NRI Secure SANS NewsBites 日本版

Vol.4 No.22 2009年6月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.22 2009年6月1日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Future Visions 2009 Tokyo 併設トレーニング
           ★特別価格で申し込み受付中★
           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      http://www.entryweb.jp/sans/training/index.html
    ---------------------------------------------------------
■Meeting the Minimum: PCI/DSS 1.2: Becoming and Staying Compliant■
  -PCI/DSSに準拠したセキュリティ実装とその手法-
     ◆2009年7月15日(水)~16日(木) 2日間
     ◇http://www.entryweb.jp/sans/training/courses/aud521.html

■SANS Security Essentials■
  -Defense In-Depth(多層防御)-
  -Internet Security Technology(インターネットセキュリティ技術)-
     ◆2009年7月16日(木)~17日(金) 2日間
     ◇http://www.entryweb.jp/sans/training/courses/sec401.html

■Cuttting-Edge Hacking Techniques■
  -最新ハッキングテクニック-
     ◆2009年7月17日(金) 1日コース
     ◇http://www.entryweb.jp/sans/training/courses/sec517.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.40-41
   (原版:2008年5月23日、5月27日配信)

◆ITマネージャにセキュリティポリシーの緩和を求める圧力(2009.5.20)

1,300人のITマネージャを対象に行った調査によると、「役員クラスやマーケ
ティング・販売部門から、Webセキュリティポリシーを緩和し、Googleアプリ
などWebベースのプラットフォームにアクセスできるようにせよ、との圧力を
受けている」という回答者は86%だった。回答者の半数近くが「社員の中には
セキュリティポリシーを回避してTwitterやFacebookのようなサービスにアク
セスしている者もいる」と回答したほか、半数以上が「自分には埋め込まれた
悪意のあるコードの検知方法およびURLリダイレクト攻撃回避方法について知
識が不足している」と回答している。
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1356896,00.html#

【編集者メモ1】(Pescatore)
FacebookやTwitter、その類に社員がアクセスできるようにして生じるリスク
は、概してWebアクセスを許可して生じるリスクとあまり変わらない。今日は、
外部へのブロックに加えて、外部からのフィルタリングも行うWebセキュリティ
サービスが、絶対必要とされている。さらに、ノートパソコンのユーザーを保
護するために、プロキシサービスを介して前述の保護対策を拡大する能力も必
要とされている。したがって、業務データの保管や共同作業にGoogleアプリを
使用するのは、全く別の問題である。それには、事業の強みとなるようなセキュ
リティと、信頼性を高める機能(今はまだその多くが欠けている)を加える必要
があるだろう。
【編集者メモ2】(Ranum)
「まだ何も起きていない」ことを理由に、目先の利便性に目がくらんでリスク
を冒してしまうと、後々問題点を是正するために多大な費用を要する結果とな
る。残念ながら、後から修正がきかないケースもしばしばあるのが現状だ。そ
ういった場合は、ほぞを噛む思いで法外な代金を支払うしかない。コンピュー
タセキュリティを考える際は、長期的視点に立つ必要があるのだ。
【編集者メモ3】(Paller)
人間は、車の運転のように危険なことをたくさんする。なぜなら、その利便性
はリスクを冒すに値するからだ。クラウドコンピューティングの価値を考える
と、確かにリスクに値するかもしれない。しかし、John Pescatoreのようなア
プローチでより強力なコントロールを埋め込み、リスクを許容範囲内に抑えた
方がバランスが良いというものだろう。
────────────────

◆GAOの報告書:連邦政府局にはセキュリティコントロールがまだ足りない
  (2009.5.21)

米国説明責任局(GAO)の報告書によると、主要な24政府局のうち1つを除いた全
ての局において、情報セキュリティプログラムのデータアクセスコントロール
が瑣末なままであるという。この報告書では、各政府局が連邦情報セキュリティ
マネジメント法(FISMA)で言及されている規制をどのように適用しているのか
説明している。
http://www.scmagazineus.com/GAO-report-finds-security-lagging-at-federal-agencies/article/137221/
http://www.gao.gov/new.items/d09701t.pdf

【編集者メモ】(Schultz)
FISMA(実際のところ、膨大な量のお役所的事務仕事と変わらない)は、まさに
巨大すぎて役に立たない。米国政府は情報セキュリティ規制を真に適正なもの
にすべき時期に来ている。
────────────────

◆削除された写真はすぐには消えない(2009.5.21)

研究者らは、ソーシャルネットワーキングサイトに掲示された写真が、ユーザー
による削除後でも閲覧可能であることがよくあるとの発見をした。彼らは、ソー
シャルネットワーキングおよびWeb2.0の、合わせて16サイトに写真を掲示し、
そのURL情報を記録、その後画像を削除した。しかし、写真削除後1ヶ月経って
も7サイトで閲覧できたという。Flickerなどの写真共有Webサイトでは、画像
の除去がしっかり行われていたものの、その他のサイトでは、ユーザーがメイ
ンのWebサイトから写真を削除しても、写真サーバに残されたままだった。
Facebookの広報によると、掲載された画像は上書きされるまでコンテンツデリ
バリネットワーク(CDN)に残るため、URLはユーザーが写真を削除した後でも少
しの間機能し続けるという。
http://www.theregister.co.uk/2009/05/21/zombie_photos/
http://news.bbc.co.uk/2/hi/uk_news/8060407.stm

【編集者メモ】(Schultz)
大して驚くべき発見でもなかろう。Waybackなど、過去に存在したWebページを
何年にもわたっていまだに提供し続けているのだから。
────────────────

◆国際電気通信連合 サイバー犯罪法の法整備用のツールキットを発表
  (2009.5.24)

国際電気通信連合(ITU)は、サイバー犯罪法の作成時に各国がガイダンスとし
て使えるような、サイバー犯罪法の法整備用ツールキットを発表した。この文
書を作成したグループは、オーストラリア、カナダ、中国など、複数国の既存
の法をもとに文書をまとめた。このツールキットには、ITUグローバルサイバー
セキュリティアジェンダの7つの戦略目標の最初の目標についての記述がある。
各国・地域の既存のサイバー法措置をグローバルに適用・相互運用可能な形に
した、サイバー犯罪法のモデルを作成する戦略の詳細が書かれているのだ。法
言語のサンプルや、世界各国のサイバー犯罪法の基盤、参考資料のリストも提
供されている。
http://www.h-online.com/security/ITU-calls-for-global-cybersecurity-measures--/news/113360
http://www.itu.int/ITU-D/cyb/cybersecurity/projects/cyberlaw.html
http://www.itu.int/ITU-D/cyb/cybersecurity/docs/itu-toolkit-cybercrime-legislation.pdf

【編集者メモ】(Honan)
グローバルに施設を展開する組織で働いている方には、この文書の36ページ
「サイバー犯罪法の基盤」がきっと役に立つだろう。
────────────────

◆フランスの著作権侵害対策法 批判の的(2009.5.22)

フランスで問題になっている著作権侵害対策法は、1日1,000人単位でインター
ネットサービスを受けられなくなるユーザーが出るおそれのあるものだという。
この法は3振アウト制で、違法なファイル共有の抑制対策が段階を追うごとに
厳しくなるように設定されている。違反者が、メールや配達証明郵便で届く違
法ダウンロードの中止を求める警告を無視すれば、最低2ヶ月、最高1年間イン
ターネット接続を切断されるおそれがある。しかし、その場合もサービス契約
条項のもと、月々の支払いは続けなくてはならない。反対派は、ユーザーにイ
ンターネット接続を切られる前に異議を唱える権利が付与されていない点を挙
げ、施行はほぼ不可能であると主張している。英国のISP協会は先週、「これ
らの措置が受け入れられるには、法廷で証拠として認められるようにならなけ
ればならない。まだかなりの技術的進歩が求められる」と述べた。欧州議会で
も反対意見が相次いでいる。
http://www.google.com/hostednews/ap/article/ALeqM5iCQriTF8y-wLaS7VRAG0zzjO6N7gD98AMMA80
────────────────

◆米国委員会 国家によるサイバーセキュリティ調整センターの設立を求める
  (2009.5.22)

米国の国家安全保障通信諮問委員会(National Security Telecommunications
Advisory Committee)は、国家によるサイバーセキュリティ調整センター設立
の提案を承認した。同センターには官民両セクターから代表者が送られる。そ
して、政府や重要インフラのネットワークを脅かすようなサイバーアタックが
あった場合に、リアルタイムで警告を発せられるよう24時間監視を行う。
http://www.nextgov.com/nextgov/ng_20090522_5667.php
http://www.ncs.gov/nstac/nstac.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
     SANS Tokyo 2009-2010 トレーニングイベント 開催決定!
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
      http://www.entryweb.jp/sans/training/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年5月23日 Vol.8 No.21)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          8 (#1)
Mac Os                     18
Linux                      3
Solaris                     1
Cross Platform                 24 (#2)
Webアプリ - クロスサイトスクリプティング    6
Webアプリ - SQLインジェクション        18
Webアプリ                   22
ネットワークデバイス              1
======================================================================

脆弱性の少ない1週間だった。
────────────────

1.危険度【重大】:Microsoft IISのWebDAVに認証回避の脆弱性

<影響のある製品>
Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1
Microsoft Internet Information Services 6.0

<詳細>
Microsoft Internet Information Services(IIS)は、Microsoftによるサーバ
向けのインターネットベースのサービスである。しかし、リクエストされた
URLにあるUnicodeトークンを正しく処理できないため、対象のISSサーバの
WebDAVのプラグインに欠陥が生じる。これは、URIや"Translate: f"ヘッダに
Unicodeエンコード文字があるHTTPリクエストのついた、パスワードで保護さ
れているファイルの認証メカニズム回避に利用されるおそれがある。また、
Unicodeエンコード文字を含むPROPFINDリクエストを介して、WebDAVフォルダ
から、もしくはWebDAVフォルダへファイルをリストアップ、ダウンロード、アッ
プロード、改ざんするのにも悪用される可能性がある。この脆弱性の技術的詳
細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoft のセキュリティアドバイザリ(971492)
http://www.microsoft.com/technet/security/advisory/971492.mspx
Microsoft IIS 6.0 WebDAVのリモートの認証回避(Nikolaos Rangos)
http://milw0rm.com/sploits/2009-IIS-Advisory.pdf
Internet Information Services についてのWikipediaの説明
http://en.wikipedia.org/wiki/Internet_Information_Services
製品のホームページ
http://www.microsoft.com/windowsserver2003/iis/default.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/34993/
────────────────

2.危険度【高】:Network Time Protocolの'ntpd' Autokeyにバッファオーバー
  フローの脆弱性

<影響のある製品>
NTPの4.2.4p7より以前のバージョン

<詳細>
Network Time Protocol(NTP)は、ネットワーク上のコンピュータの日付と時刻
をシンクロするのに使用されるプロトコルである。しかし、ntopデーモンの1
つであるntpdには、OpenSSLサポートに応じてutokey("ntp.conf"ファイルの
"crypto pwパスワード"のラインを介して有効になる)を使用できるように設定
する際にバッファオーバーフローを引き起こす。"ntpd/ntp_crypto.c"の
"crypto_recv()"機能にある安全でない"sprintf()"コールを使用すると、バッ
ファオーバーフローのエラーにいたる。悪用されると、システムをクラッシュ
されるか、ntopデーモンの権限で任意のコードを実行される可能性がある。

<現状>
ベンダーはこの問題を認識しており、更新をリリースしている。

<参考>
Network Time ProtocolについてのWikipediaの説明
http://en.wikipedia.org/wiki/Network_Time_Protocol
ベンダーのホームページ
http://www.ntp.org/
SecurityFocus BID
http://www.securityfocus.com/bid/35017

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。