NRI Secure SANS NewsBites 日本版

Vol.3 No.45 2008年11月17日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.3 No.45 2008年11月17日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
SANS GSSP試験 日本初実施!!
~セキュアプログラミングスキルを証明する世界唯一の認定資格~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
↓↓↓詳しくはこちら↓↓↓
http://www.entryweb.jp/sans/GIAC/

        !!受験申込みは11月28日(金)まで!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.10 No.88-89
(原版:2008年11月8日、12日配信)

◆ホワイトハウスのコンピュータ 複数回ハッキングされる(2008.11.7)

The Financial Timesによると、昨晩、ホワイトハウスのコンピュータが複数
回ハッキングされていたことが判明し、その事実を政府関係者2人が認めてい
るという。ハッカーの身元については、中国政府が資金提供している何者かで
あるとの可能性が高いと推測されている。また、この記事には、ゲイツ国防長
官を支えるコンピュータ(軍需産業における主要企業のコンピュータ)や、オ
バマ氏やマケイン氏の選挙キャンペーン用のコンピュータに対する大規模な侵
入についても書かれている。
http://www.ft.com/cms/s/0/2931c542-ac35-11dd-bf71-000077b07658.html

【編集者メモ】(Paller)
この記事は、政府、軍需産業、重要インフラのコンピュータに広がりつつある、
より深部への侵害を公表しようという一連の動きが高まっていることを示して
いる。
法遵守が広まったために、政府や産業界のリーダーはサイバー関連分野で自己
満足に陥ってしまった。悪意のある第三者がコンピュータを数か月にわたって
コントロールしていたことを突き止めようと取り組む日々に終止符を打つだけ
でなく、感染の程度を見極めることもできなくなるような自己満足状態である。
米国のミサイル防衛組織のセキュリティを運営している人間は、今週はじめ、
「問題は、セキュリティ認定試験に合格したのだから簡単だと、セキュリティ
責任者が考えているところにある」と述べている。しかし、実際のところ、
「セキュリティは思っている以上に難しい」ものだ。多くの人間が、防御網を
かいくぐったアタッカーや粘り強くシステム内に居座っている者を見つけ出し、
再び感染させられないようにシステムを完全に回復させようとする。しかし、
結局アタックされていること自体がわからないだけでなく、早期警告システム
の技術および堅牢な防御能力が不十分なため、なし得ないのが現状である。所
属組織が法遵守チェックに合格していれば安全とみなしてよい、と考える人が
なんと多いことか。自分に欠けている専門的なセキュリティスキルを学習する
意欲(もしくは、学習済みの人材に頼る意向)もない。
しかしながら、若干の希望もある。大統領はこのほど、大統領国家セキュリティ
指令54(Presidential National Security Directive 54)において、数十億
ドル規模の包括的な国家サイバーイニシアチブ(Comprehensive National
Cyber Initiative)を設立し、専門的なセキュリティスキルの格差を埋めるよ
う求めた。
────────────────

◆大統領選挙キャンペーンのシステム アタックでファイル盗まれる
(2008.11.5)

米国大統領選挙の両党の候補者のコンピュータのシステムが、「外国の組織」
によって侵害されていたという。今年初夏の発覚当初は、ごく平凡なマルウェ
アによってアタックを受けただけと考えられていたが、その後、オバマ陣営の
ITスタッフは、システムから大量のファイルが盗まれていたことを発見した。
マケイン陣営のコンピュータシステムも、同様にアタックされていた。アタッ
カーは両候補の政策姿勢に関する情報を収集していたのではと、捜査官は推測
している。
インターネットストームセンター:
http://isc.sans.org/diary.html?storyid=5291
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=212000820
http://www.newsweek.com/id/167581
────────────────

◆英国貴族院 データベースから特定のDNA鑑定の証拠除去を可決
(2008.11.5-6)

英国議会貴族院は、対テロ法案の修正案を可決した。同法案によって、無実の
者は、自分の生体認証情報を英国のデータベースから除去するよう要請できる
ようになる。問題のデータには、捜査の過程で収集されたDNAや指紋情報が含
まれているが、今の段階だと、容疑が晴れた者の情報も保持されている。
http://news.zdnet.co.uk/security/0,1000000189,39543009,00.htm
http://www.publicservice.co.uk/news_story.asp?id=7602

【編集者メモ】(Schultz)
英国の生体認証情報データベースのセキュリティについて、確信がほとんどな
かったことを踏まえると、この法案は英国民のために踏み出す大きな一歩であ
ると言えよう。
────────────────

◆処方箋管理会社 恐喝を受ける(2008.11.6-7)

数千件の組織を介しておよそ5,000万人の処方箋薬保険を管理する企業である
Express Scriptsは、「金銭を支払わなければ顧客記録を流出する」という恐
喝を受けた。Express Scriptsは、問題の恐喝レターを連邦捜査官に見せたが、
そのレターには75人の個人情報が記されていたため、その75人にはその旨を通
知した。流出していたデータには、生年月日、社会保険番号、処方箋内容など
が記載されていた。
http://www.nytimes.com/2008/11/07/business/07data.html?partner=rssnyt&emc=rss&pagewanted=print
http://ap.google.com/article/ALeqM5jdqiki6koBq7ZGmecrtfzKIMsboQD949MQ881
http://www.esisupports.com/

【編集者メモ】(Paller)
クレジットカードのデータは、犯罪者がサイバー恐喝で数億ドル獲得するため
の「通貨」になっている。なぜなら、電子商取引および金融企業は、委ねられ
た機密情報を保護できていないことを顧客に隠すため、恐喝に応じる可能性が
高いからだ。今回のケースでも、医療記録自体が実際に使用されるのは、あく
までも第二の副次的な方策にすぎないことがおわかりだろう。米国は、低価格
で国民皆保険を提供するために、医療データの自動化を考えている。しかし、
HIPAA(Health Insurance Portability and Accountability Act)の遵守のみ
では、まだまだ実行できないだろう。
────────────────

◆調査結果:キャッシュポイズニング欠陥にパッチを適用していないDNSサー
バがまだある(2008.11.10)

Domain Name System(DNS)サーバについての最近の調査によると、今年はじめ
に重大なDNSの脆弱性について大々的に報道されたにもかかわらず、再帰問い
合わせ可能なサーバの25%は、まだパッチが適用されていないという。また、
管理者の45%はこの脆弱性の対処に必要な能力に欠け、30%がパッチ適用に必
要なDNSについての知識も十分でないと回答している。そのほか、BIND9
(Berkeley Internet Name Domainの最新版)を運用しているサーバは90%であっ
た。つまり、安全度が高くないMicrosoft DNS Serverの使用が大幅に減ってい
ることになる。1つ残念だったのは、DNSSecを導入している割合が低かったこ
とだ。DNSSecとは、DNSクエリや応答が、デジタル署名や認証を可能にするセ
キュリティプロトコルである。これらの調査結果を受けて、米国の.govドメイ
ンに、2009年末までにDNSSecの導入が義務付けられることとなった。
http://www.gcn.com/online/vol1_no1/47524-1.html?topic=security
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9119724&source=rss_topic17
http://dns.measurement-factory.com/surveys/200810.html

【編集者メモ】(Northcutt)
DNSSEC導入の割合については悲観したいだけすればよいが、導入自体、難しい
のが実情だ。セキュリティ向上の成功は、修正の自動化や導入の簡便化いかん
にかかっている。
────────────────

◆研究者ら Wi-Fi保護アクセス(WPA)のTemporal Key Integrity
Protocol(TKIP)についての論文を発表(2008.11.6-10)

ドイツの大学の研究者2人が、15分以内にアタッカーが使えば、Wi-Fi保護アク
セス(WPA)の暗号を侵害できてしまうという技術の組み合わせを発見した。ア
タックによって、暗号化キー自体を検知されることはない。むしろ、この技術
によって、アタッカーはパケットの暗号を解いてカスタムのコンテンツをパケッ
トに挿入できるようになってしまうという。研究者のMartin BeckとEric Tews
は、この発見について今週東京で開催されるPacSec 2008カンファレンスで発
表を行う。問題のアタックは、WPAのTemporal Key Integrity Protocol(TKIP)
をターゲットにするものだという。
http://www.securityfocus.com/news/11537
http://www.heise-online.co.uk/security/Security-experts-reveal-details-of-WPA-hack--/news/111922
http://dl.aircrack-ng.org/breakingwepandwpa.pdf

【編集者メモ】(Ullrich)
このアタックには制限があるものの、WPAとTKIPは、古いハードウェアに対す
る過渡的な修正プログラムとして機能するようになっていることが浮き彫りに
なった。WPA2など、まさに本当の修正プログラムである。インターネットストー
ムセンターのRaul Silesは、「この新たな研究によって新たなWPA/TKIPアタッ
クに機会が与えられてしまい、今後アタックが拡大する可能性が生じることに
なる。つまり、今、このアタックや今後発生しうる脅威を取り除き、緩和する
ために、適切なセキュリティ対策を計画・実行するしかない」と述べている。
WPA2/AESを今すぐ更新せよ!TKIPにある脆弱性によって、WPAとWPA2の両方が
影響を受ける可能性がある。このアタックは、WPAT2がTKIPとともに設定され
ているとWPA2はAESとTKIPの両方を許可しているため、影響を受けることにな
る(一方、WPAはTKIPのみを許可するにとどまる)。
http://isc.sans.org/diary.html?storyid=5315
────────────────

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2008年11月7日 Vol.7 No.45)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ         11 (#2)
Linux                      1
Unix                      1
クロスプラットフォーム             9 (#1)
Webアプリ-クロスサイトスクリプティング     13
Web アプリ- SQLインジェクション        38
ネットワークデバイス              1
======================================================================

今週、IBM TivoliとAdobe Acrobatの両方に、重大な脆弱性があることが判明
した。Acrobaの問題には、すでに活発なエクスプロイトが、出回っている様子。
Alan (Alan Paller:SANS Director of Research)
────────────────

1.危険度【重大】: Adobe Acrobatに複数の脆弱性

<影響のある製品>
Adobe Acrobat 9以前のバージョン

<詳細>
Adobe Acrobatは、インターネット上でのPortable Document Format(PDF)ビュー
アとして広範に使用されている。しかし、PDFファイルに組み込まれている
JavaScriptやその他のデータ処理に欠陥があるため、複数ある欠陥のいずれか
が引き起こされる。悪用が実現すると、現在のユーザー権限で任意のコードを
実行できるようになる。PDF文書は受信時に、ユーザーへのプロンプトがない
まま脆弱なアプリケーションによって開かれる場合が多いので注意が必要だ。
この脆弱性の技術的詳細がいくつか公表されている。少なくともこのうちの1
つは、その他のPDF処理製品にある脆弱性に類似していると考えられるため、
詳細情報はそこから入手することもできるだろう。ほか、概念実証コードも公
表されている。そして、1件以上の脆弱性が激しく悪用されているもよう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-074/
http://zerodayinitiative.com/advisories/ZDI-08-073/
http://zerodayinitiative.com/advisories/ZDI-08-072/
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=756
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=755
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/bulletins/apsb08-19.html
概念実証コード
http://www.securityfocus.com/data/vulnerabilities/exploits/30035.zip
http://www.securityfocus.com/data/vulnerabilities/exploits/30035.c
http://www.securityfocus.com/data/vulnerabilities/exploits/2008-HI2.pdf
ベンダーのホームページ
http://www.adobe.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/30035
http://www.securityfocus.com/bid/29420
http://www.securityfocus.com/bid/32100
http://www.securityfocus.com/bid/32105
http://www.securityfocus.com/bid/32103
────────────────

2.危険度【重大】:IBM Tivoli Storage Managerにバッファオーバーフローの
脆弱性

<影響のある製品>
Microsoft SQL用IBM Tivoli Storage Manager Express

<詳細>
IBM Tivoli Storage Managerは、さまざまなプラットフォームに保管およびバッ
クアップ管理機能を提供する。しかし、Microsoft SQL用のバックアップクラ
イアントにバッファオーバーフローがある。このサービスへのリクエストが細
工されると引き起こされ、脆弱なプロセス(SYSTEM)の権限で任意のコードを実
行できるようになる。この脆弱性の技術的詳細がいくつか公表されている。ま
た、関連があると見られる別の脆弱性も、クライアントのスケジューリングコー
ドに存在している。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-071/
IBMのセキュリティアドバイザリ
http://www-01.ibm.com/support/docview.wss?uid=swg21322623
SecurityFocus BID
http://www.securityfocus.com/bid/31988

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。