NRI Secure SANS NewsBites 日本版

Vol.4 No.20 2009年5月19日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.20 2009年5月19日発行
**********************************************************************

■はじめに

ホワイトハウスのサイバーセキュリティ60日間レビューの舞台裏で実際に何が
起きていたのか、外部の賛成派Dick Clarkeと内部の反対派のLarry Summerに
よって明らかになった。
http://www.huffingtonpost.com/richard-a-clarke/obamas-challenge-in-cyber_b_199926.html

Alan Paller(SANS Director of Research)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Future Visions 2009 Tokyo 併設トレーニング
           ★特別価格で申し込み受付中★
           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      http://www.entryweb.jp/sans/training/index.html
    ---------------------------------------------------------
■Meeting the Minimum: PCI/DSS 1.2: Becoming and Staying Compliant■
  -PCI/DSSに準拠したセキュリティ実装とその手法-
     ◆2009年7月15日(水)~16日(木) 2日間
     ◇http://www.entryweb.jp/sans/training/aud521.html

■SANS Security Essentials■
  -Defense In-Depth(多層防御)-
  -Internet Security Technology(インターネットセキュリティ技術)-
     ◆2009年7月16日(木)~17日(金) 2日間
     ◇http://www.entryweb.jp/sans/training/sec401.html

■Cutting-Edge Hacking Techniques■
  -最新ハッキングテクニック-
     ◆2009年7月17日(金) 1日コース
     ◇http://www.entryweb.jp/sans/training/sec517.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.36-37
   (原版:2008年5月9日、5月13日配信)

◆NERC取締役会 サイバーセキュリティ基準の改正を承認(2009.5.6)

北米電力信頼性評議(NERC:North American Electric Reliability
Corporation)の取締役会は、北米電力供給システムのサイバーセキュリティ基
準に変更を加えることを承認した。改正後の基準では、トレーニング、サイバー
上の脅威の特定、サイバーアタック発生時の電力網回復などに言及している。
NERCは、電力システムのオーナー、運営者、ユーザー全てに同基準への準拠を
義務付ける。対象の団体は、2009年7月1日より監査を受けることになり、準拠
していない場合、1日100万ドルの罰金を科せられるおそれがある。
http://www.csoonline.com/article/491943/New_Cyber_Security_Standards_for_N._American_Power_System
http://www.upi.com/Business_News/2009/05/06/NERC-adopts-latest-grid-cybersecuity-step/UPI-79681241636106/
http://www.nerc.com/page.php?cid=2|20
────────────────

◆米運輸省監査官の監査報告書:連邦航空局のサイバーセキュリティを批判
  (2009.5.4-7)

米運輸省(DOT)監査官事務局の監査報告書によると、同国の航空管制システム
は侵害を受けた形跡があり、いまだサイバーアタックに脆弱な状態だという。
侵入者は、職員に関するデータとネットワークサーバにアクセスしたようだ。
この攻撃によって、米連邦航空局(FAA)のサポートシステムが影響を受けたと
いう。報告書では、この攻撃が航空管制・監視・フライト情報に直接関係のあ
るシステムに広がる可能性があると指摘している。監査の結果、同局が使用し
ているWebアプリケーションにはリスクの高い脆弱性が750以上確認されたとい
う。また、侵入検知は決して十分なものといえず、サイバーセキュリティイン
シデントにタイムリーに対応できる状態でないことも明らかとなった。FAAは、
サポートシステムと操作システムはつながっていないとコメントしているが、
もっと強力なセキュリティ対策の導入が必要であることには同意している。
http://www.msnbc.msn.com/id/30602242/
http://gcn.com/Articles/2009/05/06/Air-traffic-control-vulnerabilities.aspx
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9132663&source=rss_null17
http://www.techweb.com/article/showArticle?articleID=217300749§ion=News
http://news.cnet.com/8301-1009_3-10236028-83.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.oig.dot.gov/StreamFile?file=/data/pdfdocs/ATC_Web_Report.pdf

【編集者メモ】(Ranum)
誰かがシステムは「つながっていない」とコメントしたとき、「ただ例外とし
て…」という言葉が出てくるのをつい待ってしまう(たいていの場合そうなの
だが)。「つなげない」というのは、最も簡単で安価かつ最善のセキュリティ
形態だが、実際のシステムで正しく実現するのは驚くほど難しい。
────────────────

◆Heartland Payment Systems PCI DSSに再度準拠(2009.5.5-7)

Heartland Payment Systemsは、再びPCI DSSに準拠したという。Visaは今年始
め、適正なサービスプロバイダリストからHeartlandを一時的に除外した。そ
の後、Heartlandは基準への準拠資格を再認定されるまでの間、とりあえずク
レジットカード決済の処理遂行のみ許可されるという保護観察的な処遇を受け
ていた。Heartlandによると、決済に関するカード情報数万件が漏洩すること
となったデータ侵害事件とその余波で、これまでに1,260万ドルの費用がかかっ
たという。同社は今年の後半、End-to-Endのデータ暗号化システムを展開する
予定だ。
http://www.nacsonline.com/NACS/News/Daily/Pages/ND0505094.aspx
http://www.itworld.com/security/67598/security-breach-cost-heartland-126-million-so-far
http://www.theregister.co.uk/2009/05/07/heartland_breach_costs/
────────────────

◆欧州委員 ソフトウェアに対する顧客保護法の適用範囲拡大求める
  (2009.5.9)

欧州委員会の委員であるViviane RedingとMeglena Kunevaは、現在物理的な製
品に適用されている消費者商品の売買及び品質保証に関するEU指令(EU Sales
and Guarantee Directive)を、ソフトウェアのようなライセンス契約製品に
も適用するよう求めている。同指令では、製品に2年の保証をつけることを義
務付けている。Kunevaは、同法を改正すればソフトウェア企業が高い水準で説
明責任を果たすようになり、顧客がより適切な選択ができるようになるとして
いる。しかし、ソフトウェアメーカーの権利を保護する団体であるBusiness
Software Alliance(BSA)のパブリックポリシー担当ディレクターFrancisco
Mingoranceは、実際には顧客の選択の幅は狭まると反論している。その根拠は、
「有形商品とは異なり、デジタルコンテンツの作成者は、製品の予期される使
用方法および潜在的性能を高い確率で予測することができない」ことや、「も
し、製造業者によってサードパーティー開発者がコードにアクセスできるレベ
ルを制限することになれば、ソフトウェア製品間の相互運用性の低下につなが
る可能性がある」などというものだ。
http://news.cnet.com/8301-1001_3-10237212-92.html

【編集者メモ1】(Honan)
2007年に、英国政府は同様の法案を却下している。
http://www.cio.co.uk/news/2183/lords-fume-as-government-rejects-e-crime-threat/
コンピュータセキュリティに関連する新法をいろいろ考案している様を見るの
は面白い。加盟国は、最終的には自国の考えを脇に置いてセキュリティを導入
しなければならないのだ。
【編集者メモ2】(Pescatore)
ワンパターンなリアクションではあるが、「ついに!」と言える出来事だろう。
しかし、ソフトウェアエンジニアリングはまだ矛盾だらけである。これによっ
て、長期間にわたる、もしくはより小規模なエンドユーザーライセンス契約が
出現することだろう。例えば、CD-ROMに「シャワー室でコンピュータを使うな」
と大きく貼られているようなライセンス契約である。とはいえ、ソフトウェア
メーカーが自社製品の安全性の欠如に対し、その費用を負わなければならない
ようにしていこうという一連の動きは、必要不可避なのである。
────────────────

◆FBI サイバー犯罪捜査員をエストニアに常駐配備(2009.5.11)

米連邦捜査局(FBI)は、サイバー犯罪の専門家をエストニアに常駐させる計画
だ。FBIが初めて、サイバー犯罪を焦点として米国外に捜査員を配置するケー
スとなる。エストニアは2年前、政府および民間のコンピュータシステムに攻
撃を仕掛けられ、サイバー犯罪に立ち向かう強い決意を持った国として知られ
る。FBIはまた、NATOサイバー防衛センター(NATO Cyber Defense Center)と
連携し、エストニアで取り組みを行う可能性もあるという。
http://www.msnbc.msn.com/id/30683801/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
          SANS Future Visions 2009 Tokyo
      ~情報セキュリティパラダイムの次なる変革に向けて~
       2009年7月16日(木)~17日(金)@ホテル日航東京
             主催:SANS Institute
          http://www.entryweb.jp/sans/fv09/
    無料セッションの登録開始を案内する先行メール登録を開始!!

      ★併設トレーニングは特別価格で申し込み受付中★
       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       http://www.entryweb.jp/sans/training/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年5月8日 Vol.8 No.19)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ         11 (#1)
Linux                      4
Unix                      3
クロスプラットフォーム             22 (#2, #3)
Webアプリ - クロスサイトスクリプティング    8
Webアプリ - SQLインジェクション         6
Webアプリ                   18
======================================================================

WindowsのGoogle ChromeとApple Macのデフォルトのプリントシステム(CUPS)
に、システムをリモートでコントロールされる可能性のある脆弱性がある。両
方に、ベンダーからパッチがリリースされている。

────────────────

1.危険度【重大】:Google Chromeのグラフィックレンダリングにインテジャー
  オーバーフローの脆弱性

<影響のある製品>
Google Chrome 1.x

<詳細>
Google ChromeはMicrosoft Windows用のGoogle製Webブラウザである。この製
品のグラフィックレンダリングエンジン("Skia"と称されている)には欠陥があ
る。Webページが細工されるとこの欠陥が引き起こされ、インテジャーオーバー
フローにつながる可能性がある。この脆弱性が悪用されると、現在のユーザー
権限で任意のコードを実行される可能性がある。この脆弱性の全技術的詳細は、
ソースコードを解析すれば入手できる。Skiaを使用しているその他のソフトウェ
アも脆弱な可能性がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Googleのブログ記事
http://googlechromereleases.blogspot.com/2009/05/stable-update-security-fix.html
Google Chromeのホームページ
http://google.com/chrome
SecurityFocus BID
まだリリースされておらず
────────────────

2.危険度【重大】:Apple CUPSのPDF処理にバッファオーバーフローの脆弱性

<影響のある製品>
Apple CUPS 1.3.10より以前のバージョン

<詳細>
Apple CUPSはCommon Unix Printing Systemのことである。これは、Apple Mac
OS Xや、その他UnixやLinuxベースのOSの多くにおいて、デフォルトのプリン
ティングサブシステムとなっている。しかし、JBIG2シンボル辞書を含むPDF文
書の処理に欠陥がある。JBIG2は画像の標準コードである。PDFファイルが細工
され、それがCUPSサーバに対し印刷物として提出されるとこの欠陥が引き起こ
され、脆弱なプロセス権限で任意のコードを実行される可能性がある。この脆
弱性の全技術的詳細は、ソースコードを解析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。この脆弱性は、
Xpdf PDF閲覧・処理プログラムにある欠陥(@RISKのバックナンバーに掲載)と
関連性があるものと見られている。

<参考>
Secuniaのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/502759
CUPSのホームページ
http://www.cups.org/
JBIG2についてのWikipediaの説明
http://en.wikipedia.org/wiki/JBIG2
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=8&i=17#widely6
SecurityFocus BID
http://www.securityfocus.com/bid/34791
────────────────

3.危険度【高】:HP OpenView Network Node Managerにリモートでコードが実
  行される脆弱性

<影響のある製品>
HP OpenView Network Node Manager 7.53までのバージョン

<詳細>
HP OpenView Network Node Manager(NNM)は、企業用ネットワークおよびシス
テム管理アプリケーションとして広範に使用されている。しかし、サブコンポー
ネントの1つに欠陥がある。このコンポーネントに向かうリクエストが細工さ
れると欠陥が引き起こされ、脆弱なプロセス権限で任意のコードを実行される
可能性がある。この脆弱性の技術的詳細はほぼ公表されている。先週の@RISK
で言及された脆弱性とは、完全に異なるものと考えられている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=8&i=18#widely3
製品のホームページ
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&
cp=1-11-15-119^1155_4000_100
SecurityFocus BID
http://www.securityfocus.com/bid/34812

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。