NRI Secure SANS NewsBites 日本版

Vol.4 No.18 2009年5月7日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.18 2009年5月7日発行
**********************************************************************

■はじめに

ニューヨークタイムズに、Sanger、Markoff、Shankerによる素晴らしい記事が
掲載された。この内容には、ワシントンの多くの人間が驚いた。
http://www.nytimes.com/2009/04/28/us/28cyber.html?hp
               
                Alan Paller(SANS Director of Research)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Future Visions 2009 Tokyo 併設トレーニング
           ★特別価格で申し込み受付中★
           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      http://www.entryweb.jp/sans/training/index.html
    ---------------------------------------------------------
■Meeting the Minimum: PCI/DSS 1.2: Becoming and Staying Compliant■
  -PCI/DSSに準拠したセキュリティ実装とその手法-
     ◆2009年7月15日(水)~16日(木) 2日間
     ◇http://www.entryweb.jp/sans/training/aud521.html

■SANS Security Essentials■
  -Defense In-Depth(多層防御)-
  -Internet Security Technology(インターネットセキュリティ技術)-
     ◆2009年7月16日(木)~17日(金) 2日間
     ◇http://www.entryweb.jp/sans/training/sec401.html

■Cutting-Edge Hacking Techniques■
  -最新ハッキングテクニック-
     ◆2009年7月17日(金) 1日コース
     ◇http://www.entryweb.jp/sans/training/sec517.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.32-33
   (原版:2008年4月25日、4月29日配信)

◆米国防総省 サイバー戦争部隊を一元管理(2009.4.22-23)

米国防長官Robert Gatesは、サイバー戦争のためのSTRATCOMにおける副統合部
隊(Sub-unified Command)の設立を考えていると述べた。現在、米軍のサイ
バーセキュリティおよび国防活動は一元管理されておらず、複数の異なる組織
によって管理が行われている。サイバー戦争部隊(Cyber Warfare Command)
が一元管理されるようになると、軍が重複して国防活動を行うのを回避できる
ようになる。
http://www.nytimes.com/2009/04/23/us/politics/23security.html?ref=global-home
http://online.wsj.com/article/SB124035738674441033.html
http://www.informationweek.com/news/government/technology/showArticle.jhtml?articleID=217000202

【編集者メモ】(Paller)
Hathawayの報告書がホワイトハウスから公表されれば、その後すぐに、この件
で動きがあるだろう。それを示す証拠が十二分にある。これは司法省が、サイ
バー分野の脅威がいかに深刻であるか、また、自信を持って技術的に対応する
とはどのようなことか理解していることを示す重要な動向である。次に大きな
疑問となるのは、議会やホワイトハウスが、米国の重要インフラや民間組織が
直面している同程度の重大な脅威に対して、同じ効力を与えるべく行動するか
どうかである。
────────────────

◆Hathaway サイバーセキュリティ・レビューの概要を表明(2009.4.23)

RSAカンファレンスで、米国家セキュリティ評議会(US National Security
Council)のMelissa Hathawayは、最近完成した政府によるサイバーセキュリ
ティへの準備度についての60日間レビューの概要を共有した。Hathawayは、政
府のコンピュータネットワークに安全対策を施すのはたいへん広範囲に及び、
単一の政府局がそれをこなすのは難しいため、ホワイトハウスがサイバーセキュ
リティをとりまとめる役割を担うべきであるという意見を強く推進している。
また、官民両セクターは、協力して米国のセキュリティインフラを保護する必
要があるが、その取組みのリーダーシップは、政府の基本的な責務とすべきで
あるとも述べている。報告書の内容は、オバマ大統領と政権閣僚らが目を通し
た後、公表される見込み。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9132000&source=rss_topic17
http://www.msnbc.msn.com/id/30367760/
http://news.smh.com.au/breaking-news-technology/us-cyberspace-head-says-security-needs-team-effort-20090423-ag15.html
http://news.bbc.co.uk/2/hi/technology/8011380.stm
────────────────

◆EU電気通信法案 三振アウト制導入への懸念で立ち往生(2009.4.20-22)

欧州議会の産業委員会は、インターネットサービスを断つ前に、管轄の法的権
限からの承認獲得を義務化していたEU電気通信法(European Union
Telecommunications Bill)の改正法案を承認した。これは、一部でかなり厳
しいと見なされているフランスの新しい三振アウト制の著作権侵害対策法の厳
格度を緩和するためにとられた動きである。EU電気通信法は、加盟国間におけ
るインターネットと携帯電話のネットワークを統一することを目的とした法案
である。
http://euobserver.com/19/27979
http://www.nytimes.com/2009/04/21/technology/internet/21net.html?ref=technology
http://arstechnica.com/tech-policy/news/2009/04/eu-parliament-raises-hurdles-with-three-strikes-rule.ars
────────────────

◆ボットネットと偽のSWAT緊急招集で10代の少年に懲役刑(2009.4.20-21)

マサチューセッツ州の少年が、ボットネットを使用して分散DoSアタックを仕
掛けたほか、偽の緊急呼出しをかけてSWATチームに不必要な出動をさせたとし
て、11か月の懲役刑に処せられることとなった。検察側によると、この少年は
企業のコンピュータシステムへの侵入と情報の盗取も行っていたという。同少
年は昨年後半に、コンピュータ詐欺、州をまたぐ脅威を発生させた罪、有線通
信不正行為の罪を認めている。
http://news.bostonherald.com/news/regional/view/2009_04_20_Teen_hacker_sentenced_to_11_months/srvc=home&position=recent
http://www.theregister.co.uk/2009/04/21/swatting_hacker_jailed/

【編集者メモ1】(Liston)
これと比較すると、頼んでいない家に勝手にピザをオーダーする行為などたい
したことではないように思える。いやいや、い、いくら私だって、若気の至り
を言い訳にして、そんなことしたことは、い、一度だってない。本当だ。
【編集者メモ2】(Schultz)
犯罪の重大性を考えると、懲役11か月という刑が重いとは感じられない。しか
し、18歳に満たない少年が、サイバー犯罪の罪で保護観察でなく懲役刑に処せ
られるという現実は、非常に重い。
【編集者メモ3】(Northcutt)
11か月の服役を終えた後、彼はどうなるのだろう? セキュリティ研究者となっ
て尊敬でもされるようになるのだろうか? きっとまたどこかで、彼の行く末
を耳にするに違いない。
────────────────

◆EU電気通信担当コミッショナー サイバーセキュリティの権威求む
  (2009.4.27)

欧州連合(EU)電気通信担当コミッショナーのViviane Redingは、EUで「サイバー
セキュリティといえばこの人」と言える人物がサイバーアタックから通信イン
フラを守るリーダー的役割を担うことを要請する旨、述べた。Redingは、EU加
盟27か国による通信ネットワークの安全性確立への取組み方は甘いとし、2007
年のエストニア政府や、金融機関およびその他の商用サイトに仕掛けられた攻
撃を、起こりうる事態の例としてあげた。ここで言及されているサイバーセキュ
リティの権威には、同様の攻撃が発生した際、即座に行動に踏み切る権限の付
与が含まれている。
http://www.techworld.com/security/news/index.cfm?newsID=115016&pagtype=all
http://ec.europa.eu/commission_barroso/reding/index_en.htm

【編集者メモ】(Schultz)
しかし、注意しなければならない。嘆かわしいことに、先を見越したコントロー
ルを必須化する権限については何も説明されていないのだ。つまり、Redingの
提案には重大な欠陥がある。
────────────────

◆英内務大臣談 政府が一元管理できる電子通信DBを持つ見込みなし
  (2009.4.27)

英国内務大臣Jacqui Smithは、政府は通信データを一元管理できるデータベー
スを作成しないと述べた。代わりに政府は、電気通信企業にWebサイトの訪問
記録など、インターネット通信や通話通信のログを保管するよう求める方針だ。
Smithによると、対象の企業らは誰が誰に電話をかけたか、いつ通信が発生し
たか、通信発生時に通信相手(と発信者)はどこにいたか、用いられた通信手段
は何か、などの記録を保管しなければならいという。会話の内容は保管対象で
はない。
http://www.msnbc.msn.com/id/30435251/
http://news.bbc.co.uk/2/hi/uk_news/politics/8020039.stm
────────────────

◆DVDをコピーできる製品についてRealNetworksへの販売許可の可否 判事に
  委ねられる(2009.4.24)

RealNetworksは、同社製のRealDVDという製品の問題でまた裁判所に戻ってき
た。この製品は、映画産業界でもっぱらデジタル・ミレニアム著作権法
(DCMA:Digital Millennium Copyright Act)に違反していると言われているも
のだ。同製品は、昨秋より一時的に販売禁止とされている。同製品を市場に戻
してよいかどうかは、Marilyn Hall Patel判事が判断することになっている。
争点となっているのは、合法的に購入した映画を他のデバイスにコピーできる
ようにする権利が、映画産業に属さない企業に付与され得るかどうかである。
これまでの6ヶ月間で、映画スタジオ側は購入者がコンピュータに映画をコピー
できるというプレミアムDVDの販売を始めているという。
http://blogs.wsj.com/digits/2009/04/24/realnetworks-and-hollywood-spar-over-dvd-ripping/
http://www.msnbc.msn.com/id/30386423/

【編集者メモ】(Liston)
DMCA関連の問題のほとんどにおいて、両者が自分の権利の方が相手の権利より
も優位にあると考えていることに難がある。このような問題に簡単な解決策は
ない。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
          SANS Future Visions 2009 Tokyo
      ~情報セキュリティパラダイムの次なる変革に向けて~
       2009年7月16日(木)~17日(金)@ホテル日航東京
             主催:SANS Institute
          http://www.entryweb.jp/sans/fv09/
    無料セッションの登録開始を案内する先行メール登録を開始!!

      ★併設トレーニングは特別価格で申し込み受付中★
       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       http://www.entryweb.jp/sans/training/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年4月28日 Vol.8 No.17)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              4 (#3)
サードパーティのWindowsアプリ          7 (#2)
Linux                     11 (#4)
Solaris                     1
Aix                       1
Unix                      2
Novell                     1
クロスプラットフォーム             22 (#1)
Webアプリ - クロスサイトスクリプティング    11
Webアプリ - SQLインジェクション        20
Webアプリ                   38
ネットワークデバイス              5
======================================================================

今週は、Firefox、Thunderbird、BlackBerryが重大なセキュリティ問題を発表
している。最初の2つには、メモリ崩壊、クロスサイトスクリプティング、ク
ロスサイトリクエストフォージェリ、スクリプトインジェクション、Same
Origin Policyの回避、情報開示、URLスプーフィングに関連のある脆弱性があ
る。Blackberryの問題は、PDF添付ファイルの処理にある。

Alan
────────────────

1.危険度【重大】:Mozillaの複数の製品にさまざまな脆弱性

<影響のある製品>
Mozilla Firefox 3.0.9 までのバージョン
Mozilla SeaMonkey 1.1.17までのバージョン
Thunderbird 2.0.0.22 までのバージョン

<詳細>
広範に使用されているFirefox Webブラウザ、Thunderbirdメールクライアント、
SeaMonkeyアプリケーションスイートは、さまざまなMozilla製品において複数
のインプット処理にさまざまな脆弱性が報告されている。これらの製品の脆弱
性には、メモリ崩壊、クロスサイトスクリプティング、クロスサイトリクエス
トフォージェリ、スクリプトインジェクション、Same Origin Policyの回避、
情報開示、URLスプーフィングなどがある。これらの脆弱性のいくつかについ
ては、悪用されると任意のコード実行に至るおそれがある。これらの脆弱性の
全技術的詳細は、ソースコードを分析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2009/mfsa2009-14.html
http://www.mozilla.org/security/announce/2009/mfsa2009-15.html
http://www.mozilla.org/security/announce/2009/mfsa2009-16.html
http://www.mozilla.org/security/announce/2009/mfsa2009-17.html
http://www.mozilla.org/security/announce/2009/mfsa2009-18.html
http://www.mozilla.org/security/announce/2009/mfsa2009-19.html
http://www.mozilla.org/security/announce/2009/mfsa2009-20.html
http://www.mozilla.org/security/announce/2009/mfsa2009-21.html
http://www.mozilla.org/security/announce/2009/mfsa2009-22.html
ベンダーのホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/34656
────────────────

2.危険度【重大】:BlackBerryの添付サービスのPDF distillerにさまざまな脆
  弱性

<影響のある製品>
BlackBerry Enterprise Server 4.1 Service Pack 3(4.1.3)から4.1 Service
Pack 6(4.1.6)まで
BlackBerry Professional Software 4.x

<詳細>
The Research In MotionのBlackBerryは、携帯電話およびメッセージデバイス
として広範に使用されている。BlackBerryのハンドヘルド・デバイスは、
BlackBerry Enterprise Serverを介して、企業のメッセージング・インフラと
統合されている。このサーバソフトウェアとBlackBerryのプロフェッショナル
ソフトウェアのバージョンにおいては、BlackBerryの添付サービス(さまざま
な異なる形式のファイルを閲覧するとき使用するサービス)に脆弱性がある。
エラーは、添付サービスのPDF distillerコンポーネントにある。細工された
PDFファイルが開かれると、BlackBerryはこの脆弱性を引き起こす。悪用され
ると任意のコード実行にもつながる。ユーザーがBlackBerryモバイルデバイス
でPDFを開かなければ悪用は実現しない。今のところ技術的詳細は一切公表さ
れていない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Research In Motionのセキュリティアドバイザリ
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB17953
BlackBerryについてのWikipediaの説明
http://en.wikipedia.org/wiki/BlackBerry
ベンダーのホームページ
http://www.blackberry.com
────────────────

3.危険度【高】:Microsoft Whale IAG のActiveXコントロールにさまざまなバッ
  ファオーバーフローの脆弱性

<影響のある製品>
Microsoft Intelligent Application Gateway 2007の3.7 SP2以前のバージョ


<詳細>
Microsoft Whale Intelligent Application Gateway(IAG)は、企業ネットワー
クにリモートで安全にアクセスできるようにするVPNソリューションである。
インストール時に"WhlMgr.dll"ActiveXコントロールもインストールされるが、
このコントロールには、複数のスタックベースのバッファオーバーフローが確
認された。問題のActiveXコントロールは、
CLSID:8D9563A9-8D5F-459B-87F2-BA842255CB9Aで特定できる。エラーは、
"CheckForUpdates()"メソッドと"UpdateComponents()"への引数が細工され、
それが両メソッドに引き渡されるときに生じる。悪意のあるWebページがこの
コントロールをインスタンス化すると、これらの脆弱性が悪用され、現在のユー
ザー権限で任意のコードが実行されてしまう。悪用するには、まずこれらの悪
意のあるページにユーザーを誘い込まなくてはならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Intelligent Application Gateway (IAG) 2007 Service Pack 2リリースノート
http://technet.microsoft.com/en-us/library/dd282918.aspx
製品のホームページ
http://www.microsoft.com/forefront/edgesecurity/iag/en/us/overview.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/34532
────────────────

4.危険度【高】:Linux KernelのCIFS Session Setupにバッファオーバーフロー
  の脆弱性

<影響のある製品>
Linux Kernel 2.6.x

<詳細>
Linux kernelには、バッファオーバーフローの脆弱性がある。この脆弱性がア
タッカーに利用されると、DoS状態を引き起こすほか、影響のあるシステムに
任意のコードが実行される可能性がある。問題は、"decode_unicode_ssetup()"
のユニコード文字列領域のアラインメントの処理が間違っていることにある。
Common Internet File System(CIFS)のサービスドメイン文字列へ正しくない
バッファ・サイズのデータが転送されると、バッファオーバーフロー状態が引
き起こされる。これらの脆弱性の技術的詳細は、ソースコードを解析すれば入
手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
cifs: セッションセットアップのユニコード文字列領域のアラインメントを修
正する
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-.6.git;a=commit;h=27b87fe52baba0a55e9723030e76fce94fabcea4
製品のホームページ
http://www.kernel.org/
SecurityFocus BID
http://www.securityfocus.com/bid/34615

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。