NRI Secure SANS NewsBites 日本版

Vol.4 No.26 2009年6月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.26 2009年6月30日発行
**********************************************************************

注目すべき新イニシアチブ:
SANSと共同で取組みを行っている政府の全機密組織が、システム管理者による
異常事態の検知技術とその対処方法を備えた「ヒューマンセンサーネットワー
ク(Human Sensor Network)」として機能できるようなプログラムを作ろうと
立ち上がった。このイニシアチブは、攻撃者がシステムやネットワークに設置
した悪意のあるコードで、かつ存在し続けているコードを特定することが目的
であり、プログラムとしてはSANSのショートコースに四半期毎のオンライン・
ミニコースを加えた内容になる。このプログラムを通じて、脅威の変化スピー
ドに対応できる最新のスキルを維持することができるだろう。100人以上のシ
ステムアドミニストレータを抱えている方、このプラグラムの詳細を知りたい
方は、apaller@sans.orgまでご連絡を。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Future Visions 2009 Tokyo 併設トレーニング
        ★特別価格で、かつ受講者には特典あり!★
        ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      http://www.entryweb.jp/sans/training/index.html
    ---------------------------------------------------------
■Meeting the Minimum: PCI/DSS 1.2: Becoming and Staying Compliant■
  -PCI/DSSに準拠したセキュリティ実装とその手法-
     ◆2009年7月15日(水)~16日(木) 2日間
     ◇http://www.entryweb.jp/sans/training/courses/aud521.html

■SANS Security Essentials■
  -Defense In-Depth(多層防御)-
  -Internet Security Technology(インターネットセキュリティ技術)-
     ◆2009年7月16日(木)~17日(金) 2日間
     ◇http://www.entryweb.jp/sans/training/courses/sec401.html

■Cuttting-Edge Hacking Techniques■
  -最新ハッキングテクニック-
     ◆2009年7月17日(金) 1日コース
     ◇http://www.entryweb.jp/sans/training/courses/sec517.html
    ---------------------------------------------------------

         SANS Future Visions 2009 Tokyo
            ★事前登録受付け開始!★
           ~~~~~~~~~~~~~~~~~~~~~~~~
         http://www.entryweb.jp/sans/fv09/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.48-49
   (原版:2008年6月20日、6月24日配信)

◆サイバーセキュリティのレビューチーム 国家的インシデンスレスポンスプ
  ラン(2009.6.16-17)

米国のサイバーセキュリティ60日間レビューを行ったチームが、「自然災害に
値するようなサイバー上の有事の際の対応を指導できるような国家的インシデ
ントレスポンスプラン」を作成する計画だという。脅威に対する協力や、対応
を阻害するような多数の法規制を調整するプランも作成する。この取組みには、
民間セクターと議員の双方が関わる予定。このチームは、現在ホワイトハウス
・サイバーセキュリティコーディネーターの役職候補である、国家および経済
セキュリティ評議会のサイバースペース担当シニア・ディレクター代理
Melissa Hathawayが主導する。
http://gcn.com/Articles/2009/06/16/Hathaway-developing-cybersecurity-response-plan.aspx
http://www.nextgov.com/nextgov/ng_20090617_3622.php
────────────────

◆Jammie Thomas-Rasset 楽曲ダウンロードのケースで192万ドルの支払い命
  令(2009.6.18-19)

連邦陪審は、ミネソタ州のJammie Thomas-Rassetが著作権法に故意に違反して
いたと判断。陪審は、Thomasがダウンロード1曲につき8万ドル、総額192万ド
ルを全米レコード協会(RIAA)に支払うこととした。これはThomas-Rasset2度
目の裁判である。最初の裁判は、担当判事が陪審への伝達を正しく行っていな
かったとして無効審理となり、24曲各曲につき9,250ドルの罰金、総額22万ド
ルという結果になっていた。
http://www.crn.com/software/218100291;jsessionid=IWBPIKJBSN5BSQSNDLPSKH0CJUNN2JVN
http://www.pcmag.com/article2/0,2817,2349029,00.asp
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9134571
────────────────

◆専門家談:Google Cloud デフォルトでセキュリティを有効に(2009.6.17)

サイバーセキュリティとプライバシーの専門家は、GoogleのCEOのEric
Schmidtに書簡を送った。その中で同社に対し、「業界基準である通信暗号化
技術(HTTPS)をGoogle Mail、Docs、Calendarに適用し、窃盗やスヌーピング
からユーザーの通信を守るよう」求めた。これらのサービスではデフォルトで
暗号化が有効となっていないため、喫茶店、図書館、学校など公共のネットワー
ク上で作成された文書やメールは、スヌーピングに対して脆弱である。より堅
牢なセキュリティ対策を有効にするオプションがあるものの、その存在を知ら
ないユーザーは多い。
http://www.vnunet.com/computing/news/2244306/privacy-experts-concerned
http://files.cloudprivacy.net/google-letter-final.pdf
────────────────

◆Bord Gais社 盗まれたノートパソコンに機密の顧客情報(2009.6.17-18)

アイルランドのガス・電力会社Bord Gaisのオフィスから盗まれた4台のノート
パソコンのうち1台に、同社の顧客7万5000人の個人情報が入っていたという。
侵害された情報には銀行情報があり、Bord Gaisが行った"Big Switch"電力キャ
ンペーンに参加した顧客に影響が及ぶ。盗まれたのは2009年6月5日。その際、
警察とアイルランド・データ保護長官には、すぐ報告が入った。このデータセ
キュリティ侵害によって影響を受けた顧客に対し、今後数週間以内に連絡が行
くという。現在、同社のマシンは全て暗号化されている模様。
http://www.siliconrepublic.com/news/article/13218/cio/75-000-customers-bank-details-on-stolen-bord-gais-laptop
http://news.bbc.co.uk/2/hi/europe/8106231.stm
http://www.irishtimes.com/newspaper/breaking/2009/0618/breaking29.htm

【編集者メモ】(Honan)
アイルランドに、データ保護策を怠った企業に罰則を科すような厳格な法律が
導入されない限り、このような話を繰り返し聞くことになるのは間違いない。
記録によれば、私の個人情報もこのノートパソコンにあったようだ…。これで、
私が契約しないと決めた電力会社はどこか、もちろんおわかりだろう。
────────────────

◆ネバダ州法 PCI DSSへの遵守義務付け(2009.6.20)

2010年1月1日より、ネバダ州で事業を行っていて決済カードを受け入れている
企業は、PCI DSSの遵守を義務付けられる。ネバダ州はこれを行う最初の州と
なる。ほか、社会保険番号や自動車免許番号、口座番号とパスワードなどの個
人情報を保持している企業もその情報を社外に送信する際、暗号化の使用が義
務付けられる。
http://www.boazgelbord.com/2009/06/nevada-mandates-pci-standard.html

【編集者メモ】(Schultz)
ネバダ州の試みは、今後トレンドとなっていくだろう。PCI DSSでは、理想的
なセキュリティレベルと実際に達成可能で適度なそれの双方のバランスが保た
れている。このトピックについて私が最近書いた一連のブログ記事(先週一週
間とその多少前からの分)があるので、是非blog.emagined.comでご一読を。
【編集者メモ】(Pescatore)
クレジットカードでの支払いを受け入れている店舗は、すでにPCI DSS遵守証
明が必要とされている。これを踏まえると今回の改正は、店舗がPCI DSSを遵
守していると証明できさえすれば免責されるという意味合いになる。それは決
してよいこととは言えない。
────────────────

◆新法案 カナダ警察と国家安全保障局によるISP契約顧客情報へのアクセス
  を簡便に(2009.6.18)

カナダでは、警察と国家安全保障局がインターネットサービスプロバイダ
(ISP)の契約者の氏名や住所、IPアドレスといった情報にタイムリーにアク
セスできるようになる法案を懸案中だ。同法によってISPらは、傍受を可能に
する装置をネットワークにインストールする義務を課されることになる。対象
の情報には令状無しでアクセスしてよいことになるが、通信を傍受したい場合
には令状が必要。この新装置の費用はISP側が負担しなければならない。また、
同法が可決されれば、その後18ヶ月以内に法律に準拠した装備にしなければな
らないが、小規模なISPについてはその期間が3年に設定されている。
http://www.theregister.co.uk/2009/06/18/canada_isp_intercept_bills/
────────────────

◆ドイツ:ハッキングソフト使用の犯罪扱い 合憲審査は辛くもパス
  (2009.6.29)

ドイツ連邦違憲審査裁判所は、ハッキングソフトウェアの使用を犯罪と見なす
行為は違憲であるとする上訴を認めない裁定に達した。原告であるIT企業、学
識者、コンピュータユーザーらは、ドイツ刑法にある2つの条項に則り、職務
でハッキングプログラムを使用していればこの行為は犯罪となるという説を採っ
ている。しかし法廷は、同法は犯罪を目的として作成されたツールのみに適用
されると判断。合法的な目的で使用されるか、もしくは善意・悪意の双方と考
えられる場合、同法の対象範疇には入らないという。また、合法的な目的で使
用している者も起訴の対象にはならない。
http://www.h-online.com/security/Appeal-to-constitutional-court-over-hacker-clauses-inadmissible--/news/113571

【編集者メモ】(Ullrich)
この判決で、ソフトウェア自体ではなく意図や目的が重要であるという同法の
スタンスが、さらに固まったことになる。今のところ、新法で有罪となった者
はいない。
────────────────

◆HeartlandのCEO 業界のセキュリティ改善を視野に前進(2009.6.17)

アナリストらは、今年はじめに露呈されたHeartland Payment Systems社にお
ける大規模なセキュリティ侵害を受けてCEOのRobert Carrがとった対応に、好
意的な反応を示している。同様の立場にいる多くのCEOが身を隠そうとする可
能性のある場面でCarrはあえてその姿を現し、決済システム産業におけるデー
タ保護の風潮を改善する一歩を踏み出した。Carrによれば、PCI DSSでは実務
に役立つセキュリティレベルを満たせていないという。現在、Carrは自社に
end-to-endの暗号化を導入中で、第3四半期までには完了すると見込まれてい
る。同社は「ネットワーク上で送信される暗号化データのための産業基準の設
置」も推進しているほか、決済処理機による脅威や脆弱性の情報共有を目的と
した決済処理情報共有評議会(Payments Processing Information Sharing
Council)の共同設立企業にもなっている。侵害を受けた後、既存の基準に対
して必要な改善措置を行おうとするCarrとは対照的なアプローチといえば、イ
スラエル航空のElAlがとった姿勢である。1970年代、同社は幾度もハイジャッ
クを経験したため、白紙状態からセキュリティを構築し、現在ある「世界で最
も安全な航空会社」という評価を得るに至ったのだ。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=340371
http://blogs.wsj.com/digits/2009/06/17/heartland-gets-religion-on-security/

【編集者メモ1】(Schultz)
熱心な情報セキュリティ専門家なら、Robert Carrを賞賛せずにはいられない
だろう。彼の方向転換により、Heartland Payment Systemsはベストプラクティ
スの状態に大幅に近づくことができた。それにとどまらず、情報セキュリティ
の価値を認識できていないその他のCEOらにとって素晴らしい模範ともなるだ
ろう。
【編集者メモ2】(Honan)
どんな組織であっても必ずどこかで侵害を経験することになる、という現実を
受け入れなければならない。侵害発生後の対応の仕方で、顧客であれ株主であ
れ、今後の利害関係者の組織に対する見方が変わってくる。この事例を見れば、
経営上層部からの明瞭でオープン、かつタイムリーなコミュニケーションが、
信頼を再構築するのに有用であることがわかるだろう。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
     SANS Tokyo 2009-2010 トレーニングイベント 開催決定!
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
      http://www.entryweb.jp/sans/training/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年6月20日 Vol.8 No.25)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          5
Linux                      1
BSD                       2
Solaris                     2
クロスプラットフォーム             66 (#1, #2, #3, #4)
Webアプリ - クロスサイトスクリプティング    12
Webアプリ - SQLインジェクション         9
Webアプリ                    16
ネットワークデバイス               1
======================================================================

Apple Mac OSとThunderbirdのFirefoxが、今週の重大な脆弱性にあがっている。
Alan
────────────────

1.危険度【重大】:Mozillaの複数の製品にさまざまな脆弱性

<影響のある製品>
Mozilla Firefox 3.0.11より前のバージョン
Mozilla Thunderbird 2.0.0.22より前のバージョン
Mozilla SeaMonkey 1.1.17より前のバージョン

<詳細>
WebブラウザのFirefox、インターネットスイートのSeaMonkey、メールクライ
アントのThunderbirdなどMozilla Foundationのさまざまな製品に複数の脆弱
性がある。1つめの脆弱性は、ブラウザエンジンやJavaScriptエンジンのエラー
およびダブルフレーム構造を引き起こすエラーが原因で生じる。悪用されると
メモリ崩壊が引き起こされ、任意のコードの実行につながるおそれがある。2
つ目の問題は、ロケーションバーのスプーフィングが可能になってしまうとい
うもので、不正形式のUnicodeの文字が、ホワイトスペース文字として表示さ
れるために引き起こされる。3つ目の問題は任意のドメインのクッキーへのア
クセスで、これは"file:"プロトコルの処理時に適正なチェックが行われない
ために生じる。4つ目の問題は、リクエスト"Host:"ヘッダー関連のCONNECTリ
クエストに対するnon-200レスポンスのレンダリングが正しく行われないため
に生じる。これによって任意のHTMLおよびスクリプトの実行につながるおそれ
がある。5つ目の問題は、Javaオブジェクトの破壊後に開放されたメモリを読
むため、およびjavaアプレットのロード時にWebページから遠ざかって引き起
こされる破壊が原因で解放後使用(use-after-free)の脆弱性である。6つ目
の問題は、エレメントのオーナー文書がガベージコレクションの後で無効になっ
てしまうことで、これによって、悪意のあるイベントハンドラを介してchrome
権限でJavaScriptを実行されるおそれが生じる。7つ目の問題は、ロケーショ
ンバーのロード時に"file:"リソースが以前ロードされた文書のプリンシパル
が継承されるために生じる、ローカルファイルへの未承認アクセスだ。8つ目
の問題は、XUL文書へ外部スクリプトのロード時にコンテンツ・ローディング
ポリシーを正しく処理できないために生じるセキュリティ制限回避の問題であ
る。9つ目の問題は、chromeオブジェクト権限で、アタッカーがコードを実行
できるようになるおそれがある問題だ。ソースコードを解析すれば、これらの
脆弱性の詳細がわかる。

<現状>
ベンダーはこの問題を認識しており、更新もリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2009/mfsa2009-24.html
http://www.mozilla.org/security/announce/2009/mfsa2009-25.html
http://www.mozilla.org/security/announce/2009/mfsa2009-26.html
http://www.mozilla.org/security/announce/2009/mfsa2009-27.html
http://www.mozilla.org/security/announce/2009/mfsa2009-28.html
http://www.mozilla.org/security/announce/2009/mfsa2009-29.html
http://www.mozilla.org/security/announce/2009/mfsa2009-30.html
http://www.mozilla.org/security/announce/2009/mfsa2009-31.html
http://www.mozilla.org/security/announce/2009/mfsa2009-32.html
ベンダーのホームページ
http://www.mozilla.org
SecurityFocus BID's
http://www.securityfocus.com/bid/35326/
http://www.securityfocus.com/bid/35372
http://www.securityfocus.com/bid/35371
http://www.securityfocus.com/bid/35360
http://www.securityfocus.com/bid/35373
http://www.securityfocus.com/bid/35370
http://www.securityfocus.com/bid/35386
http://www.securityfocus.com/bid/35380
http://www.securityfocus.com/bid/35388
http://www.securityfocus.com/bid/35383
http://www.securityfocus.com/bid/35377
http://www.securityfocus.com/bid/35391
────────────────

2.危険度【重大】:Apple Mac OS XのJava Pointerの逆参照にリモートでコー
  ドが実行される脆弱性

<影響のある製品>
Apple Mac OS X 10.5.7
Apple Mac OS X 10.5.6
Apple Mac OS X 10.5.5
Apple Mac OS X 10.5.4
Apple Mac OS X 10.5.3
Apple Mac OS X 10.5.2
Apple Mac OS X 10.5.1
Apple Mac OS X 10.5

<詳細>
Apple Mac OS XにデフォルトでインストールされているJava Runtime
Environmentには、リモートでコードが実行される脆弱性がある。このエラー
は、"apple.laf.CColourUIResource"コンストラクタへの入力検証が正しく行
われないために生じる。このコンストラクタへの最初の引数(長い整数)が、
C-オブジェクトへのポインタとして認識されてしまうのだ。悪用されると、脆
弱な実装上でログオンしたユーザー権原で任意のコードを実行されるおそれが
ある。このアタックを実行するには、悪意のあるページを訪問するようにユー
ザーに働きかけなければならない。

<現状>
ベンダーはこの問題を認識しており、更新もリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-043/
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3632
ベンダーのホームページ
http://www.apple.com/
SecurityFocus BID
http://www.securityfocus.com/bid/35381
────────────────

3.危険度【重大】:Apple iPhoneとApple iPod touchにさまざまな脆弱性

<影響のある製品>
iPhone OS 1.0から2.2.1まで
iPod touch 1.1から2.2.1までのiPhone OS

<詳細>
Apple iPhoneとApple iPod touchには、Webページコンテンツ、特定の画像、
動画、文書形式、ICMP echoリクエスト、メール、特定の信頼できない
Exchangeサーバの証明書、その他の入力処理など、あらゆるものにさまざまな
脆弱性がある。これらの脆弱性を利用されると、セキュリティ制限の回避、情
報開示、クロスサイトスクリプティング、クロスサイトリクエストフォージェ
リ、DoS状態の誘引、システム侵害などを実行されるおそれがある。これらの
脆弱性は、インテジャーオーバーフロー、バッファオーバーフロー、インテジャー
アンダーフロー、解放後使用(use-after-free)、初期化されていないポイン
タ、インプット検証エラーなどによって引き起こされる。これらの脆弱性の中
には、技術的詳細がいくつか公表されているものもある。
<現状>
ベンダーはこの問題を認識しており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3639
製品のホームページ
http://www.apple.com/iphone/
http://www.apple.com/ipodtouch/
SecurityFocus BID
http://www.securityfocus.com/bid/35414/
────────────────

4.危険度【高】:Green DamのWebフィルタリングおよびブラックリスト更新に
  バッファオーバーフローの脆弱性

<影響のある製品>
Green Dam 3.x

<詳細>
Green Damは、ポルノ画像や政治的に慎重に扱うべきコンテンツをブロックす
るための検閲プログラムである。しかし、2つのバッファオーバーフローの脆
弱性がある。1つ目の問題はWebリクエストを処理するコードにあるバウンダリ
エラーで、これにはURL処理用の固定バッファがあるため、過剰に長いURLがあ
るとオーバーフローしてしまう。これらが悪用されると、任意のコードを実行
される可能性がある。2つめの問題はブラックリストの更新にあり、これは安
全でないC文字列ライブラリを使用するフィルタファイルをGreen Damが読む方
法が原因で生じる。これはバッファオーバーフローや、最終的にはコード実行
につながるおそれがある。これらの脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認識しており、更新をリリースしている。

<参考>
Green Dam Censorware Systemの分析
http://www.cse.umich.edu/~jhalderm/pub/gd/
Green DamについてのWikipediaの説明
http://en.wikipedia.org/wiki/Green_Dam_Youth_Escort
Milw0rmのエクスプロイト-8938
http://milw0rm.com/exploits/8938
製品オンホームページ
http://www.lssw365.net/
Secuniaのアドバイザリ
http://secunia.com/advisories/35435

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。