NRI Secure SANS NewsBites 日本版

Vol.4 No.21 2009年5月26日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.21 2009年5月26日発行
**********************************************************************

■はじめに

米国農務省はアプリケーションのセキュリティを今そこにある脅威とみなし、
契約内容の変更や、Javaおよびその他言語によるセキュアプログラミングのト
レーニングの設置などといった施策において、政府のリーダー的役割を担って
いる。同省によるトレーニングプログラムには、他の政府局や請負業者も参加
できるようだ。

セキュアプログラミングスキルが証明されていないプログラマーにWebや
e-Gov(電子政府)のアプリケーションを構築させる行為こそ、最も重大なセキュ
リティ問題に違いない。未熟なプログラマーにプログラムさせたe-Govのコー
ドの顛末はこちら:
http://www.theregister.co.uk/2009/05/05/virginia_medical_records_extortion/

Alan Paller(SANS Director of Research)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Future Visions 2009 Tokyo 併設トレーニング
           ★特別価格で申し込み受付中★
           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      http://www.entryweb.jp/sans/training/index.html
    ---------------------------------------------------------
■Meeting the Minimum: PCI/DSS 1.2: Becoming and Staying Compliant■
  -PCI/DSSに準拠したセキュリティ実装とその手法-
     ◆2009年7月15日(水)~16日(木) 2日間
     ◇http://www.entryweb.jp/sans/training/courses/aud521.html

■SANS Security Essentials■
  -Defense In-Depth(多層防御)-
  -Internet Security Technology(インターネットセキュリティ技術)-
     ◆2009年7月16日(木)~17日(金) 2日間
     ◇http://www.entryweb.jp/sans/training/courses/sec401.html

■Cuttting-Edge Hacking Techniques■
  -最新ハッキングテクニック-
     ◆2009年7月17日(金) 1日コース
     ◇http://www.entryweb.jp/sans/training/courses/sec517.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.38-39
   (原版:2008年5月16日、5月20日配信)

◆判事 Hannafordに対する市民の訴えをほとんど棄却(2009.5.13-14)

米国地方裁判所のD.Brock Hornby判事は、Hannaford Bros.に対する市民の訴
えを、1つの例外を除き全て棄却した。Hannafordでは2007年と2008年に、決
済カード約400万件のデータが侵害される事件が発生している。判事は、口座
から不正引き出しされていない、あるいは不正引き出しされた金額の補填をす
でに受けている個人の訴えを認めなかった。認められたのは、その補填を受け
ていない女性の訴え1件のみである。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9133075
http://www.wired.com/threatlevel/2009/05/court-rules-breach-victims-not-entitled-to-restitution/
http://www.boston.com/business/articles/2009/05/14/judge_tosses_most_data_breach_claims/

【編集者メモ】(Schultz)
上記内容で見る限り、Brock判事は正義を逸脱している。きっと、サイバーセ
キュリティや関連法について彼の知識が不足しているために、こうなってしまっ
たのだろう。
────────────────

◆国防総省職員にスパイ容疑(2009.5.13-14)

米国防総省職員が、中国政府諜報員への機密文書漏洩のスパイ容疑で告発され
ている。James Wilbur Fondren Jr.容疑者は米太平洋軍司令部(PACOM)のワシ
ントン連絡事務所副所長だったが、2008年2月から休職していた。Fondrenは自
身のアクセス権限を使って機密情報にアクセスしていた疑いがある。有罪となっ
た場合、懲役5年および罰金25万ドルの刑に処せられる可能性がある。
http://www.nextgov.com/nextgov/ng_20090514_7707.php
http://www.scmagazineus.com/Defense-Department-insider-charged-with-espionage/article/136743/
http://www.usdoj.gov/opa/pr/2009/May/09-nsd-469.html

【編集者メモ】(Northcutt)
役割に合わせてアクセス制限をかけることが、必要不可欠である。
────────────────

◆BSA談:インストールされているソフトウェアの41%が海賊版(2009.5.12)

ビジネス・ソフトウェア・アライアンス(BSA)の統計によると、2008年に世界
各国でPCにインストールされたソフトウェアの41%は海賊版だったという。こ
れによって生じた経済的損失は530億ドルに上ると推測されている。著作権侵
害のレベルは、世界全体で2007年の38%から2008年の41%へと若干増加したこ
とになる。BSAのCEO兼代表のRobert Holleymanによると、米国の海賊版ソフト
の割合は世界で最も低いが、これはソフトウェア販売量がそもそも多い国であ
るためであり、大きな問題であることには変わりはないという。すなわち、1
ドルあたりの損失が一番大きいのは米国ということになる。
http://www.msnbc.msn.com/id/30699735/
────────────────

◆15~18歳の5人に1人がハッキングツールの使用経験あり(2009.5.15)

15~18歳の少年4,000人を対象とした調査で、回答者の17%が「オンラインで
ハッキングツールを探し出す方法を知っている」ことがわかった。その17%の
うち3分の1にあたる少年たちは、そのツールを使用した事実を認めている。そ
のほか、「友人のメールアカウントやソーシャルネットワーキングアカウント
をハッキングしようと試みたことが少なくとも1度はある」と答えた少年は、
全体の67%にのぼった。
http://www.scmagazineuk.com/One-in-five-teenagers-can-find-hacking-tools-online/article/136977/
http://www.techworld.com/security/news/index.cfm?newsID=115913

【編集者メモ】(Paller)
国がこのような若きハッカーたちのエネルギーや才能を野放しにせず、彼らを
セキュリティコミュニティの一員として招き入れ、セキュリティの向上を図る
方向に発展させるというのはどうだろう。次のニュースは、このアイデアに則っ
た国家的なイニシアチブの概要に触れている。
────────────────

◆近日アナウンス予定の米国サイバーコンペ

5月29日、戦略・国際問題研究所(CSIS)のランチミーティングで、米国サイバー
コンペ3種目の開催が発表される予定。発表当日まで詳細は明かされない。こ
れは、才能ある若者を発掘し、優秀な次世代のセキュリティ専門家へと育成す
る大きなプログラムの一環である。この件を正式発表前にここでお知らせする
のは、皆さんの力をお借りしたいからだ。3種目のうち1つはSANSによるもので、
幾層ものレイヤーを施したかなり難易度の高い「Capture the Flag」ゲームだ。
SANSはこの種目に名前を付けたいと考えている。以下のネーミングから2つか3
つ、あなたがよいと思うものを選んで、apaller@sans.org.に返信していただ
けないだろうか。ご協力をお願いしたい。

SANS Netwars
SANS War Games
SANS NetAttack Games
SANS King of the Hill Challenge
SANS Security Challenge
SANS HACK/Anti-HACK
SANS InfoSec Challenge
SANS Challenge Net
SANS Security Warrior Competition
SANS Capture the Flag Student Tournament
SANS War Game Challenge
SANS War Games Challenge
SANS InfoSec Faceoff
────────────────

◆英重大組織犯罪庁 サイバー犯罪に立ち向かう(2009.5.18)

英国の重大組織犯罪庁(SOCA)は、サイバー犯罪に対する取り組みの詳細を年次
報告書で明らかにした。この報告書には、オンラインの犯罪者フォーラムや闇
市場に対するFBIのおとり捜査に、同局が協力してきた経緯が書かれている。
この捜査により、世界中で57人(うち12人は英国)の逮捕にこぎつけることがで
きたほか、英国で、16,000件のクレジットカード情報が侵害されていたことが
わかったという。同局は、三井住友銀行ロンドン支店での2億2,900万ポンド強
奪未遂事件の捜査で5人の逮捕に至ったことにも触れている。SOCAは最近、サ
イバー犯罪への取り組みの一環として、警察が合法的に容疑者のコンピュータ
にハッキングできる「リモート検索」のテクニックを頻繁に使用可能にするよ
う、求めているようだ。

http://news.zdnet.co.uk/security/0,1000000189,39652583,00.htm
http://www.pcadvisor.co.uk/news/index.cfm?newsid=115940
http://www.theregister.co.uk/2009/05/15/soca_hacking/
http://www.soca.gov.uk/assessPublications/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
     SANS Tokyo 2009-2010 トレーニングイベント 開催決定!
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
      http://www.entryweb.jp/sans/training/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年5月16日 Vol.8 No.21)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Microsoft Office                13 (#1)
サードパーティのWindowsアプリ         10
Mac Os                     1 (#2)
Linux                      2
クロスプラットフォーム             13 (#3, #4)
Webアプリ - クロスサイトスクリプティング    5
Webアプリ - SQLインジェクション        12
Webアプリ                   24
======================================================================

今週のニュース:
Microsoft PowerPointの重大な脆弱性とApple Mac OS XとSafariにある複数の
重大な脆弱性については、それが原因でリモートでの実行(システムをゾンビ
にする)につながる可能性があるという。
────────────────

1.危険度【重大】:Microsoft PowerPoint処理にさまざまな脆弱性(MS09-017)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007
Mac用Microsoft Office 2004
Mac用Microsoft Office 2008
Microsoft PowerPoint Viewer 2003
Microsoft PowerPoint Viewer 2007
Microsoft Works 8.5および9.0

<詳細>
さまざまなMicrosoft製品において、PowerPointファイルの処理に欠陥がある。
PowerPointファイルが細工されると脆弱性が引き起こされ、さまざまな悪用が
可能な状態に陥る。脆弱性のいずれかの悪用により、現在のユーザー権限で任
意のコードを実行される可能性がある。これらの製品の旧バージョンや特別な
設定においては、悪意のあるファイルは、受信時、ユーザーへのプロンプトな
く開かれるおそれがある。これらの脆弱性の技術的詳細のいくつかが公表され
ている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms09-017.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-09-020/
http://zerodayinitiative.com/advisories/ZDI-09-019/
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=796
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=795
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=794
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=793
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=792
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=791
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=790
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=789
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=788
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=787
SecurityFocus BID
http://www.securityfocus.com/bid/34882
http://www.securityfocus.com/bid/34834
http://www.securityfocus.com/bid/34833
http://www.securityfocus.com/bid/34833
http://www.securityfocus.com/bid/34837
http://www.securityfocus.com/bid/34839
http://www.securityfocus.com/bid/34881
http://www.securityfocus.com/bid/34880
http://www.securityfocus.com/bid/34835
http://www.securityfocus.com/bid/34879
http://www.securityfocus.com/bid/34840
http://www.securityfocus.com/bid/34351
http://www.securityfocus.com/bid/34876
http://www.securityfocus.com/bid/34831
http://www.securityfocus.com/bid/34841
────────────────

2.危険度【重大】:Apple Mac OS Xにさまざまな脆弱性

<影響のある製品>
Apple Mac OS X 10.5.7より以前のバージョン

<詳細>
Apple Mac OS Xには、複数のサブシステムにさまざまな脆弱性がある。これら
のコンポーネントが処理する入力やデータが細工されると1つの脆弱性が引き
起こされ、さまざまな悪用が可能な状況に陥る。そのほか、現在のユーザーや
脆弱なプロセス権限で任意のコードを実行するのに利用されてしまうような脆
弱性も複数抱えている。これらの脆弱性のいくつかについて、技術的詳細が公
表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleナレッジベースの記事
http://support.apple.com/kb/HT3549
SecurityFocus BIDs
http://www.securityfocus.com/bid/34972
http://www.securityfocus.com/bid/34942
http://www.securityfocus.com/bid/34947
http://www.securityfocus.com/bid/34948
http://www.securityfocus.com/bid/34926
http://www.securityfocus.com/bid/34950
http://www.securityfocus.com/bid/34952
http://www.securityfocus.com/bid/34958
http://www.securityfocus.com/bid/34962
http://www.securityfocus.com/bid/34965
http://www.securityfocus.com/bid/34938
http://www.securityfocus.com/bid/34937
────────────────

3.危険度【重大】:Apple Safariにさまざまな脆弱性

<影響のある製品>
Apple Safari 3.2.3より以前のバージョン
Apple Safari 4 Beta 5528.17より以前のバージョン

<詳細>
Safariは、Apple Mac OS XおよびWindows用のApple製Webブラウザである。し
かし、複数のWebページ処理やスクリプティング構造の処理に、さまざまな脆
弱性がある。Webページやスクリプトが細工されると、これらの脆弱性のいず
れかが引き起こされ、さまざまな悪用が可能な状態に陥る。悪用されると、現
在のユーザー権限で任意のコードを実行される可能性がある。Safariの一部は
オープンソースであるため、これらの脆弱性の全技術的詳細は、ソースコード
を解析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleナレッジベースの記事
http://support.apple.com/kb/HT3550
http://support.apple.com/kb/HT3551
http://support.apple.com/kb/HT3397
製品のホームページ
http://www.apple.com/safari/
SecurityFocus BIDs
http://www.securityfocus.com/bid/34925
http://www.securityfocus.com/bid/34924
────────────────

4.危険度【高】:SquirrelMailにさまざまな脆弱性

<影響のある製品>
SquirrelMail 1.4.18より以前のバージョン

<詳細>
SquirrelMailは、さまざまなOSで使用できるオープンソースのWebメールアプ
リケーションとして広範に使用されている。しかし、複数の入力処理にさまざ
まな脆弱性がある。悪意のあるメールにこの欠陥を悪用されると、クロスサイ
トスクリプティングやセッション固定攻撃につながるおそれがある。また、デ
フォルトでない設定においても、脆弱性の悪用により、Webブラウザのプロセ
ス権限で任意のコードを実行される可能性がある。サーバ側にある脆弱性を悪
用するには認証が必要。これらの脆弱性の全技術的詳細は、ソースコードを解
析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
SquirrelMailアドバイザリ
http://www.squirrelmail.org/security/issue/2009-05-11
http://www.squirrelmail.org/security/issue/2009-05-10
http://www.squirrelmail.org/security/issue/2009-05-08
http://www.squirrelmail.org/security/issue/2009-05-12
http://www.squirrelmail.org/security/issue/2009-05-12
http://www.squirrelmail.org/security/issue/2009-05-09
\http://www.squirrelmail.org/security/issue/2009-05-09
製品のホームページ
http://www.squirrelmail.org
SecurityFocus BID
http://www.securityfocus.com/bid/34916

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。