NRI Secure SANS NewsBites 日本版

Vol.3 No.31 2008年8月12日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.31 2008年8月12日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          SANS Tokyo 2008 Autumn 開催決定!!
    ~世界で最も体系化された情報セキュリティトレーニング~

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者・技術者、Java開発者必須の3コースを開催■
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!

■はじめに(Alan Paller:SANS Director of Research)

ラスベガスで開催されるネットワークセキュリティ2008の早期割引特典申し込み
期限まであとわずか。新しい侵入テスト(ネットワークテストとアプリケーショ
ンテストの両方)コースとハッカーエクスプロイトコースに若干残席あり。
http://www.sans.org/ns2008
────────────────

■■SANS NewsBites Vol.10 No.60-61
   (原版:2008年8月2日、6日配信)

◆協調的ブラックリスト作成で大幅に効果アップ(2008.7.31)

サンノゼで今週開催されたUSENIXセキュリティカンファレンスで、SRIとイン
ターネットストームセンターの研究者らは、Highly Predictive
Blacklisting(HPB:高度予測ブラックリスト)という新サービスのテスト実装結
果を発表した。HPBは、全般的な共有リストや特化されたリスト、個人独自の
リストというよりむしろGoogleのページバンクに類似したリンク分析アルゴリ
ズムを使用して、各サイトの推測危険度や、同じアタッカーによってアタック
された他のサイトとの関係密接度に基づいてアタッカーをランク付けしている。
このアルゴリズムを用いることによって、アタッカーが今後ユーザーのネット
ワークをターゲットにする確立予測を行う。新サービスの詳細は、USENIXセキュ
リティカンファレンスにおける最優秀研究論文に記載されている。
http://www.securityfocus.com/brief/780
http://www.usenix.org/events/sec08/tech/zhang.html

【編集者メモ1】(Ullrich)
DShieldを使用すれば、これらのブラックリストが生成できる。メンバーであれ
ば、ご自身のアカウントでHPBを読み出すことができる。
(http://isc.sans.org/howto.html)
DShieldは、SANSの無料サービスである。
【編集者メモ2】(Paller)
政府は企業に対し、10年以上もサイバーセキュリティデータを共有させる方法を
模索してきた。この課題に、初めてよき答えがもたらされるかもしれない。自組
織のサイトが経験したアタックのデータを共有しないかぎり、どの組織も新ブラッ
クリストの恩恵を受けることができないのだから。数千件のサイトが、すでにイ
ンターネットストームセンターの協調データプロジェクトに参加しており、最
高のデータが入手可能になった。
(http://isc.sans.orgの"Top 10 Rising Ports"および"World Map"を見れば、ア
タックのソースがわかる)
また、この新プロジェクトによってストームセンターのデータはより有益なもの
になり、参加者は不参加者より堅牢に保護されるようになる。
────────────────

◆米国政府 携帯デバイスへの暗号化導入遅し (2008.7.29)

米国政府説明責任局(GAO)の報告書によると、連邦政府24局の携帯デバイスのう
ち、暗号化されているのはたったの30%にすぎないという。GAOの報告書では、
行政予算管理局(OMB)に対し、特にどのようなデータを暗号化する必要があるか
について、政府全体に及ぶような暗号化ポリシーを明確化するよう推奨している。
現在、データ保護のための暗号化を具体的に求める連邦法はない。しかし、OMB
は政府局に対して暗号化の使用を推奨しているほか、機密データのあるコンピュー
タやその他デバイスの暗号化を義務付けている。
http://www.gcn.com/online/vol1_no1/46758-1.html?topic=security&CMP=OTC-RSS
http://www.gcn.com/newspics/GAOencrypt_06-27-2008.pdf
http://www.fcw.com/online/news/153305-1.html?topic=security
http://www.securityfocus.com/brief/784
http://www.pcworld.com/businesscenter/article/149080/most_sensitive_data_on_government_laptops_unencrypted.html
────────────────

◆欧州の空港で週4,000台近くのノートパソコン盗難・行方不明 (2008.7.29-31)

Dellの意向でPonemon Instituteが調査を行ったところ、欧州の主要空港では、
毎週4000台近くのコンピュータが盗まれているか行方不明になっていることがわ
かった。行方不明のノートパソコン数が最も多かったのは、ロンドンのヒースロー
空港、アムステルダムのスキポール空港、パリのシャルルドゴール空港だった。
この調査では、EMEA (欧州・中東・アフリカ)地域全域の空港について情報収集
された。EMEA地域の8つの大規模空港で行方不明になったマシンの60%が回収で
きていないという。EMEA地域出張者の42%は、ノートパソコンにある企業デー
タのバックアップをとっておらず、55%は未承認ユーザーのアクセスに対して
データの安全措置すらとっていないと回答した。米国空港の出張者に対しても
同様の調査が行われ、1万2,000台のノートパソコンが毎週盗まれるか、行方不
明になっていることがわかった。
http://www.siliconrepublic.com/news/article/11124/cio/missing-4-000-laptops-a-week-in-european-airports
http://www.vnunet.com/vnunet/news/2223012/eu-travellers-losing-laptops-airports
http://www.finfacts.com/irishfinancenews/article_1014326.shtml

【編集者メモ】(Schultz)
まさに惨憺たる結果である。組織は、最低限、情報セキュリティへの取り組み
を強化し、ノートパソコンの紛失や盗難で生じるリスクについて、また、ノー
トパソコンの紛失・盗難防止のためにすべきことについて、より一層従業員の
認識と理解を深めるようにしなければならない。
────────────────

◆IBMのインターネットセキュリティシステム・X-Forceレポート (2008.7.29-31)

サイバーアタッカーは、脆弱性公表からその欠陥の悪用までの時間を縮めている。
24時間以内というケースも多い。つまり、脆弱性の存在に気づいている人間がほ
とんどおらず、悪用のリスクへの緩和対策をとった人間もほとんどいない間に、
ということだ。開示されているWebブラウザ欠陥の94%に対し、開示後24時間以
内にアタックコードがリリースされる有様だ。また、PCの脆弱性に対しては、開
示後24時間以内にエクスプロイトがリリースされる割合が80%にのぼるという。
この統計は、IBMのインターネットセキュリティシステム・X-Forceレポートが、
2008年上半期のサイバーアタックを検査して集計したものだ。このレポートによ
れば、アタッカーが自身で脆弱性を探求することはあまりなく、自動化ツールを
使用して開示された脆弱性を悪用することが多いという。つまり、実のところ、
彼らのために仕事をしているような状況なのだ。このレポートは、脆弱性の情
報開示自体がアタッカーによる脆弱性の悪用を容易にしてしまう現状をもって、
情報開示に関わる研究者らを非難している。
http://news.smh.com.au/technology/online-threats-materializing-faster-study-shows-20080729-3mhx.html
http://www.theregister.co.uk/2008/07/29/x_force_threat_report/print.html
http://www.vnunet.com/vnunet/news/2222896/security-researchers-aiding-crooks
http://www.zdnetasia.com/news/security/0,39044215,62044358,00.htm

【編集者メモ1】(Northcutt)
一読の価値あり!
一番ショッキングであると感じたのは、危険度〔中〕の脆弱性の増加だった。
http://www-935.ibm.com/services/us/iss/xforce/midyearreport/xforce-midyear-report-2008.pdf
【編集者メモ2】(Honan)
安全維持のために、もはやパッチプロセスに依存できないことを浮き彫りにした
レポートである。パーミッション管理によるセキュリティや、セキュリティト
レーニング、疑いのある活動ログをしっかり監視できているかなど、他の部分
にも目を向けなければならない。エクスプロイトコードリリースのスピードが
速く、アタッカーによる自動化ツールの併用があるとなると、あなたのシステ
ムが侵害される可能性も高くなったわけだ。このレポートをもとに、ご自身の
インシデントレスポンスプランを再検討すべきであろう。
────────────────

◆米国連邦通信委員会議決 選択的通信ブロックに終止符(2008.8.2)

米国連邦通信委員会 (FCC)において、ComcastがBit Torrentファイル共有ソフト
ウェア利用者に対してインターネット通信を減速した行為は、3対2で連邦政府ポ
リシー違反と議決された。しかし罰金は課されていない。Comcastは、この行為
は通常のネットワーク管理プラクティスの範囲であり、通信の多い時間帯だけネッ
トワーク管理の目的で通信速度を減速しただけとの姿勢を崩さない。また、
ComcastはFCCの言うネットワーク中立性はあくまでポリシー文であり、強制でき
るルールではないと主張。2005年発行のこのポリシーは、オープンで手頃な価格
のブロードバンドネットワークを広範な全顧客に提供する目的で作成された。こ
こでの原則は正当なネットワーク管理を条件としているが、未だにその内容につ
いては曖昧なままである。FCC会長Kevin J. Martinは、Comcastは特定のアプリ
ケーションをターゲットにブロックを行っていたため、ただネットワーク通信を
管理していただけとは言えないと述べた。さらに、Comcastには問題の行為に踏
み切る動機があったとしている。ピアツーピアアプリケーションで動画ファイル
をダウンロードしているユーザーは、Comcastのビデオ・オン・デマンドサービ
ス事業を奪ったとみなされるからだという。この度の決定を受けて、Comcast
は同社のネットワーク管理方法を変更し、顧客に対してその管理方法を明示す
るよう求められることとなった。
http://www.washingtonpost.com/wp-dyn/content/article/2008/08/01/AR2008080101205_pf.html
http://www.nytimes.com/2008/08/02/technology/02fcc.html?_r=1&oref=slogin&partner=rssnyt&emc=rss&pagewanted=print
http://hraunfoss.fcc.gov/edocs_public/attachmatch/DOC-284286A1.doc

【編集者メモ】(Pescatore)
ISPには、サーバ運用を禁止したり、特定レベルのスループットのみを許可した
りできるサービスレベル契約を施行できる権利がある。ここでの問題は、
Comcastがそれを選択的に行っていたということであり、これは常に将来の危険
をはらむ。
────────────────

◆上院議会 ID窃盗法可決(2008.7.31)

米国上院議会は、Patrick Leahy (バーモント州民主党) 議員とArlen Specter
(ペンシルバニア州共和党)議員が発起したIdentity Theft Enforcement and
Restitution Act(身元情報盗難賠償法)の改正法を、満場一致で可決した。こ
の結果、議事に乗せるため下院議会に戻されることになる。同法は当初、2007
年11月に上院で可決されたが、下院で失速してしまった。そのため、今回上院
議会は、現在下院議会で審議中の法案(元副大統領ら、およびその家族のシー
クレットサービスによる保護を退職後6ヶ月継続する下院議会法案)に、この法
案も議題として追加した模様。同法が成立すると、身元情報盗難被害者は、信
用履歴の修正やその他の影響を緩和するために費やした時間と費用について損
害賠償を求めることができるようになる。また、企業を演じた窃盗犯も起訴可
能になるほか、スパイウェアやキーストロークロガーを使用して10台以上のコ
ンピュータに損害を与えた罪については重罪に問うことが可能になる。
http://www.scmagazineus.com/Senate-OKs-revamped-identity-theft-legislation/article/113232/

【編集者メモ】(Schultz)
身元情報盗難被害が深刻であることを踏まえると、同法がまだ米国で可決されて
いないなど到底信じられない。今回こそ違う結果が出ますように。
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
    ~セキュアプログラミングスキルを証明する世界唯一の認定~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

------『SecureCube / Access Check』が支援するIT全般統制 -------------
      IT全般統制の鍵となる「アクセス管理」を強力に支援   
   エージェントレスで導入が容易!!  既存システムの変更不要!!
    これ1台で、複数のシステムのアクセス制御とログ管理を実現!!
  ☆詳細は → http://www.nri-secure.co.jp/promotion/accesscheck/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年8月1日 Vol.7 No.31)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ         11 (#2)
Linux                      3
Unix                      2
クロスプラットフォーム             13 (#1)
Webアプリ-クロスサイトスクリプティング     15
Web アプリ- SQLインジェクション         24
Webアプリ                    44
ネットワークデバイス              1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

RealPlayerは今週の大きな問題だった。あなたやISPが、先週のDNSno問題をす
でに修正しているという仮定での話だが……。ISPが、DNSサーバにパッチを当
てたかテストする2つの方法を紹介しよう。
1. 以下のサイトの右上にDan Kaminskyテストがある。
http://www.doxpara.com/
2. DNS運用・分析・研究センターは以下のサイトでテストツールを提供している。
https://www.dns-oarc.net/oarc/services/dnsentropy
また、こちらには本問題についてDan Kaminskyによる素晴らしい説明が掲載さ
れている。
http://www.doxpara.com/?p=1185
────────────────

1.危険度【重大】: RealPlayerに複数の脆弱性

<影響のある製品>
RealPlayer 11 より以前のバージョン

<詳細>
RealPlayerは、複数のOSで使えるメディア再生用アプリケーションとして広範に
使用されている。しかし、さまざまなメディア形式処理に複数の脆弱性がある。
また、Microsoft Windowsのプラットフォームでは、複数のRealPlayerのActiveX
コントロールに脆弱性がある。悪用が実現すると、現在のユーザー権限で任意の
コードを実行できるようになる。一般的に、悪意のあるコンテンツは、脆弱なア
プリケーションによって受信時に自動的に開かれる。脆弱性のいくつかについて
は、全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。
Microsoftの"kill bit"機能を介して問題のコントロールを無効にすれば、
ActiveXの脆弱性は軽減できる。脆弱なCLSIDリストは、Zero Dayイニシアチブの
アドバイザリから入手できる。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-046/
http://zerodayinitiative.com/advisories/ZDI-08-047/
Realのセキュリティアドバイザリ
http://service.real.com/realplayer/security/07252008_player/en/
Microsoft Knowledge Base Article (details the "kill bit" mechanism)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.real.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/30376
http://www.securityfocus.com/bid/30378
http://www.securityfocus.com/bid/28157
http://www.securityfocus.com/bid/30370
http://www.securityfocus.com/bid/30379
────────────────

2.危険度【高】:Trend Micro OfficeScanのActiveXコントロールに複数の脆弱
  性

<影響のある製品>
Trend Micro OfficeScan 7.3、およびそれ以前のバージョン

<詳細>
Trend Micro OfficeScanは、アンチウィルスソリューションとして広範に使用さ
れている。機能の一部は、ActiveXコントロールによって提供されている。しか
し、このコントロールのさまざまなパラメータ処理に複数のバッファオーバーフ
ローがある。悪意のあるWebページによってこのコントロールがインスタンス化
されると、これらのバッファオーバーフローのいずれかを悪用できるようになる。
悪用が実現すると、現在のユーザー権限で任意のコードを実行できるようになる。
これらの脆弱性については、概念実証コードと全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
ユーザーは、Microsoftの"kill bit"機能を
CLSID"5EFE8CB1-D095-11D1-88FC-0080C859833B"に設定して問題のコントロール
を無効にすれば、影響を軽減できる。 しかし、通常の機能に影響が出るおそれ
もあるので注意。

<参考>
概念実証コード
http://milw0rm.com/exploits/6152
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://uk.trendmicro.com/uk/products/enterprise/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/30407

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。