NRI Secure SANS NewsBites 日本版

Vol.3 No.8 2008年3月4日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.8 2008年3月4日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■■SANS NewsBites Vol.10 No.15-16
   (原版:2008年2月22日、26日配信)

◆サイバー侵入による米銀行の損失 大幅に拡大(2008.2.20)

米国連邦預金保険会社(FDIC:Federal Deposit Insurance Corporation)が四半
期ごとに発行しているテクノロジーインシデント・レポート (Technology
Incident Report、一般には非公表)によると、米金融機関における口座乗っ取
りや預金盗難につながる侵入事件が昨年大幅に増加し、銀行や企業、顧客に生
じた費用は増大している。銀行は、5,000ドル以上の詐欺取引や疑わしい取引
の報告義務がある。疑わしい活動(SAR)一件あたり、2007年第2四半期の平均で
2万9,630ドル、前年同期で1万0,536ドルの費用が発生している。SARの多くは、
「オンラインバンキングへの正体不明の未承認アクセス」として分類され、未
承認アクセスの多くに、トロイの木馬プログラムやキーストロークロガーが使
用されていることがわかる。
http://blog.washingtonpost.com/securityfix/2008/02/banks_losses_from_computer_int.html
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=206801184

【編集者メモ1】(Pescatore)
同レポートでは、コンピュータ侵入絡みの疑わしい活動数は、住宅ローンや小
切手詐欺の件数より2%少ないとしている。しかし、侵害されたPCが広範囲に
及んでいるため、コンピュータ関連のインシデントは急速に増加している。
【編集者メモ2】(Paller)
全体的に増加しているという傾向は妥当だが、中には、主にフィッシングやキー
ストロークロガーで顧客のクレデンシャルを盗取したことによる預金引き出し
の損失額が大幅に減少した銀行もある。これら銀行はますます複雑化する銀行
取引の問題に取り組むべく、以下のように3つの変数でスコア化した。
(1) その銀行取引が定期に行われているか
(2) IPアドレスが通常使われているものか
(3) 取引の規模はどのくらいか
ただし、上記の対策は大規模な攻撃に焦点をあてているため、自宅からバンキ
ングを行っている小口の顧客は、これらの防御策では守ることはできない。
Defense in Depth(多層防御):これがシンプルかつ効果的である。
────────────────

◆ディスクの暗号化ソフトウェアの弱点に関する論文(2008.2.21)

プリンストン大学、電子フロンティア財団(EEF)、Wind Riverシステムの研究
者らは、コンピュータに物理的アクセスをしたアタッカーが、マシンのRAMに
あるディスク暗号キーを使用してディスクの暗号化を回避するプロセスを説明
した研究論文を発表した。コンピュータの電源がオフになっている間も、RAM
には一定期間暗号キーが残っているようだ。研究者のひとりはこの問題を、
「システムのデザイン方法にある基本的な限界」と呼んでいる。
http://blog.wired.com/27bstroke6/2008/02/researchers-dis.html

【編集者メモ1】(Northcutt)
この論文は一読に値する。技術畑でない者も理解できるように説明したビデオ
もある。フルディスク暗号化製品を購入していたら、ベンダーと話し合いを始
めた方がよい。そして、監査者がシステムの電源が落ちていてもDRAMメモリに
情報が残っているか聞いてきたら、「残っている」と答えよう!
【編集者メモ2】(Skoudis)
アタックの基調をなす概念について、何年もの間噂が飛び交い、議論されてき
た。この論文には、今までになく詳細で、かつ実社会に基づいたトピックの説
明がなされている。
【編集者メモ3】(Honan)
たいへん面白い論文で、NewsBitesで定期的に議論するトピックを強調してい
る。まず、何者かがコンピュータへの物理的アクセスを実現してしまうと、そ
のマシンにあるデータは非常に危うくなるということ。次に、たくさんのデバ
イスやローケーションにデータを配信してしまうと、データ保護は難しくなる
ということ。そして、常に新種のアタックが開発されているので、定期的に防
御策やインシデントレスポンスプランを見直す必要があるということである。
【編集者メモ4】(ゲスト編集者: Frantzen)
暗号化ソフトウェアベンダーについて、重要な質問をする必要がある。どのよ
うにキーをメモリに保存しているか。スクリーンセーバが有効になったとき、
コンピュータがスリープモードに入ったときに、データが一掃されてしまうか
否か。
────────────────

◆英上院議会 インターネットセキュリティポリシー変更を再び推進
(2008.2.21)

英上院議会・科学技術委員会は、2007年8月にリリースした「個人のインター
ネットセキュリティ」レポートについて、再審議する予定である。政府はレポー
トが提出された際、あまり重要視せず、データ侵害通知法の作成・施行など、
レポートに示された推奨策の多くを採用していなかったようだ。また、オンラ
インのカード決済詐欺の被害者が、セキュリティインシデントを警察の代わり
に大手銀行に報告することを義務付ける件を棄却していた。同委員会は、最初
の審議で証拠を提示した企業の代表者らに、このレポートへの政府対応につい
て意見を求めている。
http://www.kablenet.com/kd.nsf/FrontpageRSS/5D72E7E11523FF4B802573F5005FC318!OpenDocument

【編集者メモ1】(Schultz)
情報セキュリティポリシーに限らず、ポリシー変更というものは、いかなるレ
ベルで行われようと(企業、政府問わず)、そう簡単には実現しないものだ。
最良策は、ただ貫き通すのみ。
────────────────

◆YouTubeブロックというパキスタンの試み 想定以上の影響(2008.2.24-25)

YouTubeのサイトが2月24日(日)に2時間停止したのは、国境内で同サイトを
ブロックしよういうパキスタンの試みがあったためではないかと考えられてい
る。このインシデント発生により、自律システム(AS:Autonomous System)によ
るブロードキャストの弱点に注目が集まることとなった。ASはネットワークプ
ロバイダの集合であり、IPアドレスリクエストの際、郵便番号やZIPコードの
役割を果たす。先週末のこのインシデントで、ASはパキスタンのリクエストに
対してだけでなく、インターネット全体に向けて誤ったブロードキャストを行っ
ていた。
http://www.news.com/8301-10784_3-9878655-7.html?part=rss&subj=news&tag=2547-1_3-0-5
http://news.bbc.co.uk/2/hi/technology/7262071.stm

【編集者メモ1】(Skoudis)
これには、コピーキャットアタックに伴う短期的なリスクがあるが、長期的に
見れば朗報ではないかと思った。YouTubeがオフラインになったことで、
Googleが注目。そして、パキスタンによってこれがオフラインになったために、
多くの国の目がこの問題に集まった。つまり、このような大問題が、若干の不
都合からあらわになったのだ。前述のような強力な組織がこの問題に関心を持っ
た今、近い将来、この状態を修正する動きが出てくるだろう。そう願いたい。
【編集者メモ2】(Schultz)
このインシデントによって、インターネットは阻害行為やDoSアタックなどに
対して潜在的にどれだけ脆弱なのかが、(少なくともささやかな形で)再度示
されたようだ。このケースについては、認証形式アップデートなどのメカニズ
ムがあれば、問題の大部分が解決されたに違いない。しかし、そういったメカ
ニズムがあると、大幅なスローダウンが生じてしまうのである
【編集者メモ3】(ゲスト編集者Frantzen)
このインシデントの原因は、ずばりISPによる危険な設定に尽きる。そのせい
で、内部ルーティング情報から(部分的に)BGPのアナウンス(BGP4は、AS間で使
われているルーティングプロトコルである)が作成されてしまうのだ。
────────────────

◆FCC ネットの中立性施行に踏み切る用意整う(2008.2.25)

米国連邦通信委員会(FCC)は、2月25日の公聴会で、コンテンツプロバイダから
の通信を差別化しているインターネットサービスプロバイダ(ISP)に対し、近
いうちに何らかの措置を取る可能性を示した。問題は、合法的なネットワーク
通信管理と差別化との境界線だ。また、FCCは、通信がスローダウンするとき
のポリシー内容をISPに明確にさせるルールを検討中である。最近、Comcastが
Bit Torrentからの通信を調整していたことを認めた際、この問題が報道され
た。
http://www.nytimes.com/2008/02/25/technology/25cnd-fcc.html?ei=5088&en=400675c21d9dc50b&ex=1361682000&partner=rssnyt&emc=rss&pagewanted=print
http://www.usatoday.com/tech/news/techpolicy/2008-02-25-fcc-comcast-internet_N.htm?csp=34

【編集者メモ1】(Pescatore)
ISPには、サービス条件契約の合意事項を実行する権利があるが、コンテンツ
の束をブロックするのは行き過ぎている。ISPが、フィルタリングや消費者の
マシンにあるボットクライアントのクリーンナップを促す取組みに力を入れれ
ば、帯域の30%を取り戻せるだけでなく、顧客PCのCPU周期も30%長くなるだ
ろうに。
【編集者メモ2】(Northcutt)
あまりに複雑な問題なので、市場がどのように収束するか待つのが得策かと思
われる。Comcastユーザーの多くが、Bit Torrentを求めて他のプロバイダに移
ろうと思えば移れるとすると、Comcastはそのポリシーを変えるだろう。この
問題がなくなればいいとは思っていない。
ひとつの可能性として、IPヘッダーのサービスタイプフィールドが、今後当初
の目的通りに使われることが考えられる。ポリシーをもとにしたルーティング
が実現するかもしれない。帯域を最も多く使用している部分についても支払い
は発生するのだから。
http://www1.sans.edu/resources/leadershiplab/network_neutrality.php

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年2月21日 Vol.7 No.8)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サーとパーティのWindowsアプリ          8 (#1, #2)
Mac OS                     1
Linux                      2
クロスプラットフォーム             9 (#3)
Webアプリ・クロスサイトスクリプティング     7
Webアプリ・ SQLインジェクション         48
Webアプリ                    15
ネットワークデバイス              1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

データ保存に使用される製品がアタッカーの主なターゲットである。おわかり
にならない方は、過去2年間にCAやVeritasのバックアップ製品に発生した脆弱
性を振り返ってみてほしい。今週は、Veritas、EMCに各1件脆弱性が見つかっ
た。脆弱性の数の多さは、アタックの主なターゲットになっていることを示す
事実である。したがって、CEOに「バックアップ製品に常に最新パッチを適用
するにあたって、君のプログラムはどれだけ効果的か?」と聞かれたとき、よ
い返答ができるよう備えておこう。
────────────────

1.危険度【重大】:Symantec Veritas Storage Foundationの管理サービスにバッ
  ファオーバーフローの脆弱性

<影響のある製品>
Symantec Veritas Storage Foundation 5.0までのバージョン

<詳細>
Veritas Storage Foundationは、Symantecの企業用保存管理アプリケーション
である。これによって、ネットワークからアクセス可能な管理サービスが提供
される。しかし、この管理サービスのユーザーデータ処理には欠陥がある。リ
クエストが過剰に長いと、ヒープオーバーフローが発生する。このバッファオー
バーフローの悪用が実現すると、脆弱なプロセス(SYSTEMの場合が多い)権限で
任意のコードが実行されてしまう。この脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。
可能であれば、TCP3207番ポートへのアクセスをネットワーク境界でブロック
すれば、脆弱性の影響を軽減できる。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-007.html
Symantecのセキュリティアドバイザリ
http://www.symantec.com/avcenter/security/Content/2008.02.20a.html
製品のホームページ
http://www.symantec.com/business/products/overview.jsp?pcid=2245&pvid=203_1
SecurityFocus BID
http://www.securityfocus.com/bid/25778
────────────────

2.危険度【重大】:EMC RepliStorに複数の脆弱性

<影響のある製品>
EMC RepliStor 6.2までのバージョン

<詳細>
EMC RepliStorは、企業用バックアップアプリケーションとして広範囲で使用
されている。しかし、圧縮データの処理に複数の脆弱性がある。圧縮データを
含むリクエストが細工されると、脆弱性のいずれかが引き起こされ、ヒープバッ
ファオーバーフローに繋がってしまう。オーバーフローのいずれかが悪用され
ると、脆弱なプロセス(SYSTEMの場合が多い)権限で任意のコードが実行されて
しまう。脆弱性の悪用に認証は必要ない。

<現状>
EMCはこの問題を認めており、更新をリリースしている。
可能であれば、TCP7144番ポートおよび7145番ポートへのアクセスをネットワー
ク境界でブロックすれば、脆弱性の影響を軽減できる。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=664
製品のホームページ
http://software.emc.com/products/software_az/replistor.htm
SecurityFocus BID
http://www.securityfocus.com/bid/27915
────────────────

3.危険度【高】:Operaに複数の脆弱性

<影響のある製品>
Opera 9.25までのバージョン

<詳細>
Operaは、クロスプラットフォームのWebブラウザとして広範囲で使用されてい
る。しかし、特定のHTML生成処理に複数の脆弱性がある。Webページが細工さ
れると、脆弱性のいずれかが悪用され、スクリプト元のページとは違うセキュ
リティ・コンテクストで任意のJavaScriptコードを実行してしまう。また、特
定エレメントのレンダリング処理にある欠陥によって、ユーザーは入力フォー
ムが異なる種類のものだと信じてしまい、操作なしで任意のファイルがアップ
ロードさてしまう脆弱性に繋がるおそれがある。脆弱性の技術的詳細がいくつ
か公表されている。

<現状>
Operaはこの問題を認めており、更新をリリースしている。

<参考>
Operaのセキュリティアドバイザリ
http://www.opera.com /support/search/view/877/
http://www.opera.com /support/search/view/880/
http://www.opera.com /support/search/view/879/
Operaのホームページ
http://www.opera.com
SecurityFocus BID
http://www.securityfocus.com/bid/27901

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。