NRI Secure SANS NewsBites 日本版

Vol.4 No.2 2009年1月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.2 2009年1月14日発行
**********************************************************************

■はじめに

注目記事:
Wired MagazineのKevin Poulsonによる記事には、盗まれたカード番号の闇市
を窮地に追いこんだMax Butlerについて書かれている。
http://www.wired.com/techbiz/people/magazine/17-01/ff_max_butler?currentPage=1

新たな国家規模のアタックを視野に入れた、防御対策のアップグレードを迫ら
れている人々のために、SANSのセキュリティコースのトップ7を発表。

1. ネットワークペネトレーションテスト
  (Network Penetration Testing and Ethical Hacking)
2. Webアプリケーションペネトレーションテスト
  (Web Application Penetration Testing)
3. ハッカーテクニック・エクスプロイト・インシデントハンドリング
  (Hacker Techniques, Exploits and Incident Handling)
4. ワイヤレスエシカルハッキング、ペネトレーションテスト・防御対策
  (Wirelss Ethical Hacking,Penetration Testing and Defenses)
5. ネットワーク境界・システム監査
  (Auditing Networks, Perimeters and Systems)
6. コンピュータフォレンジック・調査と対応
  (Computer Forensics, Investigation & Response)
7. 侵入検知詳細
  (Intrusion Detection In Depth)

上記のコースをセキュリティベンダー向けのトレーニングだと思っている方は、
考えを改めていただきたい。ITシステムの開発や運用に関わる組織であれば、
もはやセキュリティの専門スキルがないと、増大する脅威に対抗できないから
だ。

日本やアジア地域の皆さんには朗報だ。上記うちで最もニーズの高い1と2のコー
スを2月9日より東京で受講できる。
SANSのトップインストラクターが来日してセッションを担当するので、ぜひ参
加してほしい。
英語サイト http://www.sans.org/sanstokyo2009_spring/
日本語サイト http://www.entryweb.jp/sans/09spring/
              Alan Paller(SANS Director of Research)

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
       SANS Tokyo 2009 Spring 開催まであと1か月決定!!
  
  2009年2月9日(月)~14日(土)  会場:UDXカンファレンス(秋葉原)

!セキュリティ技術の最先端が学べる大人気のハンズオン3コースを実施!

  ■PCI/DSS準拠・実装・監査のための具体的手法の習得 -> AUD521
   ■ペネトレーション手法の完全習得、エシカルハッカー養成 -> SEC560
   ■アプリケーションの脆弱性診断スキルの短期習得 - > DEV538
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/09spring/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.1
   (原版:2008年1月6日配信)

◆MD5ハッシュのアルゴリズムに不正証明書を許可してしまう欠陥
  (2008.12.30-2009.1.5)

デジタル証明書の生成に使用されるMD5ハッシュのアルゴリズムに脆弱性があ
る。サイバー犯罪者らが、不正の証明書を生成できるようになってしまうのだ。
偽証明書は、ブラウザに正規のサイトとみなされるようなフィッシングサイト
を作成する際に使われるおそれがある。この問題は、ベルリンで先月開催され
たThe Chaos Communications Conferenceで、プレゼンの題材となっていた。
MD5ハッシュを使用している証明書発行機関は、証明書の全体性を守るため、
SHA1に移行すべきである。当局の多くがまだMD5を採用しており、MD5で生成さ
れた証明書を使用しているサイトは全体の14%に上るという推測もある。
http://isc.sans.org/diary.html?storyid=5590&rss
http://gcn.com/Articles/2008/12/31/SSL-certs-busted.aspx?p=1
http://www.securityfocus.com/news/11541
http://www.heise-online.co.uk/security/25C3-MD5-collisions-crack-CA-certificate--/news/112327
http://www.securityfocus.com/brief/880

【編集者メモ】(Honan)
このアタックは、2004年から報告されているMD5ハッシュアルゴリズムの弱点
に比べれば、大した驚きではないはずだ。SANSインターネットストームセンター
は、この問題についての有意義な解説と、ベンダーが発行する証明書の現状に
ついてのベンダー自身による説明リストを以下に掲載している。
http://isc.sans.org/diary.html?storyid=5590.
http://www.nri-secure.co.jp/ncsirt/2009/0106.html
また、以下のサイトでは、訪問サイトで使用されているSSL証明書をチェック
できる。
http://www.networking4all.com/nl/helpdesk/tools/site+check/
────────────────

◆Twitter フィッシングアタックおよびアカウントハイジャックされる
  (2009.1.5)

Twitterのユーザーは、現在、フィッシングアタックのターゲットになってい
る。受信したメッセージから偽のログインページに導かれたと報告しているユー
ザーもいる。ログインクレデンシャルを奪取されると、さらなるフィッシング
メッセージを送信するのにアカウントが使用されてしまう。ログインするとき
は、誘導されたとおりのサイトではなく、Twitter.comでTwitterにログインす
るようにすべきだ。Twitterによれば、侵害されたために中止されている
Twitterアカウントから、関連性のないアタックや虚偽のメッセージが送信さ
れているという。どうやら、Twitterサポートチームのツールがハッキングさ
れていたようで、問題が解決されるまで、これらのツールはオフライン状態の
ままになるという。
http://voices.washingtonpost.com/securityfix/2009/01/phishers_now_twittering_their.html?wprss=securityfix
http://news.cnet.com/8301-17939_109-10130566-2.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.pcmag.com/article2/0,2817,2337833,00.asp
http://blog.wired.com/27bstroke6/2009/01/twits-get-phish.html
http://www.heise-online.co.uk/security/Major-security-problem-for-Twitter--/news/112357

【編集者メモ】(Honan)
Tweets(Twitterに書かれたコメント)やメッセージを介してTwitterサイトで
フィッシングを行うのは、メールによるそれより手軽だという。ほとんどの
URLが、tinyurl(短縮されたURL)形式に変換されているため、受信者が意図し
た元のURLが隠されてしまうからだ。疑わしいTinyurlリンクがあったら、以下
のtinyurl.comのプレビュー機能を使って事前にURLを確認しよう。
http://tinyurl.com/preview.php.
────────────────

◆RIAA全米レコード協会 証拠収集の依頼先企業を変える(2009.1.4-5)

全米レコード協会(RIAA)は、著作権侵害裁判を行うために情報収集を依頼して
いたMediaSentryとの取引を打ち切った。同社は侵略的かつ行き過ぎた方法を
とっているとして非難を浴びていた。RIAAは新たにオランダのDtecNet
Software ApSに情報収集を依頼しようと考えている。昨年は、「ダウンロード
可能な形でファイルを置いておくだけでは、著作権法違反に当たらない」とい
う判決が出されたため、RIAAの法戦略は見事に打ちのめされた。また、RIAAは
最近、著作権侵害容疑者の起訴はもうしないと発表したばかりだ。代わりに、
インターネットサービスプロバイダ(ISP)と協定を結んで常習的なファイル共
有者に対して違法行為である旨の警告を発し、それでもなお著作権ファイルを
ダウンロード可能にし続けた場合は、通信帯域制限手段に出るという。
http://news.cnet.com/8301-1023_3-10130785-93.html
http://weblog.infoworld.com/robertxcringely/archives/2009/01/is_the_riaa_adm.html

【編集者メモ】(Paller)
Infoworldの記事の言い回しは逆効果である。能力の格段に高いセキュリティ
関連職者が自己の上位性を見せ付けようとしてやたらと批判的になってしまっ
たために、試み自体が失敗してしまったケースを私はたくさん見ている。批判
的な言葉を使ってしまうと、言葉を放った本人がいかにも子供っぽく、無作法
に見えてしまうため、敬意を得られなくなってしまうのだ。その結果、彼らの
素晴らしいセキュリティ上のアイデアも聞き入れられなくなってしまう。
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
      【ついに実現!】
      日本人SANSインストラクターによる
      SEC401:SANS Seucrity Essentials Bootcamp Style

  2009年2月19日(木)より10週にわたって開講!!
   毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム

  !! 講義とオンライン学習を通じて、効率的にスキルアップ!!
            ↓↓↓詳しくはこちら↓↓↓
     http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年1月8日 Vol.8 No.1)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          2
Linux                      2
クロスプラットフォーム             11 (#1, #2)
Webアプリ-クロスサイトスクリプティング     3
Web アプリ- SQLインジェクション        10
Webアプリ                    8
======================================================================

たいへん穏やかな一週間だった。しかし、RealNetworks Helix Serverをお使
いの方はすぐに更新を。
────────────────

1.危険度【重大】:RealNetworks Helix Serverにさまざまな脆弱性

<影響のある製品>
RealNetworks Helix Serverのバージョン11.x

<詳細>
Helix Serverは、RealNetworksのストリーミングメディアサーバとして広範に
使用されている。しかし、Real Time Streaming Protocol(RTSP)やその他のリ
クエストの処理に複数の脆弱性がある。リクエストが細工されると、脆弱なプ
ロセスの権限で任意のコードが実行できる状態になる。これらの脆弱性の技術
的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブの次回のアドバイザリ
http://zerodayinitiative.com/advisories/upcoming/
RealNetworksのアドバイザリ
http://docs.real.com/docs/security/SecurityUpdate121508HS.pdf
ベンダーのホームページ
http://www.real.com
SecurityFocus BID
http://www.securityfocus.com/bid/33059
────────────────

2.危険度【高】:xtermにエスケープシーケンスの脆弱性

<影響のある製品>
X.org xtermパッチNo.237までのバージョン

<詳細>
Xtermは、X Windows Systemのターミナルエミュレータであり、ネットワーク
で使用できる、UnixやUnixに類似したプラットフォーム用の標準画面表示シス
テムである。しかし、特定のエスケープシーケンス(文字列がターミナルに読
み取られると行動が実行に移される)の処理に欠陥がある。特に、"DECRQSS
Device Control Request Status"のエスケープシーケンスが細工されると、こ
の脆弱性が引き起こされ、現在のユーザー権限で任意のコマンドを実行できる
状態になる。xtermウィンドウで悪意のあるテキストファイルを表示したり、
ネットワークターミナルセッション(例えば、SSHやtelnetセッションの途中
に)にそのような文字を送信したりするように仕向ければ、この脆弱性を悪用
できる。これによって、xterm from X.orgの参考実装が影響を受けるため、そ
のコードベース(XFree86など)を共有するxtermのバージョンも影響を受けるの
で注意が必要。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
X Window SystemについてのWikipediaの説明
http://en.wikipedia.org/wiki/X_Window_System
エスケープシーケンス(Escape Sequences)についてのWikipediaの説明
http://en.wikipedia.org/wiki/Escape_sequence
X.orgのホームページ
http://www.x.org
SecurityFocus BID
http://www.securityfocus.com/bid/33060

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。