NRI Secure SANS NewsBites 日本版

Vol.3 No.49 2008年12月16日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.3 No.49 2008年12月16日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

今号のストーリーに、「第44代米国大統領のためのサイバーセキュリティ委員
会」による報告書について説明しているものがある。2人の議員が議長を務め
ているが、彼らは昨日「推奨策導入のために、出来ることは全て行うつもりだ」
と述べている。これに対し、オバマ政権への移行担当チームは詳細説明を求め
ているようだ。詳しくはこちら:
http://www.csis.org/media/csis/pubs/081208_securingcyberspace_44.pdf

Gartner社のJohn Pescatoreは、編集者メモでアプリケーションセキュリティ
向上の必要性を説いている。これは正しい方向へ向かうための重要な一歩であ
り、ニューヨーク州サイバー・セキュリティ・重要インフラストラクチャー調
整局(New York Office of Cyber Security and Critical Infrastructure
Coordination)は、ニューヨーク州政府が購入・開発しているアプリケーショ
ンに必ずセキュリティが組み込まれるようにするため、調達に関する基準ルー
ルを作成した。ほかの州政府も、新しい調達ルールを検討しており、いくつか
の州はすでにそれを導入しているようだ。これら州政府はSANSを通じて、より
広範なセキュリティコミュニティに対し、この取組みの詳細を公開することに
同意した。

ペネトレーションテストの重要な新技術のライブセミナーとオンライン配信が
ある。
この講演では、米国トップのペネトレーションテストおよびハッカーエクスプ
ロイトの講師Ed Skoudisが、12月17日水曜日の東部標準時午後1時から2時30分
まで、「米国の一流ペネトレーションテスターたちの秘密」という90分のブリー
フィングを行う。また、最初の講演で参加者が200人を越えた場合は、12月22
日にも開催する予定だ。オンラインおよびライブの教育がいかに素晴らしいも
のであるか体験するよい機会であろう。参加希望者はこちらへ:
https://www.sans.org/athome/details.php?nid=16889

アプリケーションやネットワークへのペネトレーションテストに関するコース
は、2月9日から東京でも実施される。もちろんこれらのコースは、Ed Skoudis
が開発を手がけ、彼と方を並べるトップインストラクターが教壇に立つ。
重要な新技術を学ぶ必要のあるエンジニアは今すぐ参加登録しよう。
詳細情報はこちら:
英語  http://www.sans.org/sanstokyo2009_spring/
日本語 http://www.entryweb.jp/sans/09spring/

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
SANS Tokyo 2009 Spring 開催決定!!

2009年2月9日(月)~14日(土)  会場:UDXカンファレンス(秋葉原)

!セキュリティ技術の最先端が学べる大人気のハンズオン3コースを実施!

■PCI/DSS準拠・実装・監査のための具体的手法の習得 -> AUD521
■ペネトレーション手法の完全習得、エシカルハッカー養成 -> SEC560
■アプリケーションの脆弱性診断スキルの短期習得 -> DEV538
↓↓↓詳しくはこちら↓↓↓
http://www.entryweb.jp/sans/09spring/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
「サイバーセキュリティ分野の管理責任がある方は、効果的な成果をあげるべ
く、必ずこのコースを受講すべきだ」(米国国税庁 William J. Riegger)
「テクニックを学べたのみならず、即座に実践できるツールを見出せた。この
ようなトレーニングは、今まで受けたトレーニングの中ではこれだけだ」(国
防補給庁 Dwight Leo)

■■SANS NewsBites Vol.10 No.95-96
(原版:2008年12月6日、10日配信)

◆完全にパッチが適用されているPCはたった2%(2008.12.3-4)

Secuniaの統計によると、PCの98%はパッチが適用されていないプログラムを
少なくとも1つは運用しているという。この統計結果は、同社製のPersonal
Software Inspector 1.0を使用して、先週、サンプルの2万台のPCから導き出
されたものだ。それによると、パッチが適用されていないプログラムが1つか
ら5つあるPCはおよそ30%、6から10あるPCは25%、11以上あるPCは45%となっ
ている。2008年1月にSecuniaが行った同様の調査結果よりも若干悪い結果となっ
た。
http://www.scmagazineuk.com/Report-Nearly-all-computer-users-running-insecure-programs/article/121946/
http://www.heise-online.co.uk/news/Secunia-publishes-shocking-vulnerability-statistics--/112137
http://secunia.com/blog/37/
────────────────

◆テキサス州の私立探偵免許必須化の州法 予期せぬ結果を招く(2008.12.4)

コンピュータフォレンジックを行う者に私立探偵免許を義務付ける最近のテキ
サス州法によって、予期せぬ結果が引き起こされている。同法の文言によって、
電子記録を収集したり検査したりする者は、法的に私立探偵の免許が必要となっ
た。テキサス州の判事は最近、交差点で赤信号を無視した車両を特定するカメ
ラシステムを運用する企業に対し、私立探偵免許がないため違法であるという
判決を下している。そのため、違反チケットを切られた市民らが、その正当性
を問題視する声を上げている。
http://legal-beagle.typepad.com/wrights_legal_beagle/2008/12/e-discovery-forensics-private-investigator-license-for-computer-data-collection-and-assessment.html
────────────────

◆スウェーデン 違法ダウンロードの常習犯を特定する法を審議(2008.12.4)

スウェーデンで提案されている法案は、音楽・映画会社は、裁判所命令を得れ
ば、著作権法に違反してデジタルコンテンツをダウンロードしている疑いのあ
る人間を特定できるようになるというものだ。同国政府は、著作権法違反コン
テンツをたまにダウンロードしているだけの者は特定されないと述べている。
同法案が成立するには議会の承認が必要である。スウェーデンの隣国、デンマー
クやフィンランドなど、欧州の他の国ではすでに同様の法が成立している。
http://www.google.com/hostednews/ap/article/ALeqM5iMUvi5Gm3535xaN8wRNTb6uUlliQD94RSUCO0
────────────────

◆報告書:サイバーセキュリティの上官職を設けるようオバマに求める
(2008.12.8)

「44代大統領のためのサイバースペース対策(Securing Cyberspace for the
44th Presidency)」という報告書で、米国戦略・国際問題研究所および第44
代大統領のためのサイバーセキュリティ委員会は、バラク・オバマ次期大統領
に対し、サイバースペース分野の大統領補佐官(10~20人の職員を監督する)
が統制するホワイトハウス事務局、米サイバースペース局(National Office
for Cyberspace)を設立するよう要請している。また、サイバー犯罪の捜査を
スピードアップさせる新法も推進している。提案の中には、捜査令状の代わり
にデータ証明を設けることも挙げられている。委員のJerry Dixonによると、
我々には「確固たるサイバー分野の原則が必要」という。つまり、その原則に
よって、軍事行動あるいは警察や諜報機関による対処が適したインシデントな
どを定義する必要があると述べているのである。政府に対し、パスワードの概
念からの離脱と、ネットワークへのアクセスにおける堅牢な認証の導入など、
さまざまな推奨策が説明されている。
http://www.securityfocus.com/news/11540
http://www.nextgov.com/nextgov/ng_20081208_8449.php
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9122903&source=rss_topic17
http://online.wsj.com/article/SB122870335556887341.html?mod=googlenews_wsj
http://news.cnet.com/8301-13578_3-10117856-38.html?part=rss&subj=news&tag=2547-1_3-0-20
http://www.nytimes.com/2008/12/09/technology/09security.html?partner=rss&emc=rss&pagewanted=print
http://www.washingtonpost.com/wp-dyn/content/article/2008/12/08/AR2008120801944_pf.html
http://www.csis.org/media/csis/pubs/081208_securingcyberspace_44.pdf

【編集者メモ】(Skoudis)
米国を拠点とする情報セキュリティ専門家はこの文書を読むべきだ。同文書に
は、我々の業界の発展に影響を及ぼす見解が多く含まれている。今週末は時間
を確保して、この文書を少なくともななめ読みくらいはしていただきたい。説
明されている推奨策が実際に適用されなくとも、それぞれの論点とともに議論
の歴史が示されている。役に立つことは間違いない。
────────────────

◆サイバーセキュリティの焦点を法遵守からアタックに移す取り組みを行うグ
ループ(2008.12.4)

元空軍CIOのJohn Gilligan率いるセキュリティ専門家のグループは、サイバー
セキュリティ基準を作成している。この基準が、連邦CIO委員会、監査官(IG)、
行政予算管理局(OMB)の支持を受けることを望むばかりだ。同基準によって、
政府局はチェックリスト的な法遵守行為から、実際に自局に既知のアタックが
仕掛けられた場合、もしくは実際にアタックが実現した場合に対応する準備が
できているか、測定する行為に移行しなければならなくなる。新しい「アタッ
クベースの尺度」を使えば、政府と民間のハッカー・フォレンジック知識の両
方を利用して、システムが侵入やアタックを受ける手口を理解し、それに対抗
するコントロールの有効性を測定できるようになる。以前は、米国標準技術研
究所(NIST)のガイダンスをもとにしていたので、政府局は最も重要なコントロー
ルに焦点が当てられていないという問題に陥っていた。今回の新基準によって、
それは解決される。このアプローチは、国家安全保障局(NSA)のハッカーと共
同でシステムの脆弱性を文書にまとめるという、米空軍が使用していたアプロー
チに類似している。このプロジェクトによって、連邦デスクトップコア設定
(FDCC)が最終的に策定されたという経緯もある。今回、新基準を作成したグルー
プには、NSAや空軍、US-CERT、国防省サイバー犯罪センター、政府説明責任局
のほか、政府外のペネトレーションテスト・フォレンジックコミュニティの主
導者などがいる。
連邦政府ニュースラジオ番組でのGilligan氏インタビューのアーカイブ:
http://www.federalnewsradio.com/?nid=249

【編集者メモ】(Honan)
連邦デスクトップコア設定(FDCC)はすばらしい成果である。今回の新プロジェ
クトによって、政府と産業界の両方が、ネットワークのセキュリティ向上に応
用できる成果物が生まれることを願いたい。
────────────────

◆セキュリティは米国政府のアキレス腱:セキュリティの組み込み必要
(2008.12.3)

先週のカンファレンスで米空軍の最高情報責任者(CIO)Michael Peterson中将
は、セキュリティを米政府の「アキレス腱」であるとし、サイバー脅威からの
十分な保護を図るには、政府局においてベストプラクティスを当然なものとす
る必要があると主張した。また、「将来、何か問題が起こっても、それはコン
ピュータだけが原因となるわけでない。むしろ敵は、あくまで戦略の1つとし
てサイバーアタックを用いるのだ」とも述べた。さらに、サイバーセキュリティ
は付け足すものではなく、政府局の運営において組み込まれていなければなら
ない、と強調した。
http://www.nextgov.com/nextgov/ng_20081203_1212.php

【編集者メモ1】(Pescatore)
国防省は、「セキュリティを組み込む」作業をスピードアップする(後から付
け足すのではない)方法として、ITシステムの認定認可のプロセスを、単なる
事務処理ではなく、設計の早期段階での「セキュリティ機能内包の有無」のレ
ビュー、およびシステム承認前段階での「ソフトウェア脆弱性の検知可否」の
確認作業に移行するべきだ。
【編集者メモ2】(Northcutt)
ベストプラクティスを行う方向へ移行していることについては、政府をいくら
か褒めてもよいだろう。しかしそれだけでは足りない。避けがたい侵害が発生
した場合にも準備が整っているように、検知活動に焦点を移さなくてはならな
い。取り入れた情報が「母艦に何かを送信しているもの」か「システム内にマ
ルウェアがあるか」を検知する技術を磨く必要があるのだ。
【編集者メモ3】(Paller)
セキュリティの問題がほとんどないという状態は、システムとネットワークに
潜伏して「絶えずそこにいる」状態になっているアタッカーを特定する以上に
厄介なものである。米国政府は、この問題を数十億ドル規模の「米国の総括的
なサイバーイニシアチブ(Comprehensive National Cyber Initiative (CNCI))」
でうたわれている12の主要プロジェクトの1つとして、優先事項に入れたよう
だ。
────────────────

◆欧州裁判所の判決:「英国は特定のDNA物証を破壊しなければならない」
(2008.12.4-5)

欧州人権裁判所は、有罪でない人間のDNAサンプルや指紋を保持するのはプラ
イバシーの侵害だという満場一致の判決を下した。互いに全く関係のない人間
2人が、別々の事件で自身の情報を消すように求めていたことが、今回の判決
につながった。この判決について控訴はできない。1つ目の事件では容疑者の
嫌疑は晴れ、もう1つの事件でも容疑者は無罪となっている。英国は3月までに、
保持情報を破壊するか、あるいは情報保持の継続を根拠づける確固たる主張を
用意するかしなくてはならない。英国のDNAデータベースには、450万件のサン
プルが保存されている。そのうち85万件以上は犯罪歴のない人間のものである。
英国の現在のポリシーでは、100年間もしくは当人が死亡するまで、情報を保
持することとなっている。スコットランドでは、捜査で収集されたDNAサンプ
ルは当人が無罪となった場合は破壊される。フィンランドやドイツでも同様で
ある。
http://www.msnbc.msn.com/id/28056833/
http://news.cnet.com/8301-1009_3-10114304-83.html?tag=mncol;title

【編集者メモ】(Skoudis)
生物情報科学、遺伝子工学、生態認証など、生物学とITの領域が重なる分野は
素晴らしいものには違いないが、倫理的な問題が生じる可能性も否めない。未
曾有の速度で発展したエキサイティングなこの分野において、大きな論争が生
じるのは時間の問題だ。
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
【ついに実現!】
日本人SANSインストラクターによる
SEC401:SANS Seucrity Essentials Bootcamp Style

  2009年2月19日(木)より10週にわたって開講!!
毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム

  !! 講義とオンライン学習を通じて、効率的にスキルアップ!!
↓↓↓詳しくはこちら↓↓↓
http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2008年12月5日 Vol.7 No.49)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ         1 (#2)
Linux                     3
HP-UX                     1
Aix                      1
Unix                      2
クロスプラットフォーム            15 (#1)
Webアプリ-クロスサイトスクリプティング    12
Web アプリ- SQLインジェクション        38
Webアプリ                   25
ネットワークデバイス              1
======================================================================

Javaの根本的な柱の1つであるSun Java Runtime Environmentに、重大な脆弱
性が報告された。ご一読を。
────────────────

1.危険度【重大】:Sun Java Runtime Environmentにさまざまな脆弱性

<影響のある製品>
Sun Java Runtime Environment 6更新版 11より以前のバージョン
Sun Java Development Kit 6更新版 11より以前のバージョン

<詳細>
Sun Java Runtime Environmentは、Java Runtinme Environment(JRE)の事実上
の基準である。Sun JREには、画像ファイルや認証機能、Webサイト、その他さ
まざまなインプットの処理に複数の脆弱性がある。悪用が実現すると、現在の
ユーザー権限で任意のコードを実行するなど、さまざまなことを実行できるよ
うになる。Javaアプレットやアプリケーションは、受信されるとユーザーへの
プロンプト無しで開かれてしまう場合がある。SunのJREは、Sun Solaris、
Apple Mac OS X、UnixやLinuxベースのOSでデフォルトインストールされてい
る。また、Microsoft Windowsのシステムにもインストールされている場合が
ある。これらの脆弱性については、技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-080
http://zerodayinitiative.com/advisories/ZDI-08-081
iDefense のセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=757
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244986-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244987-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244988-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244989-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244990-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244991-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244992-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246266-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-245246-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246286-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246346-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246366-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246386-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246387-1
Virtual Security Research Advisory
http://www.vsecurity.com/bulletins/advisories/2008/JWS-props.txt
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/32991/
Sunの Javaのホームページ
http://java.sun.com
SecurityFocus BID
http://www.securityfocus.com/bid/32620
────────────────


2.危険度【高】:Trillianにさまざまな脆弱性

<影響のある製品>
Trillian 3.1.12.0より以前のバージョン

<詳細>
Trillianは、Cerulean Studios社製のマルチプロトコルのインスタントメッセー
ジのアプリケーションとして広範に使用されている。しかし、メッセージの処
理に複数の脆弱性がある。ユーザーに細工されたメッセージが送信されると、
現在のユーザー権限で任意のコードを実行できるようになる。中には、脆弱な
状態に陥る前に、ユーザーにプロンプトが出るケースもあるようだ。これらの
脆弱性については、技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-077
http://zerodayinitiative.com/advisories/ZDI-08-078
http://zerodayinitiative.com/advisories/ZDI-08-079
Cerulean Studiosのブログ記事
http://blog.ceruleanstudios.com/?p=404
ベンダーのホームページ
http://www.ceruleanstudios.com/
SecurityFocus BID
まだリリースされておらず

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。