NRI Secure SANS NewsBites 日本版

Vol.3 No.40 2008年10月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.40 2008年10月14日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
       SANS Tokyo 2008 Autumn 開催までいよいよあと2週間!

    !!早期割引は10月20日まで 今すぐお申込みを!!

 「セオリーではなく"どのように課題を克服するか"を学ぶ」
              それがSANSのトレーニングカリキュラムです。

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者の方は-> SEC401 Security Essentials...
   ■ネットワーク技術者の方は-> SEC504 Hacker Techniques...
   ■Java開発者の方は-> SEC541 Secure Coding in Java/JEE...
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■はじめに(Alan Paller:SANS Director of Research)

サイバーセキュリティ分野における職務ベスト20:
現在、たくさんの若者がサイバーセキュリティ分野におけるキャリアを考えて
おり、どのような職務を期待できるのか思案している。最も優秀な人々の、キャ
リア分野に適格な資質を得るために必要ならば厳しい努力をも怠るまい、とい
うやる気をかきたてるべく、サイバーセキュリティのベスト・キャリアに関す
る冊子を発行する。グローバルアンケートを行い、「クールジョブ (脆弱性研
究者、アプリケーション侵入テスター、セキュリティ監査人、プログラミング
組織におけるセキュリティ専門家などのかっこいい仕事)」について格付けす
る予定だ。全ての方に好まれるような包括的な内容にする意向である。

サイバーセキュリティにおけるクールジョブランキング:
トップクラスの仕事、およびその仕事に就くための概要など、クールジョブに
ついてのアンケートはこちら。
http://www.surveymethods.com/EndUser.aspx?92B6DAC593D2CEC4
────────────────

■■SANS NewsBites Vol.10 No.78-79
   (原版:2008年10月4日、10月8日配信)

◆シュワルツェネッガー データ保護法に2度目の拒否権発動 (2008.10.2)

カリフォルニア州知事アーノルド・シュワルツェネッガーは、消費者データ保
護法(Consumer Data Protection Act)に拒否権を発動した。もし成立していた
ら、同州で事業を行っている企業は、顧客データを保護する具体的なセキュリ
ティ対策を義務付けられるところだったという。すでに同州では州議会・州上
院ともに大多数の賛成を得ていた法案であった。同様に、企業はクレジットカー
ドやデビットカードに関わるデータ侵害について、影響のある個人への詳細情
報提供義務も課されることになっていた。シュワルツェネッガー知事によれば、
「市場の要請により、企業は消費者保護の責任をすでに負っている」ため、拒
否権を行使したという。また、知事は、企業に特定のセキュリティ対策を義務
付けてしまうとそれに縛られ、新しい脅威が発生した際、新しい保護策の導入
にあたって明らかに問題が生じるため、反対であるという。シュワルツェネッ
ガー知事は、昨年も同様の法案に対して拒否権を発動している。
http://japan.internet.com/finanews/20081006/12.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9116078&intsrc=hm_list
http://gov.ca.gov/pdf/press/AB1656_Jones_Veto_Message.pdf

【編集者メモ1】(Schultz)
カリフォルニア州民を対象に行ったシュワルツェネッガー知事についての最近
のアンケートを見ると、回答者の69%が彼に反感を抱いているが、頷ける結果
である。知事は、これまでに同州民が恩恵を享受できるような立法のイニシア
チブをことごとく撃墜している。今回の拒否権行使は、一連の撃墜行動の一部
にすぎない。
【編集者メモ2】(Veltsos)
拒否権行使についてのシュワルツェネッガー知事のコメントを見ると、個人情
報保護の必要性が「ますます重大になっている」ことは認めているが、情報の
不正取得が実際には一切発生していない場合も通知を義務付けてしまうと、企
業や州に多大な費用負担が生じるおそれがあると述べている。しかし、この論
理には欠陥がある。セキュリティインシデントが発生しても、暗号化されてい
ない情報が実際に盗まれたかどうかを、簡単に証明することはできないのだ。
したがって、この拒否権行使によって、データ侵害発生によって店舗に懲罰が
下る法があるのは、依然ミネソタ州だけのままである(ミネソタ州のプラスチッ
クカードセキュリティ2007年法)。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9020923
────────────────

◆アイルランド司法相 データ紛失報告を必須化したい意向(2008.10.2)

アイルランドの司法相Dermot Ahernが、個人情報が入っているデバイスの紛失
や盗難に関する報告を必須化する可能性がある。政府省庁や州局、銀行やその
他の組織に適用される。Ahern氏は、インシデント発生時には、Data
Protection Commissioner(データ保護長官)に迅速な報告を義務付ける意向だ。
中でも特に深刻なケースは公表されるという。昨年だけで、政府のノートパソ
コンとその他のデータ保管デバイス35台が紛失もしくは盗難に遭っている。
労働党において教育・科学の分野の広報担当を務めるRuairi Quinn氏は、政府
機関15のうち、ITシステムが暗号化されているのは3つのみであることに懸念
と不信感を抱いているという。
http://www.irishtimes.com/newspaper/ireland/2008/1002/1222815460443.html
http://www.siliconrepublic.com/news/article/11538/cio/lack-of-encryption-in-government-departments-riles-quinn
────────────────

◆DHS プライバシーの懸念があるにもかかわらずスパイ衛星監視プログラム
  を進行(2008.10.1)

国家民生利用局(NAO:National Applications Office)による衛星監視プログラ
ムがプライバシー法に反している可能性があるにもかかわらず、米国土安全保
障省(DHS)はその第一段階を実行に移そうとしている。連邦政府、州政府およ
び地方政府レベルの米国政府関係者らは、緊急時対応や国内のセキュリティ問
題へ対処する目的で、スパイ衛星がNAOを介して収集したデータにアクセスで
きるようになる。政府説明責任局(GAO)の最近の報告によると、NAOの運用が、
今後、適用法やプライバシー基準、市民の自由基準を遵守し続ける確証はない
という。
http://online.wsj.com/article/SB122282336428992785.html?mod=googlenews_wsj
────────────────

◆米国境における電子デバイス捜査を厳格化する法案(2008.9.30-10.2)

米議会において、国土安全保障省(DHS)が国境警備隊に付与した、旅行者のノー
トパソコンやその他の電子デバイスを差し押さえたり捜査したりする広大な権
限を、抑制する法案が提出された。新法案は、旅行者のプライバシー保護法
(Travelers' Privacy Protection Act)と称され、DHSは米住民のデバイスを捜
査する前に、不正行為の疑いを証明することが義務付けられるようになる。ま
た、DHSがデバイスを24時間以上差し押さえる場合は、正当な理由や裁判所命
令もしくは令状が必要になる。捜査で収集された情報の共有に関しても制限を
かけるほか、DHSには国境捜査について議会に報告する義務が生じる。
http://news.cnet.com/8301-13578_3-10055020-38.html
http://www.securityfocus.com/brief/832

【編集者メモ】(Schultz)
捜索・差押え、ノートパソコンの保管の権限をDHS・国境警備隊に制限なく付
与することは、不当な捜査や差押え、プライバシー侵害に値する。今回の法案
が成立すれば、行き過ぎを抑制する大きな進歩になろう。
────────────────

◆エストニアのサイバーセキュリティポリシー(2008.10.3)

エストニアは、政府や民間のコンピュータシステムに対する組織的なDoSアタッ
クを1年半前に経験したことを受けて、国家的なサイバーセキュリティ戦略を
リリースした。そこには、アタックについての詳細や、今後のアタックを阻止
するための推奨策、サイバーセキュリティを確立するためのグローバル体制の
構築などが盛り込まれている。また、4つのポリシー領域も以下のように定義
されている。
・エストニアのセキュリティ対策の段階的レベルアップ
・エストニア国内の情報セキュリティ専門家の育成、および最高水準の情報セ
  キュリティ認識の確立
・情報システムの安全性とシームレスな実現可能性を促進できる適切な規制や
  法的フレームワークの確立
・グローバル・サイバーセキュリティ強化に向けた国際協力の推進
http://www.zdnetasia.com/news/security/0,39044215,62046785,00.htm
http://www.mod.gov.ee/static/sisu/files/Estonian_Cyber_Security_Strategy.pdf
────────────────

◆Skype 中国でメッセージのフィルタリングとメンテナンスを行っていたこ
  とを認める(2008.10.3-6)

Skypeは中国において、同社のサービスを介して送信されたインスタントメッ
セージが傍受されていたにもかかわらず、その責任について現地のパートナー
企業、TOM Onlineを非難していたことを認めた。Skypeは中国において、検閲
対象ワードをブロックするフィルタを設けていたが、問題のキーワードが表れ
た際、その会話のログが残されるようにフィルタが改変されていたことを、先
週発見したという。カナダの研究者らが、安全でないサーバに問題のメッセー
ジが保存されていたことを発見し、この問題が発覚したという。Skypeは、こ
の問題についてTOMと協議しているほか、研究者がメッセージを読み取れるよ
うになっていたセキュリティホールは、すでに塞いだとのことだ。
http://www.theregister.co.uk/2008/10/03/skype_coughs_to_china_test_tap/
http://www.heise-online.co.uk/security/Skype-admits-censorship-and-invasion-of-privacy-in-China--/news/111662s
Supporting sites:
http://www.greatfirewallofchina.org/
http://www.thedarkvisitor.com/2008/10/detailed-report-on-prcgov-monitoring-tom-skype/

【編集者メモ】(Pescatore)
これは、従業員が事業目的で消費者レベルのサービスを使用し始めたために発
生しうるリスクのひとつにすぎない。しかし、このような問題が増えてきてい
るため、「やってはいけない」とただ述べるだけのポリシーに依存するような
セキュリティ戦略を打ち出しても、「インターネットを使うな。WiFiを使うな」
と口にして得られる程度の効果より多くは、もはや期待できないのだ。
────────────────

◆8万件以上のWebサイト マルウェアによるドライブバイ攻撃を配信(2008.10.3)

8万件以上のWebサイトが、悪意のあるコンテンツに改変され、サイトを訪れた
人のPCからパッチが適用されていないPCにエクスプロイトコードを配信してい
た。このほど、Webサイト20万件以上の管理者ログイン証明書が保存されてい
るサーバが発見されたが、そのサイト全てがマルウェアに感染しているかどう
かは定かでない。感染サイトには、大学、Fortune 500に入る企業、政府シス
テム、米郵便局のものもあったという。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9116138&source=rss_news
http://www.theregister.co.uk/2008/10/03/neosploit_powered_mass_hack_attack/

【編集者メモ】(Veltsos)
javaスクリプトやFlashコンテンツを全て無効にするブラウザやアドオンを使
用しよう。私は、Noscripitのアドオンをデフォルトで有効にしたFirfoxを使
用している。Noscriptを使用すれば、安全なWebサイトを指定したり
(javascriptを使えるようになる)、一時的に(セッション期間中だけ)
javascriptを特定のWebサイトで使用可能にすることもできる。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年10月3日 Vol.7 No.40)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報ですSANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              2
サードパーティのWindowsアプリ         13 (#1, #3, #4, #5)
Mac Os                     2
Linux                      1
クロスプラットフォーム             15 (#2)
Webアプリ-クロスサイトスクリプティング     15
Web アプリ- SQLインジェクション        29
Webアプリ                   59
ネットワークデバイス              13
======================================================================

今週は、大きなパック商品に重大な脆弱性は見つからなかった。しかし、Web
アプリに90個以上の新脆弱性が発見された。まるで疫病のようだ。
(Alan Paller:SANS Director of Research)
────────────────

1.危険度【重大】:RealFlex/DATAC RealWinにバッファオーバーフローの脆弱
  性

<影響のある製品>
RealFlex RealWin 2.0までのバージョン

<詳細>
RealFlex/DATAC RealWinは、Microsoft Windowで動作する監視コントロールお
よびデータ獲得(SCADA:Supervisory Control And Data Acquisition)管理アプ
リケーションである。SCADAプロトコルは、製造工場や発電所施設など、産業
制御・監視を行う状況で使用される。しかし、RealWinにおいて、特定のSCADA
メッセージの処理にバッファオーバーフローがある。問題のソフトウェアに送
信されたSCADAメッセージが細工されると引き起こされ、脆弱なプロセスの権
限で任意のコードを実行できるようになる。また、サーバにコントロールされ
ているSCADAのクライアントデバイスが悪用されるおそれも生じる。この脆弱
性の全技術的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。可能で
あれば、ネットワーク境界で全てのSCADA用ポートをブロックするとよい。

<参考>
Reversemodeからのアドバイザリ
http://reversemode.com/index.php?option=com_content&task=view&id=55&Itemid=1
TippingPoint DVLabsのGanesh Devarajan によるSCADA脆弱性についてのビデ
オプレゼンテーション
http://www.youtube.com/watch?v=jdnC2GtmkuQ
SCADAについてのWikipediaの説明
http://en.wikipedia.org/wiki/SCADA
ベンダーのホームページ
http://www.dataconline.com/software/realwin.php
SecurityFocus BID
http://www.securityfocus.com/bid/31418
────────────────

2.危険度【高】:Trend Micro OfficeScanに複数の脆弱性

<影響のある製品>
Trend Micro OfficeScan 8.0 Service Pack 1のパッチ版1およびそれ以前のバー
ジョン
Trend Micro Worry-Free Business Security 5.0より以前のバージョン

<現状>
Trend Micro Office Scanは、企業用マルウェアスキャンツールとして広範に
使用されている。しかし、このWebインタフェースにおいては、さまざまなユー
ザーインプット処理に複数の脆弱性がある。リクエストが細工されると引き起
こされ、脆弱なプロセスの権限で任意のコードを実行できるようになる。これ
ら脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのアドバイザリ
http://secunia.com/Advisories/32097/
製品のホームページ
http://uk.trendmicro.com/uk/products/enterprise/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/31531
────────────────

3.危険度【高】:Nokia PC Suiteにバッファオーバーフローの脆弱性

<影響のある製品>
Nokia PC Suite 7.0より以前のバージョン

<現状>
Nokia PC Suiteは、Microsoft Windowsで動作するシステムとさまざまなNokia
デバイスの接続性を提供するためのアプリケーションスイートである。しかし、
ユーザーリクエスト処理にはバッファオーバーフローがある。サービスへ送信
されるリクエストが細工されると引き起こされる。悪用が実現すると、脆弱な
プロセスの権限で任意のコードを実行できるようになる。この脆弱性の全技術
的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/31475.c
製品のホームページ
http://www.nokiausa.com/A4494165
SecurityFocus BID
http://www.securityfocus.com/bid/31475
────────────────

4.危険度【高】:Autodesk LiveUpdate およびExpress ViewerのActiveXコント
  ロールに複数の脆弱性

<影響のある製品>
Autodesk Revit Architecture 2009
Autodesk Design Review 2009

<現状>
Autodesk LiveUpdateは、いくつかのAutodeskアプリケーションに提供されて
いる更新コンポーネントである。Autodesk DWF Viewerは、Autodeskデザイン
ファイルを閲覧するためのコンポーネントで、ActiveXコントロールによって
提供されている。しかし、これらのコントロールは、インプットを正しくサニ
タイズできないため、リモートのコマンド実行や任意のファイルダウンロード
の脆弱性に至る。したがって、細工されたWebページがこのコントロールをイ
ンスタンス化すると、これらの脆弱性を利用して、現在のユーザー権限で任意
のコマンドを実行されるおそれがある。この脆弱性の全技術的詳細と概念実証
コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能をCLSID"89EC7921-729B-4116-A819- DF86A4A5776B"
および"A662DA7E-CCB7-4743-B71A-D817F6D575DF"に設定して問題のコントロー
ルを無効にすれば、影響を軽減できる。しかし、通常の機能に影響が出るおそ
れもあるので注意。

<参考>
rgodによるアドバイザリ
http://retrogod.altervista.org/9sg_autodesk_revit_arch_2009_exploit.html
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.autodesk.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/31490
http://www.securityfocus.com/bid/31487
────────────────

5.危険度【高】:Novell ZENworks Desktop ManagementのActiveXコントロール
  にバッファオーバーフローの脆弱性

<影響のある製品>
Novell ZENworks Desktop Management 6.5より以前のバージョン

<詳細>
Novell ZENworksは、企業用システム管理アプリケーションとして広範に使用
されている。Microsoft Windowsにおけるこの機能の一部は、ActiveXコントロー
ルによって提供されている。しかし、このコントロールの"CanUninstall"メソッ
ドには、バッファオーバーフローの脆弱性がある。したがって、細工された
Webページがこのコントロールをインスタンス化すると引き起こされ、アタッ
カーは、現在のユーザー権限で任意のコードを実行できるようになってしまう。
この脆弱性の全技術的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能を"0F517994-A6FA-4F39-BD4B- EC2DF00AEEF1"に設
定して問題のコントロールを無効にすれば、影響を軽減できる。しかし、通常
の機能に影響が出るおそれもあるので注意。

<参考>
Satan_Hackersによる掲示(概念実証コードも含む)
http://www.securityfocus.com/archive/1/496786
製品のホームページ
http://www.novell.com/products/zenworks/configurationmanagement/
SecurityFocus BID
http://www.securityfocus.com/bid/31435
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
    ~セキュアプログラミングスキルを証明する世界唯一の認定~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。