NRI Secure SANS NewsBites 日本版

Vol.4 No.10 2009年3月11日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.10 2009年3月11日発行
**********************************************************************

■はじめに

コンセンサス監査ガイドライン(CAG:Consensus Audit Guidelines)が、産業
界の人々や米国以外の国、国防産業組織などに影響を及ぼすということは、今
や自明の理だ。
主要企業が、コンセンサス監査ガイドライン(CAG: Consensus Audit
Guidelines)の重要項目を導入した手法を学べる好機がある。
4月6~7日、ワシントン開催の「What Works in Log Management and Analysis
サミット」で、CAG内のログ関係のコントロールを導入した実例を学ぶことが
できる。CAGガイドライン導入に必要な14の重要項目(2009年2月23日公表)に
焦点があてられる。このうち5つは、「Quick Win」とラベル付けされているの
で、セキュリティを迅速に導入できる方法を知りたいISOやISSM関係者、コン
サルタントの方はぜひご参加を。ほとんどのケースにおいて、必要なツールは
すでに用意されているのが常だが、適格な機能がオンになっていなかったり、
あるべき方向に照準が合っていないことがある。
連邦政府の省庁レベルのCISOには、このプログラムへの参加フリーパスを提供
するので、その旨ご自分の組織のCISOに伝えていただきたい。上記以外の方は、
以下のリンクで参加申込みを。
http://www.sans.org/logmgtsummit09/
                Alan Paller(SANS Director of Research)
────────────────

■■SANS NewsBites Vol.11 No.12-13
   (原版:2008年2月28日、3月4日配信)

◆HeartlandのCEO PCIの認定を取得していた旨述べる(2009.2.25)

Heartland Payment Services社の会長兼CEOのBob Carrは、ペイメントカード
データのセキュリティ侵害で生じた同社向け裁判には、いかなるものであろう
と抗戦の意志があるという。四半期業績発表で同氏は、「Heartland社は昨年4
月にPCI認定を取得し、2009年の認定のために、現在、現場にて監査実施中で
ある」と述べている。また、同社のコンピュータに発見されたマルウェアが、
「侵害期間中は活動していなかったと考えているため、その侵害によって影響
を受けた口座数を特定できなかった」と述べている。Heartland社は、1月に侵
害事件発生を発表したが、連邦取引委員会(FTC)や証券取引委員会、その他
の連邦政府局で正式な調査および審問を受けることになる。
http://www.darkreading.com/security/attacks/showArticle.jhtml?articleID=214600079
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9128658&source=rss_topic17
http://seekingalpha.com/article/122440-heartland-payment-systems-q4-2008-earnings-call-transcript?page=-1

【編集者メモ1】(Pescatore)
問題から話題をそらそうとしているのがうかがえる。法遵守行為そのものがセ
キュリティを確立できるわけではない。私はこの1月、医者に「君の健康状態
は正常だ」と言われたが、その後も健康と言えるのかどうかはわからない。そ
れに、「内部でデータの暗号化を必須化していれば、サーバが侵害されても問
題はなかったはずだ」というひと言は、いろいろな意味で誤っている。
【編集者メモ2】(Paller)
「企業は、“やさしい”PCI監査人を選ぶことができる」と繰り返し言われて
きた。真実のほどはわからないが、Heartland社は、法廷でPCIを遵守していた
との主張を認めてもらう前に、テストが徹底的に行われていたかどうか、また、
テスト自体の質も再度チェックすべきだろう。
【編集者メモ3】(Weatherford)
よいニュースだ。連邦政府と同等に重要な州政府や地方政府が、連邦政府と同
じ脅威に直面している。取締り機関も然り。また、重大インフラのほとんどに
おいて、サイバーセキュリティは連邦政府でなく州政府のコントロール下にお
かれている。官民両セクターのサイバーインフラの復元性を高め、安全性を強
化するためという。素晴らしいことだ。
────────────────

◆2010年度予算:3憶5500万ドルが米国土安全保障省のサイバーセキュリティ
  に(2009.2.26)

オバマ大統領の2010年度予算案によると、国土安全保障省(DHS)の全米サイ
バーセキュリティ部門(NSCD:National Cybersecurity Division)と総括的サ
イバーセキュリティイニシアチブ(Comprehensive Cybersecurity Initiative)
の取り組みに、3億5,500万ドル割り当てられるという。「官民両セクターのサ
イバーインフラの復元性と安全性を高める」ことを目的に使われる。2009年度
にサイバーセキュリティに割り当てられた2億9,400万ドルより、21%増加した
ことになる。
http://fcw.com/Articles/2009/02/26/2010-budget-cybersecurity.aspx
http://www.nextgov.com/nextgov/ng_20090226_3194.php

【編集者メモ1】(Pescatore)
その予算の大部分が、公共セクターのシステム、ソフトウェア、サービスのセ
キュリティ強化に投じられればよいと思う。政府には、インシデントが発生し
て初めて対応するという姿勢ではなく、あらかじめ防御するという方向に転じ
てもらいたいものだ。
【編集者メモ2】(Paller)
Admiral BrownがDHSにやって来て、Mischel KwonがUS-CERTを引き継いで以来、
サイバー関連分野での連邦政府の統率力に大幅な向上が見られる。これには感
心する。これで、DHSやUS-CERTも、連邦政府に対し、すぐに実行に移せるよう
な情報を、リアルタイムに、積極的に提供できる情報源となった。また、TIC
(Trusted Internet Connection)プロジェクトも推進されているほか、ソフ
トウェア保証プロジェクトが「プログラミングエラートップ25」を引き合いに
出しており、NCSDもCAGの統制を支援している。
この一連の動きによって、連邦政府のサイバーセキュリティは、適度に改善さ
れたのみならず、より主体的なものとなった。
【編集者メモ3】(Northcutt)
この予算が賢く使われることを願ってやまない。この予算に関するURLは以下
に掲載した。セキュリティ対策についての議論が展開するのは、71ページ。驚
くべきは、サイバーセキュリティが、テロ対策よりも優先されていることであ
る。
http://www.whitehouse.gov/omb/assets/fy2010new_era/A_New_Era_of_Responsibility2.pdf
────────────────

◆米国連邦通信委員会 顧客情報保護が十分であることを実証できなかったテ
  レコム企業を処罰する見込み(2009.2.25-26)

米国連邦通信委員会(FCC:US Federal Communications Commission)は、顧
客情報に対する安全保護対策が十分でない電話会社とIP電話(VoIP)プロバイ
ダ600社超に罰金を科す計画だ。FCCは企業に対し、詐欺行為などによる顧客情
報の漏えいに対応する保護対策ができているとする認定証を年次で提出するよ
う義務付けている。また、対象企業は顧客情報を第三者に提供した場合や、情
報漏えいに関して顧客から苦情があった場合は、その全てを記録しなければな
らない。昨年は、対象の600組織については、前述の報告が全くなされていな
いか、報告内容自体が不適格という結果だった。したがって、報告のなかった
組織には2万ドルの罰金、不適格な報告をあげた組織には1万ドルの罰金が科せ
られるようになる。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9128663&source=rss_topic17
http://news.smh.com.au/breaking-news-technology/fcc-fines-small-telcos-on-customer-info-rules-20090226-8i53.html

【編集者メモ】(Pescatore)
むむ~、「書類を提出しなかったから罰金に科す」というのは、「顧客情報が
十分に保護されていなかったから罰金を科す」のとは違う。FCCが、より積極
的な統制措置を打ち出すことを願いたい。FCCと保険社会福祉省(HHS)は、
HIPAA(医療保険の携行性と責任に関する法律)に「適合」しているか否かで
物事を決めるような運営を行ってきたが、それは有効的ではない。
────────────────

◆米国家安全保障局 サイバーセキュリティ分野でリーダー的役割を担う政府
  局と太鼓判(2009.3.2)

国家安全保障局(NSA)が行っているサイバーセキュリティ関連の取り組みを
中心に行動すべき、との意見が増えている。米内務省下院特別情報委員会にお
いて、国家情報長官(Director of National Intelligence)Dennis Blairは、
先週、国土安全保障省(DHS)は現在、サイバーセキュリティ分野で先導的な
役割を担う政府局とされているが、今のところ、十分な成果が見られないと述
べた。その一方で、NSAはサイバー分野における才能が豊富にあるだけでなく、
国家的なインフラに脅威を及ぼすアタック手法について非常に多くの知識があ
る。Blairは、前政権で令状なしに通信傍受が行われていたことを踏まえても、
NSAのすばらしい評判を軸に行動していく方がよいとの見解を示した。
http://www.securityfocus.com/brief/917
http://blog.wired.com/27bstroke6/2009/02/nsa-should-over.html

【編集者メモ1】(Schultz)
Blairの言うことはもっともだ。私が情報セキュリティの世界に足を踏みいれ
た当時、NSAは政府内のサイバーセキュリティの役割のほとんどを担っていた。
しかし、その後そうでなくなってしまった。サイバーセキュリティのリーダー
的役割を再びNSAに委ねるときがやってきたのだ。とは言え、DHSが、サイバー
セキュリティのリーダーとして成果を出せていないのは、DHS自体の歴史が長
くないからなのもしれない。あまりにも短い期間にあまりにも多くのことが望
まれていたせいもあるだろう。
【編集者メモ3】(Weatherford)
ここ数年、NSAに関してよくない報道がたくさんあったが、同局なしでは米国
はさらに悪い状態に陥っていただろう。また、DHSのように米連邦緊急事態管
理局(FEMA)や移民税関捜査局(ICE:Immigration and CUstoms Enforcement)、
運輸保安局(TSA:Transportation Safety Administration)までをも範疇にお
さめている組織に、かなり技術的なサイバーセキュリティ分野でNSAと同じよ
うに素晴らしい仕事をさせようと考える方が実情にそぐわないのだと思う
(NSAは、複雑かつ高度な技術の上に成り立っているし、同局ミッションはサ
イバーセキュリティが主体だった)。
────────────────

◆判決でドライブの暗号を解くように命令(2009.2.26-3.3)

連邦判事は、ノートパソコンの暗号化ドライブに児童ポルノを保存していた疑
いのある男に対し、合衆国憲法修正第5条の保護は適用されないとの判決を下
した。地裁判事William Sessionsによれば、Sebastien Boucherは最初にノー
トパソコンの捜査を許可したときに、その権利を放棄したとし、暗号を解いた
問題のドライブを提出するよう命令した。この判決によって、Boucherが修正
第5条の黙秘権によって保護されるという過去の判決が覆されたことになる。
司法省は当初、Boucherに対し、暗号化パスワードの提出を求めていた。しか
し、上訴審では、陪審の前で、問題のドライブの暗号化を解くよう言われただ
けだった。Boucherのノートパソコンは、2006年の12月にカナダから米国に入
国する際、捜査されたものだ。捜査官によると、問題のあるコンテンツが発見
されたが、そのままコンピュータをシャットダウンしたという。しかし、
Boucher逮捕後に画像にアクセスしようとしたら、PGPプログラムのおかげでア
クセスできなかったようだ。
http://news.cnet.com/8301-13578_3-10172866-38.html?tag=pop
http://www.theregister.co.uk/2009/03/03/encryption_password_ruling/
http://www.wcax.com/Global/story.asp?S=9909241

【編集者メモ1】(Liston)
「パスワードをわたせ」から「ドライブの暗号を解け」にまでレベルを下げて、
さらに、司法省が上訴審で勝訴したことには驚きだ。しかし、このようにアプ
ローチを変えたことで、修正第5条が適用されるかという問題に影響する理由
は不明である。
【編集者メモ2】(Weatherford)
「でも裁判官、僕は本当にパスワードを忘れてしまたんです…」となるのが関
の山。
────────────────

◆調査結果:経済的展望を悲観してデータを盗む従業員も(2009.2.27-3.2)

Cyber-Ark Software社がロンドン、ニューヨーク、アムステルダムのオフィス
勤務者600人に調査を行ったところ、企業情報の窃盗が増えていることがわかっ
た。窃盗犯の多くは外部者ではなく、職を失うのではないかと不安を抱えてい
る内部者だった。また、Symark社の調査では、離職した従業員のユーザーアカ
ウントがまだアクティブになっているか把握していない企業は、全体の40%に
まで及ぶことも明らかになった。このため、Cyber-Ark社の英国ディレクター
Mark Fullbrookは、サイバー犯罪者の多くが、現在の経済危機で恩恵を受けて
いるような状態になっていると述べる。また、予算が減ったことからアウトソー
シングが増え、セキュリティに対する集中度も弱まっているようだ。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=operating_systems&articleId=333732&taxonomyId=89&intsrc=kc_feat
http://www.scmagazineuk.com/Hackers-claim-that-economic-situation-is-helping-them-to-thrive/article/127994/

【編集者メモ1】(Schultz)
この統計によって、データ紛失阻止技術はもはやぜいたく品ではないという事
実が浮き彫りになった。今や、必需品にほかならない。
【編集者メモ2】(Weatherford)
仕事を失いそうだと感じれば、誰だって自分の家族を支えるためにどんなこと
でもしようと思うだろう。残念ながら、企業情報の窃盗行為のように自分のキャ
リアに悪影響を及ぼすようなことも、それに含まれてしまう。だからこそ、我
々は、組織を守るためだけでなく、そのような愚行に踏み出そうとする人をそ
の考えから守るために、ポリシーやセキュリティコントロールを整備しなくて
はならないのだ。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年2月28日 Vol.8 No.9)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Microsoft Office                1 (#1)
サードパーティのWindowsアプリ          6 (#4)
Mac Os                     9
Linux                      2
Solaris                     1
BSD                       1
クロスプラットフォーム             26 (#2, #3)
Webアプリ- クロスサイトスクリプティング    12
Webアプリ- SQLインジェクション         10
Webアプリ                   16
======================================================================

大きな脆弱性は2件のみだったとは言え、Microsoft ExcelやAdobe
Reader/Acrobatにあるリモートのエクスプロイトを介して大規模な感染が引き
起こされるおそれがある。
────────────────

1.危険度【重大】:Microsoft Office Excelにリモートでコードが実行される
  脆弱性(0day)

<影響のある製品>
Microsoft Excel 2000
Microsoft Excel 2002
Microsoft Excel 2003
Microsoft Excel 2007
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2007
Mac 用Microsoft Excel 2004
Mac 用Microsoft Excel 2008

<詳細>
Microsoftの表作成アプリケーションMicrosoft Excelには、特定のExcelファ
イルを正しく処理できないために引き起こされる、リモートでコードが実行さ
れる脆弱性がある。Excelファイルが細工されるとこの脆弱性が引き起こされ、
現在のユーザー権限で任意のコードを実行されるか、DoS(サービス拒否)状
態にされる可能性がある。ほとんどの設定において、悪意があるかもしれない
Excelファイルを開く前にユーザにプロンプトされるので、この脆弱性を実際
に悪用するには、ユーザーによる何らかの操作が必要である。現在、この脆弱
性が激しく悪用されている状況であるにもかかわらず、最新のMicrosoftのパッ
チでは、影響緩和策はまだとられていないようだ。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/968272.mspx
Excelの新脆弱性についての詳細
http://blogs.technet.com/swi/archive/2009/02/24/more-information-about-the-new-excel-vulnerability.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/33870
────────────────

2.危険度【重大】:Adobe ReaderとAcrobatにバッファオーバーフローの脆弱性
  (APSA09-01)

<影響のある製品>
Adobe Reader 9.xまでのバージョン
Adobe Acrobat 9.x までのバージョン

<詳細>
Adobe Acrobatは、Portable Document形式(PDF)の作成、管理、閲覧に用い
られるプログラムである。一方、Adobe Readerは、PDFをただ閲覧するための
ものだ。Adobe AcrobatとReaderにおいては、JBIG2ストリームの処理にバッファ
オーバーフローの脆弱性があり、この脆弱性は、PDFファイルが細工されると
引き起こされる。悪用が実現すると、現在のユーザー権限による任意のコード
実行につながるおそれが生じる。PDF文書は、ユーザーの同意なしに、問題の
アプリケーションによって自動的に開かれるおそれがあるので注意が必要。こ
の脆弱性は激しく悪用されているようだ。ベンダーは、Adobe Acrobat9と
Reader9の更新プログラムを2009年3月11日までにリリースする見込み。現在行
われているアタックからの保護対策として、JavaScriptの無効化がある。しか
し、これを行ったからと言って、脆弱性を実際にカバーできるというわけでも
ない。この脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めているが、まだ更新はリリースしていない。

<参考>
Adobeのセキュリティアドバイザリ (APSA09-01)
http://www.adobe.com/support/security/advisories/apsa09-01.html
Adobe製品セキュリティインシデントレスポンスチーム (PSIRT)のブログ
http://blogs.adobe.com/psirt/
SecurityFocus BID
http://www.securityfocus.com/bid/33751
────────────────

3.危険度【高】:Adobe Flash Playerにさまざまな脆弱性(APSB09-01)

<影響のある製品>
Adobe Flash Player 10.0.12.36までのバージョン
Linux用Adobe Flash Player 10.0.15.3までのバージョン

<詳細>
Adobe Flash Playerは、Flashメディアのファイルを再生するのに用いられる
アプリケーションである。しかし、さまざまな脆弱性があり、悪用されると、
DoS(サービス拒否)、情報開示、クリックジャック攻撃、同アプリケーショ
ンを運用しているユーザー権限でのリモートでのコード実行、などにつながる
おそれがある。Shockwave Flash(SWF)ファイルが細工されると、これらの脆
弱性が引き起こされる。しかし、悪用の実現には、これらのファイルをFlash
Playerにロードするというユーザー操作が必要。これらの脆弱性の技術的詳細
がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Adobeのセキュリティアドバイザリ(APSB09-01)
http://www.adobe.com/support/security/bulletins/apsb09-01.html
iDefense Labsのアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=773
SecurityFocus BID
http://www.securityfocus.com/bid/33880
http://www.securityfocus.com/bid/33889
http://www.securityfocus.com/bid/33890
────────────────

4.危険度【高】:Orbit DownloadeのLong URLにバッファオーバーフローの脆弱
  性

<影響のある製品>
Orbit Downloader Orbit Downloader 2.8.4
Orbit Downloader Orbit Downloader 2.8.3
Orbit Downloader Orbit Downloader 2.8.2

<詳細>
Orbit Downloaderは、Microsoft Windows用のダウンロードマネージャだが、
ユーザーが提供するデータのチェックが不十分であるため、バッファオーバー
フローの脆弱性が生じる。ユーザーが悪意のあるHTTPサーバからファイルをダ
インロードするように、もしくは悪意のあるHTTP URLをクリックするように仕
向ければ、この脆弱性を悪用できる。悪用が実現すると、ログオンしているユー
ザー権限で任意のコードを実行されるか、DoS(サービス拒否)状態にされる
おそれがある。この脆弱性の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaリサーチ - 脆弱性情報
http://secunia.com/secunia_research/2009-9/
Orbit DownloaderについてのWikipediaの説明
http://en.wikipedia.org/wiki/Orbit_downloader
Orbit Downloaderのホームページ
http://www.orbitdownloader.com/index.htm
SecurityFocus BID
http://www.securityfocus.com/bid/33894

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。