NRI Secure SANS NewsBites 日本版

Vol.3 No.32 2008年8月20日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.32 2008年8月20日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          SANS Tokyo 2008 Autumn 開催決定!!
    ~世界で最も体系化された情報セキュリティトレーニング~

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者・技術者、Java開発者必須の3コースを開催■
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!


■■SANS NewsBites Vol.10 No.62-63
   (原版:2008年8月9日、13日配信)

◆米国控訴裁判所 Valence Mediaの電子メール裁判で通信傍受の定義を再検討
  (2008.8.6)

米国カリフォルニア州の連邦政府控訴裁判所は、「Rob Andersonは通信傍受法
(Wiretap Act)に違反していない」とした下級裁判所の判決を覆した。Anderson
は、元共同経営者のサーバが、社内メールを自分のGoogleのメールのアカウント
に転送するように設定していたという。ファイル共有企業Valence Mediaから収
集した情報を米国映画協会(MPAA)に送信し、MPAAから1万5,000ドル受け取って
いたようだ。問題となっているのは、電子通信における通信傍受の司法定義で
ある。Florence-Marie Cooper判事は、2007年8月に「Andersonの行ったメール
獲得行為は、受信者に対するメッセージの送信を妨げるものではないため、円
滑に解決済みの判例に基づいた判例法や憲法、および『傍受』という言葉の通
常の意味によれば、通信傍受法(Wiretap Act)を違反したことにならない」と
した。これを受けて、電子フロンティア財団(EFF)と電子プライバシー情報セ
ンター(EPIC)は、被告人を代表して法廷助言書を提出した。
http://www.washingtonpost.com/wp-dyn/content/article/2008/08/05/AR2008080503421_pf.html

【編集者メモ1】(Schultz)
このケースにおける「傍受」という言葉に対するFlorence-Marie Cooper判事の
理解は、情報セキュリティ専門家の見解と驚くほど異なっている。したがって、
控訴裁判所がどのような判決を下すか、かなり興味深い。
【編集者メモ2】(Nortchutt)
こちらに、MPAAが「どのように解釈しても構わない」と述べたほか、Andersonの
「心変わり」について綴ったストーリーのかなり衝撃的なバージョンがある。
http://news.cnet.com/Torrentspy-names-alleged-MPAA-hacker---page-2/2100-1030_3-6087146-2.html
────────────────

◆消費者レポート 「2008年のネットの現状」を発行(2008.9)

消費者レポートの「2008年のネットの現状」によれば、サイバー犯罪の被害に遭
う確率は、昨年の4人に1人から、6人に1人に減っているという。調査対象のオン
ライン世帯2,071件のうち、コンピュータにアンチウィルスソフトウェアがない
世帯が19%、アンチスパイウェアがない世帯が36%、アンチフィッシングツー
ルがない世帯は75%にのぼった。スパムやスパイウェア、重大なウィルスのイ
ンシデント数は減ったものの、フィッシングは増加しており、全体的な脅威は
より一層陰湿になっている。また、消費者レポートでは、メールリンクからの
アカウントへのアクセス、無償ソフトウェアのダウンロード、セキュリティソ
フトウェアによるコンピュータが保護されているとの誤認、アンチウィルスや
アンチスパイウェアの使用期限切れなど、インターネットユーザーが犯しがち
なセキュリティ上の過ちのリストをまとめている。
http://www.consumerreports.org/cro/electronics-computers/computers/internet-and-other-services/protect-yourself-online/state-of-the-net-2008/protect-yourself-online-state-of-the-net.htm
http://www.consumerreports.org/cro/cu-press-room/pressroom/archive/2008/09/0809-eng0809olb.htm
────────────────

◆オリンピック観戦旅行者用に 中国のインターネット検閲回避ツールを提供
  (2008.8.5)

Chaos Computer Club(注:ベルリンのハッカー集団)は、オリンピック観戦訪
中者が中国のインターネット検閲措置を回避できる技術を施したUSBを提供して
いる。このUSBには、TorブラウザおよびTorプロジェクトソフトウェアが含まれ
ているが、その使用はオリンピック開催期間中に限られている。そのほか、
FoeBuD(注:RFIDプライバシー保護の市民団体)も同様のデバイスを販売してい
る。TORは、世界規模のサーバネットワークであり、インターネットを介して送
信されたデータを匿名化できるようになっている。また、世界インターネット自
由協会(Global Internet Freedom Consortium)も、同様のツールパックを提供
している。
http://www.theregister.co.uk/2008/08/07/torbrowser_olympics/print.html
http://www.guardian.co.uk/technology/2008/aug/07/censorship.hacking
http://www.vnunet.com/vnunet/news/2223248/chinese-offered-tools-crack-firewall

【編集者メモ】(Grefer)
TorプロジェクトのWebサイト:
http://www.torproject.org/
────────────────

◆グルジア サイバーアタックで国際的援助を受ける(2008.8.11)

グルジアの大統領公式Webサイトとその他政府Webサイトが、再びサイバーアタッ
クのターゲットになっている。南オセチアをめぐるロシアとグルジアの軍事衝突
が勃発する前の7月下旬に同様のアタックが発生した。最近の分散DoSアタックで
使用されたマルウェアは、Pinchの派生型だと思われる。アタックで使用された
コマンドとコントロールサーバはトルコに置かれているようだ。別件ではあるが、
関連する事項として、ポーランドのLech Kaczynski大統領は、紛争についての情
報を配信できるように公式Webサイトをグルジア政府に公開した。また、グルジ
アのMikhail Saakashvili大統領のWebサイトは、この週末、米国のホスティング
施設に移動するという。このサイトへのアタックはまだ続いているようだ。
http://www.theregister.co.uk/2008/08/11/georgia_ddos_attack_reloaded/print.html
http://news.smh.com.au/technology/poland-makes-web-site-available-to-georgia-20080811-3tl5.html
http://www.usatoday.com/tech/world/2008-08-11-georgia-president-hacked_N.htm?csp=34

【編集者メモ1】(Ullrich)
このアタックは、ロシアの諜報サービスとともに、悪名高い"Russian Business
Network"(RBN)が組織したものではないかとの声もある:
http://ddanchev.blogspot.com/
【編集者メモ2】(Honan)
グルジアの外務省はGoogleでブログを立ち上げ、紛争についての最新情報を提供
している。
http://georgiamfa.blogspot.com/2008/08/cyber-attacks-disable-georgian-websites.html
Wikipediaも紛争での出来事を追跡している。
http://en.wikipedia.org/wiki/War_in_South_Ossetia_(2008)#Cyberattacks
────────────────

◆米国の諜報機関 電子デバイス携行の旅行に警告(2008.8.5-11)

全米対諜報活動センター(NCIX)は旅行者に対し、携帯用電子デバイスを携行して
外国を旅行する際は特に注意するよう、強いアドバイザリを発行した。この警告
は、特にオリンピック観戦で訪中する旅行者に向けたもののようだ。中国のセキュ
リティサービスは、携帯電話やPDAから個人の居場所を特定したり、ユーザーに
知られることなくその機器のマイクをオンにしたりできるという。ユーザーは、
携帯用デバイスを使用していないときはバッテリーを抜くよう要請されている。
また、旅行者は絶対的な必要性がないかぎり、電子デバイスを携行すべきでない
としている。また、デバイスを携行した場合、それを税関職員によって検査され
たり、ホテルの部屋を捜索されたりした際に、中身がコピーされるおそれもある
ことを想定しなければならない。さらに、旅行中パスワードを頻繁に変更し、帰
国したら即座にもう一度パスワードを変更するよう求めている。電子的に情報
を送信すれば傍受されるおそれがある。今回のアドバイザリでは、特に中国は
名指しされていないが、テレビや各種メディアでは矛先を中国と特定している。
NCIX長官Joel Brennerは、中国とは言及していない。また、「ほとんどの国では、
インターネットカフェ、ホテル、オフィス、公共スペースにプライバシーはない」
と述べている。マルウェアも、USBドライブやその他の無料サンプルなどで設置
可能だ。したがって、同様に外国のコンピュータに自分のUSBを使用してはなら
ない。デバイスのデータは暗号化すべきだが、国によっては、暗号化されたデー
タの持ち込みが禁止されているところもある。
http://www.ncix.gov/publications/reports/traveltips.pdf
http://www.vnunet.com/vnunet/news/2223619/warns-olympic-travellers-us-china
http://www.cbsnews.com/stories/2008/08/07/eveningnews/main4329769.shtml
http://news.smh.com.au/technology/us-intelligence-alerts-travelers-to-cyber-spies-20080809-3sik.html
────────────────

◆データ侵害の裁判で非公表の侵害事件を露呈(2008.8.11)

米国のほとんどの州にデータ侵害通知法があったにもかかわらず、大手小売企業
9社のワイヤレスネットワークからクレジットカード情報を盗んだ疑いで11人
が起訴された事件が、顧客に通知が行われた初めてのインシデントだったとい
う。TJXでの事件はメディアで大々的に報道されたものの、Boston Marketや
Forever 21、Barnes and Nobleなど、その他の小売業者でも侵害事件が発生し
ていたとは驚きである。Boston MarketとForever 21は、顧客データが実際に
盗まれたかどうか判断できなかったため、通知しなかったという。

【編集者メモ】(Schultz)
Boston MarkeとForever 21の理由付けを見れば、顧客の福利をどれだけ軽視して
いるかがわかるだろう。重んじる企業であれば、実際に侵害があった場合を考え
て通知したはずだ。
────────────────

◆MBTAのリクエストで MIT研究者らに対する差し止め命令(2008.8.8-9)

連邦判事は、マサチューセッツ工科大学(MIT)の学生らがMassachusetts Bay
Transit Authority(MBTA)が使用している電子支払いシステムの脆弱性につい
ての研究発表を行うのを阻止する差止め命令を出した。彼らの研究は、支払いを
せずに交通機関を利用すべくシステムを操作することに焦点があてられていたよ
うだ。苦情申し立てによると、学生らはDefConで発表を予定している情報をMIBA
へ提供することを拒んだという。学生らはこの決定を控訴し、電子フロンティ
ア財団(EFF)が彼らの代理を務めるという。
http://www.theregister.co.uk/2008/08/09/defcon_talk_halted/print.html
http://news.cnet.com/8301-1009_3-10012612-83.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.heise-online.co.uk/security/MIT-students-muzzled--/news/111289
http://news.cnet.com/8301-1009_3-10014376-83.html?part=rss&subj=news&tag=2547-1009_3-0-20

【編集者メモ】(Honan)
OysterカードのRFICチップのハッキングについてのオランダ法廷の最近の判決:
http://www.sans.org/newsletters/newsbites/newsbites.php?vol=10&issue=57#sID201
この記事では、問題は弱点の発見者にあるのでなく、技術の弱点そのものだと法
廷は実感すべきということを実証している。
────────────────

◆米国オハイオ州務長官 無効票でeVotingのベンダーを起訴(2008.8.8)

米国オハイオ州務長官Jennifer Brunnerは、オハイオ州で3月に行われた予備選
挙で生じた無効票の損害賠償を求めてPremier Election Solutionsを訴えた。か
つてDieboldとして知られていたPremierは、オハイオ州内の郡の半分で使用され
ている電子投票マシンを製造している。無効票に関する問題は11の郡で生じた。
票に食い違いがあったものの、最終投票数は是正されたという。最初に不一致が
確認されたバトラー郡の関係者によると、Premierに対し、4月に無効票の説明を
求めたようだ。これに対し、Premierは翌月、問題は人為的エラーか、アンチウィ
ルスソフトウェアに存在する欠陥によるものだとレポートで回答している。そし
て、その後のレポートでは、アンチウィルスソフトウェアがインストールされた
状態でマシンが認可されているにもかかわらず、投票集計マシンのアンチウィル
スソフトウェアを無効化すればよいと答えている。Brunnerによる起訴は、5月に
Premierによって起訴された、同社が契約書や保証書にある義務を満たしている
かどうかを法廷の判断で裁定してほしいとリクエストしたケースに対する対抗訴
訟である。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9112041&source=rss_topic17
http://www.informationweek.com/news/management/legal/showArticle.jhtml?articleID=210000402&subSection=Infrastructure
────────────────

------『SecureCube / Access Check』が支援するIT全般統制 -------------
      IT全般統制の鍵となる「アクセス管理」を強力に支援   
   エージェントレスで導入が容易!!  既存システムの変更不要!!
    これ1台で、複数のシステムのアクセス制御とログ管理を実現!!
  ☆詳細は → http://www.nri-secure.co.jp/promotion/accesscheck/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年8月9日 Vol.7 No.32)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          8 (#2)
Mac Os                      5 (#1)
Linux                      3
HP-UX                      1
Solaris                     3
Aix                       1
Novell                      1
OpenVMS                     1
クロスプラットフォーム             27 (#3)
Webアプリ-クロスサイトスクリプティング     15
Web アプリ- SQLインジェクション         26
Webアプリ                    29
ネットワークデバイス               3
======================================================================


1.危険度【重大】:Apple Mac OS Xに複数の脆弱性(セキュリティ更新2008-005)

<影響のある製品>
Apple Mac OS X 10.5より以前のバージョン

<詳細>
Apple Mac OS Xには、今回のセキュリティ更新で対処できる脆弱性が複数ある。
以前掲載されたDNS欠陥や、PDF、Microsoft Office、画像ファイル、メッセージ
ファイルの処理にある欠陥が処理されている。同梱のサードパーティソフトウェ
アにあるリモートで悪用可能な欠陥も処理されている。また、DoS脆弱性やロー
カルでの権限昇格脆弱性など、その他さまざまな欠陥も修正されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティ警告
http://support.apple.com/kb/HT2647
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=730
n.runs のセキュリティアドバイザリ
http://www.nruns.com/security_advisory_macosx_coreservices_framework_carboncore_framework_code_execution.php
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=7&i=28#widely3
SecurityFocus BID
http://www.securityfocus.com/bid/30483
────────────────

2.危険度【重大】:CA ARCserve Backupにバッファオーバーフローの脆弱性

<影響のある製品>
ノートパソコン用およびデスクトップ用CA ARCserve Backup 11.5、およびそれ
以前のバージョン
CA ARCserve Desktop Management Suite 11.2、およびそれ以前のバージョン
CA ARCserve Protection Suites3.1、およびそれ以前のバージョン

<詳細>
CA ARCserve Backupは、企業用バックアップソリューションとして広範に使用さ
れている。機能の一部は、"LGServer"というプロセスによって提供されている。
このプロセスのユーザーインプット処理には、バッファオーバーフローがある。
このサービスへのリクエストが細工されると、この脆弱性が引き起こされる。そ
して、悪用が実現すると、脆弱なプロセス(SYSTEMの場合が多い)で任意のコード
を実行できるようになる。この脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
CAのセキュリティアドバイザリ
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=181721
ベンダーのホームページ
http://www.ca.com/us/
SecurityFocus BID
http://www.securityfocus.com/bid/30472
────────────────

3.危険度【重大】:Blue Coat K9 Web Protectionに複数の脆弱性

<影響のある製品>
Blue Cot K9 Web Protections 3.2.44、およびそれ以前のバージョン

<詳細>
Blue Coat K9 Web Protectorは、Webプロキシングおよびフィルタリング・ソリュー
ションとして広範に使用されている。しかし、HTTPヘッダー処理に複数のバッファ
オーバーフローの脆弱性がある。悪意のあるWebサイトが細工されたHTTPヘッダー
を送信すると、脆弱性のいずれかを引き起こし、脆弱なプロセスの権限で任意の
コードを実行できるようになってしまう。脆弱性の技術的詳細がいくつか公表さ
れている。

<現状>
ベンダーはこの問題を認めている。修正版ソフトウェアのベータバージョンがリ
リースされた。フル更新版は、2008年9月にリリースされる予定。

<参考>
Blue Coatのセキュリティアドバイザリ
http://www.bluecoat.com/support/security-advisories/k9_buffer_overflow
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/25813/
SecurityFocus BIDs
http://www.securityfocus.com/bid/30464
http://www.securityfocus.com/bid/30463

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
    ~セキュアプログラミングスキルを証明する世界唯一の認定~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。