NRI Secure SANS NewsBites 日本版

Vol.4 No.13 2009年3月31日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.13 2009年3月31日発行
**********************************************************************

■はじめに

重要なアプリケーションの設計、構築、施行にアウトソーシングを利用してい
る組織のためのプロジェクトが立ち上がった。
Depository Trust and Clearing CorporationのCISO、Jim Routh(アプリケー
ションセキュリティの導入における最高峰CISOの1人でもある)は、大規模なチ
ームを立ち上げ、サプライチェーンの復元力を向上するという。特にアウトソ
ーシングでのソフトウェア開発・サービス調達に焦点があてられる。ご使用の
パブリックドメイン、プラクティス、コントロールのうち、リスクを多少なり
とも軽減できるものについて、詳細情報を募っている。

非常にたくさんの人(ここ数週間で600人以上)が、オンラインコースにサイン
アップしている。好きなときに好きな場所(自宅や職場など)で参加できる。私
が驚いたのは、これらのコースはトレーニングカンファレンスで行われている
SANSのコースと同じくらい高い評価(場合によっては、それよりも高い評価も)
を得ていること。数週間内で数回に分けて受講できるというのもたいへん効率
がよい。出張費が削減されている中、セキュリティ関連従事者でスキルアップ
を要する方は、コーススケジュールを是非ご覧いただきたい。

都合のよいときに、スライドやコースブックを参照しながらSANSインストラク
ターの音声とともに学べるコース:
http://www.sans.org/ondemand/
通学不要でSANSインストラクターの遠隔ライブによって学ぶコース:
http://www.sans.org/athome/
ご希望の場所にSANSインストラクター派遣:
http://www.sans.org/onsite/

Alan Paller(SANS Director of Research)
────────────────

■■SANS NewsBites Vol.11 No.22-23
   (原版:2008年3月21日、3月25日配信)

◆EPIC 連邦取引委員会にGoogleのクラウドコンピューティングサービスのセ
  キュリティ調査を求める(2009.3.18)

電子プライバシー情報センター(EPIC:Electronic Privacy Information
Center)は、米国連邦取引委員会(FTC)に対し、G-mailなどGoogleのクラウドコ
ンピューティングサービスがユーザーのプライバシー保護対策を十分にとって
いるか調査するよう求めた。Google Docsにあった欠陥が原因で、数週間前に
未承認ユーザーが他者の文書にアクセスした経緯がある。この問題は今では修
正されているとのこと。EPICは目下、Googleに対し、セキュリティプラクティ
スをより透明性のあるものにするよう義務付ける手段を模索中。
http://www.eweek.com/c/a/Security/Privacy-Group-Seeks-FTC-Scrutiny-of-Google-Apps-818596/
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9129916&source=rss_topic17
http://epic.org/privacy/cloudcomputing/google/ftc031709.pdf

【編集者メモ】(Liston)
全く理解できない。オンラインの保管ソリューションはちまたに何百とあり、
その全てに多大な懸念があるのが現状だ。FTCは、その全てを調査すべきでは
ないだろうか? それとも、そのサービスを使用している企業や消費者の判断
に委ねるべきなのだろうか? この問題の答えは単純明快だ。「Googleのセキ
ュリティプラクティスがあなたにとってわかりやすいものでなければ、そこに
データを保存してはいけない」
────────────────

◆Visa Heartlandの侵害事件で生じた詐欺を銀行が報告する期日を設ける
  (2009.3.16)

Visaは、Heartland Payment Systemsのデータセキュリティで生じた詐欺事案
について、銀行が報告をあげなければならない期日を2009年5月19日に設定し
た。先週、VisaはHeartland、RBS WorldPay(RBS WorldPayは最近、大規模なセ
キュリティ侵害があったことを認めた)については、すでにPCI DSSを満たした
サービスプロバイダのリストから外されていると発表した。Heartlandは、現
在観察下に置かれている。また、HeartlandとRBS WorldPayは、再認可獲得に
向けて取り組んでいるところだという。Heartlandが、直近でPCI DSS基準を満
たしているとみなされたのは2008年4月のことである。一方、RBS WorldPayに
ついては2008年6月がそれにあたる。
http://www.bankinfosecurity.com/articles.php?art_id=1277

【編集者メモ1】(Schultz)
PCI DSS認定における一番の問題として、銀行や加盟店が認定取得に邁進して
しまうあまり、認定後はセキュリティレベルの維持にほとんど取り組んでいな
いことがあげられる。
【編集者メモ2】(Ranum)
一方で、身元詐称詐欺やクレジットカード詐欺などの被害に遭った被害者は、
「我々は間違いを犯したが、事後処理を行うのはあなたである。ではよい一日
を」というレターを受け取る現状が続いている。銀行や決済企業がお互いを訴
追し、責任を問い詰めているこの状況は茶番である。企業は商取引を行ってい
るのだから、間違いを犯したら、生じた費用は自身が被るべきである。
被害者(生身の人間)をないがしろにしてはならない。
【編集者メモ3】(Honan)
「一連の侵害事件で、PCI DSSがいかに非効率か実証された」という議論があ
ちこちで展開されている。しかし、PCI DSS導入以前は、企業の多くはクレジッ
トカード情報を守ることなど少しも考えていなかったことを忘れないでほしい。
PCI DSSは、企業に対し、達成すべき最低限のベンチマークを設けた。しかし、
あくまで最低限のベースラインであり、それ自体を目標にしてはならないとい
うことをしっかり肝に銘じておこう。「基準を満たしているからといって安全
とは言えない」ことを覚えておいてほしい。
────────────────

◆陪審に調査目的でのインターネットアクセスを認める(2009.3.18)

Blackberry、iPhone、その他のデバイスを介する接続性が高まり、全米の法廷
で問題を引き起こしている。フロリダ州の連邦政府による治験裁判担当判事は、
9人の陪審が担当事件についての情報を調査する目的でインターネット検索し
ていたことを認めたため、判決を無効とせざるをえなかった。アーカンソー州
の企業は、陪審の1人が裁判中に審理の最新情報をTwitterで発信していたこと
を理由に、自社に1億2600万ドルの賠償金が科された判決の取り下げを求めて
いる。そのほか、元ペンシルバニア州議員汚職裁判の弁護団も、陪審の1人が
FacebookとTwitterに裁判内容をアップしていたことを理由に判決の無効化を
求めていたが、認められず、有罪判決は覆らなかった。抗弁の中で、ネットに
アップされた内容が議論の中心になっている。陪審は、より多くの情報を集め
れば、陪審としての責務を果たすうえで役にたつと考えているが、一方でその
行為は、「陪審の取得情報は監視され、原告被告双方の主張に則ったものでな
ければならない」という証拠規則(Rules of Evidence)に違反していることに
なる。ネット検索を行ってしまうと、法廷で提示されなかった証拠も目にする
ことになるからだ。
http://www.nytimes.com/2009/03/18/us/18juries.html?_r=2&hp=&pagewanted=print

【編集者メモ】(Schultz)
モバイルのコンピュータデバイスによって、リモートで悪用可能な脆弱性の件
数と同じくらい多くのあらゆる方法で、パンドラの箱が開かれてしまった。こ
こでも明らかになったように、情報へのアクセスについて制限を取り払えるよ
うになったため、多くの人間があらゆる方法でモバイルデバイスを使用するよ
うになってしまった。
【編集者メモ】(Liston)
IT専門家は、「ユーザー教育」をギャグのオチみたいなものと考えていること
が多い。ユーザー教育は、たとえばねずみがダンスしているスクリーンセーバー
をコンピュータにインストールして楽しむのと、それによって「企業」ネット
ワークによくない現象が不特定多数発生する可能性のどちらかを選ぶようユー
ザーに選択させるなど、あまり意味のない動機を与えて行動パターンを変えよ
うとしてもうまくいかない。このニュースの場合、陪審が調査を行う動機は、
明らかに審理の目的に沿っているものだ(彼らが担当事案のことを調べるのは、
法廷での責務をしっかり果たしたいと思っているからだろう)。このような場
合には、ユーザー教育が確実に功を奏する。
────────────────

◆Smart Gridへの資金投下で米国の世帯や企業が大規模な停電発生の可能性!?
  (2009.3.21)

Smart Gridという米国のハイテク・デジタルベースの電気配給・送電システム
に、最近の景気対策法案で48億円が割り当てられる予定だという。テストを行っ
たところ、システムへのハッカーの侵入も可能であることが判明したため、大
停電が引き起こされる可能性もあると専門家が指摘するようになった。ニュー
ヨーク州の公益事業委員会のGarry Brown委員長は、Smart Gridの導入で得ら
れる利益はそのリスクをはるかに凌ぐが、「Smart Gridにやみくもに飛びつく
前に、事業そのもの、すなわちサイバーセキュリティの確立に取り組まなけれ
ばならない」と述べている。
http://m.cnn.com/cnn/archive/archive/detail/269000/full

【編集者メモ1】(Paller)
CNNのストーリーでは、重大な脆弱性の存在が暗示されている。悪用されたと
いう記事はこちら。
http://www.pcworld.com/businesscenter/article/161727/power_grid_is_found_susceptible_to_cyberattack.html
しかし、この記事のライターであるBob McMillanは、NewsBitesに対し、
「Travisは、私がこのストーリーを公表した後、"ワームコードが悪用されてい
る"という自らのコメントを、誤解であるとして撤回した」と告げてきた。
このようなコメント撤回があったとしても、次のことが言える。
(1)この脆弱性は本物で、脆弱性の影響範囲は広大である
(2) 送電メーカーは、欠陥も修正せずに数10億円の売上をせしめようとしてい
   る
(3) Garry Brownのような人間が米政府の強力な支援を得てリーダーシップを
   迅速に発揮できる状況にならなければ、ベンダーによって数100万世帯が
   これらの脆弱性にさらされる
────────────────

◆サイバーセキュリティの役職をホワイトハウスに求める法案(2009.3.20)

上院商業委員会委員長のJohn D.(Jay)Rockefeller IV(ウェストバージニア州
民主党)とOlympia Snowe上院議員(メイン州共和党)は、米国サイバーセキュリ
ティの向上を図る法案を草案中である。この法案では、全米サイバーセキュリ
ティアドバイザー事務局(Office of the National Cybersecurity Adoviser)
が大統領府の一部に組み込まれていることが、最も重要なポイントとなってい
る。同局には、重大なシステムにアタックが仕掛けられる脅威が差し迫ってい
ると考えられる場合、インターネットから遮断する権限が付与される。また、
米国のサイバーセキュリティプログラムを4年ごとに再検討し、そのレビュー
を監督する責務もある。
http://www.nextgov.com/nextgov/ng_20090320_3129.php
http://news.cnet.com/8301-13578_3-10200710-38.html

【編集者メモ1】(Pescatore)
「脅威がある場合は接続を外す」というフレーズをいちいち付加する必要はな
い。強盗のおそれがあれば銀行はドアを閉めるし、危険な法律制定に走ってし
まいそうな場合は議会も閉鎖される。後者は、まあ、たいしたことのない事例
かもしれないが…。この場合、政府そのものでなく、ATTのEd Amorosoが掲げ
た課題(政府がその調達力を盾に、製品やサービスのセキュリティレベルを向
上させることに邁進すること)に焦点を当てるべきだ。
【編集者メモ2】(Ranum)
接続を外す義務を課すことができる権限や、政府局に接続を外す準備をさせる
権限を付与するのはよい考えだ。しかし、我々がエストニア様式の拡張攻撃の
的になったらどうなってしまうのか、という疑問がわいてくる。少なくとも、
大規模な侵入が起きたときにどのワイヤを切るべきか、準備しておくべきだ。
大規模な侵入を受けたものの、システムにあまりにも多くのバックドアがあっ
たため、侵入物を一掃するのに十分なほど長くボットネット用のコマンドやコ
ントロールを停止することができないと判明したケースをたくさん知っている。
────────────────

◆Diebold 投票マシンの監査ログに欠陥があったことを認める(2009.3.22-23)

先週、カリフォルニア州で行われた公聴会で、Premier Election Solutions(
元Diebold)は、投票マシンのソフトウェア欠陥によって票が失われるほか、そ
の損失のログをとれないおそれもあることを認めた。選挙の監査の中で、ログ
は必要不可欠なものだ。この欠陥は、同社製の集計ソフトウェアの全バージョ
ンに存在しているという。
http://www.pcworld.com/businesscenter/article/161718/diebold_admits_voting_machine_flaw.html
http://fcw.com/Articles/2009/03/23/Web-Diebold-admits-voting-system-flaws.aspx


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年3月21日 Vol.8 No.12)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          9
Linux                      2
Solaris                     4
クロスプラットフォーム             19 (#1, #2)
Webアプリ- クロスサイトスクリプティング    12
Webアプリ- SQLインジェクション         10
Webアプリ                   12
ネットワークデバイス              1
======================================================================

今週の大きな問題は、Adobe Readerにある重大な、リモートで悪用可能な脆弱
性だ。プログラミングのエラーから膨大な数の犠牲者が出ており、自動パッチ
もないという現状。主要企業と取引を続けたいベンダーは、今こそ積極的にパッ
チを適用する責任を持つようにするときだ。つまり、Adobeは今すぐ対策を講
じるべきである。
────────────────

1.危険度【重大】:Adobe Acrobat ReaderのJavaScriptメソッドにバッファオー
  バーフローの脆弱性(APSB09-04)

<影響のある製品>
Adobe Reader 9.1より以前のバージョン
Adobe Reader 8.1.3より以前のバージョン
Adobe Reader 7.1.1より以前のバージョン
Adobe Acrobat Standard 9.1より以前のバージョン
Adobe Acrobat Pro 9.1より以前のバージョン
Adobe Acrobat Pro Extended 9.1より以前のバージョン
Adobe Acrobat 8.1.3より以前のバージョン
Adobe Acroba 7.1.1より以前のバージョン

<詳細>
Adobe Acrobatは、PDFを作成・管理・閲覧するプログラムであり、Adobe
ReaderはPDFの閲覧のみに使用できるソフトウェアだ。しかし、Adobe Acrobat
とReaderの両方に、バッファオーバーフローの脆弱性がある。悪意のある
JavaScriptを含むようにPDF文書が細工され、そのJavaScriptが処理されると
き生じるものだという。Javascriptの"getIcon()"メソッドへの引数としてユー
ザーが提供するデータに十分なチェックが行われないため、このバッファオー
バーフローに至ってしまう。すると、ログオンしたユーザー権限で任意のコー
ドを実行できる状態になる。PDF文書は、ユーザーの同意なしに脆弱なアプリ
ケーションによって自動的に開かれるので注意が必要だ。ただし、ユーザーが
悪意のあるPDFをホスティングしているWebサイトを訪問するか、もしくは悪意
のあるPDFの添付ファイルの付いたメールを開かなければ、悪用されない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Adobeのセキュリティアドバイザリ(APSB09-04)
http://www.adobe.com/support/security/bulletins/apsb09-04.html
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-09-014/
SecurityFocus BID
http://www.securityfocus.com/bid/34169
────────────────

2.危険度【重大】:Autonomy KeyView SDKの"wp6sr.dll"にバッファオーバーフ
  ローの脆弱性

<影響のある製品>
Autonomy KeyView SDK 10.x
SMTP 5.x版Symantec Mail Security
Microsoft Exchange 5.xと6.x版Symantec Mail Security
Symantec Mail Security Appliance 5.x
Domino 7.x版Symantec Mail Security
Symantec Enforce 8.0と7.0
Symantec Data Loss Prevention Endpoint Agents 8.x
Symantec Data Loss Prevention Detection Servers 8.x
IBM Lotus Notes 5.x
IBM Lotus Notes 6.x
IBM Lotus Notes 7.0.x
IBM Lotus Notes 8.0.x

<詳細>
Autonomy KeyView Software Developer's Kit(SDK)は、多数のファイル形式解
析ライブラリを提供するもので、Lotus NotesやSymantecなどのベンダーに広
く使用されている。これは、Word Perfect Document(WPD)形式のファイルなど、
さまざまな文書形式を自動的に解析・表示するのに用いられる。しかし、十分
なチェックを行わないまま、特定の記録の処理中にユーザーが提供するデータ
をコピーしてしまう。そのため、WPDファイルの処理に使用される"wp6sr.dll"
のAutonomy KeyView SDKにバッファオーバーフローの脆弱性が生じる。Word
Perfect文書が細工され、Autonomy keyView SDKの脆弱なバージョンを使用し
ているアプリケーションに処理されると、バッファオーバーフローが引き起こ
され、任意のコードが実行される状態になる。製品の中には、悪意のあるファ
イルが添付されたメールをユーザーが閲覧すると、アタックを受けるもの(何
らかのユーザー操作が必要なもの)もある。ベンダーの中には、Symantecのコ
ンテンツフィルタを無効にしたり、Lotus Notesで"wp6sr.dll"用の
keyview.iniの特定のラインをコメント化してWPD処理を無効にする、などの回
避策を提供している。この脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ:Autonomy KeyViewのWordPerfectファイ
ルの解析にあるバッファオーバーフローの脆弱性について
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=774
Symantecのセキュリティアドバイザリ(SYM09-004)
http://www.symantec.com/avcenter/security/Content/2009.03.17a.html
WordPerfect用のLotus Notesファイルビューアにあるセキュリティ問題につい

http://www-01.ibm.com/support/docview.wss?rs=463&uid=swg21377573
Autonomy Keyviewのアップデート
https://customers.autonomy.com/support/login.jsp?notLoggedIn=true&origURL=%2Fsecure%2Fdocs%2FUpdates%2FKeyview%2FFilter+SDK%2F10.4%2Fkv_update_nti40_10.4.zip.readme.html
製品のホームページ
http://www.autonomy.com/content/Products/idol-modules-connectors/index.en.html
SecurityFocus BID
http://www.securityfocus.com/bid/34086

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。