NRI Secure SANS NewsBites 日本版

Vol.4 No.23 2009年6月9日発行

***********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.23 2009年6月9日発行
**********************************************************************

■はじめに

NewsBites速報(5月29日 午前11:15)

さんさんと日の照るホワイトハウス東の間は、TV撮影用の照明のおかげで一層
明るく、60日レビューで何らかの役割を担った100人以上の人々と50人のレポー
ターやカメラマンでごったがえしている。これらの人々は皆、オバマ大統領に
よるサイバースペースポリシーレビュー(Cyberspace Policy Review)の結果
発表を今か今かと待っているのだ。皆声を潜めているものの、漲るエネルギー
レベルは相当なもの。そこへついに大統領が到着。「転換の時期に来ている」
と始まり、以下のように続けた。「サイバースペースは実在するが、それに伴
うリスクもまた実在する。私自身もその問題に個人的に直面したことがある。
総選挙の時、ハッカーが我々の選挙用コンピュータネットワークに侵入し、私
のメールとポリシー文書、出張プランにアクセスしていたことがあった」

その後、大統領は問題の領域(国家として我々がなすべき最も重大な課題と、
その必要性に見合うほど準備ができていない現状)を説明し、24項目の主要行
動計画からなる新しいサイバースペースポリシーレビューに言及した。行動計
画のほとんどはポリシーと戦略を基盤としており、それ自体が大きな影響を及
ぼすものではない。しかし、そのうち以下2点の行動計画は注目に値するとい
えるだろう。
(1) ホワイトハウスの役人の1人をサイバーセキュリティコーディネータ
   (Cyber Security Coordinator)という役職に就かせ、大統領直属で政府
   のサイバーセキュリティを監視する。(これによって、前政権で生じた大
   きなエラーを是正することができる)
(2) 政府の調達力を利用して、安全で回復力のあるハードウェアを作るための
   業界内インセンティブを高める。(連邦政府のIT関連の年間費用は700億
   ドル。これは、国家がセキュリティを向上させるために使える、最も強大
   かつ唯一の武器になる)

結論からいうと、60日レビューは米国のサイバーセキュリティを向上させたい
と考えている人々にとって大きな成功といえる。

PS:ニューヨークタイムズは、これに関連した素晴らしい記事を掲載している。
司法省の新しいサイバー指令(Cyber Command)について触れている。
http://www.nytimes.com/2009/05/29/us/politics/29cyber.html?hp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Future Visions 2009 Tokyo 併設トレーニング
           ★特別価格で申し込み受付中★
           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      http://www.entryweb.jp/sans/training/index.html
    ---------------------------------------------------------
■Meeting the Minimum: PCI/DSS 1.2: Becoming and Staying Compliant■
  -PCI/DSSに準拠したセキュリティ実装とその手法-
     ◆2009年7月15日(水)~16日(木) 2日間
     ◇http://www.entryweb.jp/sans/training/courses/aud521.html

■SANS Security Essentials■
  -Defense In-Depth(多層防御)-
  -Internet Security Technology(インターネットセキュリティ技術)-
     ◆2009年7月16日(木)~17日(金) 2日間
     ◇http://www.entryweb.jp/sans/training/courses/sec401.html

■Cuttting-Edge Hacking Techniques■
  -最新ハッキングテクニック-
     ◆2009年7月17日(金) 1日コース
     ◇http://www.entryweb.jp/sans/training/courses/sec517.html
    ---------------------------------------------------------

         SANS Future Visions 2009 Tokyo
            ★事前登録受付け開始!★
           ~~~~~~~~~~~~~~~~~~~~~~~~
         http://www.entryweb.jp/sans/fv09/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.42-43
   (原版:2008年5月30日、6月3日配信)

◆銀行 侵害発生前にCardSystems Solutions社を認定した企業を告訴
  (2009.5.26-27)

Merrick銀行はSavvis社に対する訴えを起こした。これはSavvis社が、大規模
なデータセキュリティ侵害を受けたカード決済処理業者のCardSystem
Solustions社を、その1年ほど前にVisa・MasterCardのセキュリティ必須条件
を満たしていると認めていたことによる。Merrick銀行はこの侵害が原因となっ
た不正決済で、基準に準拠していない決済業者を使用したことによるクレジッ
トカード企業への補填、この侵害で影響を受けた銀行に対する賠償、法的措置
にかかる費用など、合わせて160億ドルの出費を強いられたという。
CardSystems社がサーバに保存していたデータは暗号化されていなかったため、
クレジットカード口座4,000万件の情報を盗み出された経緯がある。
http://www.finextra.com/fullstory.asp?id=20067
http://www.digitaltransactions.net/newsstory.cfm?newsid=2221

【編集者メモ1】(Pescatore)
この訴えがこのまま継続されるには、監査当時、問題の「準拠していない」状
態にあったかどうか証明しなければならないが、それには相当な努力が必要だ。
しかし、PCIの監査プロセスに外部の目が入るのはよいことだ。
【編集者メモ2】(Schultz)
当該組織が(たぶん最も重要なのは、データセキュリティ侵害発生当時に)
PCI DSSに準拠していたかどうか、という問題は複雑化する一方だ。銀行や店
舗などがPCI DSS監査に合格していたとしても、クレジットカード情報に関連
した侵害がその後どこかで発生すると、PCI(決済カード産業)コンソーシア
ムが突然、「その組織は準拠していない」と言い出すケースがきっとますます
増えるだろう。また、PCI DSSは、完全なデータセキュリティに近いものを求
めているわけでもなく、監査自体も100%行えているわけではない。したがっ
て、システムがネットワークに接続している限り、常にリスクはそこにある。
PCI DSSの監査人がその後のセキュリティ侵害の責任を負わされるというのな
ら、残念だが監査費用は今後暴騰し、とても抑えることなどできないだろう。
【編集者メモ3】(Hoelzer)
法というのは、組織に責任を持たせるのには重要なシステムだ。今回の出来事
に、PCIはハラハラさせられているに違いない。PCI DSSは完璧ではないが、ス
タートとしては有用だ。しかしながら、このような訴訟が増えてくると基準の
形骸化が進み、それ自体を排除しようという動きにつながりかねない。基準の
存在によって、責任の増加傾向に拍車をかけるかもしれないからだ。
────────────────

◆大統領によるサイバーセキュリティの現状報告 サイバー専門の官職を設け
  る?(2009.5.26)
  ※今号「■はじめに」参照

米政府のサイバーセキュリティ60日レビューの結果が5月29日金曜日に発表さ
れる。東部標準時の午前11時少し前から、オバマ大統領よりプレスカンファレ
ンスで同報告書についての説明が行われる。あるホワイトハウス関係者による
と、国家的なサイバーセキュリティを担う官職がホワイトハウスに設けられる
という発表があるらしい。この官職の正確なランクや官職名などはまだ決定し
ていないが、この新たなアドバイザは国家安全保障会議のメンバーである可能
性が高く、国家安全保障補佐官およびホワイトハウス経済顧問の直属になると
いう。
http://www.washingtonpost.com/wp-dyn/content/article/2009/05/25/AR2009052502104.html
http://www.msnbc.msn.com/id/30947593/
http://gcn.com/Articles/2009/05/27/White-House-cybersecurity-report-coming.aspx
http://fcw.com/Articles/2009/05/26/cybersecurity-review-report-Gibbs.aspx

【編集者メモ】(Skoudis)
不運にも、アタッカーがその能力を強化し、我々を安全でない環境へと導ける
ご時勢になってしまっているのに、民間産業によるセキュリティ対策姿勢は向
上しないままである。だからこそ、米政府が情報セキュリティへの取り組み範
囲の拡大と強化に急ぐ結果になったのだ。
────────────────

◆欧州委員会 データ保持法を導入できていないスウェーデンを訴える意向
  (2009.5.26-27)

欧州委員会は、データ保持法を導入できていないスウェーデンを訴える意向だ。
EUのデータ保持法は2006年3月に可決されている。これによると、加盟各国は
2009年3月までに同法を導入しなければならないとある。スウェーデン政府は、
今後数ヶ月以内に導入する計画だ。また、電気通信プロバイダに対して特定の
訴訟事件に関するデータの提出を義務付けるIPRED(Intellectual Property
Rights Enforcement Directive:知的財産権の施行の指令に基づく規則)にも、
この4月までに準拠しなくてはならないはずだった。インターネットサービス
プロバイダ(ISP)の中には、ユーザーのデータを定期的に削除して、この必
須条件を巧みにかわしているところもあるようだ。データ保持法が施行されれ
ば、データをあまり早期に削除すると違法となる。ただ、この法の条項は欧州
人権条約(European Convention on Human Rights)と相いれないという声も
ある。
http://arstechnica.com/tech-policy/news/2009/05/eu-sues-sweden-demands-law-requiring-isps-to-retain-data.ars
http://www.networkworld.com/news/2009/052709-swedish-politicians-challenge-eu-data.html
http://www.thelocal.se/19680/20090526/
────────────────

◆サイバーセキュリティのレビュー報告に対する反応(2009.5.30-6.1)

サイバーセキュリティ60日レビューの報告書発表に対し、多くの反響があった。
重要な懸念事項として浮上したものの1つは、官民両セクターの情報共有につ
いてであった。1998年大統領決定指令63(1998's Presidential Decision
Directive63)で設けられた各産業それぞれの情報共有分析センター(ISACs)
は、参加者同士の信頼が欠けていたために、1つを除いてすべて失敗に終わっ
てしまった。政府は、購入する製品にセキュリティを組み込むことを義務付け
るなど、手本を示すために労力をつぎ込むべきだろう。
http://www.businessweek.com/technology/content/may2009/tc20090529_293343.htm?chan=technology_technology+index+page_top+stories
オバマ大統領の政策綱領とサイバーセキュリティコーディネータの設置計画に
ついて、サイバーセキュリティに関係のある各産業のリーダーが示した反応は
こちら:
http://lastwatchdog.com/obama-inserts-white-house-leadership-role-secure-internet/
議員らの支援意見はこちら:
http://fcw.com/Articles/2009/05/29/Web-lawmakers-Obama-cybersecurity.aspx
────────────────

◆第一人者の言葉(2009.5.28-6.1)

Gartner副社長兼アナリストのJohn Pescatoreによると、国家のサイバーセキュ
リティは、サイバーセキュリティの第一人者を置くよりも、連邦政府のCIOオ
フィスに指揮をとらせた方がうまくことが運ぶという。「セキュリティの高い
官民の組織には、必ずといってよいほど強力なセキュリティ担当部門とCIOが
いる。したがって、政府もそれを模範とするべきだ」そのほか、サイバーセキュ
リティコーディネータという官職は発表されたものの、その詳細に欠けている
ため、今のところこの官職にどれだけの権限が与えられるのかは、まだ推測の
域を出ないという懸念の声もある。
http://www.informationweek.com/news/government/federal/showArticle.jhtml?articleID=217700656
http://www.nextgov.com/nextgov/ng_20090601_6398.php

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
     SANS Tokyo 2009-2010 トレーニングイベント 開催決定!
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
      http://www.entryweb.jp/sans/training/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年5月29日 Vol.8 No.22)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          4
Linux                      1
Solaris                     2
Aix                       1
Novell                     3 (#3)
クロスプラットフォーム             13 (#1, #2)
Webアプリ - クロスサイトスクリプティング    11
Webアプリ - SQLインジェクション        16
Webアプリ                   26
ネットワークデバイス              1
======================================================================

Apple QuickTimeとBlackberryユーザーには、処理すべき重大な問題がある。
────────────────

1. 危険度【重大】:Apple QuickTime PICTにヒープオーバーフローの脆弱性

<影響のある製品>
Apple QuickTime 7.6より以前のバージョン

<詳細>
Apple QuickTimeは、メディアプレーヤーとして広範に使用されているが、不
正形式の.PICT画像の解析にヒープベースのバッファオーバーフローがある。
このエラーは、polyタグ0x77の付いたPICT画像を解析するときに生じる。この
アプリケーションは、タグデータを配置するときに16ビットの長さを正しく使
用できないため、ヒープベースのバッファオーバーフローに至ってしまうとい
う。悪用により、ログインしたユーザー権限で任意のコードを実行されるおそ
れがある。実現するには、犠牲者(ユーザー)が悪意のあるサイトを訪問する
か悪意のあるファイルを開くなど、何らかの操作を行う必要がある。

<現状>
ベンダーは問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブ
http://www.zerodayinitiative.com/advisories/ZDI-09-021/
Appleナレッジベースの記事
http://support.apple.com/kb/HT3549
ベンダーのホームページ
http://www.apple.com/macosx/
SecurityFocus BID
http://www.securityfocus.com/bid/34938/
────────────────

2.危険度【重大】:BlackBerryの添付サービスのPDF distillerにさまざまな脆
  弱性

<影響のある製品>
BlackBerry Enterprise Server Software4.1 Service Pack 3(4.1.3)から
5.0まで
BlackBerry Professional Software 4.1 Service Pack 4(4.1.4)

<詳細>
The Research In MotionのBlackBerryは、携帯電話兼メッセージングデバイス
として広範に使用されている。BlackBerryのハンドヘルドデバイスは、
BlackBerry Enterprise Serverを介して企業のメッセージング用インフラと連
携できるようになっている。しかし、このサーバソフトウェアとBlackBerryの
プロ仕様ソフトウェアのバージョンにおいては、BlackBerry添付サービス(い
ろいろなファイル形式を閲覧するのに使用されるサービス)に詳細不明な脆弱
性がある。エラーは添付サービスのPDF distillerコンポーネントにある。細
工されたPDFファイルが、BlackBerryで開かれるとこの脆弱性が生じ、メモリ
崩壊を引き起こす。悪用により、任意のコードを実行されるおそれがある。実
現するには、ユーザーがBlackBerryの携帯デバイスでPDFを開く必要がある。
技術的詳細は一切公表されていない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Research In Motionのセキュリティアドバイザリ
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB18327"
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB18327
BlackBerryについてのWikipediaの説明
http://en.wikipedia.org/wiki/BlackBerry
ベンダーのホームページ
http://www.blackberry.com
SecurityFocus BID
http://www.securityfocus.com/bid/35102
────────────────

3.危険度【高】:Novell GroupWiseにさまざまな脆弱性

<影響のある製品>
Novell GroupWise 7.0 から 7.03 HP2まで
Novell GroupWise 8.0 から8.0.0 HP1まで

<詳細>
Novell GroupWiseはNovellの企業用グループウェア・ソリューションである。
NovellのGroupWise WebAccessとInternet Agentにはさまざまな脆弱性がある
ことがわかった。1つ目は、フィルタリングされていないExpressionを介して
Group WebAccessに生じるクロスサイトスクリプティングの脆弱性だ。悪用に
より、コードインジェクションが行われるおそれがある。2つ目の脆弱性は、
GroupWiseのWebAccessがスクリプティングをブロックする方法にある。悪用さ
れると、認証されているユーザーのアカウントにアクセスされる可能性がある。
3つ目の脆弱性は、入力がGroupWise WebAccessによって正しくサニタイズされ
ない問題だ。アタッカーはログインのページの外観を損ねることができるよう
なるため、ユーザーがWebAccessにログインするのを阻止してしまう。4つ目の
脆弱性は、GroupWise Internet Agentが特定のSMTPリクエストを処理する方法
にある、詳細不明なエラーである。悪用により、任意のコード実行につながっ
てしまう。5つ目の問題は、GroupWise WebAccessセッション管理機能の脆弱性
にある。これによって、認証されたユーザーのアカウントにアクセスされるお
それがある。6つ目の問題は、Novell GroupWise Internet AgentがSMTPプロト
コルの特定のメールアドレスを処理する方法にある。悪用により、システム権
限で任意のコードを実行されるおそれがある。技術的詳細のいくつかが公表さ
れている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Novell GroupWiseのセキュリティアドバイザリ
http://www.novell.com/support/viewContent.do?externalId=7003266
http://www.novell.com/support/viewContent.do?externalId=7003267
http://www.novell.com/support/viewContent.do?externalId=7003268
http://www.novell.com/support/viewContent.do?externalId=7003271
http://www.novell.com/support/viewContent.do?externalId=7003272
http://www.novell.com/support/viewContent.do?externalId=7003273
製品のホームページ
http://www.novell.com/products/groupwise/
SecurityFocus BID
http://www.securityfocus.com/bid/35061
http://www.securityfocus.com/bid/35064
http://www.securityfocus.com/bid/35065
http://www.securityfocus.com/bid/35066

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。