NRI Secure SANS NewsBites 日本版

Vol.3 No.47 2008年12月3日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.3 No.47 2008年12月3日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

セキュリティ監査人が重要ではない欠陥にばかり注目して本当に重要な問題を
見落としていることに苛立っている方や、2人のセキュリティ査定人が各人全
く異なる結論を出したことに困惑している方は、今週の5番目のストーリー
(セキュリティ監査のガイドラインの記事)に元気づけられるかもしれない。

世界中のソフトウェアセキュリティ最高峰のエキスパートが集結。共同で、最
も危険なプログラミングエラー25件(Top25)を選択した。その目的は、CIOが
購入・構築するソフトウェアや、教育機関が全うなプログラミングを効果的に
教えるために使うソフトウェアのセキュリティを即決できるようにすることに
ある。詳細はこちら:
http://www.sans.org/resources/top25/

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
SANS Tokyo 2009 Spring 開催決定!!

2009年2月9日(月)~14日(土)  会場:UDXカンファレンス(秋葉原)

!セキュリティ技術の最先端が学べる大人気のハンズオン3コースを実施!

  ■PCI/DSS準拠・実装・監査のための具体的手法の習得 -> AUD521
■ペネトレーション手法の完全習得、エシカルハッカー養成 -> SEC560
■アプリケーションの脆弱性診断スキルの短期習得 -> DEV538
↓↓↓詳しくはこちら↓↓↓
http://www.entryweb.jp/sans/09spring/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
SANSトレーニングプログラムへの参加をお考えの方へ。
以下のコメントは、SANSトレーニングがどのトレーニングよりも有益であるこ
とを上司に理解させるのに役立つと思われる。SANSトレーニングでは、受講後
に即実践できる最新の防御情報が提供されるのだ:
「SANSのライバル機関によるコースに参加したこともあるが、SANSは圧倒的に
それらを凌ぐ」(米国海兵隊 Alton Thompson)
「今まで多くのトレーニングコースを受講してきたが、このトレーニングが最
も素晴らしかった」(サフォーク郡警察 William Okula)
「サイバーセキュリティ分野の管理責任がある方は、効果的な成果をあげるべ
く、必ずこのコースを受講すべきだ」(米国国税庁 William J. Riegger)
「SANSコースには最高峰中の最高峰の人間が集結しており、最先端の情報を提
供してくれる」(米国サンディア国立研究所 Jeremy Baca)
「SANSトレーニングは触媒のようだ。知識を増やせるだけでなく、さらなる学
習意欲もかきたてられる」(IDA Tan Koon Yaw)
「SANSには、私が参加したことのあるトレーニングの中で最高の講師陣が揃っ
ているほか、最も適切かつ旬な情報が詰まっている」(Hallmark社 Melodee
McHone)
「今までに、これだけ有益な情報がわかりやすく、また手軽に入手可能な形で
集約されている場所を見たことはなかった」(PEO C4I PMW 160 Wayne Slocum)
「テクニックを学べたのみならず、即座に実践できるツールを見出せた。この
ようなトレーニングは、今まで受けたトレーニングの中ではこれだけだ」(国
防補給庁 Dwight Leo)

ほか、数千人の受講者が同様のコメントを寄せている。

■■SANS NewsBites Vol.10 No.92-93
(原版:2008年11月22日、26日配信)

◆米国国防省 ワームの感染拡大を阻止するために取り外し可能なデータ保存
デバイスの使用を禁止(2008.11.19)

米国防省のコンピュータシステムにおけるワームの感染拡大を阻止するため、
米戦略軍司令官は、USBドライブ、CD、フラッシュメディアカードなど、取り
外し可能なデータ保存デバイス全ての使用を禁止した。機密および機密外ネッ
トワークの両方が影響を受けることになる。コンピュータに感染している問題
のマルウェアはSillyFDCワームの派生型で、Agent.btzと呼ばれている。この
ワームは、自分自身をUSBドライブやその他の取り外し可能なデータ保存デバ
イスにコピーして、次に差し込まれたデバイスに感染していくというもの。個
人所有のデバイスや使用が許可されていないものは全て、省内コンピュータで
の使用を禁じられる。しかしながら、徹底検査終了後に、いくつかの省内用
USBドライブが使用を許可される可能性もある。
インターネットストームセンターのダイアリー:
http://isc.sans.org/diary.html?storyid=5384
http://blog.wired.com/defense/2008/11/army-bans-usb-d.html

【編集者メモ】(Pescatore)
Agent.btzは、6月からアンチマルウェアのブラックリストに入っていたはずで
ある。国防総省(DoD)のデスクトップがアンチマルウェアのために何を使用し
ていたのか。携帯用メディアの全面禁止を打ち出す前に、それを吟味すべきで
あろう。
────────────────

◆McColo社の業務停止により打撃を受けるボットネットも(2008.11.18)

先週、Webホスティング事業者McColo社の業務停止によって、ボット・マルウェ
アに感染していたPC50万台が無効化された。コンピュータそのものは機能する
が、入れられていたマルウェアはもはやコマンド・アンド・コントロールサー
バと通信できなくなった。McColo社のアップストリームサービスプロバイダが、
同社のサービスによってサイバー犯罪が大幅に増加しているとする研究者の強
い要請を受けて、同社の接続を外すに至った経緯がある。これにより、2つの
主要ボットネットSrizbiとRustockが動作不能となった模様。Rustockは、マル
ウェア自体にバックアッププランがプログラムされていないため、失ったボッ
トを回復できないと考えられている。しかし、Srizbiボットは主要サーバに接
続できなくなった場合、他のドメイン名をチェックするよう仕込まれているよ
うだ。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=Security&articleId=9120727&taxonomyId=17&pageNumber=1

【編集者メモ】(Honan)
今年はじめ、オランダの警察は手を入れたボットネットを使用して、「PCが感
染している」と犠牲者に対して警告を発した。同じテクニックをまた使用して
警告を行うのかどうか、興味深いところである。
インターネットストームセンター:
http://isc.sans.org/diary.html?storyid=5333
http://www.computerworlduk.com/management/security/cybercrime/news/index.cfm?newsid=10427
────────────────

◆英米の医療従事者 データにセキュリティ上の注意を十分に払わず
(2008.11.20)

英国と米国の医療従事者1,000人を対象に調査したところ、3分の1以上が機密
である患者データをノートパソコン、ブラックベリー、USBスティックなどの
携帯用デバイスに保存しているという。また、5分の1が情報を移動するために
個人のデバイスにデータを保存したことがあるという。さらに、データ保護対
策として使用しているのはパスワードだけと答えた者が3分の1にのぼった。英
国対象者の6%が、データ保護策を全く講じていないと回答しており、米国対
象者におけるその割合は18%。一方、英国のうち、暗号化、2要素認証、生体
認証、スマートカードなどの強力なデータ保護を使用していたのは56%だった
が、米国でのその割合は23%にとどまっている。
http://www.vnunet.com/vnunet/news/2230989/healthcare-workers-putting
────────────────

◆カナダの情報通信監督機関 Bell Canadaの通信往来調整は問題ないと主張
(2008.11.20)

カナダラジオテレビ電気通信委員会(CRTC:Canadian Radio-television and
Telecommunications Commission)は、カナダインターネットプロバイダ協会
(CAIP:Canadian Association of Internet Providers)による苦情申し立てを
拒否した。同協会は、Bell Canadaに特定のインターネットトラフィック負荷
の調整を止めさせるよう、CRTCに嘆願していた。一方、Bell Canadaはインター
ネットトラフィックのラッシュアワー時、ピアツーピア(P2P)ファイル共有Web
サイトからの通信速度を遅くしていた事実を認めている。また、ディープパケッ
ト検査の実施も認めている。CRTCは、「CAIPは、ネットワーク上のトラフィッ
ク渋滞を把握するためにBell Canadaが実施している方法は適切でないと実証
できていない」と述べている。この所見は、米国のComcastが選択的にトラフィッ
ク負荷の調整を行っていた同様のケースとは対照的である。
http://www.pcmag.com/article2/0,2817,2335133,00.asp
http://www.theglobeandmail.com/servlet/story/RTGAM.20081120.wcrtc1120/BNStory/Technology/?cid=al_gam_nletter_techweekly
────────────────

◆セキュリティ監査のガイドラインで 政府局は悪用頻度の高い欠陥に注意
を向けるように要請される(2008.11.21)

コンセンサス監査ガイドライン(CAG: Consensus Audit Guidelines)によって、
連邦政府局は、仮定のレベルにすぎない脆弱性より先に、最も悪用頻度の高い
脆弱性の修正にセキュリティ費用を集中的に費やすことができるようになった。
また、真っ先に最も重要な問題が修正されたかどうか、政府局の監査官が確認
できるようにしなければならない。既知のセキュリティ欠陥の修正に資源を集
中させることによって正しい対象が測定されるようになり、現在、連邦情報セ
キュリティマネジメント法(FISMA:Federal Information Security Management
Act)によって必須となっている認定認可プロセスの価値が向上することになる
だろう。CAGを作成しているグループ(米国空軍およびエネルギー省の元CIO、
John Gilliganが率いているグループ)は、不正アクセス監視やフォレンジック
に関わっていた主要な連邦政府局のエキスパート、および民間部門で銀行など
の侵入テストやインシデントレスポンスを行っていたエキスパートによって構
成されている。このようなイニシアチブのもととなったのは、「守備は攻撃に
よって見聞を広げるべきである」という考えである。
http://www.nextgov.com/nextgov/ng_20081121_8289.php

【編集者メモ1】(Skoudis)
最も広範に使用されているアタック手法に防御の焦点をあてるのはよい考えだ。
資金的に制約のある組織は、最も顕著なアタック手法にエネルギーを注げるよ
うになるからだ。もちろん、攻撃者側も最終的には他の手段を見出していくだ
ろう。しかし、アタック手法が進化すればガイドラインも更新されていく。
【編集者メモ2】(Paller)
CIAのサイバーセキュリティ脅威アナリストTom Donahueは、「既知の悪を管理
しなくてはならない」とよく言っていた。今回のこの動きは、政府のエキスパー
トが、「既知の悪」を統制するために対象を定義しようと他の政府局や民間と
行う共同の取り組みとして、初のことである。このイニシアチブについて知っ
ている連邦政府のCIOらは、CAGによってセキュリティの支出が、一層合理的な
形で割り当てられるようになると確信しているようだ。中には、それくらい
「常識だ」という一言を吐いた者もいる。
────────────────

◆NASAの内部メモ 取り外し可能なメディアのセキュリティポリシーを明記
(2008.11.21-24)

NASAのCIOであるJonathan Pettusは先週、取り外し可能なメディアの使用につ
いての同局のポリシーを明確化したメモを発行した。職員に対し、個人のUSB
ドライブやその他の取り外し可能なメディアを政府のコンピュータシステムに
使用しないように要請したものである。また、政府所有のメディアデバイスを、
個人のマシンや同局のものではないマシンに使用してはならないとしている。
さらに、不明なデバイスをシステムに接続しない、システムには完全にパッチ
を適用し、アンチウィルスソフトウェアは更新されていなければならない、と
続いている。この指令は、米国防省が打ち出した「USBドライブおよび他の取
り外し可能な全メディアデバイスの使用を一時的に禁止する」という要綱ほど
大々的なものではない。国防省では、検知されたマルウェアの感染拡大を軽減
するために、前述の要綱が発行された。
http://www.nextgov.com/nextgov/ng_20081124_5509.php
http://www.spaceref.com/news/viewsr.html?pid=29884

【編集者メモ】(Skoudis)
取り外し可能なメディアを媒体としたアタックに対して対策を打ち出すのに、
これほどまでに時間がかかっている組織があることに驚いてしまう。Windows
は、CDのオートランを有効にした形で販売されている。また、U3技術付のUSB
は、Windowsマシンに対するCDのようなものであるため、侵害も取るに足らな
いものとなってしまう。企業はこの脅威に対して、従業員に対する明確なポリ
シーや指導要綱を明示するほか、グループポリシーを介してオートランをオフ
にする技術の実装を強化するべきである。Microsoftは以下のリンクで後者の
方法を説明している。
http://support.microsoft.com/kb/953252
────────────────

◆NASA サイバースパイのターゲットに(2008.11.20)

NASAに向けられたサイバーアタックの徹底調査によると、同局は、少なくとも
この10年間、コンピュータネットワーク侵入のターゲットになっているという。
発生した問題の中には、NASAのシステムが外部の研究者や請負業者からアクセ
スできるように設計されていたことが原因だったものもあるようだ。1年前、
NASA監査官Robert W. Cobbは、「我々が行った過去5年間の犯罪捜査への取り
組みによって、NASAの情報への脅威は広範に渡っているだけでなく、高度かつ、
継続的なものである」と記した報告を出している。
http://www.businessweek.com/print/magazine/content/08_48/b4110072404167.htm
────────────────

◆地下経済についてのSymantecの報告(2008.11.24)

Symantecの「地下経済についての報告」によると、サイバー犯罪者の中には、
ある明確な目的のもとにコンピュータシステムに侵入している者がいるという。
その目的とは、クレジットカード情報が有効なものかどうかを確かめることだ。
この場合、侵入者は企業情報は一切盗まない。彼らはどうやら、ただ、その企
業のクレジットカード決済処理システムにアクセスしたいだけらしい。そして、
この侵入行為は、インターネット上で密かに売られていたカード情報が使用可
能かどうか調べたい者のために、有効性テストサービスとして実施されている
ようだ。サービス料はカード1件につき10ドルという。もちろん、企業のデー
タベースにある情報を略奪するサイバー犯罪者も存在する。
http://www.msnbc.msn.com/id/27888970/
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
【ついに実現!】
日本人SANSインストラクターによる
SEC401:SANS Seucrity Essentials Bootcamp Style

  2009年2月19日(木)より10週にわたって開講!!
毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム

  !! 講義とオンライン学習を通じて、効率的にスキルアップ!!
↓↓↓詳しくはこちら↓↓↓
http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2008年11月21日 Vol.7 No.47)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows 2
サードパーティのWindowsアプリ          6 (#4)
Linux                      4
Solaris                     1
Unix                      1
クロスプラットフォーム             23 (#1, #2, #3)
Webアプリ-クロスサイトスクリプティング     5
Web アプリ- SQLインジェクション        27
Webアプリ                   24
ネットワークデバイス              6

======================================================================

Mac OS X、および、Microsoft Windows用のAppleのWebブラウザSafari(3.2よ
り前のバージョン)と、企業用アンチウィルスソリューションとして広範に使
用されているTrend MicroのServerProtectには、さまざまなインプット処理に
複数の脆弱性がある。(Alan Paller:SANS Director of Research)
────────────────

1.危険度【重大】:Trend Micro ServerProtectにさまざまな脆弱性

<影響のある製品>
Trend Micro ServerProtect 5.58までのバージョン

<詳細>
Trend Micro ServerProtectは、企業用アンチウィルスソリューションとして
広範に使用されている。しかし、複数のインプット処理にさまざまな脆弱性が
ある。脆弱性のいずれかの悪用に成功すると、脆弱なプロセス(SYSTEM)の権限
で任意のコードを実行できるようになる。これらの脆弱性の技術邸詳細のいく
つかが公表されている。少なくとも脆弱性のうち1件は、認証なしで悪用でき
てしまうおそれがある。正確な手法は定かではないものの、脆弱なソフトウェ
アを運用しているサーバにメールを送信することによって、脆弱性のいずれか
を悪用できるという。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
IBM ISS X-Forceのセキュリティアドバイザリ
http://www.iss.net/threats/308.html
http://www.iss.net/threats/309.html
http://www.iss.net/threats/310.html
http://www.iss.net/threats/307.html
ISS Frequency X Blog Post
http://blogs.iss.net/archive/trend.html
ベンダーのホームページ
http://us.trendmicro.com/us/home/index.html?utm_source=www.trendmicro.com&utm_medium=referral&utm_campaign=www.trendmicro.com
SecurityFocus BID
http://www.securityfocus.com/bid/32261
────────────────

2.危険度【重大】:Apple Safariにさまざまな脆弱性

<影響のある製品>
Apple Safari 3.2より前のバージョン

<詳細>
Mac OS XとMicrosoft Windows用のAppleのWebブラウザSafariには、複数のイ
ンプット処理にさまざまな脆弱性がある。WebページやURLが細工されると、脆
弱性のいずれかが引き起こされ、現在のユーザー権限でリモートでコードが実
行されるなど、さまざまな結末を引き起こすおそれがある。これらの脆弱性の
技術的詳細が公表されている。また、Safariは部分的にオープンソースである
ため、ソースコードを分析すればさらに詳細な情報もわかるだろう。Mac OS X
版とMicrosoft Windows版のどちらも影響を受ける。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティ警告
http://support.apple.com/kb/HT3298
製品のホームページ
http://www.apple.com/safari/
SecurityFocus BID
http://www.securityfocus.com/bid/32291
────────────────

3.危険度【高】:Adobe AIRにさまざまな脆弱性

<影響のある製品>
Adobe AIR 1.5より以前のバージョン

<詳細>
Adobe AIRは、Adobe Integrated Runtimeのことである。これは、従来のデス
クトップアプリケーションのような機能のついた、WebもしくはAdobe Flashベー
スのアプリケーションの作成を容易にするために設計されたアプリケーション
である。しかし、AdobeのFlash Player技術を使用しているため、最近発見さ
れた問題に対しても脆弱である。また、特定のインプット処理に脆弱性がある。
インプットが細工されると引き起こされ、昇格した権限(現在のユーザー権限
で全権保持と同様の状態)で任意のJavaScriptコードを実行できるようになる
おそれがある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/bulletins/apsb08-23.html
製品のホームページ
http://www.adobe.com/products/air/
SecurityFocus BID
http://www.securityfocus.com/bid/32334
────────────────

4.危険度【高】:Exodusの"im://"URL処理にコマンドインジェクションの脆弱


<影響のある製品>
Exodus 0.10.0までのバージョン

<詳細>
Exodusは、Microsoft Windows用のJabber/XMPPのインスタントメッセージクラ
イアントとして広範に使用されている。そして、XMPP(Jabberと呼ばれる場合
もある)は、オープンスタンダードなインスタントメッセージプロトコルとし
て多用されている。しかし、Exodusにおいては、"im://"のリンクの処理にコ
マンドインジェクションの脆弱性がある。"im://"のリンクが細工されると、
現在のユーザー権限での任意のコマンド実行につながるおそれが生じる。脆弱
になるには、Exodusが"im://"URIタイプのハンドラとして登録されなければな
らない。設定によってはデフォルトになっている場合もある。この脆弱性の全
技術的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Retrogodのセキュリティアドバイザリ(概念実証コードを含む)
http://retrogod.altervista.org/exodus_uri.html
製品のホームページ
http://code.google.com/p/exodus/
XMPPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Extensible_Messaging_and_Presence_Protocol
SecurityFocus BID
http://www.securityfocus.com/bid/32330

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。