NRI Secure SANS NewsBites 日本版

Vol.3 No.41 2008年10月22日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.41 2008年10月22日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
   ~セキュアプログラミングスキルを証明する世界唯一の認定資格~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■はじめに(Alan Paller:SANS Director of Research)

サイバーセキュリティ分野の仕事ランキング(クールジョブ)の最新情報:
今週すでにリストをご覧の上コメントをいただいているかもしれないが、2分
程度で済むので、どの仕事が今一番アツいと思われるかの格付けにぜひご参加
を。
http://www.surveymethods.com/EndUser.aspx?98BCD0CF99DECFC2

有益な新Webページについて:
現在、クールジョブの格付首位に輝いているのはフォレンジックである。Rob
Leeやその他のトップクラスのプロフェッショナルたちが共同で、最先端のフォ
レンジックに興味のある方々のために、画期的なWebページを開設した。
http://forensics.sans.org/
また、このようなリーダー的人物が次週のフォレンジックサミットで一堂に会
し、国家的なアタックから学んだ教訓について議論する予定だ。
http://www.sans.org/info/34088

研究のための質問:
PCI/DSSやFISMA、SOX、FDCCなどの法や規制を遵守するためのツールをお使い
の方へ。2008年のセキュリティ専門職者の給料調査の中間結果を見ると、サイ
バーセキュリティの各職種に変化の波が押し寄せていることがわかる。調査結
果を知るには、調査に参加しなければならない。これはよくある給料調査とは
異なる。給与の測定と比較だけでなく、学歴や資格の価値、地理・産業の要素
や経験年数についても掘り下げていく。
今すぐ以下のリンクから回答いただきたい(所要時間は15分程度)。
http://survey.sans.org/survey
────────────────

■■SANS NewsBites Vol.10 No.80-81
   (原版:2008年10月11日、10月15日配信)

◆米国軍プログラム 未承認アプリケーションを探索(2008.10.7)

US Army Information Management Support Center(米国軍情報管理支援セン
ター)は、11,000台のデスクトップコンピュータに、未認証のアプリケーショ
ンを検知するソフトウェアを投入した。検知されたアプリケーションは、全て
Configuration Control Board(設定について統制を行う委員会)に報告され、
その委員会よりユーザーに対し、何が起きているのか通知するようになってい
る。問題のアプリケーションがコンピュータに入っていた理由を説明する機会
を与える場合もあるという。問題のアプリケーションが必要ないと判断された
場合は、リモートで排除することもできる。
http://www.networkworld.com/news/2008/100708-army-desktop-software.html?fsrc=netflash-rss

【編集者メモ1】(Ulrich)
やっとのことではあるが、これはホワイトリスト("whitelists")の効果を発揮
する素晴らしい試みだ。米国軍のスタッフには、ここで得られた教訓をぜひ我
々と共有していただきたい。入っていてはならないソフトウェアの不完全なリ
ストに頼るというアンチマルウェア的アプローチよりも、システムに入ってい
てもよいソフトウェアのリストに一層焦点をあてるべきだというのが私の意見
である。
【編集者メモ2】(Pescatore)
厳格なセキュリティ(ロックダウン)と、ユーザーが望むソフトウェアならば何
でもインストールさせている状態。この2つの間でバランスをとるための効果
的なアプローチになるだろう。しかし、検知されたアプリケーションに迅速に
対応するには、高水準の人員配置を行う必要がある。安全であるとされている
アプリケーション(企業が所有しているものに限らず)を盛り込んだ超ホワイ
トリスト"uber-whitelist"をもとに、即座に除去する必要のないものを使用し
てバックアップすることが大事であるが、現在はユーザーがインストールして
いる不明なアプリケーションについてのグレーリスト("grey list")の内容
がますます増える傾向にある。
【編集者メモ3】(Weatherford)
US Army Information Management Support Center(米国軍情報管理支援セン
ター)が「未承認のソフトウェア」を判断できるとすれば、「承認されている」
ソフトウェアのカテゴリもすでに把握しているはずだ。だとしたら、一体なぜ
「未承認」のソフトウェアをユーザーにインストールさせるのだろうか?いか
めしい審査団の前にユーザーを引っ張り出し、問題のソフトウェアがデスクトッ
プにある理由を説明させるくらいなら、最初から正式な許可なしではソフトウェ
アをインストールできないようにした方がよいのではないだろうか?
────────────────

◆クリックジャッキングの概念実証コードのデモ(2008.10.7-9)

クリックジャッキングの脆弱性についての詳細情報がリリースされた。2人の
研究者が、数週間前にアタックテクニックについて議論する予定だったが、ベ
ンダーに製品の欠陥に対処する時間を与えるため、延期していた。そして今週、
アタックテクニックの概念実証型コードのデモがインターネットに掲載された。
NoScriptの最近のバージョンやFirefoxのアドオン機能を使えば、クリックジャッ
キングアタックからユーザーは保護される。
http://blogs.zdnet.com/security/?p=2005&tag=nl.e539
http://news.zdnet.co.uk/security/0,1000000189,39500483,00.htm
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9116638&source=rss_topic17
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9116800
http://www.vnunet.com/vnunet/news/2227827/adobe-warns-clickjacking

【編集者メモ1】(Northcutt)
私はNoScriptが大好きだ。NoScriptは、特定のWebサイトからのスクリプトを
実行するかどうか自分で選択できるようにする、Firefoxのプラグインである。
しかし、この機能を使っても完全にクリックジャッキングから保護されるとい
う確信はない。Webサイトの中には、必ずあなたがスクリプトを実行するよう
に仕向けているものもある。このようなサイトであっても、そこにある情報や
サービスを必要としているかぎり、スクリプトを許可しなくてはならいのだ。
つまり、もうその時点で脆弱であると言える。
【編集者メモ2】(Honan)
この問題の詳細は、Jeremiah Grossmanのブログ記事で。
http://jeremiahgrossman.blogspot.com/2008/10/clickjacking-web-pages-can-see-and-hear.html.
Jeremiahは、この脆弱性はPCマイクを使用した人の会話を傍受するのに利用で
きると指摘している。つまり、産業スパイ活動や国家セキュリティに悪影響が
発生する可能性もあるということだ。この問題を指摘したAdobeとJeremiah、
R-Snakeに拍手。
────────────────

◆Quantum Encryption-Protected Network(量子暗号によって保護されたネッ
  トワーク) カンファレンスでデビュー(2008.10.9)

オーストリアのウィーンで開催されたSECOQCカンファレンスにて、科学者らが、
量子キー配布を使用して保護可能なコンピュータネットワークを初めて披露し
た。ネットワークの6つのノードは、光ファイバーケーブルによって接続され
ている。また、量子キー配布の根底部分はハインゼンベルグの不確定性原理に
依存している。この原理によれば、量子情報は、ある種の邪魔なしに測定する
ことはできないという。つまり、何者かが量子暗号で保護された通信を傍受し
ようとしても、キーが変更されているため、受信者はその通信が妨害されたと
いう警告を受けることができる。
http://news.bbc.co.uk/2/hi/science/nature/7661311.stm

【編集者メモ】(Northcutt)
きっと彼らは、もうすでにおなじみの量子キー配布のことを言っているのだろ
う。
NISTには、これに関するすばらしい記述がある。:
http://www.nist.gov/public_affairs/releases/quantumkeys_background.htm
カンファレンス情報:
http://www.secoqc.net/html/conference/
2007年の文書:
http://w3.antd.nist.gov/pubs/892-papers/Quantum%20Key%20Distribution%20Network.pdf
────────────────

◆新著作権侵害対策法で厳罰化(200810.13)

PRO-IP法(Prioritizing Resources and Organization for Intellectual
Property Act)が、米大統領ジョージ・W・ブッシュの調印により成立した。
楽曲や映画の著作権侵害で有罪となった者への厳罰化を図ることができる法律
である。また、国内外の知的所有権保護についてホワイトハウスにアドバイス
を行う知的財産執行調整官(IntellectualProperty Enforcement Coordinator)
という高官職が設けられることになる。同法は、米国商工会議所だけでなく、
全米レコード協会(RIAA)と米国映画協会(MPAA)からの支援も受けているという。
しかし、米国司法省は知的視所有権に関する総元締めが設置されると同省の立
場が弱まるおそれがあるとし、反対している。
http://uk.reuters.com/article/technologyNews/idUKTRE49C7EI20081013
http://news.cnet.com/8301-13578_3-10064527-38.htmlhttp://www.pcmag.com/article2/0,2817,2332432,00.asp
────────────────

◆世界銀行のサーバ 昨年から6回アタックを受ける(2008.10.10-12)

世界銀行グループのコンピュータネットワークは、2007年の半ばから少なくと
も6回アタックされていたようだ。少なくともサーバ18台が侵害されていると
いう。世界銀行の広報によると、「どのアタックでも、機密情報にはアクセス
されていない」という。しかしながら、データが盗まれたかどうかを判断する
のはほぼ不可能である。また、アタックの際は、機密情報を収集したりネット
ワーク内の他の脆弱なコンピュータを探し当てたりするマルウェアをインストー
ルされてしまうことが多い。
http://isc.sans.org/diary.html?storyid=5161http://www.foxnews.com/story/0,2933,435681,00.html
http://news.cnet.com/8301-1009_3-10063522-83.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9116933&source=rss_topic17
http://www.usatoday.com/money/industries/banking/2008-10-12-world-bank-hackers_N.htm?csp=34
世界銀行によると、問題はメディアが取り立てているほど深刻ではないとのこ
と:
http://www.theregister.co.uk/2008/10/13/world_bank_hack_attack/
http://www.vnunet.com/vnunet/news/2228040/hackers-aim-world-bank
http://www.informationweek.com/news/security/attacks/showArticle.jhtml?articleID=211100222
────────────────

◆米国国家安全保障局の施設に 通信傍受不正行為の疑い(2008.10.10)

米国家安全保障局(NSA)のジョージア州フォート・ゴードンにある同局通信傍
受施設に2001年から2007年までの間に勤務していた職員3人は、「米国のスパ
イが米国外における米国人の私的会話を時々盗聴しており、彼ら同士で共有し
ていた」疑いを抱いている。彼らによると、監督行為は決して十分でなく、本
来行われるべき行為とは矛盾するような命令通達があったという。米国上院議
会の諜報委員会のJohn D. Rockefeller IV上院議員(ウェストバージニア州民
主党)はこの件について、現在彼のスタッフが情報収集しており、場合によっ
ては公聴会を開催すると述べている。
http://www.washingtonpost.com/wp-dyn/content/article/2008/10/09/AR2008100902953_pf.html
http://blog.wired.com/27bstroke6/2008/10/kinne.html

【編集者メモ】(Pescatore):
このような出来事は常に循環するようになっている。マッカーシーやニクソン
の時代の不正行為によって、1970年代にプライバシー法や諜報機関の国内特権
に明確な制限が設けられるようになったのだ。1978年、新職員としてNSAに勤
務していた21歳当時、ラボのレシーバーを国内の携帯電話用周波数に合わせて
ギアをテストしたために、呼び出されて叱責された。つまり、当時は確実に監
督がなされ、明確な命令通達もあったわけだが、このような圧力がエスカレー
トしたために諜報活動に不足が生じ、2001年の同時多発テロのような事件が発
生してしまったのである。そして今は、圧力は逆の方向にエスカレートしてい
る。それをまた修正しなければならない。
────────────────

◆欠陥のあるチップ・アンド・ピンのマシン ペイメントカードのデータを盗
  み出す (2008.10.10-11)

中国とパキスタンの組織員で構成されている犯罪組織が、チップ・アンド・ピ
ンのマシンにペイメントカードのデータを盗むことができるデバイスを設置し
ていたという。問題のデバイスは、中国からイングランド、アイルランド、デ
ンマーク、ベルギー、オランダの店舗に発送する前に設置されていたもよう。
盗まれた情報は携帯電話ネットワークを使用してパキスタンの人間に送信され
ていた。パキスタンで受け取った人間は、その後、対象のカードを使用して不
正な購入や引き出しを行っていたという。最も簡単に特定のマシンにデータ窃
盗機能があるかどうか見極めるには、重さを測るとよい。問題のアタックは9
ヶ月も続いていたようだ。損失は5000万ドルから1億ドルと想定されているも
のの、最終的にはより高額になるおそれがある。
http://www.telegraph.co.uk/news/newstopics/politics/lawandorder/3173346/Chip-and-pin-scam-has-netted-millions-from-British-shoppers.html http://online.wsj.com/article/SB122366999999723871.html

【編集者メモ】(Veltsos):
FBIも、偽造品ネットワークや、国防省に売られたコンピュータ・ギアについ
ての捜査を行っている。外部委託された電子部品による脅威は深刻である。
http://www.businessweek.com/magazine/content/08_41/b4103034193886.htm
http://www.businessweek.com/magazine/content/08_41/b4103038201037.htm
────────────────

◆NRIセキュアテクノロジーズ(日本)による「Webサイトのセキュリティ診断:
  傾向分析レポート」

NRIセキュアテクノロジーズが行ったWebサイト169件のセキュリティアセスメ
ントの結果を公表した。2007年度においては、調査サイトの41%に機密情報に
アクセスできてしまうような重大なセキュリティ欠陥があったという。また、
30%のサイトに、情報漏えいにつながるおそれのある脆弱性があった。これら
Webサイトにおける脆弱性の大多数は、セキュリティ対策がある程度しか実施
されていない、「不完全な措置」が原因となっている。
http://www.nri-secure.co.jp/news/2008/1010_report.html
日本語版:
http://www.nri-secure.co.jp/news/2008/0728_report.html

【編集者メモ1】(Skoudis)
この報告には、Webセキュリティにおいて直面している問題について、すばら
しい見解が掲載されている。特に防御的な観点で見ると、我々はあまり進歩し
ていないことがわかる。アタックのスキルや技術が向上していく一方で、防御
側は相対的に遅れをとっている(言い換えれば、一定の脆弱性に対して、脅威
や関連リスクは増えているということ)。XSSアタックによって、アプリケーショ
ンを弱体化させる方向に犠牲者のブラウザがコントロールされる機会が生じる
おそれがある。したがって、同アタックが継続的に蔓延すると、特に悲観的に
なる。
【編集者メモ2】(Pescatore)
調査対象が金融企業に偏っていることや、日本全体のセキュリティが一般的に
高いことを踏まえると、極めて楽観的な見解と言える。最も類似した調査を見
てみると、75%のサイトに重大なセキュリティ欠陥があることになっている。
この調査の中には、私もよく実感している事実が反映されていた。それは、今
まで一度も脆弱性アセスメントを受けていないWebサイトにおける重大な脆弱
性の数は、アセスメントを受けたことがあるサイトの4倍にのぼる可能性が高
いということだ。単純なことのように思えるが、自社サイトの脆弱性を定期的
にチェックしていない企業の多さを知り、私はいつも愕然としてしまう。ドア
をロックしたと思っても、実際にドアノブを動かして本当に開かないかどうか
確認することが大事である。


--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年10月10日 Vol.7 No.41)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報ですSANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
サードパーティのWindowsアプリ          6 (#4)
Mac Os                     1
Linux                      5
HP-UX                      1
クロスプラットフォーム             27 (#1, #2, #3)
Webアプリ-クロスサイトスクリプティング     12
Web アプリ- SQLインジェクション        21
Webアプリ                   25
======================================================================

今週、最も重大な脆弱性が発見されたツールはNovellとOperaだった。
(Alan Paller:SANS Director of Research)
────────────────

1.危険度【重大】:Novell eDirectoryに複数の脆弱性

<影響のある製品>
Novell eDirectoryの8.7.3 SP10 FTF1までのバージョン

<詳細>
Novell eDirectoryは、NovellのLightweight Directory Access
Protocol(LDAP)である。これのさまざまなサブシステムには、複数のバッファ
オーバーフローと印手ジャーオーバーフローがある。サーバへのリクエストが
細工されると、これらの脆弱性が引き起こされる。悪用が実現すると、脆弱プ
ロセスの権限(SYSTEMの場合が多い)で任意のコードを実行できるようになる。
問題の脆弱性は、サーバのSOAPインタフェースとコアプロトコルインタフェー
スにある。詳細は、公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-066/
http://zerodayinitiative.com/advisories/ZDI-08-065/
http://zerodayinitiative.com/advisories/ZDI-08-064/
http://zerodayinitiative.com/advisories/ZDI-08-063/
Novellの変更ログ
http://www.novell.com/support/viewContent.do?externalId=3477912
LDAPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
Netware Core ProtocolについてのWikipediaの説明
http://en.wikipedia.org/wiki/NetWare_Core_Protocol
SOAPについてのWikipediaの説明
http://en.wikipedia.org/wiki/SOAP
ベンダーのホームページ
http://www.novell.com
SecurityFocus BID
http://www.securityfocus.com/bid/31553
────────────────

2.危険度【重大】:Operaに複数の脆弱性

<影響のある製品>
Opera versions 9.60より以前のバージョン

<詳細>
Operaは、クロスプラットフォームのWebブラウザおよびインターネットアプリ
ケーションのスイートとして広範に使用されている。しかし、Javaアプレット
とアドレス処理に複数の脆弱性がある。リダイレクトに使用されるアドレスが
細工されると、バッファオーバーフローの脆弱性につながる。悪用が実現する
と、現在のユーザー権限で任意のコードが実行できるようになる。この脆弱性
の全技術的詳細が公表されている。また、Javaアプレットの処理にある欠陥は、
情報開示の脆弱性にいたるおそれがある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Matasanoのアドバイザリ
http://www.matasano.com/log/1182/i-broke-opera/
Operaのセキュリティアドバイザリ
http://www.opera.com/support/search/view/901/
http://www.opera.com/support/search/view/902/
Vendorのホームページ
http://www.opera.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/31643
http://www.securityfocus.com/bid/31631
────────────────

3.危険度【高】:複数のTCP実装にDoSの脆弱性

<影響のある製品>
複数のTCP実装

<詳細>
TCPとは、インターネットの基礎的なプロトコルのひとつである。いくつかの
共通のプロトコル実装がDoS状態に陥っているという報告がある。この脆弱性
に関する具体的な詳細はまだリリースされていないが、さまざまな予測が飛び
かっている。現在の報告では、少なくともMicrosoft WindowsとApple OS X、
Linuxが脆弱であるという。ファイヤウォールがこの脆弱性を緩和できるかど
うかは、定かでない。詳細は、10月半ばに開催されるT2セキュリティカンファ
レンスで明らかになるもよう。

<現状>
何の詳細も確認されず。

<参考>
Outpost24の掲示
http://www.outpost24.com/news/news-2008-10-02.html
T2セキュリティカンファレンス
http://www.t2.fi/schedule/2008/#speech8
Slashdotの記事
http://it.slashdot.org/article.pl?sid=08/10/01/0127245
SecurityFocus BID
まだリリースされておらず
────────────────

4.危険度【高】:mIRC Privateのメッセージ処理にバッファオーバーフローの
  脆弱性

<影響のある製品>
mIRC 6.34までのバージョン

<詳細>
mIRCは、Microsoft WindowsのIRC(インターネット・リレーチャット)クライ
アントとして広範に使用されている。しかし、IRC"private message"(PRIVMSG)
コマンドの処理にバッファオーバーフローの脆弱性がある。脆弱なクライアン
トに送られるPRIVMSGコマンドが細工されると引き起こされ、現在のユーザー
権限で任意のコードを実行できるようになる。この脆弱性の全技術的詳細と概
念実証コードが公表されている。ネットワークの中には、Private messageが
未承認で送信されるものもある。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://milw0rm.com/exploits/6666
IRCについてのWikipediaの説明
http://en.wikipedia.org/wiki/Internet_Relay_Chat
ベンダーのホームページ
http://www.mirc.com/
SecurityFocus BID
まだリリースされておらず


======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。