NRI Secure SANS NewsBites 日本版

Vol.3 No.44 2008年11月10日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.44 2008年11月10日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
   ~セキュアプログラミングスキルを証明する世界唯一の認定資格~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/

        !!受験申込みは11月28日(金)まで!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■はじめに(Alan Paller:SANS Director of Research)

SCADAおよびプロセスコントロールのセキュリティ(Process Control Security)
について(朗報):
米国のユーティリティ事業は、この5ヶ月で正反対の方向へ転換した。「事業
で使用しているコントロールシステムは、サイバーアタックに対して安全であ
る」と豪語するのをやめたのだ。これを受けて、監視組織(NERC:米国電気信頼
性評議会など)は、同事業部門が適格な尺度でセキュリティの有効性を測定で
きるように支援する取り組みを始動。また、システムを安全にするために行う
べきことや、ユーティリティ事業が正しい対策をとっていることを確認する手
段についても、見解を一致できるよう努めていく。すでにセキュリティの有効
性を実証しているユーティリティ事業の多くが、来る2月初旬オークランドに
集結し、習得した教訓を参加者と共有する予定。

この2月のサミットは、システムの安全化に努めているユーティリティ事業者、
政府局、コントロールシステムのベンダー、サービスプロバイダであれば参加
可能。申込みおよびプログラム情報はこちら:
http://sans.org/scada09_summit/

この度NewsBites編集部に新たに加わったRon Dickを歓迎する。Ronは、FBIの
米国基盤構造保護センター(NIPC:National Infrastructure Protection
Center)の長を務めた経験があり、次期InfraGard National Members
Alliance(会員2万2,000人)の長を務める(注:InfraGardプログラムは、主に
サイバー世界の脅威および脆弱性に関する最新情報の共有を目的とした官民共
同のセキュリティ専門家グループでFBIによって創設)。彼はまれに見る現実主
義者であり、鮮明な視野とユーモアのセンスを備えている。最後の「英国のメ
モリスティック」の記事の編集者メモにもそれが表われていえる。
────────────────

■■SANS NewsBites Vol.10 No.86-87
   (原版:2008年11月1日、5日配信)

◆英国政府のデータ侵害で 提案されているデータベースに不安生じる
  (2008.10.29)

英国情報長官局(ICO:UK Information Commissioner's Office)発表の統計によ
ると、昨年の民間セクターでのデータ侵害報告件数は80件だったものの、公共
におけるその数は176件にのぼったという。公共セクターでの侵害報告のうち
75件は英国民健康保険(NHS)やその他医療関連組織で発生しており、28件は中
央政府、26件は地方政府で発生したものだった。情報長官のRichard Thomasは、
「データ紛失が目立っているにもかかわらず、実行活動の脅威や、データ処理、
ICOからの明確なガイダンスについての報告が大量にあがっている。そのよう
な中で、データ侵害の発生やずさんな情報処理が未だに継続していることに警
戒するべきだ」との見解を示した。Thomasは企業の取締役らに対し、個人情報
の管理をIT部門に委ねたままにせずに、彼ら自身で責任を担うよう求めている。
また、今回の報告件数を持ち出して、個人情報の大きなデータベースを作成す
る際は用心することを強調した。
http://news.bbc.co.uk/2/hi/uk_news/politics/7697093.stm
http://www.silicon.com/silicon/research/specialreports/agenda-setters-2008/ceos-told---take-responsibility-for-toxic-data-39330308.htm
http://www.nzherald.co.nz/compute/news/article.cfm?c_id=1501832&objectid=10539909

【編集者メモ】(Honan)
この基調演説を聞くと、Thomas氏はデータ侵害の件数に懸念があるにもかかわ
らず、侵害の報告を義務付ける法の導入の必要性を感じていないことが伺えて、
とても興味深い。彼は、企業に追加負担を課してしまうと、市民があまりにも
大量の通知を受けるようになり、侵害に「飽き飽き」してしまうのではないか
という懸念を強く抱いているようだ。しかし、それでは「そもそも企業は市民
の情報を保護するべきであり、そうであれば通知を受ける必要もない」という
事実を無視していることにならないだろうか?
────────────────

◆控訴裁判所 判決維持でビジネスモデル特許を許可するケースを覆す
  (2008.10.30)

米国連邦巡回控訴裁判所は今週、State Street Bank対Signature Financial
Groupのケースを覆す下級裁判所の画期的な判決を、9対3で維持することに決
定した。1998年当時の判決では、コンピュータ商業についてのビジネスモデル
は特許の取得が可能であるとされていた。それを受けて、Amazon.comのワンク
リック決済や、Priceline.comの「自分で価格をつけよう」ツール、その他さ
まざまなツールの特許申請が認められたという経緯がある。
http://bits.blogs.nytimes.com/2008/10/30/federal-court-kills-patents-on-business-methods/?pagemode=prints
http://www.groklaw.net/article.php?story=20081030150903555
http://blogs.wsj.com/law/2008/10/30/court-reverses-position-on-business-methods-patents-in-bilski-case/?mod=googlenews_wsjs
http://www.groklaw.net/pdf/07-1130.pdfs
────────────────

◆法廷 ハッシュの実行は合衆国憲法修正第4条の捜査に相当するとの判決を
  下す (2008.10.29)

米国地方裁判所は、コンピュータにハッシュ値を適用する行為は、合衆国憲法
修正第4条の捜査に相当するという判決を下した(つまり、証拠物件が法廷で認
められるには、捜査に令状が必要となる)。この判決によって、警察がRobert
Cristのコンピュータに発見した証拠物件は裁判で使用できなくなる。当時、
Cristは家賃を滞納していたため、大家が人を雇ってその持ち物を道路に移動
したが、雇われた者の友人が彼のノートパソコンを勝手に持ち帰った。Crist
は、自分の持ち物が外に置かれている様を見て、その中にコンピュータがなかっ
たため盗難届けを出した。持ち帰った人物がマシンに児童ポルノ画像を発見し
たため警察を呼んだところ、警察は実際にファイルの中に児童ポルノがあるか
どうか確かめるためにハッシュを実行したという。検察側は控訴する見込み。
http://volokh.com/archives/archive_2008_10_26-2008_11_01.shtml#1225159904
http://arstechnica.com/news.ars/post/20081029-court-rules-hash-analysis-is-a-fourth-amendment-search.html

【編集者メモ1】(Schultz)
この判決によって、「法と一般常識は互いに適合しない場合が多々ある」とい
う、サイバー関連の弁護士Mark Raschが常に主張しているメッセージが強調さ
れたことになる。
【編集者メモ2】(Northcutt)
これは、児童ポルノがもとで大きな法廷判断を行った2件目のケースである。
最初のケースはこちら:
http://lists.sans.org/pipermail/list/2007-December/026802.html
これはとても複雑なケースである。最初に記事を読んだとき、私は単純明白な
ケースだと思っていた。しかし、Cristは自分の持ち物が他人に渡っていると
は思っていなかったという。捜査・押収技術における暗号ハッシュの問題は重
大であるが、今回の判決が強力な判例になるとは思えない。そして、実際にハッ
シュがどれほど信頼性の高いものかという問題について、我々は今後も考えて
いかなければならないだろう。
http://en.wikipedia.org/wiki/Hash_collision
────────────────

◆調査結果:セキュリティポリシーが守られていない問題を露呈
  (2008.10.28-29)

Ciscoが委託した調査によると、10か国の企業の従業員は、自社のセキュリティ
ポリシーについて把握していない、もしくは生産性が落ちるので無視している
という。所属企業にセキュリティポリシーがあるかという問いには、IT専門職
とその他従業員との間で20-30%のギャップがあった。なぜセキュリティポリ
シーが守られていないのかという問いに対して、IT専門職は無視されているた
めと答えている一方で、その他従業員はポリシーがあることによって職務の遂
行が困難になるためと答えている。この調査は、米、英、仏、独、伊、日、中、
印、濠、ブラジル企業の従業員2000人を対象に行われた。
http://www.eweek.com/c/a/Security/Cisco-Study-Highlights-Common-Failures-of-Enterprise-Security-Policies/
http://www.computerworld.com.au/index.php/id;1866823251;fp;4;fpid;78268965
────────────────

◆コンピュータ修理技術者に私立探偵免許の取得を義務化するテキサス州法に
  異を唱える団体も(2008.10.31)

テキサス州民間セキュリティ委員会(Texas Private Security Board)は、また
もやコンピュータ修理技術者に私立探偵免許の取得を免除するルールの承認を
拒否した。現在、テキサス州では捜査とみなされる行為をコンピュータに対し
て行う者は、政府が発行した正式な私立探偵免許を持っていなければならない
ことになっている。同委員会は、今年はじめ、修理技術者に対してはこの必須
条件を免除する提案の審議を行ったが、先週、また審議することとなった。同
法下では、免許のない人間にコンピュータの修理をしてもらった消費者に対し
ても懲罰が下るようになっている。そのため、司法研究所テキサス支部は、こ
の法がテキサス州憲法に準じているかどうかを問うている。
http://www.ij.org/index.php?option=com_content&task=view&id=2438&Itemid=129

【編集者メモ1】(Pescatore)
まったくなんということだ……。きっと次は、クリーニングする前にポケット
の中に何かあるか確かめようとするクリーニング屋さんが、私立探偵免許の取
得を義務付けられることだろう。
【編集者メモ2】(Ranum)
一般的に、この種の規制はニッチ市場を縮小してしまう結果をもたらす。本業
の私立探偵らもこのような必須条件を推進していないだろう、と考えるのは認
識が甘い。
────────────────

◆フランスの上院議会 著作権侵害者のインターネット接続を阻止できる法を
  可決(2008.10.31)

フランスの上院議会は、習慣的に著作権を侵害してデジタルコンテンツをダウ
ンロードしているインターネットユーザーの接続を阻止する「段階的レスポン
ス」法案を可決した。成立に至るには、下院での可決が必要となる。著作権侵
害者はまずメールで警告を受ける。その後も違法にダウンロードを続けている
と書面でも受け取ることとなり、それでも違反が続けられているようなら、イ
ンターネットサービスに1年間接続できなくなる。同法が成立すると、違法ダ
ウンロードを理由としたインターネットサービスへの接続拒否を禁じている欧
州議会修正法と反目することになる。
http://euobserver.com/9/27026
────────────────

◆テスト結果:Recertifiedテープから古い情報が流出(2008.10.30)

保存媒体メーカーのImationが、情報消去後にRecertified(使用後、再販のた
めに検査された)データ保存テープのテスト行ったところ、機密の銀行情報お
よび病院情報、実地調査データや人ゲノムのプロジェクトデータが読み取れて
しまったという。このテストによって、「データを正しく破棄するには、メディ
アそのものを破壊するしか方法はない」という産業ガイダンスが確認された。
データ保存技術を販売している他の企業も同様の調査を行ったが、結果は似た
ようなものだったという。しかし、Recertifiedテープ販売企業は、「テープ
に残っているデータを使用したり、読み取ったりすることはできない」として
いる。
http://www.darkreading.com/security/storage/showArticle.jhtml?articleID=211800370

【編集者メモ】(Schultz)
複製されたデータを侵害する方法は、計り知れないほどほどある。このニュー
ス記事では、テストによって「データが完全に一掃されたはずのテープにもデー
タは残っている」という、我々の多く(私自身も含めて)がまったく疑っていな
かった事実を示したにすぎない。
────────────────

◆英政府の機密パスワードを保存したメモリスティックが飲み屋の外で見つか
  る(2008.11.2-3)

英政府のGateway Webサイトのパスコードが保存されたメモリスティックが飲
み屋の駐車場で発見されたことを受け、同サイトが閉鎖された。Gatewayサイ
トでは、駐車禁止チケットや年金受給、確定申告など、50の政府サービスに市
民がアクセスできる。問題のパスコードを使えば、サイトに登録している120
万人の個人情報にアクセスできてしまうという。同システムは、問題のメモリ
スティックが暗号化されていたと判明した後に回復された。
メモリスティックは、Webサイトを管理しているAtos Origin社のものだった。
この件に関して、現在捜査が行われている。Atosによると、従業員が企業ポリ
シーに反して事業所からメモリスティックを持ち出していたという。ブラウン
首相は「間違いは人間が起こすのだから、情報の1件1件全てが安全であると約
束することはできないと認めることが重要だ」と述べ、非難を浴びている。
http://www.smh.com.au/news/technology/security/memory-stick-loss-sparks-government-system-shutdown/2008/11/03/1225560695249.html
http://www.scmagazineuk.com/Government-website-briefly-closed-following-USB-loss/article/120275/
http://www.scmagazineuk.com/Lib-Dems-call-for-ban-on-memory-sticks-to-carry-confidential-data/article/120277/
http://www.timesonline.co.uk/tol/news/politics/article5064274.ece
http://www.mailonsunday.co.uk/news/article-1082467/I-make-promises-keeping-personal-details-safe-admits-Brown-wake-latest-data-blunder.html
http://www.scmagazineuk.com/Prime-Minister-criticised-over-data-loss-comment/article/120276/

【編集者メモ】(新編集者・Ron Dick)
政治的なアナウンスとして正しいかどうかはともかく、ブラウン首相の言って
いることは正しい。人間は他人を傷つけてしまうような間違いをおかすものだ。
したがって、正しいことを行えるように教育し、実行していくことが課題とな
ろう。今までに何年も言い続けてきたことだが、合衆国法典第18編に"バカ"と
いう表題の法が必要だ。私自身も、前世にずっと多くの前科があるかもしれな
い。しかし、バカに対してはどのように結論づければよいのかわからない。
────────────────


--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年10月31日 Vol.7 No.44)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Microsoft Windows                1 (#1)
サードパーティのWindowsアプリ          6
Linux                      4
Solaris                     1
Unix                       2
Novell                     1
クロスプラットフォーム             28 (#2, #3, #4)
Webアプリ-クロスサイトスクリプティング     11
Web アプリ- SQLインジェクション        25
Webアプリ                   37
======================================================================

MicrosoftのRPC問題は重大だ。エクスプロイトもたくさんある。この問題を修
正していない方は、今すぐ対応した方がよいだろう。
(Alan Paller:SANS Director of Research)
────────────────

1.【更新】:Microsoft WindowsのRPCにリモートでコードを実行される脆弱性
  (MS08-067)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
先週、MicrosoftはMicrosoft Windowsの複数バージョンにあるリモートでコー
ドを実行される脆弱性に、緊急パッチを発行した。最初の発表は、その週の
@RISKに掲載されている。そしてこのほど、同脆弱性についてさらなる詳細が
公表された。問題の欠陥は、Remote Procedure Call(RPC)インタフェースをエ
クスポートするMicrosoft Windows Server Serviceの欠陥に起因している。エ
クスポート手順の1つに存する欠陥によって、脆弱なプロセス(SYSTEM)の権限
で任意のコードを実行できるようになってしまう。脆弱な手順においては、
Windows VistaやWindows Server 2008以外のMicrosoft Windowsのバージョン
では認証不要。Microsoftは激しく悪用されていると考えている。この脆弱性
の概念実証コードがこのほど公表された。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。なるべく早くパッ
チを適用した方がよい。

<参考>
@RISKのバックナンバーに掲載された関連記事
https://www.sans.org/newsletters/risk/display.php?v=7&i=43#widely1
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
概念実証コード
https://metasploit.com/ms08_067_netapi.rb
https://www.immunityinc.com/downloads/immpartners/ms08_067-3.tgz
https://www.immunityinc.com/downloads/immpartners/ms08_067-2.tgz
https://www.immunityinc.com/downloads/immpartners/ms08_067.tgz
http://www.securityfocus.com/data/vulnerabilities/exploits/31874.zip
SecurityFocus BID
http://www.securityfocus.com/bid/31874
────────────────

2.危険度【高】:OpenOffice.orgのWMFおよび EMFファイル処理に複数のバッファ
  オーバーフローの脆弱性

<影響のある製品>
OpenOffice.org 2.4.2以前のバージョン

<詳細>
OpenOffice.orgは、オープンソースのオフィススイートとして広範に使用され
ており、UnixやUnixベースのOSではデフォルトでインストールされているほか、
Microsoft WindowsやMac OS Xでも一般的にインストールされている。しかし、
これのWindows Metafile(WMF)やEnhanced Metafile(EMF)画像ファイルの処理
には複数の欠陥がある。WMFやEMFの画像が細工されると、OpenOffice.orgに複
数のヒープベースのバッファオーバーフローを引き起こすおそれがある。これ
らの欠陥のいずれかの悪用が実現すると、現在のユーザー権限で任意のコード
を実行できるようになってしまう。設定によっては、悪意のある文書を受信す
ると、ユーザーへのプロンプトなしに開かれてしまうおそれもある。これらの
脆弱性の詳細情報はソースコードを解析すれば入手できる。また、
OpenOffice.orgの派生製品であるStarOfficeも脆弱だと思われる。
<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
OpenOffice.orgのセキュリティ警告
http://www.openoffice.org/security/cves/CVE-2008-2237.html
http://www.openoffice.org/security/cves/CVE-2008-2238.html
Windows Metafileおよび Enhanced Metafileファイル形式についての
Wikipediaの説明
http://en.wikipedia.org/wiki/Enhanced_Metafile
ベンダーのホームページ
http://www.openoffice.org/
SecurityFocus BID
http://www.securityfocus.com/bid/31962
────────────────

3.危険度【高】:Operaに複数の脆弱性

<影響のある製品>
Opera 9.62以前のバージョン

<詳細>
Operaは、クロスプラットフォームのWebブラウザとして広範に使用されている。
しかし、JavaScript URL処理や履歴エントリの処理に複数の脆弱性がある。ブ
ラウザの履歴にあるエントリもJavaScript URLも正しくサニタイズされない。
Webページが細工されると引き起こされ、実際に許可されているセキュリティ
コンテキストよりも高いコンテキストにある任意のJavaScriptコードが実行さ
れる恐れが生じる。これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Operaのセキュリティアドバイザリ
http://www.opera.com/support/search/view/907/
http://www.opera.com/support/search/view/906/
Operaのホームページ
http://www.opera.com
SecurityFocus BID
http://www.securityfocus.com/bid/31991
────────────────

4.危険度【高】:Adobe PageMakerのPMDファイル処理にバッファオーバーフロー
  の脆弱性

<影響のある製品>
Adobe PageMaker 7.0.1までのバージョン

<詳細>
Adobe PageMakerは、デスクトップパブリッシングアプリケーションとして広
範に使用されている。しかし、PMD(PageMaker)ファイルの処理には複数のバッ
ファオーバーフローがある。PMDファイルが細工されるとこれらのバッファオー
バーフローが引き起こされ、現在のユーザー権限で任意のコードを実行できる
ようになってしまう。設定によっては、悪意のあるファイルが受信されると、
ユーザーへのプロンプトなしに開かれるおそれがある。これらの脆弱性の技術
的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。3番目の脆弱性
も確認されているが、それにはパッチが発行されていない。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/27200/
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/advisories/apsa08-10.html
製品のホームページ
http://www.adobe.com/products/pagemaker/
SecurityFocus BID
http://www.securityfocus.com/bid/31975

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。