NRI Secure SANS NewsBites 日本版

Vol.4 No.15 2009年4月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.15 2009年4月14日発行
**********************************************************************

■はじめに(イベント情報):
ペネトレーションテストに関する、素晴らしく実践的な情報(技術的なハウツー
からベンダーの考え方、ソーシャルエンジニアリング、教訓まで多岐にわたる)
を一挙に取得可能な場所は、SANSペネトレーションテストおよびWebアプリケー
ションアタックサミット(6月1~2日)しかない。(E.ON.USKeith Fowler談)
http://www.sans.org/pentesting09_summit/
────────────────

■■SANS NewsBites Vol.11 No.26-27
   (原版:2008年4月4日、4月8日配信)

◆上院議会の新法案でセキュリティ基準と認定を必須化(2009.4.1)

上院議員John D.Rockfeller IVとOlympia Snoweが起案した新法案では、新し
いサイバーセキュリティの第一人者として、National Cybersecurity Advisor
をホワイトハウスの直属下に置くとなっている。同法案では、National
Cybersecurity Advisorにアタックが仕掛けられた際には、重要ネットワーク
インフラ(民間セクターのものも含める)の一部として機能しているコンピュー
タネットワークを隔離する権限が与えられている。また、国立標準技術研究所
(NIST)が作成したセキュリティ基準を必須化し、それを重要ネットワークイ
ンフラをコントロールしている官民両セクターの組織に適用するという。その
ほか、サイバーセキュリティのプロのために、ライセンス付与や認定プログラ
ムの導入も視野に入れられている。
http://www.washingtonpost.com/wp-dyn/content/article/2009/03/31/AR2009033103684.html
http://fcw.com/Articles/2009/04/01/Web-cybersecurity-bill.aspx
http://www.vnunet.com/vnunet/news/2239646/plans-national-cybersecurity
http://lastwatchdog.com/senate-bill-mandates-strong-federal-role-internet/

【編集者メモ1】(Schultz)
いやがおうでも、米国には必須セキュリティ基準が必要不可欠になる。必須の
基準がなければ、重大なコンピューティングインフラの結合部分に脆弱な個所
が数多く残されたまま放置されてしまうだろう。
【編集者メモ2】(Northcutt)
とても野心的な法案である、ということを理解したうえで、どの部分を支持す
べきか判断しなくてはならない。どの部分をさらに深く議論すべきか見極める
のも大事だ。またこれは、セキュリティ関連業務従事者をプロ待遇へ持ってい
くための最初の一歩にもなるだろう。
────────────────

◆EU 欧州のサイバースペースの保護戦略を要請(2009.3.31)

欧州委員会(EC)は、サイバーアタックや自然災害で、欧州の重要なネットワー
クに障害が生じないよう防御策を講じる戦略の策定を要請している。電子商取
引のほか、交通、食糧、エネルギー、水の供給など重要インフラサービスの管
理にITや通信システムの継続的な作動が必要不可欠であり、欧州全体がますま
す依存するようになっていることをECは懸念している。この戦略では、エスト
ニアに対するサイバーアタックのことが言及されており、全加盟国の官民両セ
クターが欧州全体のセキュリティを確立するためにも、各国の備えに最低限の
基準を設けることが求められている。
http://www.theregister.co.uk/2009/03/31/eu_cyberattack_strategy/
http://www.vnunet.com/vnunet/news/2239455/eu-pledges-protect-cyber
────────────────

◆議会 決済カードデータセキュリティ基準の有効性を調査(2009.4.31)

Heartland Payment Systemsの侵害事件に見られるようなクレジットカード情
報の侵害につながる事件が発生していることを受け、米下院議会・国土安全保
障委員会は、PCI DSSの有効性を問題視するに至った。PCI SSCのRobert Russo
委員長は、「PCI DSSに準拠することが最高の防御策であると確信している。
侵害発生時、完全に準拠できていた組織は今のところ皆無だ」と述べている。
小売業代表者らは、PCI DSSは侵害の発生を食い止めるのではなく、クレジッ
トカード情報のセキュリティ侵害が発生した際、その責任をクレジットカード
会社から小売業者に移行するものではないかとの懸念をあらわにしている。導
入費用が高いことにも不満なようだ。この議論に対し下院議員Ben RayLujan
(ニューメキシコ州民主党)は、火事発生後に火災報知器が適切に働いていな
かったと消防隊が述べる事例を引き合いに出し、「今日のシステムは、どの側
面から見てもうまく機能していないことに皆同意できるはず」と述べた。
http://news.cnet.com/8301-13578_3-10208827-38.html?part=rss&subj=news&tag=2547-1_3-0-20
http://www.forbes.com/2009/03/31/visa-mastercard-security-technology-security-visa.html
────────────────

◆Hannaford侵害事件の責任訴訟が裁判に? 法廷の判断に委ねられる
  (2009.4.2-6)

連邦判事は、Hannaford Bros.社が2007年末から2008年初期にかけてのセキュ
リティ侵害で生じた損害の責任を問われるかどうかにつき、裁定を下す。この
事件では、デビットカードやクレジットカード400万件以上の情報をアタッカー
に盗み出されてしまった。Hannaford側弁護団は棄却を求めているが、原告側
弁護団は集団訴訟としての認定を求めている。原告側弁護団は、Hannafordは
この3月に事件発生を公表する少なくとも3週間前に、発生の事実を知っていた
と主張している。Hannaford側主席弁護士は、原告の中に実際に損害を被った
者がいないことに言及している。自分のカードが不正に利用された人は、カー
ド発行元銀行から払い戻しを受けており、顧客が侵害されたカードのキャンセ
ルや新カードの発行に費やした時間を考慮しても、訴訟を提起するメリットが
ないとのことだ。
http://pressherald.mainetoday.com/story.php?id=248452
────────────────

◆仏議会 スリーストライクアウトの著作権侵害対策法を可決(2009.4.3)

フランス議会は、全会無記名投票で三振アウトの著作権侵害対策法を可決した。
現在、議会で検討されている内容は次の通り。デジタルコンテンツを不正にダ
ウンロードして著作権を侵害していると考えられるユーザーは、まず警告メー
ルを受け取る。それでも不正にファイルのダウンロードを続けた場合、書面に
よる通知が届く。さらに3度目の不正行為を働いた場合は、最低2ヶ月、最高1
年間、インターネット接続を外されることになる。上院議会は、すでに同様の
著作権侵害対策法案を可決しており、同法案の最終稿が今週中にも打ち出され
る見込み。
http://euobserver.com/9/27910

【編集者メモ】(Schultz)
フランス万歳!
────────────────

◆スウェーデンの著作権侵害対策法でインターネット通信が減少(2009.4.3-6)

4月1日に有効となった知的財産権の行使に関する指令(Intellectual
Property Rights Enforcement Directive(IPRED))によると、スウェーデン
の著作権侵害対策法によって同国のWeb通信は大幅に減少したと考えられてい
る。30~40%の減少と推測される。新法では、インターネットサービスプロバ
イダ(ISP)に対し、不正なファイルのダウンロードに使用されたIPアドレス
に関連のある顧客氏名を報告することが義務付けられている。
http://www.nzherald.co.nz/connect/news/article.cfm?c_id=1501833&objectid=10565443
http://www.scmagazineuk.com/File-sharing-levels-plummet-after-anti-piracy-law-is-passed-in-Sweden/article/130151/
http://blog.wired.com/business/2009/04/law-forces-swed.html
────────────────

◆英国のISP インターネット通信データの保持を求められる(2009.4.6)

英国の2009年度データ維持(EC指令)規制が、2009年4月6日(月)に有効となっ
た。同法では、インターネットサービスプロバイダ(ISP)に対し、12か月間
インターネット通信のデータを保持することを義務付けている。保持の対象に
なる情報には、ユーザーが訪問したWebサイト、送信者、受信者、メールの送
信時刻、インターネット電話の送受信者などもある。同規制で電気通信企業は、
発信者の場所など固定電話と携帯電話両方の用途に関する情報も保持しなけれ
ばならなくなる。2007年度データ保持(EC指令)規制が新法に置き換わること
になるという。警察当局は、令状があれば保管情報へのアクセス権を得られる
ことになる。
http://news.zdnet.co.uk/communications/0,1000000085,39637592,00.htm
http://news.bbc.co.uk/2/hi/technology/7985339.stm
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年4月3日 Vol.8 No.14)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     2
サードパーティのWindowsアプリ          5 (#2)
Linux                      1
Solaris                     2
Novell                      1
クロスプラットフォーム             25 (#1)
Webアプリ- クロスサイトスクリプティング     9
Webアプリ- SQLインジェクション         17
Webアプリ                   10
ネットワークデバイス              9
======================================================================

今週は重大な脆弱性はなかった。ほっと一息つけるタイミングだ。全員、シス
テムからConfickerを取り除けたか、しっかり確認するのにもってこいの一週
間でもある。
────────────────

1.危険度【高】:Mozilla Firefoxの"_moveToEdgeShift"にリモートでコードが
  実行される脆弱性

<影響のある製品>
Mozilla Firefox 3.0.7までのバージョン

<詳細>
Mozilla Firefoxは、MozillaアプリケーションスイートのWebブラウザで、広
範に使用されている。2009年3月の段階で、Mozilla使用ユーザーは全Webブラ
ウザ使用者の22.5%となっている。しかし、FirefoxにはXUL treeメソッドで
"_moveToEdgeShift()"を処理する方法に欠陥がある。このメソッドの呼び出し
があると、まだ使用しているオブジェクトのガベージコレクションルーチンが
引き起こされるため、ダングリングポインタの呼び出しにつながる。これによっ
て、このアプリケーションを運用しているユーザーのもとでブラウザがクラッ
シュするか、任意のコードを実行される可能性がある。悪用にユーザーの操作
は必要ないが、悪意のあるWebページに訪問するようユーザーを誘い込まなけ
ればならない。この脆弱性の技術的詳細が概念実証コードとともに公表されて
いる。ベンダーはすでにこの欠陥を修正し、Firefox 3.0.8に更新している。

<詳細>
ベンダーはこの問題を認めており、更新もリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-09-015/
Mozilla Foundationのセキュリティアドバイザリ 2009-13
http://www.mozilla.org/security/announce/2009/mfsa2009-13.html
ベンダーのホームページ
http://www.mozilla.com/en-US/
SecurityFocus BID
http://www.securityfocus.com/bid/34181/
────────────────

2.危険度:【高】SAP AG SAPgui WebViewer3DのActive Xコントロールのバッ
  ファオーバーフローの脆弱性

<影響のある製品>
SAP AG SAPgui 7.10 Patch Level 8、およびそれ以前のバージョンも脆弱な可
能性あり

<詳細>
SAP AGは、ヨーロッパ最大かつ世界第4位のソフトウェア企業である。SAP GUI
は、SAP R/3の3段階設計のGUIクライアントである。SAP GUIは、EAI
WebViewer 3D Active Xコントロールであり、これは、"webviewer3d.dll"によっ
て提供されるものだ。このActive Xコントロールは、Siemens Unigraphics
Solutionsが製作したものだが、現在使用されているのは、SAP上でのみと言わ
れている。そして、このコントロールの"SaveViewToSessionFile()"メソッド
には、スタックベースのバッファオーバーフローの脆弱性がある。悪用にいた
ると、ログオンしたユーザー権限で任意のコードを実行される可能性がある。
ベンダーが、SAP GUI 7、10、およびパッチレベル9に提供しているパッチを使
えば、脆弱なコントロールにkillbitを設定できる。

<現状>
ベンダーはこの問題を認識しており、更新もリリースしている。

<参考>
US-CERTの脆弱性ノートVU#985449
http://www.kb.cert.org/vuls/id/985449
SAGGUI 7.10パッチレベル9へのアップデート
https://service.sap.com/sap/support/notes/1153794
SAP AGとSAP GUIについてのWikipediaの説明
http://en.wikipedia.org/wiki/SAP_AG
http://en.wikipedia.org/wiki/SAPgui
SecurityFocus BID
http://www.securityfocus.com/bid/34310/

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。