NRI Secure SANS NewsBites 日本版

Vol.3 No.35 2008年9月9日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.35 2008年9月9日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          SANS Tokyo 2008 Autumn 開催決定!!
    ~世界で最も体系化された情報セキュリティトレーニング~

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者・技術者、Java開発者必須の3コースを開催■
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!
────────────────

■■SANS NewsBites Vol.10 No.68-69
   (原版:2008年8月30日、9月3日配信)

◆欧州人権裁判所 McKinnonの強制送還とり止めず(2008.8.28)

Gary McKinnonは、米国政府のコンピュータネットワークに侵入した嫌疑によ
る米国への強制送還について異議を唱えるため欧州人権裁判所に控訴していた
が、棄却された。McKinnonは、米国で科せられる懲罰は非人道的であると主張
していた。さらに上級の裁判所へ訴えるにあたっての弁護人はもはや存在しな
い。しかし弁護人によると、新方針として、McKinnonはアスペルガー症候群で
あるということで英国内務相に上訴する構えであるという。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9113702&source=rss_topic17
http://news.bbc.co.uk/2/hi/uk_news/7585861.stm

【編集者メモ1】(Schultz)
McKinnonには、ドラマ主演賞でも与えたらどうだろう?最終的には、米国に送
還されて懲役が科せられることにちがいないのに…。とはいえ、正義から逃れ
ようと悪あがきをしている様を見るのは面白い。
【編集者メモ2】(Northcutt)
アスペルガー症候群(AS)について知らないのは私だけではないようだ……。
Wikipediaによれば、オーストリアの小児科医Has Aspergerが、言語以外のコ
ミュニケーションスキルが欠落している臨床患者について1944年に説明したも
のだ。当時、それは不十分な定義であるとして共感を得なかった。しかし50年
後、ASは診断名として標準化されている。
────────────────

◆動画共有サイトに対する起訴 棄却される(2008.8.28)

米国地方裁判所判事は、Io Group Inc.がVeoh Networksを訴えるケースを棄却
した。Veoh Networkは、著作権所有者の承認なしにコンテンツをホストしてい
たため著作権法に違反すると訴えられていた。判事は、動画共有Webサイトの
Veohはデジタルミレニアム著作権法(DMCA)の免責条項によって守られており、
ユーザーのアップロード活動に責任はないとした。著作権所有者から除去要請
があった場合に未承認コンテンツを除去さえすれば、企業は免責条項によって
保護されている。この判決は、同様の主旨でViacomに訴えられているYouTube
にとって心強いものである。この2つの裁判の大きな違いは、Ioが起訴前、アッ
プロード動画の中に著作権法に違反しているものがある旨、Veohに伝えていな
かったことにある。YouTubeの場合は、起訴前にViacomから10万件の除去要請
を受けている。
http://www.informationweek.com/news/management/legal/showArticle.jhtml?articleID=210201310
http://news.cnet.com/8301-1023_3-10028214-93.html

【編集者メモ】(Schultz)
たいへん正当な判決だ。ISPに、ユーザーの全行為を取り締まることを期待す
べきではない。しかしながら、ISPは著作権違反の通知を受けた場合には、違
反ユーザーの取り締まりに協力すべきである。
────────────────

◆米国政府と民間部門 サイバーセキュリティ責任所在の意見不一致
  (2008.8.26)

この数週間、ヘッドラインを騒がすような大きなサイバーセキュリティインシ
デントが複数件あったにもかかわらず、米国政府と民間部門は、国家のコンピュー
タネットワークのセキュリティ管理責任の所在について未だ合意に達していな
い。政府のサイバーセキュリティが集中管理されていないこと、また、国家の
重大なインフラの多くが民間のネットワークで運用されているということが、
この問題を悪化させている。しかし、今のところ、クレジットカード番号情報
数百万件に関連するサイバー窃盗団、重大なDNS脆弱性、グルジア政府Webサイ
トに対する政治的要因でのアタックなど、最近のインシデントによって大統領
候補らの陣営が認識できるような影響は生じていない。
http://www.latimes.com/business/la-fi-security26-2008aug26,0,2021258.story
────────────────

◆カリフォリニア集議会 厳格なデータ保護法を可決(2008.8.31)

カリフォルニア州議会は、顧客の個人情報を保持する小売業者に対して堅牢な
データ保護方法の適用を義務付ける法案を、ほぼ満場一致で可決した。同法は、
特別にクレジットカード番号とデビットカード番号、検証コード、暗証番号
(PIN)について言及している。財務データを保持する選択をした組織は、クレ
ジットカード産業に定められたセキュリティガイドラインに従わなければなら
ない。ガイドラインには、職務を遂行する上でその情報が必要な者にのみデー
タへのアクセス権を与える、などの文言がある。ファイヤウォールの強化だけ
でなく、データが通信される際には全データの暗号化も必須とされている。昨
年、同様の法案が知事によって否認された。今回の新バージョンからは、「侵
害発生時にクレジットカードやデビットカードの再発行費用の責任を企業に負
わせる」という条項が排除され、「侵害の影響を受ける顧客に通知するうえで
生じた費用は企業が被る」ことを義務付けている。
http://www.mercurynews.com/breakingnews/ci_10351650

【編集者メモ】(Veltsos)
2007年5月、ミネソタ州が「年間2万件以上の取引がある企業は、ペイメントカー
ド産業デジタルセキュリティ基準(PCI)の必須コア条件を遵守しなければなら
ない」という法案を可決した米国初の州になった。この法案の責任条項部分は、
2008年8月1日に有効となった。同責任条項では、遵守できていなかった企業に
対し、新カード発行の費用を負う責任を課している。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9020923
https://www.revisor.leg.state.mn.us/laws/?id=108&year=2007&type=0
────────────────

◆米軍 民間産業のデータ保護情報をリクエスト(2008.8.28-9.1)

企業の情報システムプログラム執行局、および獲得・物流・技術における軍次
官補は、民間産業が機密データの保護に採用している技術や手順についての情
報をリクエストした。軍関係者は今後の調達命令に、データセキュリティにつ
いて必要なルールを加える目的でその情報を求めているという。
http://www.fcw.com/online/news/153643-1.html
http://www.fcw.com/online/news/153662-1.html
https://www.fbo.gov/index?s=opportunity&mode=form&id=66db1462de18d0b15e1c8a10fdfb7383&tab=core&_cview=0
────────────────

◆米国を通過するインターネット通信量 減少(2008.8.30)

他国が次世代インターネット技術にますます投資していることもあり、米国を
通過するインターネット通信は減少し始めている。通信が米国を主に通過して
いれば、米国諜報機関にとって朗報となる。しかし、愛国法の一節にもあるよ
うに、米国内ではプライバシー侵害とされるおそれがあると考え、米国システ
ムでの顧客データ保管の回避や、米国ベースのスイッチング環境を通過するイ
ンターネット通信の阻止の方法を模索するようになった国が少なくない。さら
に、経済的な理由で自国のデータネットワーク開発を始めた国もある。
http://www.nytimes.com/2008/08/30/business/30pipes.html?_r=2&oref=slogin&adxnnlx=1220288467-RTpZWRCL6wK%2001BeAvKejw&pagewanted=print


--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年8月29日 Vol.7 No.35)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報ですSANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows             1
サードパーティのWindowsアプリ          6 (#1,#2,#3)
Linux                      3
BSD 1
Solaris 3
Unix1
クロスプラットフォーム             13
Webアプリ-クロスサイトスクリプティング     14
Web アプリ- SQLインジェクション         32
Webアプリ                    32
ネットワークデバイス              1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

よき1週間だった! 際立って重大な脆弱性なし。
────────────────

1.危険度【重大】:JustSystems一太郎にリモートのコード実行の脆弱性

<影響のある製品>
JustSystems一太郎2008、およびそれ以前のバージョンにも脆弱性がある可能


<詳細>
JustSystems一太郎は、日本で2番目に使用されているワープロアプリケーショ
ンだが、アジアでも広範に使用されている。しかし、文書処理にリモートのコー
ド実行の脆弱性がある。文書が細工されると引き起こされ、現在のユーザー権
限で任意のコードを実行できるようになってしまう。設定によっては、このよ
うな文書は受信時にユーザーへのプロンプトなしに脆弱なアプリケーションに
よって開かれる。報告によると、この欠陥は巷間激しく悪用されているという。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
JustSystemsアドバイザリ(日本語)
http://www.justsystems.com/jp/info/pd8002.html
製品ホームページ
http://www.ichitaro.com/
SecurityFocus BID
http://www.securityfocus.com/bid/30828
────────────────

2.危険度【高】:Novell iPrint ClientのActiveXコントロールに複数の脆弱性

<影響のある製品>
Novell iPrint Client ActiveXコントロール5.06、およびそれ以前のバージョ


<詳細>
Novell iPrintは、ネットワーク文書印刷のソリューションとして広範に使用
されている。このクライアント機能の一部は、ActiveXコントロールとして組
み込まれている。しかし、このコントロールのさまざまなパラメータおよびメ
ソッド処理には、複数の脆弱性がある。細工されたWebページがこのコントロー
ルをインスタンス化すると、脆弱性のいずれかが引き起こされ、現在のユーザー
権限で任意のコードを実行できるようになってしまう。その他の脆弱性は、任
意のファイル上書きから情報開示までの範囲に及ぶ。脆弱性の技術的詳細が公
表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。しかし、今回の
更新で全ての問題が解決されるとは考えられていない。Microsoftの"kill bit"
機能を介して問題のコントロールを無効にすれば、影響を軽減できる。しかし、
通常の機能に影響が出るおそれもあるので注意。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2008-27/advisory/
http://secunia.com/secunia_research/2008-30/advisory/
Novellのダウンロードページ
http://download.novell.com/Download?buildid=_BILqzyqc2g~
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/30813
────────────────

3.危険度【高】:Anzio Web Print Objectにバッファオーバーフローの脆弱性

<影響のある製品>
Anzio Web Print ObjectのActiveXコントロール3.2.30より以前のバージョン

<詳細>
Anzio Web Print Object(WePO)は、プッシュ印刷ソリューションとして広範に
使用されており、その機能はActiveXコントロールによって提供されている。
しかし、このコントロールにおいて、"mainurl"パラメータ処理にバッファオー
バーフローがある。Webページによってこのコントロールがインスタンス化さ
れると引き起こされ、現在のユーザー権限で任意のコードが実行できるように
なる。この脆弱性の概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能をCLSID"4CE8026D-5DBF-48C9-B6E9-14A2B1974A3D"に設定して
問題のコントロールを無効にすれば、影響を軽減できる。しかし、通常の機能
に影響が出るおそれもあるので注意。

<参考>
Core Securityのアドバイザリ
http://www.coresecurity.com/content/anzio-web-print-object-buffer-overflow
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/30545.html
製品ののホームページ
http://www.anzio.com/download-wepo.htm
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/30545

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
    ~セキュアプログラミングスキルを証明する世界唯一の認定~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。