NRI Secure SANS NewsBites 日本版

Vol.3 No.38 2008年10月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.38 2008年10月1日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
        SANS Tokyo 2008 Autumn 開催まであと1か月!!

 「セオリーではなく"どのように課題を克服するか"を学ぶ」
              それがSANSのトレーニングカリキュラムです。

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者の方は-> SEC401 Security Essentials...
   ■ネットワーク技術者の方は-> SEC504 Hacker Techniques...
   ■Java開発者の方は-> SEC541 Secure Coding in Java/JEE...
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■はじめに(Alan Paller:SANS Director of Research)

Ellen Nakashima氏が今朝のワシントンポスト紙に、昨日の議会公聴会の報告
記事を書いている。それによると、「実損害につながるサイバーアタック事件
について、米国政府が情報共有を渋る」傾向にあるとのことである。
http://www.washingtonpost.com/wp-dyn/content/article/2008/09/18/AR2008091803730.html
公聴会が始まった途端、元米国国防省長官で現在は戦略国際問題研究所
(Center for Strategic and International Studies)のJohn Harmy所長が、米
国サイバーイニシアチブ(US National Cyber Initiative)を紹介し、「サイバー
問題について議論しないまま、一体どうやってその修正を試みようというのか?」
と口火を切った。確かにその通りである。

PS:
サイバーフォレンジックサミットを運営するエキスパートらが、「フォレンジッ
クにおける7つのトレンド」リストをまとめている。興味深い内容だ。
SANS:2008年におけるIRおよびフォレンジックトレンドのトップ7
http://forensics.sans.org/community/top7_forensic_trends.php
中国および民間のアタック分析に用いられている最新技術がカバーされている
10月10日のサミットのデータはこちら:
http://www.sans.org/forensics08_summit
────────────────

■■SANS NewsBites Vol.10 No.74-75
   (原版:2008年9月20日、9月24日配信)

◆米国下院・分科委員会で 国土安全保障省のサイバーセキュリティ欠陥につ
  いて証言(2008.9.17)

新興の脅威・サイバーセキュリティ・科学技術についての米国下院分科委員会
(US House Subcommittee on Emerging Threats, Cybersecurity, Science and
Technology)において、ブッシュ政権のサイバー軍備への取り組みに批判的な
証言がなされた。戦略国際問題研究所(Center for Strategic and International
Studies)の「第44代大統領のためのサイバーセキュリティ委員会」の委員らは、
「国土安全保障省(DHS)は、民間セクター組織や他国と信頼関係だけでなく協
力関係すら構築できていない」と述べた。同委員会は、必要なセキュリティ認
可および大統領へのアクセスを含む、高官の管理的サイバーセキュリティの姿
勢を整えるなどの解決策を提案した。つまり、サイバーセキュリティの責任を
DHSからホワイトハウスに移行することである。政府説明責任局(GAO)はこの公
聴会で、同様の所見報告を発表した。GAOの報告書には、US CERTの欠陥につい
て具体的な指摘がなされている。「同チームには、国家の重要インフラの運営
についての総括的かつ基本的な理解が不足しているだけでなく、全ての重要イ
ンフラの情報システムを監視しているわけでもない。また、有効かつタイムリー
な警告を一貫して発することができているわけでもないし、国家的に重大なイ
ンシデントが同時多発的に発生した場合に、影響緩和や修復を支援できる能力
にも欠けている」という。しかし、DHSはこの公聴会で発表された所見を軽視
している様子で、政治批判はいつものこと、との意を表した。
http://blogs.usatoday.com/technologylive/2008/09/a-bi-partisan-c.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9114938&source=rss_topic17
http://www.theregister.co.uk/2008/09/17/gao_criticizes_us_cert/print.html
http://www.businessweek.com/pdfs/2008/0916_cyberanalysis_and_warning.pdf
http://www.nextgov.com/nextgov/ng_20080917_9296.php
────────────────

◆電子データ捜査を明確化する法案(2008.9.17)

米国下院のLoretta Sanchez議員(カリフォルニア州民主党)は、国境セキュリ
ティ捜査説明責任2008年法(Border Security Search Accountability Act of
2008)を提案した。この法案は、旅行者の電子データを保護するための具体的
な手順を設けるものである。また、国土安全保障省(DHS)に対し、電子メディ
アを国境で捜査するための既存手順の開示、および国境監視員が差し押さえた
全デバイスについての報告書の四半期ごとの公表を義務付けている。また、
DHS職員がデバイスを維持できる期間を制限し、デバイス内の私有データに対
する保護を強化しなければならないとしている。デバイスを差し押さえられた
人は、受理票と実際にデータが検査された方法、およびデータがコピーされた
かどうかの確認書を書面で受け取ることになる。また、旅行者がどのような扱
いを受けるのかがわかるように、その権利が明確に掲示されていなければなら
ない。
http://www.securityfocus.com/brief/821
http://thomas.loc.gov/home/gpoxmlc110/h6869_ih.xml

【編集者メモ1】(Schultz)
合衆国憲法修正第4条では、市民は理不尽な不安や捜査、差し押さえから保護
されるとなっている。しかし、電子メディアとともに米国国境を越える旅行者
には、条文で謳われている保護が適用されていない場合が多い。この法案が成
立すれば、ここ10年で国境を越える人が失くしてしまった多数の個人の権利の
うち、少なくともいくつかを回復できるようになるだろう。
【編集者メモ2】(Honan)
米国の蚊帳の外にいる大多数の人は、この状態を皮肉な目で見ている。国土安
全保障省は米国企業および政府の出張者に対し、海外出張の際の携帯用デバイ
スのデータをセキュアにする方法をアドバイスしていると……。
http://file.sunshinepress.org:54445/dhs-travel-threat-assessment-2008.pdf
────────────────

◆Microsoft SDL手順を共有する計画を発表(2008.9.16-18)

Microsoftは11月からSecurity Lifetime Development(SDL)手順コンポーネン
トのうち3つを、他のソフトウェア企業にも提供するという。このプログラム
は、安全なソフトウェア開発を産業界全体にプロモーションすることを目的と
しており、MicrosoftがSDL Threat Modeling Tool、SDL Optimization Model、
およびSDL Pro Networkを導入した際に分かったことを提供するように設計さ
れている。最初の2つのコンポーネントは11月に公表される。SDL Pro Network
については、初年度は特定の組織に向けて提供されるようだ。
http://www.heise-online.co.uk/security/Microsoft-to-support-secure-software-development--/news/111557
http://www.securityfocus.com/brief/820

【編集者メモ】(Honan)
Microsoftは、安全でない製品を出してきたということで、長い間評判が良く
なかった。しかし今は、セキュリティに対するMicrosoftのアプローチに大き
な変化が現れていることを、産業界として認めなければならない。今回のこと
は一例に過ぎないが、これで他のベンダーもMicrosoftの先導的な動きに続く
ようになるだろう。
────────────────

◆厳格化されたID情報窃盗対策法 大統領の調印を残すのみ(2008.9.17-20)

ID情報窃盗対策実施および損害賠償2008年法(Identity Theft Enforcement
and Restitution Act of 2008)が、米国議会の両院で可決され、あとは大統領
の調印を残すのみとなった。同法では、IDや情報の窃盗の定義を言及している
だけでなく、有罪になった者の懲罰も厳罰化している。また、情報窃盗犯を起
訴するための損害レベルの下限を排除した。さらに、ID情報窃盗の犠牲者には、
犯人に損害賠償を請求する裁判を起こす権利も付与される。
http://www.vnunet.com/vnunet/news/2226560/identity-theft-bill-set
http://www.eweek.com/c/a/Security/Congress-Approves-Computer-Fraud-Bill/
────────────────

◆ネバダ州のデータ暗号化法 10月1日から有効に(2008.9.19)

企業に対し、個人情報を含む全てのインターネット通信を暗号化することを義
務付けるネバダ州法が、2008年10月1日に有効となる。この問題を見守ってき
た弁護士は、「暗号化とはどういうものか」についての定義や、産業基準につ
いての言及が非常に曖昧であるほか、同法の違反者がどのように懲罰されるの
かについても定かではないことなど、同法についての懸念を隠せないでいる。
http://blog.baselinemag.com/bottom_line/content/security/nevada_deadline_on_email_encryption_looming.html

【編集者メモ】(Schultz)
興味深いことに、この法に対する批判と同じような批判が、情報セキュリティ
侵害法・上院法案1386(SB1386)にも向けられてきた。しかしながら、SB1386
が米国のほとんどの州において、データセキュリティ通知の分野で大きなイン
パクトを与えていえることは否めない。
────────────────

◆ノースカロライナ州 投票用紙への正しい書き込みができるようにスキャナ
  を使用(2008.9.19)

この11月、ノースカロライナ州の有権者は、スキャナを使って投票内容を記録
し、書き込み内容で正しく投票できるようになる。つまり、信頼度は向上する
ことになる。同州には100以上の投票所がある。有権者は投票用紙に選出した
い人名をマークし、投票所職員がその有権者承認フォーム、および投票用紙を
スキャンする。スキャンした際、投票内容に異常があれば、検知される。スキャ
ナは、同州で5月に予備選挙が行われた際に複数の市町村でテストされた。今
度の11月の選挙では、全ての投票区でスキャナが使用されるという。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=210602730
────────────────

◆調査報告:過去にサイバーアタックを受けた企業 全体の3分の2(2008.9.22)

米国司法省の2005年度・米国コンピュータセキュリティ調査によると、調査に
回答した7,800社の3分の2以上が、年度内に少なくとも1回はサイバー犯罪イン
シデントを経験していたという。これらのインシデントには、サイバーアタッ
ク、サイバー窃盗など、さまざまな種類があった。サイバーアタックの4分の3
は、組織の外部から発信されたものだった。組織内に端を発するサイバー窃盗
の割合も同様に4分の3だった。また、サイバー窃盗の過半数については報告が
あげられていたものの、サイバーアタックについてはたった6%にとどまる。
http://www.securityfocus.com/brief/825
実際の調査結果はこちら:
http://www.ojp.usdoj.gov/bjs/pub/pdf/cb05.pdf
────────────────

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年9月19日 Vol.7 No.38)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報ですSANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
サードパーティのWindowsアプリ          7 (#4, #6, #7)
Mac Os                      2 (#1)
Linux                      8 (#3, #5)
クロスプラットフォーム             14 (#2)
Webアプリ-クロスサイトスクリプティング      9
Web アプリ- SQLインジェクション         26
Webアプリ                    27
ネットワークデバイス               3
======================================================================

Apple MacsおよびApple Quicktimeが、今週の重大な脆弱性リストのトップを
飾っている。そして、Red Hat IPAとLANDeskがそれを締めくくっている。
                (Alan Paller:SANS Director of Research)
────────────────

1.危険度【重大】:Apple Mac OS Xに複数の脆弱性(セキュリティアップデート
  2008-006)

<影響のある製品>
Apple Mac OS X 10.5.5より以前のバージョン

<詳細>
Apple Mac OS Xのさまざまなサブシステムには複数の脆弱性がある。これらの
脆弱性は、リモートのコード実行から情報開示やDoSまでいろいろである。リ
モートのコード実行の脆弱性のほとんどは、ファイル解析の脆弱性から来てい
る。しかし、同梱のClamAV商品にある欠陥は、悪意のあるメールによって引き
起こされるおそれがある。その他のローカル限定および昇格の脆弱性は、今回
のアップデートで対処されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3137
SecurityFocus BID
http://www.securityfocus.com/bid/31189
────────────────

2.危険度【重大】:Apple QuickTimeにメモリ崩壊の脆弱性

<影響のある製品>
Apple QuickTime 7.5.5およびそれ以前のバージョン
Apple iTunes 8.0 およびそれ以前のバージョン

<詳細>
QuickTimeは、Apple Mac OS XおよびMicrosoft Windows用のApple製ストリー
ミングメディアフレームワークである。そして、iTunesはQuickTimeをベース
にしたAppleの楽曲およびメディア管理アプリケーションだ。しかし、
QuickTimeの特定のファイル構成の解析処理に欠陥がある。QuickTimeファイル
が細工されるとこの欠陥が引き起こされ、メモリ崩壊に至る可能性がある。ま
だ確認はとれていないものの、悪用されると、現在のユーザー権限でリモート
のコード実行ができるようになる可能性がある。また、この欠陥は、ユーザー
がQuickTimeブラウザのプラグインをインストールしていた場合、悪意のある
Webページを介して実行されるおそれもある。問題のプラグインは、QuickTime
フレームワークとともにデフォルトでインストールされている。この脆弱性の
全技術的詳細と概念実証コードが公表されている。

<現状>
Appleはこの問題を認めていないため、更新もリリースしていない。
-

<参考>
概念実証コード
http://milw0rm.com/exploits/6471
QuickTimeのホームページ
http://www.apple.com/software/quicktime
SecurityFocus BID
http://www.securityfocus.com/bid/31212
────────────────

3.危険度【重大】:Red Hat Enterprise IPAにパスワード開示の脆弱性

<影響のある製品>
Red Hat Enterprise IPA v1 EL5

<詳細>
Red Hat Enterprise IPAは、企業用ID管理スイートである。しかし、マスター
Kerberosパスワードを保存する際に、匿名のLightweight Directory Access
Protocol(LDAP)によって検索されるような方法で行う手順があるが、その手順
に欠陥がある。Kerberosはパスワード管理および認証プロトコルである。マス
ターKerberosパスワードが侵害されると、Kerberosによって管理されているユー
ザーのパスワードを検索したり、変更できるようになってしまう。この脆弱性
の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Red Hatのセキュリティアドバイザリ
https://rhn.redhat.com/errata/RHSA-2008-0860.html
KerberosについてのWikipediaの説明
http://en.wikipedia.org/wiki/Kerberos_(protocol)
製品のホームページ
http://www.redhat.com/promo/ipa/
SecurityFocus BID
http://www.securityfocus.com/bid/31111
────────────────

4.危険度【重大】:LANDesk Management SuiteのHeal Packetにバッファオーバー
  フローの脆弱性

<影響のある製品>
LANDesk Management Suite 8.8およびそれ以前のバージョン

<詳細>
LANDeskは、システム管理アプリケーションとして広範に使用されている。し
かし、QIPサーバサービスコンポーネントに欠陥がある。このコンポーネント
はネットワークからのリクエストを聞くものだが、QIP"heal"パケット処理に
バッファオーバーフローがある。パケットが細工されると引き起こされ、脆弱
なプロセス(たいていはSYSTEM)の権限で任意のコードを実行できるようになっ
てしまう。この脆弱性の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。TCP1275番ポー
トへのアクセスをネットワーク境界でブロックすれば、影響を軽減できる。

<参考>
TippingPoint DVLabsのアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-08-06
LANDeskのセキュリティアドバイザリ
http://community.landesk.com/support/docs/DOC-3276
SecurityFocus BID
http://www.securityfocus.com/bid/31193
────────────────

5.危険度【高】:Red Hat Directory Serverに複数の脆弱性

<影響のある製品>
Red Hat Directory Server adminutil 1.1.7-1.fc9より以前のバージョン

<詳細>
Red Hat Directory Serverは、Red Hat製Lightweight Directory Access
Protocol (LDAP)サーバである。しかし、サーバの管理に使用される特定のCGI
スクリプトへのパラメータの処理に欠陥がある。これらスクリプトのいずれか
へ向けたリクエストが細工されると、バッファオーバーフローが生じるおそれ
がある。悪用が実現すると、脆弱なプロセス(たいてい'nobody')の権限で任意
のコードを実行できるようになってしまう。脆弱なCGIアプリケーションに達
する際に認証が必要かどうかは定かではない。今回の更新では、その他のDoS、
関連のある脆弱性にも対処している。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Red Hatのバグ
https://bugzilla.redhat.com/show_bug.cgi?id=454662
Red Hatのセキュリティアドバイザリ
https://rhn.redhat.com/errata/RHSA-2008-0858.html
製品のホームページ
http://www.redhat.com/directory_server/
SecurityFocus BID
http://www.securityfocus.com/bid/31106
────────────────

6.危険度【高】:Trend Micro OfficeScanのCGI処理にバッファオーバーフロー
  の脆弱性

<影響のある製品>
Trend Micro OfficeScan 7.3p4より以前のバージョン

<詳細>
Trend Micro OfficeScanは、企業用アンチウィルスソリューションとして広範
に使用されている。しかし、CGIベースのWebインタフェースに欠陥がある。
"cgiRecvFile"コンポーネントは、過剰に長いパラメータを処理できない。こ
のコンポーネントへのリクエストが細工されると、バッファオーバーフローに
至るおそれがある。これによって、脆弱なプロセスの権限で任意のコードを実
行できるようになってしまう。この脆弱性の技術的詳細のいくつかが公表され
ている。今のところ、この脆弱性の悪用に認証が必要かどうか定かでない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2008-35/
Trend Microのパッチ情報
http://www.trendmicro.com/ftp/documentation/readme/CSM_3.6_OSCE_7.6_Win_EN_CriticalPatch_B1195_readme.txt
製品のホームページ
http://us.trendmicro.com/us/products/enterprise/officescan-client-server-edition/
SecurityFocus BID
http://www.securityfocus.com/bid/31139
────────────────

7.危険度【高】:Data Dynamics ActiveReportsのActiveXコントロールに複数
  の脆弱性

<影響のある製品>
Data Dynamics ActiveReports ActiveXコントロール 2.5.0.1314およびそれ以
前のバージョン

<詳細>
Data Dynamics ActiveReportsは、Microsoft Visual Basicのレポート作成シ
ステムとして広範に使用されている。しかし、さまざまなメソッドに、複数の
脆弱性がある。悪意のあるWebページがこのコントロールをインスタンス化す
ると、メソッドのいずれかを呼び出してしまう。脆弱性のいずれかの悪用が実
現すると、現在のユーザー権限で任意のファイルを上書きできるようになって
しまう。これが悪用されると、さらに、現在のユーザー権限での任意のコード
実行に至るおそれもある。この脆弱性の全技術的詳細および概念実証コードが
公表されている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。Microsoft
の"kill bit"機能をCLSID"8569D715-FF88-44BA-8D1D-AD3E59543DDE"に設定し
て問題のコントロールを無効にすれば、これらの脆弱性の影響を軽減できる。

<参考>
Vuln.sgのアドバイザリ
http://vuln.sg/ddarviewer2501314-en.html
製品のホームページ
http://www.datadynamics.com/Products/ProductOverview.aspx?Product=AR2
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/31227
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
    ~セキュアプログラミングスキルを証明する世界唯一の認定~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。