NRI Secure SANS NewsBites 日本版

Vol.3 No.51 2008年12月29日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.51 2008年12月29日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

今年最高のサイバーセキュリティ関連の話題。今朝、米議会のハッキングにつ
いての詳細がNational Journalに掲載された。政府高官や立法部門長などによ
く読まれている雑誌であるが、値段が高いうえにほとんど露出がないので、一
般にはなかなか内容を読める機会がない。そこで、今回はSANS受講生や
NewsBites読者諸氏のために、National Journalより特別の取り計らいがあっ
た。以下のリンクの記事はShane Harrisによるもの。
http://www.nationaljournal.com/njmagazine/cs_20081220_6787.php

今号には興味深く、かつ重要な記事が3件:
「バンキングへのサイバー犯罪手法」
「全米レコード協会の戦術変更」
「世銀の開発ベンダーとの取引禁止決定」
ソフトウェアバイヤーの堪忍袋の緒が切れた。ソフト開発企業は、以下のとお
りに出来なければ経済破綻を招くことになる。
(1)最も効果の高いツールのソースコードとブラックボックス・ツールのパッ
  ケージを使用しているソフトウェアをテストする。
(2)コードに触れるプログラマーは、安全なプログラミングスキルをマスターしておく。
  (GSSP認定が最も一般的な証明手段:http://www.sans.org/gssp)

.NETを使用してアプリケーションをプログラミングしている企業にも、GSSP試
験によって安全なプログラミング知識の抜け穴を明らかにする手段ができた。
JavaとC/C++のGSSP試験はすでに広く受験されているが、.NETの試験はこのほ
どリリースされたばかり。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
           SANS Tokyo 2009 Spring 開催決定!!
  
  2009年2月9日(月)~14日(土)  会場:UDXカンファレンス(秋葉原)

!セキュリティ技術の最先端が学べる大人気のハンズオン3コースを実施!

  ■PCI/DSS準拠・実装・監査のための具体的手法の習得 -> AUD521
   ■ペネトレーション手法の完全習得、エシカルハッカー養成 -> SEC560
   ■アプリケーションの脆弱性診断スキルの短期習得 - > DEV538
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/09spring/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.10 No.99-100
   (原版:2008年12月20日、24日配信)

◆EUと米国 個人情報共有原則に同意(2008.12.17)

欧州連合(EU)と米国は、データ共有実践およびデータ保護の共通原則について
合意に達した。搭乗者氏名記録(PNR)データの処理について合意したことによっ
て、Statement on Information Sharing and Personal Data Protection(情
報共有および個人情報保護についての声明)にはずみがついた。今回の合意に
よって、テロ対策でデータ収集プロジジェクトに協力する民間企業とその他の
国への懲罰に保護措置が設けられた。
http://www.fcw.com/online/news/154709-1.html?topic=privacy
http://www.dhs.gov/xlibrary/assets/usa_statement_data_privacy_protection_eu_12122008.pdf

【編集者メモ1】(Schultz)
米国とEU諸国の個人情報共有要件には大きな食い違いがあったため、データ共
有の合意に達するには、乗り越えられそうにないほどの障壁があった。しかし、
ようやく今、原則的な合意を見ることができた。非常に重要な進展である。
【編集者メモ2】(Northcutt)
この合意が軌道に乗れば、非常に素晴らしい。欧州がプライバシーに重点を置
く一方で、米国ではセキュリティの比重が重い。したがって、境界を越えた協
力事項がもう一つ生まれ、将来性を感じられるようになったのは喜ばしい。
────────────────

◆調査結果:英国企業の知的財産保護は不十分(2008.12.17)

英国・知的財産事務局知的財産犯罪対策グループ(Intellectual Property
Office's IP Crime Group)が行った調査によると、企業は知的財産(IP)保護の
重要性を認識しながらも、自社および他社の知的財産保護を十分に行っていな
いという。1000人以上にインタビューを行ったところ、40%以上が商標登録や
社員へのトレーニングなどの実践的な措置を取っていなかった。また、社員ら
が職場で違法ダウンロードを行っても警告されないという状態が、全体の25%
にのぼる。
http://www.theregister.co.uk/2008/12/17/ip_crime_uk_firms/
http://nds.coi.gov.uk/content/Detail.asp?ReleaseID=387749&NewsAreaID=2
http://www.ipo.gov.uk/report-workplaceresearch.pdf
────────────────

◆サイバーセキュリティ審査会のシミュレーション・エクササイズで開眼
  (2008.12.18)

今週ワシントンDCで開催されたCyber Strategy Inquiry(サイバー戦略審査会)
には、政府、産業界、市民社会から230人が参加した。シミュレーション・エ
クササイズでは、次の政権や議会が直面するであろうサイバーセキュリティの
課題が明らかにされた。参加者は、「以前より相互依存性があること自体はわ
かっていたが、正しく理解できていなかった」ことが認識できたと述べている。
エクササイズで明らかになった問題の中には、サイバーセキュリティの向上に
おける「規制 VS インセンティブ」、「リスク管理 VS 回復力」などの問題が
あった。課題として、サイバーアタックへの取組みやサイバーセキュリティの
全体的な管理についてのルールの設置が浮上した。
http://www.fcw.com/online/news/154725-1.html?type=pf
────────────────

◆トロイの木馬、キーストロークロガーのドロップゾーンについての研究
  (2008.12.18)

ドイツのミュンヘン大学のThorsten Holzが組成した研究チームは、バンキン
グにおけるトロイの木馬、キーストロークロガーおよびこの2つのマルウェア
のドロップゾーンの調査を行った。彼らの研究によると、マルウェア70個のド
ロップゾーンに33GB分のログファイルが発見されたという。これらのファイル
には17万人以上の個人情報が含まれていた。収集されたデータの中には、パス
ワードや暗証番号、ユーザー名ほか、詐欺を行うのに十分な情報があったとい
う。また、盗まれたデータの再販価格も調査したところ、口座については10ド
ルから1,000ドルであったが、クレジットカード口座となると0.4ドル程度のも
のまであることがわかった。電子メールのパスワードには4ドルから30ドルの
値が付けられている。
http://www.heise-online.co.uk/security/Keyloggers-under-the-microscope--/news/112288
────────────────

◆世界銀行のベンダー 今後8年締め出される(2008.12.22)

世界銀行は、インドベースのコンピュータソフトウェアサービスプロバイダに
厳しい制裁措置を下したことを認めた。問題のプロバイダが、国際的な機関に
おけるデータ侵害や財務詐欺の原因になったと考えられている。Satyam
Computer Servicesは数ヶ月もの間、この問題に関するFOXニュースの報道を否
定してきたが、今になって、今後8年世銀との提携を禁止されたことを明らか
にした。Satyamは2003年から2008年まで世銀の全ソフトウェアの開発とメンテ
ナンスを任されていた。そのサービス料金は数億ドルにのぼっていたという。
http://www.myfoxspokane.com/myfox/pages/News/Detail?contentId=8124450&version=1&locale=EN-US&layoutCode=TSTY&pageId=3.1.1

【編集者メモ1】(Pescatore)
評価基準として重要視されているセキュリティを無視して、多くの調達決定が
下されている。アウトソーシング契約書はたいてい大規模なものなので、実際
にはM&Aと同様、取締役会による高度な統制や監督が必要だ。
【編集者メモ2】(Schmidt)
ビジネスパートナーやサプライチェーンに対し、セキュリティの向上を説得す
る効果的な方法だと思う。結局、大きなクライアントとビジネスができなくな
るのが、一番早く企業の注意を喚起できる。
────────────────

◆全米レコード協会 戦略を変える(2008.12.19)

全米レコード協会(RIAA)は、著作権侵害容疑者を多数起訴するのを止めるとい
う。代わりに、インターネットサービスプロバイダ(ISP)と連携し、著作権法
に違反している思われる者に対し、その行動を改めるよう説得する行動に出る。
この新計画では、まずRIAAがISPに侵害容疑者を通知し、ISPからその容疑者達
に通知を行うか、RIAAからのメッセージを転送する。繰り返し侵害を行う者に
対しては、ネットワークスピードの規制やインターネットサービスの停止など
の制裁措置を増やす見込み。RIAAは起訴の可能性を完全には排除していない。
著作権法を大規模に違反していると思われる場合には、起訴する可能性もある。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9124097&intsrc=hm_list
RIAA Letter to ISPs:
http://news.cnet.com/8301-1023_3-10127050-93.html?part=rss&subj=news&tag=2547-1_3-0-5

【編集者メモ】(Schultz)
楽曲データの交換を行っていた人を追い回すというRIAAのアプローチは、全く
成功していなかった。戦略の変更は延び延びになっていたが、やっと今、実現
しようとしている。
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
      【ついに実現!】
      日本人SANSインストラクターによる
      SEC401:SANS Seucrity Essentials Bootcamp Style

  2009年2月19日(木)より10週にわたって開講!!
   毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム

  !! 講義とオンライン学習を通じて、効率的にスキルアップ!!
            ↓↓↓詳しくはこちら↓↓↓
     http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年12月19日 Vol.7 No.51)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品             2
サードパーティのWindowsアプリ         2
Mac Os                    11 (#1)
Linux                      1 (#3)
Solaris                    4
クロスプラットフォーム            18 (#2, #4)
Webアプリ-クロスサイトスクリプティング    11
Web アプリ- SQLインジェクション        36
Webアプリ                   34
ネットワークデバイス              1
======================================================================

Thunderbird、Firefox、Apple Macに今週重大な脆弱性が発見された。新しい
アプリケーションに確認された新たな脆弱性の数に注目せよ。毎週、数千以上
の脆弱なアプリケーションが企業用Webサイトに導入される。セキュリティの
プロの多くが、これはプログラミングの問題であると主張して自己の責任を完
全に回避している。そのくせ、プログラマーに安全なプログラミングをマスター
できる機会を設けようとしない。アタックが仕掛けられたら、きっと「プログ
ラマーは、セキュリティスキルが判定できる試験や、スキルを高めるトレーニ
ングをなぜ受けなかったのか」と上司に尋ねられるに違いない。そうなったと
しても、キャリアアップにつながる的確な受け答えはできないだろう。
────────────────

1.危険度【重大】:Apple Mac OS Xにさまざまな脆弱性

<影響のある製品>
Apple Mac OS 10.5.6より以前のバージョン

<詳細>
Apple Mac OS Xには、さまざまな脆弱性がある。脆弱性のいずれかの悪用が実
現すると、様々な侵害が引き起こされる。最も深刻なのは、CPIOアーカイブファ
イルや画像ファイルが細工されると、現在のユーザー権限で任意のコードが実
行される可能性があることだ。多数のOS機能には他の脆弱性があるが、その中
には、脆弱な機能につながる入力をリモートのユーザーに引き渡してしまうた
め、任意のコードを実行する脆弱性に脆弱な機能を使用してアプリケーション
をレンダリングするものもある。そのほか、今回のアップデートでは、サード
パーティのアプリケーションのアップデートなど、さまざまな脆弱性に対処し
ている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
Appleナレッジベースの記事
http://support.apple.com/kb/HT3338
製品尾ホームページ
http://www.apple.com/macosx
SecurityFocus BIDs
http://www.securityfocus.com/bid/32876
http://www.securityfocus.com/bid/32877
http://www.securityfocus.com/bid/32870
http://www.securityfocus.com/bid/32870
http://www.securityfocus.com/bid/32839
http://www.securityfocus.com/bid/30192
────────────────

2.危険度【重大】:Mozilla製品にさまざまな脆弱性

<影響のある製品>
Mozilla Firefox 3.0.5より以前のバージョン
Mozilla Thunderbird 2.0.0.19より以前のバージョン
Mozilla SeaMonkey 1.1.14より以前のバージョン

<詳細>
Mozilla Firefox Webブラウザなど、Mozillaのコードをベースにした製品には、
複数のインプット処理にさまざまな脆弱性がある。Webページやスクリプトが
細工されると、脆弱性のいずれかが引き起こされ、さまざまな侵害につながっ
てしまう。最も深刻なのは、Webページが細工されると、現在のユーザー権限
での任意のコード実行や、昇格権限での任意のJavaスクリプコード実行につな
がってしまうことだ。これらの脆弱性の技術的詳細は、ソースコードを解析す
れば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのセキュリティ警告
http://www.mozilla.org/security/announce/2008/mfsa2008-60.html
http://www.mozilla.org/security/announce/2008/mfsa2008-63.html
http://www.mozilla.org/security/announce/2008/mfsa2008-64.html
http://www.mozilla.org/security/announce/2008/mfsa2008-65.html
http://www.mozilla.org/security/announce/2008/mfsa2008-66.html
http://www.mozilla.org/security/announce/2008/mfsa2008-67.html
http://www.mozilla.org/security/announce/2008/mfsa2008-68.html
http://www.mozilla.org/security/announce/2008/mfsa2008-69.html
ベンダーのホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/32882
────────────────

3.危険度【高】:Linux版Adobe Flash Playerにリモートでコードを実行される
  脆弱性

<影響のある製品>
Linux版Adobe Flash Player 10.0.12.36より以前のバージョン

<詳細>
Web上での最も一般的なリッチメディアプレーヤAdobe Flash Playerには、
Flashファイルの解析に欠陥がある。Flashファイルが細工されると、この脆弱
性が悪用され、現在のユーザー権限での任意のコード実行に繋がってしまう。
Flashコンテンツは一般的に、ユーザーへのプロンプトなくダウンロードされ、
再生されてしまう。この脆弱性の技術的詳細はほとんど公表されていない。
Adobe Flash Playerは、Linux版の多くでデフォルトインストールされている。
今のところ、Adobe Flash PlayerのLinux版のみが脆弱だという。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb08-24.html
Vendorのホームページ
http://www.adobe.com
SecurityFocus BID
http://www.securityfocus.com/bid/32896
────────────────

4.危険度【高】:Operaにさまざまな脆弱性

<影響のある製品>
Opera 9.62 までのバージョン

<詳細>
Operaは、クロスプラットフォームのWebブラウザとして広範に使用されている。
しかし、複数のインプット処理にさまざまな脆弱性がある。Webページやスク
リプトが細工され、それがOperaを使用して閲覧されると、脆弱性のいずれか
が引き起こされる。悪用されると、現在のユーザー権限でのリモートのコード
実行など、さまざまな侵害に発展してしまう。これらの脆弱性の技術的詳細が
いくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Operaのセキュリティアドバイザリ
http://www.opera.com/support/kb/view/921/
http://www.opera.com/support/kb/view/924/
http://www.opera.com/support/kb/view/920/
http://www.opera.com/support/kb/view/923/
n.runsによる掲示
http://www.securityfocus.com/archive/1/499315
ベンダーのホームページ
http://www.opera.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/32864
http://www.securityfocus.com/bid/32891

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。