NRI Secure SANS NewsBites 日本版

Vol.4 No.12 2009年3月24日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.12 2009年3月24日発行
**********************************************************************

■はじめに

アプリケーションツールについての素晴らしいワークショップが、ワシントン
DCで開催される。ユーザーらに実際に有効なツール、およびCA導入のために必
要な機能についての情報提供がある。4月29日のサミット情報はこちら:
http://www.sans.org/appsec09_summit/
4月に開催されるログ管理に関する同様のサミットはこちら:
http://sans.org/info/37604.

               Alan Paller(SANS Director of Research)
────────────────

■■SANS NewsBites Vol.11 No.20-21
   (原版:2009年3月14日、18日配信)

◆アプリケーションセキュリティについてのベストプラクティス:セキュリティ
  構築の新たな成熟度モデル(2009.3.9-10)

セキュリティ構築の成熟度モデル(BSIMM:The Building Security in
Maturity Model)は、CitigalおよびFortifyが開発したベストプラクティスセッ
トである。このセットを使えば、9つあるソフトウェアセキュリティイニシア
チブのデータを相互に結び付けられるので、より安全な製品の開発が可能にな
る。このモデルではベストプラクティスが、戦略、測定項目、セキュリティ機
能、設計、設定、脆弱性管理など12の分野に分けられている。
http://www.csoonline.com/article/print/483716
http://www.scmagazineuk.com/Secrets-of-the-providers-detailed-in-new-report/article/128448/
http://blogs.wsj.com/digits/2009/03/04/new-effort-hopes-to-improve-software-security/
http://bsi-mm.com/

【編集者メモ】(Pescatore)
すばらしい。しかし、BSIMMの真価はリストアップされているベストプラクティ
スをどう見るかで変わってくる。常識的なプラクティスとベストプラクティス
の違い、および成熟レベルとはどのようなものか。それがわかるかどうかだ。
【編集者メモ】(Paller)
John Pesactoreの言う通り。ここで問われているのは、「このベストプラクティ
スによって、他の組織を実際に導くことができるかどうか」である。極めて常
識的なことだ。このプロジェクトに関与した2人のメンバーと長時間にわたっ
て話す機会があった。彼らがプログラマーのためのセキュリティ教育に関して
何を学んだか、より深く知ることができた。安全なプログラミングを簡単に行
えるようなライブラリを頻繁に使用してプログラミングを実践する機会を設け
ないかぎり、セキュリティ啓発トレーニングはまったく役に立たないというこ
とだ。
────────────────

◆BBC 調査にボットネットのコントロールを使用したため非難される
  (2009.3.12)

セキュリティ専門家らは、BBC Click(BBCのIT情報番組)が行った調査を強く
非難している。この調査でBBCはボットネットをまず購入し、それを使用して
調査用に作った電子メールアカウントにスパムを送信していた。ボットネット
の危険性を実証することが、この調査の目的だったという。BBCは、すでにボッ
トソフトウェアに感染したPCのオーナーに警告を発し、悪意のあるプログラム
の除去方法を提供したが、その通知方法に問題があった。ユーザーのスクリー
ンセーバーを変更して行ったのである。セキュリティ専門家の中には、この調
査は英国のコンピュータ乱用対策法(Computer Misuse Act)違反のおそれが
あるとする者もいるという。
http://www.theregister.co.uk/2009/03/12/bbc_botnet_probe/
http://www.scmagazineuk.com/BBC-Click-botnet-attack-criticised-by-industry-experts/article/128686/
http://news.bbc.co.uk/2/hi/programmes/click_online/7932816.stm
http://news.cnet.com/8301-1009_3-10195550-83.html

【編集者メモ1】(Pescatore)
これでは、放火犯を雇って空きビルに放火し、舞い上がる炎をビデオに収める
行為と変わらないではないか。違法云々の前に、この行為はプロとして恥ずべ
きであり、まったくもって愚かである。
【編集者メモ2】(Skoudis)
問題である。私のあとに続いてご唱和願いたい。「機能テストであろうが、調
査であろうが、不正にボットネットを使用してはならない」
────────────────

◆下院議会分科委員会 連邦政府のサイバーセキュリティにおける国土安全保
  障省の役割を議論(2009.3.10-11)

米下院議会国土安全保障委員会の「新興の脅威およびサイバーセキュリティ・
科学技術分科員会」では、今週、連邦政府のサイバーセキュリティの取り組み
において、国土安全保障省(DHS)が中心役にふさわしいかどうか、証言が行
われた。DHSの米国内サイバー・セキュリティ部門元担当官Amit Yoranは、サ
イバーセキュリティポリシーの効果的な導入について言えば、DHSは「非効率
的であり、リーダーとしての役割を果たせていない」と語った。また、米国政
府説明責任局(GAO)のIT管理問題担当官David Pownerは、他の政府局をサイ
バーセキュリティ分野のリーダーに置き、DHSは運営機能を担う方が米国のニー
ズを効果的に満たせるとするGAOの考えを述べた。そのほか、GAOはサイバーセ
キュリティポリシー分野におけるホワイトハウスの役割を支援している。また、
国家安全保障局(NSA)については、連邦政府のサイバーサキュリティにおけ
る役割が広がっているようだ。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=Security&articleId=9129443&taxonomyId=17&pageNumber=1
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9129429&source=rss_topic17
http://www.nextgov.com/nextgov/ng_20090311_4960.php
http://news.cnet.com/8301-13578_3-10194459-38.html
http://www.scmagazineus.com/House-hearing-US-in-dangerous-cybersecurity-state/article/128576/
────────────────

◆米議会議員 ターゲット広告の問題に対処する法を草案(2009.3.16)

米議会議員らは、ターゲット広告技術を使用しているインターネット会社に対
し、ユーザーに自分の行動習性が広告の目的で追跡されていることを通知する
よう義務付ける法を草案している。関わっている議員によると、ユーザーは実
際にどのような情報を誰が収集し、それを使って何をしているのか知る権利が
あるという。Googleはこのほど、ターゲット広告使用開始の意向を発表し、そ
れに続く形でAOLやYahoo、Microsoftも同様の発表を行っている。Googleのシ
ステムでは、ユーザーの活動情報をもとに興味のある分野のカテゴリーが指定
され、それに則したターゲット広告が出されるようになる。ユーザーは、興味
のある分野を変更したり、プログラムそのものから完全にオプトアウトするこ
ともできるようになっている。
http://www.scmagazineus.com/Behavioral-advertising-bill-being-drafted/article/128882/
────────────────

◆フィンランド大統領 雇用主が従業員の電子メールのやりとりを監視できる
  法案を承認(2009.3.4-14)

フィンランドでは、従業員がメールを乱用している疑いがある場合にかぎり、
雇用主がそのメールのやりとりを監視できる法が新しく承認された。雇用主は
メールの内容を読むことはできないが、添付ファイルのサイズや送信先を監視
することができる。また、学校や図書館、電気通信会社のオペレータがユーザー
の活動を詮索してもよいことになる。同法は、法専門家やプライバシーの権利
団体から激しい非難を浴びている。先月国会で96対56の差で可決され、3月13
日、大統領に承認された。
http://www.ioltechnology.co.za/article_page.php?iSectionId=2883&iArticleId=4889373
http://news.theage.com.au/breaking-news-technology/finnish-parliament-approves-email-tracking-law-20090305-8ona.html

【編集者メモ1】(Pescatore)
企業内メールに適正なプライバシーがないということは米国でもすでに自明の
理だが、その程度は国ごと(組合ごとの場合もある)に異なっていた。とはい
え、安全確保という名目で道路にスピード制限を設けたり、仕事場で健康を害
するような特定の行動を禁止したりするのは、どの国でもOKとされてきた。こ
うした流れは、いずれサイバー分野に及んでくることだろう。
【編集者メモ2】(Schultz)
プライバシーの保護は、ヨーロッパのほとんどの国における重要な問題である。
しかし、従業員が違法行為をしていないか、メールを不正に乱用していないか
特定するためにユーザーのインターネット活動を監視する必要性は、ますます
増大している。プライバシー保護と監視需要の均衡を図る過程で、関係者個人
の権利を侵害してしまうケースも発生しているのが現状だ(フィンランドの例
のように)。ある程度はプライバシーの保護も確保されるべきである。プライ
バシー権のない状態など、ほとんどのヨーロッパ人に受け入れられないだろう。
────────────────

◆Visa RBS WorldPayとHeartlandはPCI DSSを満たしていないと主張
  (2009.3.13)

Visaによれば、RBS WorldPayやHeartland Payment Systemは、もはやPCI DSS
の基準を満たしていないという。Visaがそう言及したのは、この二社のコンピュー
タシステムで大きなデータセキュリティ侵害が最近発生したことが明らかになっ
たからだ。Visaによると、二社は再度PCI DSSに準拠できるよう、現在積極的
に取り組んでいるところだという。
http://www.theregister.co.uk/2009/03/13/visa_delists_heartland_rbsworldpay/
────────────────

◆PCI SSC 基準に準拠するためのアプローチに優先順位をつける(2009.3.16)

PCIセキュリティ標準協議会(PCI Security Standards Council LLC)は、
「優先的アプローチ」という準拠用のガイダンスリストを発行した。これを使
えば、企業は決済カードの顧客データを保護するためにはどこをどうすればよ
いか、もしくはどこから手をつければよいか、わかるようになっている。この
ガイドラインでは、PCI DSSの必須条件を6つの重要工程に分け、最も重要なセ
キュリティ問題に真っ先に対処できるようにしている。
https://www.pcisecuritystandards.org/education/prioritized.shtml
https://www.pcisecuritystandards.org/education/docs/Prioritized_Approach_PCI_DSS_1_2.pdf
https://www.pcisecuritystandards.org/pdfs/pci_ssc_quick_guide.pdf
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=335844&source=rss_topic17

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年3月14日 Vol.8 No.11)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     8(#1)
サードパーティのWindowsアプリ          8(#2)
Linux                      4
Solaris                     4
クロスプラットフォーム             18(#3)
Webアプリ- クロスサイトスクリプティング    10
Webアプリ- SQLインジェクション         24
Webアプリ                   19
ネットワークデバイス              4
======================================================================

Windowsカーネルの問題が最も重要なものとして浮上しているが、自動パッチ
適用システムで対処できるようだ。そのほか、Foxit PDFリーダーにある5000
万件のインスタンスは修正すべきである。これらの欠陥は自動的に修正される
のだろうか?
────────────────

1.危険度【重大】:Microsoft Windowsのカーネルにさまざまな脆弱性
  (MS09-006)

<影響のある製品>
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Service Pack 3
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Microsoft Windows Server 2003 SP1 (Itanium)
Microsoft Windows Server 2003 SP2 (Itanium)
Microsoft Windows Vista
Microsoft Windows Vista Service Pack 1
Microsoft Windows Vista x64 Edition
Microsoft Windows Vista x64 Edition Service Pack 1
Microsoft Windows Server 2008 (32-bit)
Microsoft Windows Server 2008 (x64)
Microsoft Windows Server 2008 (Itanium)

<詳細>
Microsoft OSの中心であるWindowsカーネルにはさまざまな脆弱性がある。1つ
目は、Microsoft Windowsのグラフィックデバイスインタフェース(GDI)のカー
ネルコンポーネントを介してユーザーモードから引き渡されるインプットの検
証時にWindowsカーネルにエラーが生じるために引き起こされる、リモートが
コードが実行される脆弱性である。Windowsメタファイル(WMF)や拡張メタファ
イル(EMF)が細工され、それらのファイルをユーザーが閲覧すると、この脆
弱性がリモートで引き起こされる。悪用の手順は以下の通り。
a)悪意のあるWMFやEMF画像ファイルを含むWebページを作成し、このWebページ
  を訪問するように誘い込む。
b)細工したEMFやWMF画像ファイルを組み込んだメールを送信し、閲覧させるか、
  もしくはOffice文書に悪意のある画像ファイルを組み込み、開かせる。
この脆弱性は、ローカルシステムにログオンしているアタッカーに悪用される
おそれもある。
2つ目の脆弱性としてあげられるのは、ハンドル名の検証時にカーネルにエラー
が生じるために引き起こされる権限昇格の脆弱性。権限昇格が実際に発生する
と、昇格した権限で任意のコードを実行される可能性がある。これはリモート
で悪用不可なうえ、アタッカーは有効なクレデンシャルを要する。
3つ目の脆弱性は、不正ポインタの検証時にカーネルにエラーが生じるために
引き起こされる権限昇格の脆弱性である。これも、リモートで悪用できないう
え、アタッカーは有効なクレデンシャルが必要。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS09-006.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/34012/
http://www.securityfocus.com/bid/34027/
http://www.securityfocus.com/bid/34025/
────────────────

2.危険度【重大】:Foxit Readerにさまざまな脆弱性

<影響のある製品>
Foxit Reader 3.0.2009 1301
Foxit Reader 3.0
Foxit Reader 2.3

<影響のある製品>
Foxit Readerは、容量が少なく、高速なPDFドキュメントビューア兼プリント
機能ツールで、およそ5000万人の顧客に使用されている。しかし、さまざまな
脆弱性がある。過剰に長いファイル名の引数に"Open/Execute a file"アクショ
ン(脆弱なリーダーで開かれるときに定義される)を組み合せた形でPDFが細
工されると、スタックベースのバッファオーバーフローの脆弱性の悪用に利用
されるおそれがある。そうなると、任意のコードが実行されるか、アプリケー
ションがクラッシュしてしまう。そのほか、ユーザーの確認なしにFoxit
Readerを開いたり実行したりすると、同じ"Open/Execute a file"アクション
で認証回避の脆弱性が生じる。3つ目の脆弱性は、JBIG2 symbol dictionary
segmentsをデコードするときに生じるエラーが原因で引き起こされる。この脆
弱性は、初期化されていないメモリの逆参照に用いられることにより、任意の
コード実行につながるおそれもある。JBIG2の脆弱性は、Adobe JBIG2の脆弱性
とは異なるもの。これらのセキュリティ問題の技術的詳細が、いくつかの概念
実証コードとともに公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Foxit Softwareのセキュリティ警告
http://www.foxitsoftware.com/pdf/reader/security.htm#Processing
Core Security Technologiesのアドバイザ理
http://www.coresecurity.com/content/foxit-reader-vulnerabilities
Secunia Researchのアドバイザリ
http://secunia.com/secunia_research/2009-11/
製品のホームページ
http://www.foxitsoftware.com/pdf/reader/
SecurityFocus BID
http://www.securityfocus.com/bid/34035
────────────────

3.危険度【高】:IBM Tivoli Storage Managerにバッファオーバーフローの脆
  弱性

<影響のある製品>
IBM Tivoli Storage Manager 5.4.0.0 から5.4.4.0まで
IBM Tivoli Storage Manager 5.3までのバージョン
IBM Tivoli Storage Manager Express(全レベル)

<詳細>
IBMのTivolli Storage Manager(TSM)は、保存管理ソフトウェアを一元化し
たポリシーベースのデータバックアップソフトウェアである。しかし、ヒープ
ベースのバッファオーバーフローがある。これは、"adsmdll.dll"に、セッショ
ン関連データの処理における検証エラーがあるために生じる。この脆弱な機能
によって、固定サイズのバッファおよびセッション関連データに使用されてい
るバッファの一部が割り当てられるようになっている。ユーザーが提供するイ
ンプットは、十分な境界チェックなしにそのバッファにコピーされてしまうた
め、バッファオーバーフロー状態が引き起こされる。この脆弱性を悪用される
と、システム権限もしくはルート権限で任意のコードを実行される可能性があ
る。そこまでには至らなかったとしても、DoS状態が引き起こされることもあ
る。悪用に認証は必要ない。この脆弱性の詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefense Labsの公共アドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=775
ベンダーのセキュリティアドバイザリ
http://www-01.ibm.com/support/docview.wss?uid=swg21377388
IBM Tivoli Storage ManagerについてのWikipediaの説明
http://en.wikipedia.org/wiki/IBM_Tivoli_Storage_Manager
製品のホームページ
http://www-01.ibm.com/software/tivoli/products/storage-mgr/
SecurityFocus BID
http://www.securityfocus.com/bid/34077

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。