWAVファイル処理にインテジャーオーバー
  フローの脆弱性

<影響のある製品>
VideoLAN Client(VLC) 0.8.6iまでのバージョン

<詳細>
VideoLAN Client(VLC)は、クロスプラットフォームのメディアプレーヤアプリ
ケーションとして広範に使用されている。しかし、WAV形式サウンドファイル
の処理に脆弱性がある。WAVファイルが細工されると引き起こされ、インテジャー
オーバーフローの脆弱性に繋がるおそれがある。悪用されると、現在のユーザー
権限で任意のコード実行が行われる可能性がある。設定によっては、WAVファ
イルはユーザーへのプロンプトなしに、脆弱なアプリケーションによって開か
れてしまうおそれがある。この脆弱性の全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのアドバイザリ
http://secunia.com/secunia_research/2008-29/advisory/
WAVファイル形式についてのWikipediaの説明
http://en.wikipedia.org/wiki/WAV
製品のホームページ
http://www.videolan.org/vlc/
SecurityFocus BID
http://www.securityfocus.com/bid/30058

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。