NRI Secure SANS NewsBites 日本版

Vol.4 No.19 2009年5月12日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.19 2009年5月12日発行
**********************************************************************

■はじめに

バージニア州の患者情報を盗んだクラッカーによる脅迫について、Windows 7
海賊版にあるトロイの木馬、ボットネットによる70GB分のデータ窃盗との関連
性も指摘されている。ヨーロッパでは、「もう米国にICANN(現在アタックされ
ているインターネットのコア部分にあたる)などをコントロールさせるな」と
いう声があがっている。セキュリティ分野における騒乱状態はさらに加速して
いるようだ。

Alan Paller(SANS Director of Research)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Future Visions 2009 Tokyo 併設トレーニング
           ★特別価格で申し込み受付中★
           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      http://www.entryweb.jp/sans/training/index.html
    ---------------------------------------------------------
■Meeting the Minimum: PCI/DSS 1.2: Becoming and Staying Compliant■
  -PCI/DSSに準拠したセキュリティ実装とその手法-
     ◆2009年7月15日(水)~16日(木) 2日間
     ◇http://www.entryweb.jp/sans/training/aud521.html

■SANS Security Essentials■
  -Defense In-Depth(多層防御)-
  -Internet Security Technology(インターネットセキュリティ技術)-
     ◆2009年7月16日(木)~17日(金) 2日間
     ◇http://www.entryweb.jp/sans/training/sec401.html

■Cutting-Edge Hacking Techniques■
  -最新ハッキングテクニック-
     ◆2009年7月17日(金) 1日コース
     ◇http://www.entryweb.jp/sans/training/sec517.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.34-35
   (原版:2008年5月2日、5月6日配信)

◆米国のサイバーセキュリティ総点検の必要性(2009.4.29)

サイバーセキュリティ分野の専門家らは、米国のサイバーセキュリティに対す
るアプローチを「中途半端」で「子供じみて」おり、「情けない」として、サ
イバーセキュリティを再考慮する必要性を訴えた。ある報告書には、米国電力
網が受けた侵入や、外国のサイバーアタッカーによる次世代主力戦闘機プロジェ
クトのデータ盗取について記されており、サイバーセキュリティに問題がある
ことが浮き彫りとなっている。これを受けて、システムの問題を修正するため
の法案が議会で提案された。連邦政府のサイバーセキュリティを向上させる有
益な対策は、何といってもその調達力を利用することである。政府局が購入す
る製品に特定のセキュリティ機能を組み込むことを義務付ければ、ベンダー製
品の品質向上につながる可能性が高い。
http://news.bbc.co.uk/2/hi/technology/8023793.stm
公聴会の全容が、上院議会のサイトで公表されている(驚くべき内容を含む)。
http://hsgac.senate.gov/public/index.cfm?Fuseaction=Hearings.Detail&HearingID=fd18b89f-b540-4e9a-9c52-823013751b9b

【編集者メモ】(Skoudis)
悪用され続け、劣悪なセキュリティ環境に対する言い訳ばかりという状況がこ
の10年ほど続いているため、大衆の苛立ちはピークに達している。我々は、サ
イバーセキュリティ向上に向けて前進する態勢に入った。素晴らしいことであ
る。
────────────────

◆米国のサイバー戦争政策 透明性を高めるべき(2009.4.29)

攻撃的情報戦争(Offensive Information Warfare)に関する全米研究評議会
(National Research Council)の報告書によると、現在、サイバーアタックを
規制している米国の政策や法整備は不適格、未発達、そしてかなり不明確であ
るという。報告書では、米国はサイバーアタック技術の開発を継続すると同時
に、明確な国家政策の策定を推奨している。また、サイバー戦争の技術的問題、
政策問題、法問題、倫理問題について国をあげてオープンな討論を行い、見識
を高めるべきと述べている。
http://fcw.com/articles/2009/04/29/web-cyberoffense-recommendations.aspx
http://www.nextgov.com/nextgov/ng_20090429_8883.php
http://www8.nationalacademies.org/onpinews/newsitem.aspx?RecordID=12651

【編集者メモ】(Skoudis)
この考え方は、サイバー戦争抑止策の1つの形として価値がある。米国は、そ
の能力について掘り下げる必要はないにしろ、国として攻撃力のあるサイバー
技術を保持していること、また、それを使用する意思があることを、対戦可能
性のある相手に示すべきである。あまりに曖昧なままにしておくと、相手も悲
劇的な見込み違いをしてしまう。
────────────────

◆スウェーデンのISPら IPアドレスのログをとらない意向(2009.4.28-29)

スウェーデンの大手インターネットサービスプロバイダ(ISP)Tele2 ABは、ユー
ザーIPアドレスのログの保持を打ち切ったISPとして、同国2番目となった。許
可なしに著作権物をダウンロードしている疑いのあるユーザーの身元情報を、
著作権所有者が獲得しやすくする法がスウェーデンで確立されたことを受けて、
この決定が下された。4月1日に有効となったこの法では、ISPに違法なダウン
ロードに使用されているコンピュータのIPアドレスを提供させる裁判所命令を、
著作権所有者が獲得できるようになっている。4月の上旬にBahnhof(同国ISP)
も、ログファイルの保持をやめると発表した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9132324&source=rss_null17
http://arstechnica.com/telecom/news/2009/04/second-swedish-ip-decides-to-nuke-ip-address-logs.ars
────────────────

◆サイバー侵入者 患者情報を保持していると主張(2009.5.4)

Wikileaks.orgに、サイバーアタッカーがバージニア州医療従事者庁(Virginia
Dep of Health Professionals)の処方監視プログラム(Virginia Prescription
Monitoring Program)のWebサイトから800万人強の患者データを盗み出したと
の文言が掲載された。彼らは、盗取したデータと引き換えに1,000万ドルを要
求している。手元には暗号化されたバックアップデータもあり、オリジナルの
方は消去してしまったという。問題のサイトは、バージニア州医療従事者庁に
関連している組織が他にもいくつかあるため、現在閉鎖されている。身代金を
要求するメモには、7日以内に身代金が支払われなければ、データを売りに出
すと書かれていた。連邦政府および州政府の当局が現在捜査を行っている。
http://voices.washingtonpost.com/securityfix/2009/05/hackers_break_into_virginia_he.html?wprss=securityfix
http://www.informationweek.com/news/security/attacks/showArticle.jhtml?articleID=217201397&subSection=Cybercrime

【編集者メモ】(Skoudis)
ひねりを利かせた侵入、恐喝が発生。企業のインシデントレスポンスチームは、
このような事態が発生したらどのように対処するのか、日ごろからブレストし
ておくべきだ。少なくとも、事態発生時の意思決定者を決め、この問題への対
処を任せられる法務関係者を見つけておくべきだろう。
────────────────

◆米空軍のセキュアなWindows設定で1億ドルの節約に:パッチ適用時間95%削
  減(2009.4.30)

元米空軍CIOのJohn Gilliganが、国家安全保障局(NSA)のセキュアなWindows設
定(Secure Windows Configuration)による革命の詳細を語った。2003年、同局
のペネトレーションテストで空軍のネットワークはこてんぱんにされてしまっ
た。ソフトウェアの設定がお粗末であったことが主な原因だ。そこで、空軍は
Mcirosoft社CEOのSteve Ballmerと幾度も相談を重ねた結果、最初からセキュ
アなWindows XPの設定を開発するよう求めることとなった。そして空軍は、
NSA、国立標準技術研究所(NIST)、国防情報システム局(Defense Information
Systems Agency)、センターフォーインターネットセキュリティ(Center for
Internet Security)に意見を求めた。その結果、統一設定を採用することによ
り、14週間かかっていたパッチ適用の所用時間がたったの72時間へと大幅に削
減されたのだ。その後、この空軍のプログラムがFDCC(Federal Desktop Core
Configuration:連邦政府のデスクトップ基準)の基盤となったという。
http://www.wired.com/threatlevel/2009/04/air-force-windows/

【編集者メモ1】(Pesactore)
無数にあるデスクトップのイメージ数を一定数に減らせば、パッチ適用にかか
る時間は必ず減り、セキュリティは向上する。しかし、任務に応じた実務作業
の多くで使えないようなバージョンを、1つのバージョンとして固めてしまう
(FDCCの最初のイメージだった)と、最終的にはイメージの類型を増やさざるを
えない状況になる。今足りないのは、標準任務のためのFDCC設定である。これ
については、最近進展があったようだ。
【編集者メモ2】(Paller)
任務の種類ごとに設定を設ける方がつじつまが合う。主要な政府局やNSAに、
自信を持ってこれを設定できる者はいるだろう。しかし、彼らが実際に着手し
てみて驚くのは、設定同士の差自体はそれほどないということだ。共同アプリ
ケーション以外は、差はゼロに近い。FDCCで問題となっているのは、NISTが足
した特定の必須条件である(これは空軍では使用されていない)。これらの必須
条件によって、最も重大な不適合が生じたのだ。それなのに、NISTは空軍に対
し、空軍は条件に準拠していないという。NISTは、空軍の設定のようにうまく
機能している模範がある場合は、採用か改良を検討すべきだ。壊すなんてもっ
てのほかだ!
────────────────

◆分散DoS攻撃 インターネットのインフラをターゲットに(2009.5.1)

分散DoS攻撃の発生頻度と規模を監視している団体によると、この数ヶ月間で
伝染力の強い攻撃が特に急激に増えているという。また、インターネットの重
大なインフラシステムがより頻繁にターゲットになっているようだ。この3月、
クラウドコンピューティングサービスを提供するのGoGridに対して発生した攻
撃は数日間におよび、同社顧客の半数にあたる約500人に影響を与えた。その
他の攻撃では、WebホスティングプロバイダのRegister.comやThe Planet、ブ
ラジルのISPであるTelefonicaをターゲットにしたものもある。多くの場合、
攻撃は数日間にわたって実行され、唐突に終わるという形がとられているよう
だ。
http://www.washingtonpost.com/wp-dyn/content/article/2009/05/01/AR2009050101593_pf.html

【編集者メモ】(Skoudis)
このような攻撃が短い期間で多数発生していることを考えると、何者かが、別
の目的のために予備調査を行っているように思えてならない。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
          SANS Future Visions 2009 Tokyo
      ~情報セキュリティパラダイムの次なる変革に向けて~
       2009年7月16日(木)~17日(金)@ホテル日航東京
             主催:SANS Institute
          http://www.entryweb.jp/sans/fv09/
    無料セッションの登録開始を案内する先行メール登録を開始!!

      ★併設トレーニングは特別価格で申し込み受付中★
       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       http://www.entryweb.jp/sans/training/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年5月1日 Vol.8 No.18)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          5
Linux                      3
HP-UX                      1
BSD                       1
Solaris                     1
Unix                      1
クロスプラットフォーム             40 (#1, #2, #3)
Webアプリ - クロスサイトスクリプティング    7
Webアプリ - SQLインジェクション         8
Webアプリ                   23
ネットワークデバイス              4
======================================================================

またAdobe ReaderとFirefoxだ。これらの製品や製造会社に何の反感も持って
いないと言いながら、Microsoftに責任をなすりつけようとする。そんな我々
も襟を正すべきだ。

Alan
────────────────

1.危険度【重大】:Adobe ReaderのJavaScript処理にリモートでコードが実行
  される脆弱性

<影響のある製品>
Adobe Acrobat Reader 9.1までのバージョン

<詳細>
Adobe Acrobat ReaderはPDFビューアであり、さまざまなプラットフォームで
使える標準となっている。しかし、このビューアにはPDF文書に組み込まれた
JavaScriptの処理に欠陥がある。悪意のあるスクリプトを含むように文書が細
工されるとこの脆弱性が引き起こされ、悪用されると、現在のユーザー権限で
任意のコードが実行されてしまう。PDF文書は、ユーザーへのプロンプトなし
に受信時に開かれてしまう場合が多い。この脆弱性の概念実証コードが公表さ
れている。この脆弱性はよく悪用されているようだ。

<現状>
ベンダーはこの問題を認めているものの、まだ更新をリリースしていない。可
能であればPDF文書のJavaScript処理を無効にするとよい。

<参考>
ベンダーのホームページ
http://www.adobe.com/
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/34740.txt
SecurityFocus BID
http://www.securityfocus.com/bid/34740
────────────────

2.危険度【重大】:Mozilla Firefoxにメモリ崩壊の脆弱性

<影響のある製品>
Mozilla Firefox 3.0.10以前のバージョン

<詳細>
Mozilla Firefoxには特定のWeb文書構造の処理に欠陥がある。ページが細工さ
れるとこの欠陥が引き起こされ、メモリ崩壊の脆弱性につながる。メモリ崩壊
が悪用されると、現在のユーザー権限で任意のコードを実行される可能性があ
る。この欠陥は、先週リリースされたFireFoxの更新(@RISK掲載)で報告された
ものだ。脆弱性の全技術的詳細は、ソースコードを解析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2009/mfsa2009-23.html
ベンダーのホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/34743
────────────────

3.危険度【高】:HP OpenView Network Node Managerにリモートでコードが実
  行される脆弱性

<影響のある製品>
HP OpenView Network Node Manager 7.53までのバージョン

<詳細>
HP OpenView Network Node Manager(NNM)は、企業用ネットワークとシステム
管理のアプリケーションとして広範に使用されているが、'ovalarmsrv.exe'コ
ンポーネントに欠陥がある。このコンポーネントへのリクエストが細工される
とこの欠陥が引き起こされ、脆弱なプロセス権限で任意のコードが実行される
おそれがある。この脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。
TCP2954番ポートをブロックするとよい。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2008-38/
製品のホームページ
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-15-119^1155_4000_100
SecurityFocus BID
http://www.securityfocus.com/bid/34738

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。