NRI Secure SANS NewsBites 日本版

Vol.4 No.1 2009年1月6日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                      Vol.4 No.1 2009年1月6日発行
**********************************************************************

■はじめに

世界的な経済危機に襲われた2008年後半、コスト削減を迫られる組織も少なく
ないだろう。しかし、こんなときでも攻撃者はその手を緩めることなく、確実
に情報資産を狙っている。
大規模な技術的対策の導入が見込めない今こそ、より一層の"スキル武装"が必
要だ。
SANSは、2月に東京で、いま一番人気を集めているペネトレーションテストの
コースをはじめとした3つのコースを開催する。トップインストラクターの経
験談やSANSが推奨するベストプラクティスをぜひ習得していただきたい。

2009年が皆様にとってよい年になることを祈念いたします。
                Alan Paller(SANS Director of Research)

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
           SANS Tokyo 2009 Spring 開催決定!!
  
  2009年2月9日(月)~14日(土)  会場:UDXカンファレンス(秋葉原)

!セキュリティ技術の最先端が学べる大人気のハンズオン3コースを実施!

  ■PCI/DSS準拠・実装・監査のための具体的手法の習得 -> AUD521
   ■ペネトレーション手法の完全習得、エシカルハッカー養成 -> SEC560
   ■アプリケーションの脆弱性診断スキルの短期習得 - > DEV538
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/09spring/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.10 No.101
   (原版:2008年12月31日配信)

◆メリーランド州 セキュリティホール修正費用の補償を投票マシン企業に求
  める(2008.12.25)

メリーランド州は、Premier Election Systems(元Diebold)に対し、同社のタッ
チスクリーン投票マシンにあった多数のセキュリティ問題で生じた費用350万
ドルの支払いを要求している。同州は、とある情報筋からの情報をもとに円滑
な選挙を確実に実施するためにマシンに変更を加える決定をした。Diebold
(当時)の顧問弁護士らは、同申立ては曖昧かつ「不正確および事実無根」で
あると主張。メリーランド州契約上告委員会(Board of Contract Appeals)
にて議論される。Premier/Dieboldと同社製投票製品のセキュリティ問題で法
的な争いになっているのは同州にとどまらない。オハイオ州も裁判で審理を行っ
ているほか、数年前カリフォルニア州からも申立てを受け、同社と調停で和解
している。
http://www.washingtonpost.com/wp-dyn/content/article/2008/12/24/AR2008122401449_pf.html
http://news.slashdot.org/article.pl?sid=08/12/25/135240

【編集者メモ】(Northcutt)
NewsBitesで何度も取り上げたとおり、メリーランド州では投票マシンの問題
が多発している。同州が費用の填補を受けられる可能性は高い。
http://www.bradblog.com/?p=3719
http://www.johnbonifaz.com/blog/20060914-maryland
http://en.wikipedia.org/wiki/Premier_Election_Solutions
http://www.computerworld.com/governmenttopics/government/legislation/story/0,10801,109436,00.html
────────────────

◆報告書:米国土安全保障省の諜報統合センター(Intelligence Fusion
  Centers)にプライバシー上の懸念あり(2008.12.23-29)

米国土安全保障省(DHS)のプライバシー最高責任者(Chief Privacy
Officer)Hugo Teufel3世によるプライバシー影響評価(PIA:Privacy Impact
Assessment)結果によると、同局の諜報統合センター(Intelligence Fusion
Centers)には重大なプライバシー上の懸念があるという。同センターは9.11委
員会2007年法の実装推奨策に準拠して設立された。同法では、PIAの実施が義
務付けられている。その結果、権限ルールと監視の境界が曖昧であること、軍
と民間が参画していること、監視の対象がいつの間にか拡大するミッション・
クリープ問題があることなど、いくつかの懸念が指摘された。
http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_ia_slrfci.pdf
http://www.fcw.com/online/news/154752-1.html?type=pf
http://www.nextgov.com/nextgov/ng_20081229_7913.php
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
      【ついに実現!】
      日本人SANSインストラクターによる
      SEC401:SANS Seucrity Essentials Bootcamp Style

  2009年2月19日(木)より10週にわたって開講!!
   毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム

  !! 講義とオンライン学習を通じて、効率的にスキルアップ!!
            ↓↓↓詳しくはこちら↓↓↓
     http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年12月19日 Vol.7 No.51)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          5 (#2)
Linux                      1
Solaris                     2
クロスプラットフォーム             16 (#1)
Webアプリ-クロスサイトスクリプティング     5
Web アプリ- SQLインジェクション        23
Webアプリ                   27
ネットワークデバイス              3
======================================================================

静かな一週間だった。2009年が全ての読者にとって安全で実り多い一年であり
ますように。
────────────────

1.危険度【重大】:Fujitsu-Siemens WebTransactionsに任意のコマンド実行の
  脆弱性

<影響のある製品>
Fujitsu-Siemens WebTransactions 7.1までのバージョン

<詳細>
Fujitsu-Siemens openSEASスイートの一部であるFujitsu-Siemens
WebTransactionsは、レガシーやWebで使用不可のソフトウェアにアクセスを
Web経由で提供するミドルウェアアプリケーションとして広範に使用されてい
る。しかし、特定の状況においてはユーザーの入力を正しくサニタイズできな
いため、任意のコマンド実行の脆弱性につながってしまう。悪用が実現すると、
脆弱なプロセスの権限で任意のコマンドを実行できるようになってしまう。こ
の脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのセキュリティアドバイザリ
http://bs2www.fujitsu-siemens.de/update/securitypatch.htm#english
SEC Consultのセキュリティアドバイザリ
http://www.sec-consult.com/files/20081219-0_fujitsu-siemens_webta_cmdexec.txt
製品のホームページ
http://www.fujitsu-siemens.de/products/software/openseas/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/32927
────────────────

2.危険度【高】:Trend Micro House Call ActiveXコントロールのリモートで
  コードが実行される脆弱性

<影響のある製品>
Trend Micro House Call ActiveXコントロール6.6.1285より以前のバージョン

<詳細>
Trend Micro House Callは、オンラインベースのマルウェア・スキャン・サー
ビスとして広範に使用されている。機能の一部は、Active Xコントロールによっ
て提供されている。このコントロールにはメモリ崩壊脆弱性がある。細工され
たWebページがこのコントロールをインスタンス化すると脆弱性が引き起こさ
れ、現在のユーザー権限で任意のコードを実行できるようになってしまう。こ
の脆弱性の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能を介して問題のコントロールを無効にすれば影響を軽減できる
が、通常の機能に影響が出るおそれもあるので注意。

<参考>
Secuniaの研究アドバイザリ
http://secunia.com/secunia_research/2008-34/
ベンダーのホットフィックス
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1038646&id=EN-1038646
製品のホームページ
http://housecall.trendmicro.com/
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/32950

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。