NRI Secure SANS NewsBites 日本版

Vol.3 No.36 2008年9月17日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.36 2008年9月17日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          SANS Tokyo 2008 Autumn 開催決定!!
    ~世界で最も体系化された情報セキュリティトレーニング~

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者・技術者、Java開発者必須の3コースを開催■
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!
────────────────

■はじめに(Alan Paller:SANS Director of Research)

情報セキュリティ分野で2008から2009年にかけて熱いのは、アプリケーション
セキュリティ侵入テストである。その職務を担う人を準備万端にする唯一のコー
スが、3週間後にラスベガスで開催される。以下のサイトのSEC542を参照して
ほしい。
http://www.sans.org/ns2008
また、通常の侵入テスターの方も、同会場のSEC560コースでGPEN試験に向けた
学習ができる。
────────────────

■■SANS NewsBites Vol.10 No.70-71
   (原版:2008年9月5日、9月10日配信)

◆米国弁護士協会 コンピュータフォレンジックに対する私立探偵免許取得義
  務に強い異議(2008.8.28)

米国弁護士協会は8月に開催された年次会合で、コンピュータフォレンジック
サービスを行う者に私立探偵免許獲得を義務付けることの不適切さを、合衆国
に強く訴えた。
http://ridethelightning.senseient.com/2008/08/aba-resoundingl.html
────────────────

◆国家セキュリティレターに伴う緘口令の立憲性に疑問(2008.8.28)

米国第二巡回控訴裁判所の3人の判事による討議会で、FBIによる国家セキュリ
ティレター(National Security Letter)に伴う緘口令の立憲性について議論が
繰り広げられた。捜査情報を求めるレターを受け取った者は、受領の事実を口
外してはならないことになっている。問題のケースは、米国政府が下級裁判所
の「緘口令は憲法の言論の自由に違反している」という判決が控訴されたため、
また法廷で論議されることとなる。当初、このケースは、とある小さなインター
ネットサービスプロバイダに代わって米国自由人権協会(ACLU)によって訴えら
れた。
http://www.reuters.com/article/topNews/idUSN2750234720080827?feedType=RSS&feedName=topNews&rpc=22&sp=true
────────────────

◆米国兵器輸出管理法違反で元教授有罪に(2008.9.3-4)

テネシー大学(University of Tennessee)のJ. Reece Roth元教授が、部外秘の
技術をイランと中国からの留学生に教えたため、兵器輸出管理法違反18件にお
いて有罪となった。Rothは、無人車部隊用プラズマ・ガイダンスシステムに関
する米国空軍防衛プロジェクトのデータへのアクセスを、この大学院生助手2
人に許可していた。また、2006年の講義ツアー期間中にレポートや関連研究を
ノートパソコンに携帯していており、そのうち1つのレポートは中国の教授の
インターネット接続を介して、在中時にメールで届けられている。同人は、16
件の違反において1件当たり最高で10年、残り2件の違反で最高5年の懲役に処
せられる可能性がある。しかし実際には、保護観察の可能性も含め、それより
大幅に短い懲役となる模様だ。
http://www.washingtonpost.com/wp-dyn/content/article/2008/09/03/AR2008090303228_pf.html
http://tnjn.com/2008/sep/03/federal-jury-convicts-retired-/
http://www.guardian.co.uk/world/feedarticle/7772069
http://www.knoxnews.com/news/2008/sep/04/roth-case-may-be-lesson/
────────────────

◆英国消費者団体 企業にデータ侵害事実の公表を義務付けるよう欧州委員会
  に求める(2008.9.2-3)

英国消費者委員会(NCC:National Consumer Council)およびその他の欧州消費
者団体は、データセキュリティ侵害に遭った企業にその事実の公表を義務付け
る法を導入するよう、欧州委員会に求めた。賛成派は、企業が顧客データを保
護するために、より堅牢なセキュリティ対策を導入するようになると主張。ま
た、NCCはデータセキュリティ侵害関連で過失が認められた場合は罰金を課す
など、英国情報官事務局(ICO:Information Commissioner)の権限の増大も求め
ている。しかしICOは、侵害報告のための適切な基準点を設定するのは難しい
と指摘。小さなインシデントも全てこの法のカバーするところとなってしまう
と、反対に市民は侵害事件の存在に慣れてしまい、しまいには注目すらしなく
なってしまうというのだ。
http://www.out-law.com/page-9400
http://news.zdnet.co.uk/security/0,1000000189,39483398,00.htm
http://www.ncc.org.uk/about_ncc/index.php

【編集者メモ】(Schultz)
ICOの態度は、さらなる独裁的団体を生み出すだけでなく、データセキュリティ
侵害の潜在的犠牲者の利益が最優先とされなくなることを予想させる。このま
までは、市民が圧倒されるという根拠で、データセキュリティの通知を差し控
える権限を当局に与えてしまう。そうではなく、全情報を公開し、個人が自身
の情報フィルタを作成できるような仕組みを提供すべきではいか。
────────────────

◆研究者ら 埋め込み医療デバイス用に心拍をベースにした暗号化(2008.9.4)

香港中文大学の研究者らは、患者の心拍パターンを暗号化キーとする、埋め込
み医療デバイス信号の暗号化方法を開発した。人間には、若干の心拍変動があ
るため、アタッカーがそれを録音して後日使用することはできない。
http://www.heise-online.co.uk/security/Chinese-resarchers-use-heartbeats-against-implant-hacking--/news/111463
http://technology.newscientist.com/article/dn14648-heartbeat-patterns-could-keep-wireless-implants-secure.html?DCMP=ILC-hmts&nsref=news2_head_dn14648
────────────────

◆カリフォルニア州法案 小売業者にセキュリティ必須条件を課す(2008.9.8)

現在カリフォルニア州アーノルド・シュワルチェネッガー知事によって懸案さ
れている消費者データ保護法(AB1656)は、企業に対し、侵害発生時に現在より
多くの情報を提供させるたけでなく、顧客の財務情報保護の目的で企業に特定
の必須条件を課すものだが、この法案の後半部分が論争を呼んでいる。
Gartner社のアナリストAvivah Litan氏は、政府なら侵害開示規制を課すこと
はできるものの、「州がセキュリティコントロールを課すのは、完全に不適切
だ」と述べている。しかしロビイストらは、侵害で影響を受けたカードの再発
行費用を小売業者に負わせるはずだった条項が除去されたため、このバージョ
ンの可決を楽観視している。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=325574&source=rss_topic17

【編集者メモ1】(Shpantzer)
PCIはすでに、特定のコントロールを具体化しており、SB1386の制約を受ける
者は皆、報告をあげることによって生じる費用は桁外れに大きいことを知って
いる。つまり、これら情報提供について、機密情報を扱う者はすでに準備万端
ということになる。法案は切迫したものとなりつつある。
【編集者メモ2】(Schultz)
Litanの言葉は、全く実態を把握できていない。米国で有効となっている最良
のサイバーセキュリティ法は、みな州レベルのものだ。つまり、連邦政府より
も州の方が、セキュリティ関連法の必要性をよく把握できているということに
なる。
────────────────

◆シアトル州ベースの医療組織 行動プランに同意してHIPAA関連の懸念に対
  処(2008.9.8)

ワシントン州シアトルベースの組織、Providence Health & Servicesが、医療
保険の相互運用性と説明責任に関する法律(HIPAA)違反に対処するため、是正
行動計画(CAP)の適用に合意した。このプランは、Providenceと米国保険社会
福祉省(HHS)の間の解決協定の1つである。Providenceは、違反の可能性がある
ケースを調停するため、10万ドル支払う予定だ。この解決協定は、HIPAAが発
行するものとしては初めてである。暗号化されていないProvidenceの患者デー
タが保存された多数のメディアが行方不明または盗まれたことで、この問題に
発展した。CAPでは、セキュリティポリシーの徹底調査、暗号化などの技術的
データ保護の導入、抜き打ち監査の実施、HHSによる今後3年間にわたる法遵守
報告書の提出を、Providenceに要請している。協定では特に、Providenceに対
し、CAPに記載されている責務に対する異議の提唱や控訴を禁じている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=Security&articleId=325376&taxonomyId=17&pageNumber=1
http://www.dhhs.gov/ocr/privacy/enforcement/agreement.pdf
────────────────

◆米国税庁(IRS)ネットワークに1,811の未承認Webサーバ(2008.9.4-8)

税務管理のための米国財務省監査官報告書によると、国税庁(IRS)のネットワー
クに、1,800以上の未承認Webサーバが接続されていたという。監査によると、
少なくとも脆弱性が1つはあるWebサーバ2,093台が、IRSネットワークにつながっ
ているという。未承認サーバ1,811台のうち1,150台は、事業以外の目的に使わ
れていた。IRSは事業部門に対し、内部Webサイトやサーバの近代化および情報
技術サービス組織のWebサービス課への登録を義務付けている。IRSには、未登
録のサーバに対しては、新たに見つかった脆弱性にパッチを適用し、セキュリ
ティ基準に沿って継続的に設定させる方法がない。同報告書では、ネットワー
クに接続される全マシンを検知するスキャン、未承認サーバのネットワークへ
のアクセスをブロックすることなど、IRSのネットワークセキュリティを改善
するための推奨策がいくつか記載されている。
http://www.nextgov.com/nextgov/ng_20080904_3324.php
http://www.fcw.com/online/news/153690-1.html
http://www.theregister.co.uk/2008/09/05/irs_network_report/print.html
http://www.ustreas.gov/tigta/auditreports/2008reports/200820159fr.pdf

【編集者メモ1】(Pescatore)
事業部門にWebサーバを手動で登録させることが無用であることを示す事柄が
たくさん起きている。データベースには、登録されたWebサーバが2,800台あっ
たが、そのうち282台だけがネットワーク内で見つかった。つまり、登録Webサー
バの90%は存在していない。ネットワークスキャンでは、未登録のWebサーバ
1,800台がスキャンされた。ダッシュボード(計器などの指標:この場合はデー
タベース)は、本質的にエンジンにつながっていなかったようだ。たくさんあ
る自動ネットワーク発見、および基準設定をサポートできるオープンソースや
商用ツールは、信頼できる脆弱性管理プロセスに必ず必要なものだ。
【編集者メモ2】(Veltsos)
同報告書では、Webソフトウェアパックの使用数(33)が多いこと、および437台
のサーバにリスクの高い脆弱性があったことが指摘されている。
【編集者メモ3】(Honan)
ustreas.govのWebサイトの報告書には興味深い記載がある。未承認サーバとし
て検知されたものには、「無意識のうちにWebサーバとして動作しているもの」
がいくつかあったという。内蔵のWebサーバ機能がついた最近のOSでは、ユー
ザーにPCのローカル管理者権限が与えられていれば、簡単にそれが起こりうる。
未承認のWebサーバは、顧客ネットワークの弱点を監査しているときによく見
つかるアイテムでもあり、それらはデフォルト設定のままパッチが適用されて
いないことが多い。未承認のサーバがないかどうか、所有しているネットワー
クを定期的にスキャンし、危険に晒されないようにするべきだ。
────────────────

◆フランス市民 大規模なデータベースに反対(2008.9.4-9)

フランス市民および特定の政府関係者らは、13歳以上の個人で治安を侵害する
おそれのある個人の情報を保管した警察用巨大データベース、Edvigeに対して
異議を唱えている。Edvige(女性の名前)は、「サルコジ(Sarkozy)の姉」や
「電子牢獄」などとも呼ばれており、個人の意見、交友関係、性的指向、出身
種族、財務情報など、広範囲におよぶデータを保管する。政府は、このデータ
ベースはすでに何年もかけて収集された情報に対する中央管理化であり、更新
版にすぎないと主張している。
http://www.timesonline.co.uk/tol/news/world/europe/article4703054.ece
http://ca.reuters.com/article/technologyNews/idCAL434783820080904?sp=true
────────────────

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年9月5日 Vol.7 No.36)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報ですSANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ         10 (#5)
Linux                     15
Solaris 1
Novell3 (#1,#3,#4)
クロスプラットフォーム             52 (#2)
Webアプリ-クロスサイトスクリプティング     9
Web アプリ- SQLインジェクション         14
Webアプリ                    18
ネットワークデバイス              2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Novellおよび RedHatのユーザーは、今週多くの課題に取り組まねばならない。
────────────────

1.危険度【重大】:Novell eDirectoryに複数の脆弱性

<影響のある製品>
Novell eDirectory 8.8 SP3以前のバージョン

<詳細>
Novell eDirectoryは、NovellのLightweight Directory Access
Protocol(LDAP)のディレクトリサーバである。しかし、いくつかのバッファオー
バーフロー、メモリ崩壊脆弱性など、ユーザーインプット処理に複数の脆弱性
がある。リクエストが細工されると脆弱性が引き起こされ、脆弱なプロセスの
権限で任意のコードを実行できるようになってしまう。複数のクロスサイトス
クリプティング、DoS、その他の問題に、この更新は対処している。これらの
脆弱性の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Novellの変更ログ
http://www.novell.com/support/viewContent.do?externalId=3426981
製品のホームページ
http://www.novell.com/products/edirectory/
LDAPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
SecurityFocus BID
http://www.securityfocus.com/bid/30947
────────────────

2.危険度【重大】:Red Hat Directory Serverに複数の脆弱性

<影響のある製品>
Red Hat Directory Server 7.1 サービスパック7より前のバージョン

<詳細>
Red Hat Directory Serverは、Red HatのLightweight Directory Access
Protocol(LDAP)ディレクトリサーバである。しかし、Webインタフェースに、
複数のバッファオーバーフローとクロスサイトスクリプティングの脆弱性があ
る。脆弱性のいずれかの悪用が実現すると、脆弱なプロセス(通常はルート)
の権限で任意のコードを実行できるようになってしまう。また、LDAPリクエス
トの処理にある複数の脆弱性は、DoS状態発生につながってしまう。Red Hat
Directory ServerはFedora Directory Serverの商用バージョンであり、オー
プンソースでる。そのため、これらの脆弱性の技術的詳細はソースコードを分
析すれば入手できるかもしれない。Red Hat Directory Serverは、複数のOS用
にリリースされているので注意が必要だ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Red Hatのセキュリティアドバイザリ
http://rhn.redhat.com/errata/RHSA-2008-0596.html
LDAPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
製品のホームページ
http://www.redhat.com/directory_server/
SecurityFocus BIDs
http://www.securityfocus.com/bid/30869
http://www.securityfocus.com/bid/30870
────────────────

3.危険度【重大】:Novell Forumに任意のTclコマンドインジェクションの脆弱
  性

<影響のある製品>
Novell Forum 8.0より前のバージョン

<詳細>
Novell Forumは、チームカンファレンシング・ソリューションとして広範に使
用されている。しかし、ユーザーインプットの処理には、インプット検証の脆
弱性がある。リクエストが細工されるとインプット検証を回避し、任意のTcl
プログラミング言語コマンドが挿入(インジェクション)されるおそれが生じる。
これらのコマンドは、脆弱なプロセスの範囲内で実行され、脆弱なプロセスの
権限で任意のコードの実行を可能にする。この脆弱性の技術的詳細がいくつか
公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Novellのパッチ情報
http://download.novell.com/Download?buildid=6k-5X-UPnrM~
製品のホームページ
http://www.novell.com/promo/sitescape.html
Tclのホームページ
http://www.tcl.tk/
SecurityFocus BID
http://www.securityfocus.com/bid/30909
────────────────

4.危険度【高】:Novell iPrint Client ActiveXコントロールにバッファオー
  バーフローの脆弱性

<影響のある製品>
Novell iPrint Client 5.08より前のバージョン

<詳細>
Novell iPrintは、企業の印刷ソリューションとして広範に使用されている。
クライアントの機能の一部はActiveXコントロールによって提供されている。
しかし、このコントロールにおいては、いくつかのメソッドの処理にバッファ
オーバーフローがある。細工されたWebページがこのコントロールをインスタ
ンス化してこれらのメソッドを呼び出すと、バッファオーバーフローが引き起
こされる。悪用が実現すると、現在のユーザー権限で任意のコードを実行でき
るようになってしまう。この脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能を介して問題のコントロールを無効にすれば、影響を軽減でき
る。しかし、通常の機能に影響が出るおそれもあるので注意。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2008-33/advisory/
Novell の変更ログ
http://download.novell.com/Download?buildid=dv_yn4TOPmQ~
製品ホームページ
http://www.novell.com/products/openenterpriseserver/iprint.html
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/30986
────────────────

5.危険度【高】:Ultra Office ActiveXコントロールに複数の脆弱性

<影響のある製品>
Ultra Office ActiveXコントロールのバージョン2.x

<詳細>
Ultra Office ActiveXコントロールは、WebとMicrosoft Officeのその他のア
プリケーションを統合するときに用いられる。しかし、いくつかのメソッドの
処理に複数の脆弱性がある。細工されたWebページがこのコントロールをイン
スタンス化すると、脆弱性のいずれかを悪用し、犠牲者のシステムにある任意
のファイルを上書きするか、現在のユーザー権限で任意のコードを実行してし
まう。脆弱性の全技術的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
概念実証コード
http://www.shinnai.net/xplits/TXT_RvfuIrwypWLMaiVn33Iy.html
http://www.shinnai.net/xplits/TXT_NPku7jFjRufaz85U6Lxn.html
製品ホームページ
http://www.ultrashareware.com/Ultra-Office-Control.htm
SecurityFocus BIDs
http://www.securityfocus.com/bid/30863
http://www.securityfocus.com/bid/30861

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
    ~セキュアプログラミングスキルを証明する世界唯一の認定~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。