NRI Secure SANS NewsBites 日本版

Vol.3 No.48 2008年12月10日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.3 No.48 2008年12月10日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

SANS 2009カンファレンスおよびトレーニングプログラムが、来春3月にオーラ
ンドで開催される。SANS 2009では、今までにないくらい多種類のSANSのコー
スが開講される。そして、各コースとも最高峰の講師陣がセッションを担当す
る。また、イブニングセッションやランチセッションにおいて、最大級のセキュ
リティツール展示や集中プログラムなどが行われる。他のどのトレーニングカ
ンファレンスよりもすぐに席が埋まってしまうので、早めの登録が必要だ。
詳しくは:http://www.sans.org/sans2009
2月の東京開催も申込み受付中。PCI/DSS、エシカルハッキングなど、ここでし
か受講できないコースを実施。申込みはお早めに!
http://www.entryweb.jp/sans/09spring/

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
SANS Tokyo 2009 Spring 開催決定!!

2009年2月9日(月)~14日(土)  会場:UDXカンファレンス(秋葉原)

!セキュリティ技術の最先端が学べる大人気のハンズオン3コースを実施!

  ■PCI/DSS準拠・実装・監査のための具体的手法の習得 -> AUD521
■ペネトレーション手法の完全習得、エシカルハッカー養成 -> SEC560
■アプリケーションの脆弱性診断スキルの短期習得 -> DEV538
↓↓↓詳しくはこちら↓↓↓
http://www.entryweb.jp/sans/09spring/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
「SANSのライバル機関によるコースに参加したこともあるが、SANSは圧倒的に
それらを凌ぐ」(米海兵隊 Alton Thompson)
「テクニックを学べたのみならず、即座に実践できるツールを見出せた。この
ようなトレーニングは、今まで受けたトレーニングの中ではこれだけだ」(米国
防補給庁 Dwight Leo)

■■SANS NewsBites Vol.10 No.94
(原版:2008年12月3日配信)

◆機密のシステム侵害される:米国の交戦地帯にあるコンピュータがアタック
されたためセキュリティの取締りを指示(2008.11.28)

The Los Angeles Times紙によると、USBドライブとその他の取り外し可能な保
存デバイスの使用禁止に米国防省が踏み切ったのは、交戦地帯のコンピュータ
や、イラクやアフガニスタンを監視する米中央軍に大きなアタックが仕掛けら
れたからだという。問題のアタックはロシア発と見られている。今のところ、
このアタックに関する詳細情報は一切提供されていないが、少なくとも高度な
レベルで保護されていた機密ネットワークが影響を受けているようだ。
http://www.latimes.com/news/nationworld/nation/la-na-cyberattack28-2008nov28,0,6441140.story
────────────────

◆英国政府 民間部門に侵害通知法設けず(2008.11.26-12.1)

先週、英国政府は情報長官事務局(ICO)に「意図的および重大なデータ紛失」
に罰金を課す権限を与えると報告書で発表した。法と呼ぶには至っていなかっ
たが、ICOに侵害情報開示のルールを設ける権限を与えている。「データ共有
レビュー報告書への対応(Response to the Data Sharing Review Report)」で
は、「民間部門の組織は、よきプラクティスを示すために侵害情報を開示すべ
きである」ほか、「問題の企業に適用する際には、情報長官事務局(ICO)が開
示すべきかどうかを判断する」となっている。公共部門の組織には、「全ての
データセキュリティインシデントをICOに知らせる」という必須条件が課せら
れている。
http://news.zdnet.co.uk/itmanagement/0,1000000308,39563446,00.htm
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=330437&source=rss_topic17

【編集者メモ1】(Pescatore)
法律事務所の政策グループが行った調査では、「侵害通知を行ってもセキュリ
ティに何の影響もない」という結論に達した。今回、この報告書ではその結論
に基づいて間違った結論が導きだされてしまっている。報道でその組織が「へ
まをした」と顧客に知らされるようになれば取締役会も大きく影響を受け、セ
キュリティに注意を払うようになる、というもの。グラム・リ-チ・ブライリー
法やSOXにあるような単なる権威への報告義務よりも、重要な命令が下される
ようになるのだ。
【編集者メモ2】(Honan)
この展開にはがっかりだ。なるべく早く修正してほしい。ENISAが推奨するよ
うにEUがそのような政令を出せば、英国には侵害通知法を導入するしか方法が
ないと思うのだが……
http://www.csoonline.com/article/376817/Security_Agency_Calls_For_EU_Laws_on_Breach_Disclosure
────────────────

◆MySpace自殺事件の判決:3つの軽犯罪で有罪(2008.11.26-28)

ミズーリ州の女性Lori Drewは、インターネット上のいたずらで近所に住む13
歳女子に自殺するよう促したとして、「未承認のコンピュータアクセス」に関
連する3つの軽犯罪により有罪となった。連邦陪審は、Drewが問われていた
「未承認でコンピュータにアクセスして感情的な危害を与えた」重罪3つにつ
いては、無罪を宣告した。最高で1年の懲役および10万ドルの罰金が科せられ
る可能性がある。このほかにも有罪となる罪が追加されれば、20年の懲役が科
せられる可能性もある。Drewは、偽の身元情報によって他のMySpaceメンバー
に嫌がらせをし、MySpaceの契約条件に違反したため、米国コンピュータ詐欺
及び不正使用取締法(US Computer Fraud and Abuse Act)下で裁かれていた。
MySpaceのサーバがあるのがロサンゼルスであったため、裁判は同地で行われ
ていた。現在、Drewに適用できるようなミズーリ州法はない。
http://www.msnbc.msn.com/id/27928608/
http://www.securityfocus.com/brief/863
http://www.washingtonpost.com/wp-dyn/content/article/2008/11/26/AR2008112600629_pf.html

【編集者メモ】(Schultz)
これは非常に重要な判決である。Drewが重大な罪から逃れてしまったのはがっ
かりだ。しかし、彼女が不正なMySpace IDを使用していたために「未承認での
コンピュータアクセス」を理由に起訴され、裁判にかけられたという事実は、
単に個人がシステムに押し入ったというケースを超えたものにもコンピュータ
詐欺及び不正使用取締法が適用できるという意味で、その適用範囲を拡大する
判例になろう。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
【ついに実現!】
日本人SANSインストラクターによる
SEC401:SANS Seucrity Essentials Bootcamp Style

  2009年2月19日(木)より10週にわたって開講!!
毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム

  !! 講義とオンライン学習を通じて、効率的にスキルアップ!!
↓↓↓詳しくはこちら↓↓↓
http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2008年11月29日 Vol.7 No.48)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     2
サードパーティのWindowsアプリ          7 (#1, #5, #6)
Linux                     14
BSD                       1
Unix                      5
クロスプラットフォーム             17 (#2, #3)
Apple                      1 (#4)
Webアプリ-クロスサイトスクリプティング     9
Web アプリ- SQLインジェクション        29
Webアプリ                   30
ネットワークデバイス              3
======================================================================

与える損害の大きいアタックが、セキュリティ製品やストレージ製品をターゲッ
トにしているようだ。また、今週はEMC(ストレージ管理ソフトControl
Center)、Symantec(BackUp Exec)およびいくつかのアンチウィルスベンダー
に、新たに大きな問題が報告されている。
Alan Paller (SANS Director of Research)
────────────────

1.危険度【重大】:EMC Control Centerにさまざまな脆弱性

<影響のある製品>
EMC Control Center 6.0までのバージョン

<詳細>
EMC Control Centerは、企業用ストレージリソースおよびその他のリソースを
管理、特定、監視するアプリケーションの集合体である。しかし、ユーザーリ
クエスト処理に、複数の脆弱性がある。"SENDFILE"のリクエストが細工される
と、脆弱なシステムから任意のファイルをダウンロードできるようになる。ま
た、"CTGTRANS"オブジェクトが細工されるとバッファオーバーフローが引き起
こされ、脆弱なプロセス(SYSTEM)の権限で任意のコードを実行できるようになっ
てしまう。これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。可能であれば、
ネットワーク境界でTCP10444番ポートへのアクセスをブロックするとよい。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-075/
http://zerodayinitiative.com/advisories/ZDI-08-076/
製品のホームページ
http://www.emc.com/products/family/controlcenter-family.htm
SecurityFocus BIDs
http://www.securityfocus.com/bid/32389
http://www.securityfocus.com/bid/32392
────────────────

2.危険度【重大】:複数のセキュリティゲートウェイ/アンチウィルスソリュー
ションにPDF処理の脆弱性

<影響のある製品>
BitDefender Antivirus
BullGuard Internet Security
Groupware Server Antivirus Engine

<詳細>
アンチウィルスおよびセキュリティゲートウェイ・ソリューションの複数製品
において、PDF文書検査時の処理に欠陥があると考えられている。詳細は不明
だが、少なくとも脆弱性のいくつかは、アプリケーションに使われている構文
解析ライブラリが同じであるために引き起こされていると思われる。PDF文書
が細工されると、アプリケーションが処理にするときに脆弱性のいずれかが引
き起こされる。悪用が実現すると、脆弱なプロセスの権限で任意のコードを実
行されてしまう。少なくとも1つの概念実証コードが公表されている。

<現状>
各ベンダーに現状をチェックすること。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/32789/
http://secunia.com/advisories/32814/
http://secunia.com/advisories/27805/
製品のホームページ
http://www.bitdefender.com/
http://www.bullguard.com/why/bullguard-internet-security.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/32396
────────────────

3.危険度【重大】:Symantec Backup Execのリモートエージェントにさまざま
な脆弱性

<影響のある製品>
Windows版 Symantec Backup Exec 12.6までのバージョン

<詳細>
Symantec Backup Execは、マルチプラットフォームのバックアップのソリュー
ションとして広範に使用されているが、いろいろなインプット処理にさまざま
な脆弱性がある。ログインの信用証明書が正しく検証できないために、認証回
避の脆弱性に至ってしまう。また、リクエストが細工されるとバッファオーバー
フローの脆弱性に繋がる。悪用されると、脆弱なシステムの権限で任意のコー
ドを実行できるようになってしまう。Microsoft Windows、Linuxおよびその他
のシステム向けにも影響がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Symantecのセキュリティアドバイザリ
http://securityresponse.symantec.com/avcenter/security/Content/2008.11.19.html
製品のホームページ
http://www.symantec.com/business/products/family.jsp?familyid=backupexec
SecurityFocus BIDs
http://www.securityfocus.com/bid/32346
http://www.securityfocus.com/bid/32347
────────────────

4.危険度【高】:Apple iPhoneにさまざまな脆弱性

<影響のある製品>
iPhone OS 2.2より以前のバージョンを運用しているApple iPhone
iPhone OS 2.2より以前のバージョンを運用しているApple iPod Touch

<詳細>
Apple iPhoneおよびApple iPod TouchのWebページコンテンツ、画像形式、文
書形式、その他のインプットなどさまざまな処理に脆弱性がある。悪意のある
Webページがこれらのファイル形式のいずれかを含んでいたり、言及していた
りすると、リモートでのコード実行などさまざまな状態を引き起こす。リモー
トでコードが実行されると、影響を受けるデバイスのコントロールを完全に奪
えるようになる。これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3318
製品のホームページ
http://www.apple.com/iphone/
SecurityFocus BID
http://www.securityfocus.com/bid/31092
────────────────

5.危険度【高】:FlexCell ActiveXコントロールに任意のファイル上書きの脆
弱性

<影響のある製品>
FlexCell ActiveXコントロール5.7.0.1 までのバージョン

<詳細>
FlexCellは、表やその他の表形式データの閲覧に使用されるActiveXコントロー
ルとして広範に使用されている。しかし、"HttpDownloadFIle"メソッドの処理
には、任意のファイルを上書きされる脆弱性がある。細工されたWebページが
このコントロールをインスタンス化すると、現在のユーザー権限で任意のファ
イルを上書きできるようになってしまう。この脆弱性が悪用されると、現在の
ユーザー権限で任意のコードを実行されてしまう。この脆弱性の技術的詳細が
公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能を介して問題のコントロールを無効にすれば、影
響を軽減できる。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/32829/
製品のホームページ
http://www.grid2000.com/
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/32443
────────────────

6.危険度【高】:BlackBerry Desktop SoftwareのActiveXコントロールにさま
ざまな脆弱性

<影響のある製品>
BlackBerry Desktop Software 4.2.2から4.7までのバージョン

<詳細>
BlackBerry Desktop Softwareは、BlackBerryハンドヘルドデバイスの管理に
用いられるデスクトップソフトウェアである。この機能の一部は、FlexNET
ConnectコントロールというActiveXによって提供されている。このコントロー
ルには、以前さまざまな脆弱性があることが判明したが、BlackBerry Desktop
Softwareは、このコントロールの脆弱なバージョンを使用している。細工され
たWebページがこのコントロールをインスタンス化すると脆弱性が引き起こさ
れ、現在の権限で任意のコードを実行できるようになる。この脆弱性の技術的
詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
BlackBerryのアドバイザリ
http://www.blackberry.com/btsc/articles/749/KB16469_f.SAL_Public.html
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/32842/
製品のホームページ
http://www.blackberry.com/
SecurityFocus BID
まだリリースされておらず

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。