NRI Secure SANS NewsBites 日本版

Vol.3 No.37 2008年9月22日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.37 2008年9月22日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
        SANS Tokyo 2008 Autumn 開催まであと1か月!!

 「セオリーではなく"どのように課題を克服するか"を学ぶ」
              それがSANSのトレーニングカリキュラムです。

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者の方は-> SEC401 Security Essentials...
   ■ネットワーク技術者の方は-> SEC504 Hacker Techniques...
   ■Java開発者の方は-> SEC541 Secure Coding in Java/JEE...
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!
────────────────

■■SANS NewsBites Vol.10 No.72-73
   (原版:2008年9月12日、9月17日配信)

◆SCADAの脆弱性にエクスプロイトコードリリースされる(2008.9.10)

CitectSCADAソフトウェアにある脆弱性を悪用するアタックコードが公表され
た。このコードを公表した人物は、「ベンダーらに、製造したソフトウェアに
ついて責任を問われていない現状を踏まえ、SCADA(Supervisory Control And
Data Acquisition)システムのセキュリティ欠陥についての認識を高めるため
に公表した」と述べている。このコードはMetasploitのソフトウェアモジュー
ルとしてリリースされたので、手軽に使用できるという。CitectSCADAにある
脆弱性は2008年6月に公表された。その際、パッチも同時にリリースされてい
る。しかしながら、産業システムへのパッチ適用には独特の懸念事項がある。
これらのシステムは、電力や水道などの重要インフラ要素を制御するため、停
止している時間があると、大きな問題が生じるかもしれないからだ。
http://www.networkworld.com/news/2008/091008-computer-threat-for-industrial-systems.html?hpg1=bn

【編集者メモ】(Schultz)
SCADAシステムのベンダーは、確かに顧客のニーズに敏感に対応していない。
まるでシステムにある脆弱性に気付いていないかのような態度をとっているこ
とがほとんどだ。アタッカーがこのアタックコードを使用し始めたらどうなっ
てしまうのだろうと考えると本当に恐ろしいが、CitectSCADA脆弱性のエクス
プロイトが掲示されば、ベンダーをその無頓着ぶりから抜け出させる手助けに
なるだろう。
【ゲスト編集者メモ】(Raul Siles)
インターネットストームセンターが、関連するポートのDshieldから大量に発
生しているアタックや通信を検知できるSnortの定義ファイルを提供している。
とういことは、この脆弱なポートはちまたでターゲットになっているというこ
とだ。
http://isc.sans.org/diary.html?storyid=4997
────────────────

◆携帯電話会社の保存情報へのアクセスには令状が必要(2008.9.10-11)

ペンシルバニア州西部地区米国地方裁判所は、「容疑者の過去の動きを追跡す
るために警察が携帯電話会社の保存情報にアクセスするには、相当の理由に基
づく令状を獲得しなくてはならない」という下級裁判所の判決を維持した。以
前の判例では、警察が電話利用者の動きをリアルタイムで追跡する際、相当な
理由に基づく令状が必要という判決だった。しかし、今回の判決に至る前まで
は、このような昔の記録を、政府は捜査令状なしに差し押さえていたという。
http://www.securityfocus.com/brief/817
http://www.eff.org/press/archives/2008/09/11
http://www.eff.org/files/filenode/celltracking/lenihanorder.pdf

【編集者メモ】(Northcutt)
この判決は完ぺきに理にかなっている。令状を取ることはさほど難しくない。
しかし、警察だからといって監査証跡なしに個人情報にアクセスできるとなれ
ば、職権濫用につながるだけだ。
────────────────

◆ロックアウト・アタックでサンフランシスコ市のネットワーク修正に100万
  ドル(2008.9.10-11)

カリフォルニア州サンフランシスコ市の技術部門は、元システム管理者Terry
Childsが引き起こした同市のコンピュータネットワーク被害の修正にかかる費
用が、100万ドル以上にのぼると推算した。Childsには、FiberWanネットワー
クにスーパーパスワードを作成して上司を管理者アクセスから締め出した嫌疑
がかけられている。市長が拘置所に直々に訪ねてくるまで、そのパスワードを
明かさなかったという。保釈金は500万ドル。また、市関係者はChildsがイン
ストールした「ターミナル・サーバ」と呼ばれるネットワークデバイスの特定
を試みている。このデバイスは、Childsがこのネットワークにリモートアクセ
スできるようにするものだ。その物理的な位置がわからないため、ログインで
きずにいる。
http://www.theregister.co.uk/2008/09/10/rogue_sf_sysadmin_may_cost_sf_1m/print.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9114479&source=rss_topic17
────────────────

◆Google ユーザーの検索データの保存期間を短縮する(2008.9.9-12)

Googleは、欧州連合法29条推進団体による懸念の声に対応し、ユーザーの検索
データを匿名化するまでの期間をこれまでの半分にした。Googleは以前にも匿
名化プロセス始動までのデータ維持期間を24か月から18か月に短縮している。
今回の対応で、データ維持開始9か月で匿名化を始動することになる。EUの司
法・内務官Jacques Barrot氏は、Googleのこの対応を「正しい方向への一歩」
と称したものの、さらに6か月に短縮することを望んでいる。
http://news.bbc.co.uk/2/hi/technology/7605801.stms
http://news.smh.com.au/technology/eu-justice-chief-welcomes-google-privacy-move-20080222-1tt6.html
http://www.nzherald.co.nz/feature/story.cfm?c_id=1501833&objectid=10531528

【編集者メモ】(Pescatore)
6か月は、確かに18か月よりはいい。しかし、一体なぜ即座に匿名化しないの
だろう?
────────────────

◆バージニア州最高裁判所 アンチスパム法はあまりにも広義(2008.9.12-13)

バージニア州最高裁判所は、バージニア州アンチスパム法および同州のアンチ
スパム法は原告の合衆国憲法修正第1条(言論の自由)を侵害しているという
下級裁判所によるスパム法裁定を覆した。本件で、Jeremy Jaynesは2005年に
懲役9年の刑を言い渡されている。2004年にAOLの顧客1万人に迷惑メールを送
信したとして3つの罪で有罪となった。盗んだデータベースからAOLのアドレス
を獲得したという。裁判所は、バージニア州アンチスパム2003年法は、商用メッ
セージと政治的メッセージを区別しておらず、この見解では、Federalist
Papers(アメリカ合衆国法の注釈書)が同様の方法で送信されても法違反になっ
てしまうので、同法はあまりに広義であると判断した。
http://www.theregister.co.uk/2008/09/13/virginia_overturns_antispam_conviction/
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9114618&source=rss_topic17
────────────────

◆米国上院議会 連邦情報セキュリティ管理2008年法を提案(2008.9.12)

米国のTom Carper上院議員(デラウェア州民主党)とJoseph Lieberman上院議員
(コネチカット州、無所属)は、法案3474、連邦情報セキュリティ管理2008年
法を提案した。条項には、連邦政府局各局に情報セキュリティ最高責任者
(CISO)を置くことを必須とする部分があり、CISOにはセキュリティポリシーが
守られなかった場合、ネットワークへのアクセスをブロックする権限が与えら
れている。また、国土安全保障省(DHS)に対し、アタッカーが機密政府情報に
アクセスできるかどうかを判定する年次テストの実施も義務付けている。
Carper上院議員は、現在の連邦情報セキュリティ管理法は、連邦政府のコンピュー
タネットワークセキュリティの状態を把握する効果的措置というよりは、むし
ろ単なる事務作業にほかならないと述べた。
http://www.nextgov.com/nextgov/ng_20080912_7543.php
http://www.fcw.com/online/news/153773-1.html?type=pf

【編集者メモ1】(Schultz)
FISMAの2002年版はもうすぐ過去の遺物になるだろう。今回の新FISMAは、少な
くとも米国政府局および省庁のサイバーセキュリティの向上を実現するための
スタートになると思う。FISMAの法遵守達成を目指したことのある人ならば、
それがまさに事務作業のゲームであり、実世界のセキュリティリスクに対抗で
きるものとはほど遠いことを知っているはずだ。
【編集者メモ2】(Pescatore)
CISOに権限があることはいいことだ。しかしそれはその権限に、予算へ働きか
ける力があり、政府が実際にセキュリティ資金を予算リクエストの一部に組み
込んでくれるようになればの話だ。DHSに民間産業と競わせてセキュリティ監
査をやらせようという行為は、賢いとはいえない。民間には盛んなセキュリティ
監査市場があるため、どの政府局のテストよりも効果的かつ高効率であるに違
いないのだから。
【編集者メモ3】(Paller)
John Pescatoreのコメントには、連邦政府のサイバーセキュリティについての
あられもない秘密が描写されている。連邦政府局の書面での約束によれば、IT
プロジェクト予算の特定の割合(4-8%)をサイバーセキュリティに充てるとい
うことだった。連邦政府関係者に多くのインタビューを行ってきた私の想像で
は、実際にセキュリティに費やされたのは約束額のたった35~45%だと思う。
残りの資金は他の用途に充てられたのだろう。つまり、CIOが「IT予算の特定
の割合(先に予算文書で約束された割合)をサイバーセキュリティに費やして
いる」と議会で証言したら、それは間違いなく嘘である。新FISMA2008年法で
は、行政予算管理局(OMB)および国立標準技術研究所(NIST)における旧法導入
で生じた最も難しい3つの問題を解決している。サイバーセキュリティ専門家
らは、連邦政府のサイバーセキュリティ資金が、セキュリティを改善できもし
ない報告書を作成するだけのコンサルタントを雇うために使用されるのではな
く、実際にシステムの安全化に使用されることを望んでいる。この新法は、そ
んな専門家たちにとって新風となるだろう。
────────────────

◆米国下院議会・分科委員会 FERCの権限拡大についての公聴会を開催
  (2008.9.11-15)

米国下院・米国下院エネルギーおよび商業対策委員会・エネルギーおよび大気
環境分科委員会は、米国連邦エネルギー規制委員会(FERC)の米国内電力網に関
する権限を拡大する法を作成中である。先週の議員証言で示されたように、国
の重要インフラへのサイバーアタックの可能性についての懸念が高まってきた
ことを受けてこの動きに転じた。今週末に開かれた公聴会で、各産業代表らは
プロセスについて意見を述べ、差し迫った脅威を伴う事件発生時に備え、連邦
政府の権限を強化する考えを歓迎した。また、どの権限が該当するのか政府は
曖昧なままにしてははならないと述べたほか、同法は注意深く作成されるべき
だとしている。
http://www.govexec.com/story_page.cfm?articleid=40940
http://news.cnet.com/8301-13578_3-10040101-38.htmls
http://www.fcw.com/online/news/153769-1.htmls
http://uaelp.pennnet.com/display_article/339577/22/ARTCL/none/none/1/FERC-boss-asks-House-subcommittee-for-more-authority-over-cyber-security-standards/
http://energycommerce.house.gov/cmte_mtgs/110-eaq-hrg.091108.Cybersecurity.shtmls

【編集者メモ】(Pescatore)
公益事業に対して、サイバーセキュリティが十分であることを実証させる機能
の向上が明らかに必要だ。しかし私は、今後10年の間に、サイバーアタックに
よる停電はその他の事由による停電の1%以下になるだろうと考えている。公
益事業が民間市場の自由化に直面し、セキュリティ監視の一元管理化が一層進
んでもその割合は変わらないだろうし、また、それ以上よくなることもない。
────────────────

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年9月13日 Vol.7 No.37)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報ですSANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     7 (#1, #2)
Microsoft Office                1 (#4)
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          5
Linux                      3
BSD                       4
Aix                       1
クロスプラットフォーム             29 (#3)
Webアプリ-クロスサイトスクリプティング     9
Web アプリ- SQLインジェクション         25
Webアプリ                    11
ネットワークデバイス              8
======================================================================

Apple QuickTimeとMicrosoft Windowsが今週の大きな問題である。
                (Alan Paller:SANS Director of Research)
────────────────

1.危険度【重大】:Microsoft Windows Media Playerにリモートのコード実行
  の脆弱性(MS08-054)

<影響のある製品>
Microsoft Windows Media Player 11
Microsoft Windows XP
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
Microsoft Windows Media Playerのサーバサイド・プレイリスト(SSPL)処理に
は欠陥がある。SSPLはクライアントによって再生されるコンテンツリストを特
定するものだ。SSPLが細工されるとこの脆弱性が引き起こされ、メモリ崩壊状
態になるおそれがある。悪用が実現すると、現在のユーザー権限で任意のコー
ドを実行できるようになってしまう。デフォルト設定では、悪意のあるデータ
も受信時(Webページを開いたときなど)に開かれてしまうおそれがある。こ
の脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms08-054.mspx
サーバサイド・プレイリストに関する情報
http://msdn.microsoft.com/en-us/library/ms753585(VS.85).aspx
SecurityFocus BID
http://www.securityfocus.com/bid/30550
────────────────

2.危険度【重大】:Microsoft Windows GDI+に複数の脆弱性(MS08-052)

<影響のある製品>
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows 2000上のMicrosoft Internet Explorer 6
Microsoft Windows 2000上のMicrosoft .NET Framework

<詳細>
Microsoft Windows用Graphics Device Interface(GDI+)サブシステムは、モニ
ターやプリンタなど、アウトプットデバイスに画像をレンダリングするときに
用いられる。しかし、さまざまなファイル形式の処理に複数の脆弱性がある。
Vector Markup Language(VML)、Enhanced Metafile(EMF)、Graphics
Interchange Format(GIF)、Windows Metafile(WMF)、Windows Bitmap(BMP)ファ
イルの処理にある欠陥は、さまざまな欠陥に発展するおそれがあり、現在のユー
ザー権限での任意のコード実行につながる可能性もある。Microsoft Internet
Explorerなど、GDI+を画像レンダリングに使用するアプリケーションは、これ
らの欠陥に脆弱である。Microsoft Internet Explorerにおいては、少なくと
も脆弱なファイル形式のいくつかは、受信時に即座に開かれてしまう。これら
の脆弱性の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-052.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-056/
http://zerodayinitiative.com/advisories/ZDI-08-055/
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=743
影響を受けるファイル形式についてのWikipediaの説明
http://en.wikipedia.org/wiki/Vector_Markup_Language
http://en.wikipedia.org/wiki/BMP_file_format
http://en.wikipedia.org/wiki/Enhanced_Metafile
http://en.wikipedia.org/wiki/Graphics_Interchange_Format
SecurityFocus BIDs
http://www.securityfocus.com/bid/31021
http://www.securityfocus.com/bid/31020
http://www.securityfocus.com/bid/31018
http://www.securityfocus.com/bid/31022
http://www.securityfocus.com/bid/31019
────────────────

3.危険度【重大】:Apple QuickTimeに複数の脆弱性

<影響のある製品>
Apple QuickTime 7.4.5より以前のバージョン

<詳細>
QuickTimeは、Apple Mac OS XとMicrosoft Windows用のApple製ストリーミン
グメディアフレームワークだ。しかし、さまざまなメディア形式の処理に複数
の脆弱性がある。QuickTime VRストリームやPICT画像ファイル、もしくは
QuickTime動画が細工されると、これらの脆弱性が引き起こされる。脆弱性の
いずれかの悪用が実現すると、現在のユーザー権限で任意のコードを実行でき
るようになってしまう。QuickTimeは、Apple OS Xにデフォルトでインストー
ルされており、Microsoft WindowsではSafariブラウザやiTunesに同梱されて
いる。これらの脆弱性のうち少なくとも1つの全技術的詳細が公表されている。
影響を受けるコンテンツについては、ユーザーに前もってプロンプトせず、受
信と同時に表示されてしまうことが多い。

<参考>
Appleのセキュリティ警告
http://support.apple.com/kb/HT3027
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-062/
http://zerodayinitiative.com/advisories/ZDI-08-061/
http://zerodayinitiative.com/advisories/ZDI-08-060/
http://zerodayinitiative.com/advisories/ZDI-08-059/
http://zerodayinitiative.com/advisories/ZDI-08-058/
http://zerodayinitiative.com/advisories/ZDI-08-057/
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=744
Roee Hayによるブログ記事
http://blog.watchfire.com/wfblog/2008/09/quicktime-patch.html
製品のホームページ
http://www.apple.com/quicktime
SecurityFocus BID
http://www.securityfocus.com/bid/31086/references
────────────────

4.危険度【高】:Microsoft Office OneNoteにURL処理の脆弱性

<影響のある製品>
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007
Microsoft Office OneNote 2007

<詳細>
Microsoft OneNoteは、Microsoft Officeとともに使用されるデジタルノート
ブックである。しかし、"onenote://"URLの処理に欠陥がある。細工された
OneNote URLをクリックすると、この脆弱性が引き起こされる。悪用が実現す
ると、現在のユーザー権限で任意のコードを実行できるようになる。ただし、
ユーザーが悪意のあるリンクをクリックしなければ実現しない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-055.mspx
Insomniaのセキュリティアドバイザリ
http://www.insomniasec.com/advisories/ISVA-080910.1.htm
Microsoft TechNetのブログ記事
http://blogs.technet.com/swi/archive/2008/09/09/ms08-055-microsoft-security-response-process-behind-the-scenes.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/31067/
────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
    ~セキュアプログラミングスキルを証明する世界唯一の認定~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。