NRI Secure SANS NewsBites 日本版

Vol.3 No.39 2008年10月6日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.39 2008年10月6日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
       SANS Tokyo 2008 Autumn 開催まであと3週間!!

 「セオリーではなく"どのように課題を克服するか"を学ぶ」
              それがSANSのトレーニングカリキュラムです。

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者の方は-> SEC401 Security Essentials...
   ■ネットワーク技術者の方は-> SEC504 Hacker Techniques...
   ■Java開発者の方は-> SEC541 Secure Coding in Java/JEE...
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■はじめに(Alan Paller:SANS Director of Research)

セキュリティ認定に必要なDoD(国防総省)8570コースおよびレビューで絶賛さ
れた新侵入テストコースなどを含む、ワシントン開催の最大規模のセキュリティ
トレーニングプログラムの参加申し込み受付が開始された。新しい".NETのセ
キュアプログラミング"コースなど6日間にわたるコースのほか、1日コース、2
日コースも用意されている。開催日程は2008年12月10日から16日まで。
http://www.sans.org/cdi08
────────────────

■■SANS NewsBites Vol.10 No.76-77
   (原版:2008年9月27日、10月1日配信)

◆ISP ユーザーからの明確な同意なしにターゲット広告を使用しないと約束
  (2008.9.25)

米国のインターネットサービスプロバイダ(ISP)最大手4社のうち3社(Verizon、
AT&T、Time Warner Cable)の代表が、商業、科学、運輸についての上院委員会
(Senate Committee on Commerce, Science and Transportation)に対し、ター
ゲット広告システムを使用する場合はプランの詳細を顧客に提示し、プログラ
ムに参加する場合は顧客の明確な許可を得ると述べた。また、パネルのメンバー
に対し、プライバシー法を議論する前にターゲット広告システムおよび顧客デー
タ収集のベストプラクティスを作成・設置する機会の付与を要請した。
Verisonの広報・ポリシー・コミュニケーション部・取締役副社長のThomas J.
Tauke氏は、単に「クリックしてオプトインする」方式では問題を十分真剣に
とらえているとは言えないと述べている。ユーザーの多くは詳細を読みもせず、
「同意」という箇所をクリックしてしまう傾向があるからだ。Tauke氏は、こ
のプロセスは包括的に行うべきであると主張。プログラム内容を明確にするだ
けでなく、顧客に、後日同プログラムをやめるオプションも与えるべきだと述
べている。
http://www.washingtonpost.com/wp-dyn/content/article/2008/09/25/AR2008092504135_pf.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9115612&source=rss_topic17

【編集者メモ】(Pescatore)
オプトイン・アプローチは素晴らしい方法だ。「本当によろしいですか?」と
いう問いにクリックで答える部分が数回あれば、なおよろしい。それとは別に、
キャリア企業の保存顧客データを確実に保護することも、同様に重要である。
────────────────

◆判事 Jammie Thomasの楽曲共有裁判で新たな裁判を許可(2008.9.25)

ミネソタ州の米国連邦判事は、Jammie Thomasに新しい裁判を起こすことを許
可した。同人は昨年著作権侵害で有罪となり、22万ドルの罰金刑を受けている。
米国地方裁判所のMichael Davis判事は、「管轄内で、自身の権利に大きな棄
損をもたらす違反を犯した」と判決で述べている。そして、Davis判事はこの
判決で米国議会に対し、同様のケースで市民に度を超えた罰金が課せられない
ように、著作権法の改正を求めている。問題は、Thomasがダウンロード可能に
していた楽曲を他人が実際にダウンロードしたと証明できるかどうか、それと
も単にファイルがダウンロード可能な状態になっていただけか、そしてその行
為自体が著作権侵害にあたるかどうかにあるという。以前の判決で、ダウンロー
ドが実際に行われたかどうか証明する必要ありという先例を示したDavis判事
だが、今回陪審に対しては、必ずしもその必要はないと述べている。
http://news.smh.com.au/technology/judge-grants-new-trial-in-music-downloading-case-20080925-4nle.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9115621&source=rss_topic17
────────────────

◆調査結果:ユーザーはダイアログボックスの内容を読まずにクリックしてい
  る(2008.9.23-25)

ノースカロライナ州立大学の心理学者が行った実験で、コンピュータユーザー
はWindowsのダイアログボックスについて、本物と偽物の区別がつかない場合
が多いことがわかった。この実験に参加した学生42人のうち63%が、ポップアッ
プウィンドウが出てくると、悪意のある活動の可能性を示すような異常があら
われているにもかかわらず、それを無視してOKを押していた。被験者はポップ
アップウィンドウを、これからしようとしている操作を妨げる障害物のように
見なしているようだ。OKボタンは、事実上それを払いのける機能に他ならない
ようだ。
http://www.networkworld.com/news/2008/092508-computer-users-overeager-to-click.html?hpg1=bn
http://arstechnica.com/news.ars/post/20080923-study-confirms-users-are-idiots.html

【編集者メモ】(Schultz)
この調査で重要な事実を再確認できる。ユーザーは、セキュリティに関連する
ダイアログボックスが出てきても、それを除去するがためにOKをクリックする。
実験データこそ控えめではあるが、その問題の大きさが浮かび上がった。
────────────────

◆FISMA2008年法:より良い解決策になるか!?(2008.9.29)

連邦情報セキュリティ管理(FISMA)2008年法案の条項の中には、連邦政府のコ
ンピュータシステムがアタックからしっかりと保護されるようにするための
大きな一歩になるものがある。連邦政府局は、FISMA2003年法を遵守するにあ
たって、コンピュータネットワークのセキュリティにほとんど関係ない事務作
業に大量の時間を費やすはめになった。FISMA2008年法が成立すれば、政府局
は後づけのセキュリティ追加ではなく、最初から組み込まれている製品の購入
を義務付けられる。ここでは、報告されているアタックが仕掛けられた場合は、
アタックベースでシステムが守られていることを実証しなくてはならない。そ
の尺度については、政府全体での合意が必要とされる。
http://www.fcw.com/print/22_32/comment/153909-1.html?topic=security
────────────────

◆Microsoftとワシントン州 Scarewareのベンダーを告訴(2008.9.26-28)

9月29日月曜日、Microsoftとワシントン州は、マシンに脆弱性が検知されたと
いう偽警告をユーザーのコンピュータに発し、その欠陥に対処できるとするソ
フトウェアの販売を試みた個人や組織を告訴することを明らかにした。ワシン
トン州検事局は、Branch SoftwareとAlpha Red、およびそのオーナーのJames
Reed McCrweary IVを、コンピュータスパイウェア州法に基づいて告訴する。
Microsoftは、その他のスケアウェア製品を販売した個人の身元を割り出す目
的で、別の訴えも複数提起する予定である。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9115720&source=rss_topic17
http://www.vnunet.com/vnunet/news/2227086/microsoft-launch-spyware-spam
http://voices.washingtonpost.com/securityfix/2008/09/microsoft_washington_state_tar.html?nav=rss_blog
http://news.cnet.com/8301-1009_3-10053565-83.html
────────────────

◆BT オプトインで新しいPhormテストを行う予定(2008.9.25-29)

ロンドン市警察がBT(British Telecommunication)のターゲット広告システム
であるPhormが内密に行った広告トライアルについて、これ以上捜査を進めな
い意向を示した数日後の9月30日、BTは問題の技術を試す新しいトライアル期
間を設けると発表した。今回、顧客はこのトライアルにオプトインできるとい
う。以前のトライアル期間では、ユーザーの同意なしにこの技術が使用されて
いた。今回は、少なくとも4週間になる。BTは、このトライアル期間にユーザー
1万人の参加申し込みを見込んでいるという。BTが、問題のPhormを使用し続け
ると決断した場合、全てのブロードバンド顧客に対して展開されることになる。
同社がその段階で問題のプログラムをオプトイン設定にするかどうかは、明確
にされていない。
http://news.bbc.co.uk/2/hi/technology/7634210.stm
http://news.bbc.co.uk/2/hi/technology/7641754.stm

【編集者メモ】(Pescatore)
オプトインは、データの収集に対してあるべきで、ターゲット広告の表示に関
してあるべきではない。前者に明らかにリスクがある一方、後者は顧客の利益
につながる。
【ゲスト編集者メモ】(インターネットストームセンター担当者:Steve Hall)
BTがこの問題をこのように処理しているなんて、何とたちの悪いことだろう。
同社が、このサービスを顧客にいかにして売り込もうとしているかチェックし
てみると、ターゲット広告よりもオンライン保護サービスを売ろうとしている
ことがわかる。
http://www2.bt.com/static/i/btretail/webwise/
無作為に選ばれた1万人のうち一体に何人が「サードパーティによる顧客の全
サーフィン行為の監視」ではなく、合間にある「オンライン保護」部分を読む
のだろうか?
────────────────

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年9月26日 Vol.7 No.39)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報ですSANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          8(#5)
Linux                      2
Mac OS X                    1(#2)
Solaris                     2
クロスプラットフォーム             12(#1, #3)
Webアプリ-クロスサイトスクリプティング     15
Web アプリ- SQLインジェクション         44
Webアプリ                   43
ネットワークデバイス              3(#4)
======================================================================

今週は、FirefoxとThunderbird、Apple Mac Javaのプラグイン、Sun Java
Runtime全てに脆弱性が報告されている。
(Alan Paller:SANS Director of Research)
────────────────

1.危険度【重大】:Mozilla製品に複数の脆弱性

<影響のある製品>
Mozilla Firefox 3.0.1より以前のバージョン
Mozilla Thunderbird 2.0.0.16より以前のバージョン
Mozilla SeaMonkey 1.1.11より以前のバージョン

<詳細>
Mozilla Webブラウザなど、複数のMozilla製品のさまざまなインプット処理に
複数の脆弱性が見つかった。URLやJavaScript、画像ファイル、その他のイン
プット処理にある欠陥は、リモートのコード実行から情報開示、DoSまでのあ
らゆる脆弱性につながってしまうおそれがある。これらの脆弱性のいくつかに
ついて、技術的詳細が公表されている。また、ソースコードを分析すれば、よ
り深い技術的詳細がわかる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2008/mfsa2008-45.html
http://www.mozilla.org/security/announce/2008/mfsa2008-44.html
http://www.mozilla.org/security/announce/2008/mfsa2008-43.html
http://www.mozilla.org/security/announce/2008/mfsa2008-42.html
http://www.mozilla.org/security/announce/2008/mfsa2008-41.html
http://www.mozilla.org/security/announce/2008/mfsa2008-40.html
http://www.mozilla.org/security/announce/2008/mfsa2008-39.html
http://www.mozilla.org/security/announce/2008/mfsa2008-38.html
http://www.mozilla.org/security/announce/2008/mfsa2008-37.html
Vendorのホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/31346
────────────────

2.危険度【重大】:Apple Mac OS XのJavaプラグインに複数の脆弱性

<影響のある製品>
Apple Mac OS X 10.5.5 までのバージョン

<詳細>
Apple Mac OS XにデフォルトでインストールされているJava Runtime
Environmentには、複数の脆弱性がある。Java アプレットが"file://"URLを処
理する方法に欠陥があるが、これによってアプレットは、現在のユーザー権限
で任意のコマンドを実行できるようになってしまう。また、アプレットの属性
を検証するHashベースのメッセージ認証コード(HMAC:Hash-based Message)の
処理ににも欠陥があるが、これはメモリ崩壊の脆弱性に繋がるおそれがある。
この脆弱性の悪用が実現すると、現在のユーザー権限で任意のコードを実行で
きるようになってしまう。これらの脆弱性は、後述のSun Java Runtime
Environmentの脆弱性とは違うものと考えられている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3179
Apple Mac OS Xのホームページ
http://www.apple.com/macosx
SecurityFocus BIDs
http://www.securityfocus.com/bid/31380
http://www.securityfocus.com/bid/31379
────────────────

3.危険度【重大】:Sun Java Runtime Environmentに複数の脆弱性

<影響のある製品>
Sun Java Runtime Environment Java 6更新版7より以前のバージョン

<詳細>
Sun Java Runtime Environmentは、Java Platform Runtime Environmentの標
準実装である。しかし、アプレットのスクリプティング処理に複数の脆弱性が
ある。アプレットが細工されると、脆弱性のいずれかが権限の昇格に悪用され
てしまう。これによってアプレットは、現在のユーザー権限で任意の脆弱なシ
ステムにアクセスできるようになる。さらに、その他の脆弱性によって、アプ
レットは他のアプレット(しかも関係のないアプレット)と相互作用できるよ
うになってしまう。Sun Java Runtime Environmentは、全てのApple Mac OS X
システムにデフォルトでインストールされているほか、Sun Solarisシステム、
ほとんどのUnix、また、LinuxベースのOS、さらにはMicrosoft Windowsにも一
般的にインストールされている。これらの脆弱性に技術的詳細のいくつかが公
表されている。アプレットはユーザーにプロンプトすることなしに、受信する
とすぐ実行されるおそれがあるので注意が必要。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。この中には、過
去のHotfixで言及された他の脆弱性の修正プログラムも含まれている。

<参考>
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238687-1
Sun Javaのホームページ
http://java.sun.com
SecurityFocus BID
http://www.securityfocus.com/bid/30144
────────────────

4.危険度【高】:Cisco IOSに複数の脆弱性

<影響のある製品>
さまざまなシステム上のCisco IOSの複数バージョン、およびフィーチャーセッ


<詳細>
Cisco Internetwork Operating System(IOS)は、Ciscoのルーティング製品お
よびスイッチング製品のほとんどに使用されている同社製のOSである。しかし、
さまざまなネットワークプロトコル処理に複数の脆弱性がある。これらのプロ
トコルのいずれかでリクエストが細工されると、DoS状態に繋がるおそれがあ
る。この状態になると、影響を受けるデバイスのサブシステムやデバイス全体
に影響を及ぼしてしまう。特定のケースにおいては、技術的詳細が公表されて
いる。影響のあるプロトコルには、Protocol Independent Multicast、Cisco
IPC、Session Initiation Protocol、Multiprotocol Label Switching、Layer
2 Tunneling Protocol、Secure Sockets Layer、DNSなどがある。また、Cisco
uBR10012ルータには、デフォルト設定に弱点がある。問題となっているのは、
デフォルトのSimple Network Management Protocol(SNMP)コミュニティ設定で
ある。この脆弱性を悪用されると、デバイスの制御を完全に奪われてしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。可能であれば、
不必要なプロトコルの処理を無効にするとよい。

<参考>
Ciscoセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20080924-multicast.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20080924-ipc.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a01562.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20080924-mfi.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a0157a.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20080924-ssl.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a01556.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20080924-sccp.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml
製品のホームページ
http://www.cisco.com/public/sw-center/sw-ios.shtml
SecurityFocus BIDs
http://www.securityfocus.com/bid/31355
http://www.securityfocus.com/bid/31359
http://www.securityfocus.com/bid/31354
http://www.securityfocus.com/bid/31364
http://www.securityfocus.com/bid/31365
http://www.securityfocus.com/bid/31358
http://www.securityfocus.com/bid/31360
http://www.securityfocus.com/bid/31361
http://www.securityfocus.com/bid/31363
http://www.securityfocus.com/bid/31356
────────────────

5.危険度【高】:FLEXnet Connectの ActiveXコントロールにバッファオーバー
  フローの脆弱性

<影響のある製品>
FLEXnet Connect 6.x
Macromedia InstallShield 2008 Premier

<詳細>
FLEXnet Connectは、Macromedia InstallShieldインストレーション・スイー
トによって使用されているコンポーネントだ。しかし、特定のインプット処理
にバッファオーバーフローの脆弱性がある。細工されたWebページがこのコン
トロールをインスタンス化すると引き起こされる。悪用が実現すると、現在の
ユーザー権限で任意のコードを実行できるようになってしまう。この脆弱性の
技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能をCLSID"E9880553-B8A7-4960-A668-95C68BED571E"に設定して
問題のコントロールを無効にすれば、影響を軽減できる。

<参考>
Macromediaのセキュリティアドバイザリ
http://kb.acresso.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=Q113020&sliceId=
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://consumer.installshield.com/about_us.asp
SecurityFocus BID
http://www.securityfocus.com/bid/31235
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
    ~セキュアプログラミングスキルを証明する世界唯一の認定~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。