NRI Secure SANS NewsBites 日本版

Vol.4 No.27 2009年7月7日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.27 2009年7月7日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
     【いよいよ7月15日から開催!! いますぐ登録を!!】

     SANS Future Visions 2009 Tokyo 併設トレーニング
        ★特別価格で、かつ受講者には特典あり!★
        ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      http://www.entryweb.jp/sans/training/index.html
    ---------------------------------------------------------
          SANS Future Visions 2009 Tokyo
            ★事前登録受付け中!★
           ~~~~~~~~~~~~~~~~~~~~~~
         http://www.entryweb.jp/sans/fv09/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.50-51
   (原版:2008年6月27日、7月1日配信)

◆Gates 軍の統合サイバー司令の設置命令(2009.6.23-24)

米国防長官Robert Gatesは、国防省サイバー戦争およびネットワーク防御の取
り組みのために、統合軍事サイバー指令(Unified Military Cyber Command)
の設置を正式に承認した。Gatesは、この米国サイバー指令(US Cyber
Command)を国家安全保障局(NSA)長官の指揮下に置くことを推奨。副局長も
属する見込みだ。Gatesは米国戦略指令(US Strategic Command)に対し、
2009年9月1日までに導入計画を完了し、10月の初期運営を始められるように準
備を整え、2010年10月にはフル稼働せよと指示している。
http://www.msnbc.msn.com/id/31510789/ns/technology_and_science-security/
http://www.securityfocus.com/brief/978
http://www.washingtonpost.com/wp-dyn/content/article/2009/06/23/AR2009062303492_pf.html
────────────────

◆英国 国家セキュリティ戦略を発表(2009.6.25)

最近発表された英国の国家セキュリティ戦略(National Security Strategy)
によると、同政府は、新たにサイバーセキュリティ局(OCS:Office of Cyber
Security)の設置を予定しているという。OCSは、政府のサイバーセキュリティ
プログラムを管理し、官民両セクターにおける情報共有のハブとしての役割を
担うことになる。そのほか、サイバーセキュリティ業務センター(Cyber
Security Operation Centre)では、攻撃と防御の双方の観点からサイバーセ
キュリティ業務を行う。
http://news.cnet.com/8301-1009_3-10272925-83.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.scmagazineuk.com/UK-cyber-security-strategy-launched/article/139033/
http://www.theregister.co.uk/2009/06/25/uk_cyber_security_strategy/
────────────────

◆Microsoft セキュリティエッセンシャル・ベータのダウンロードを7万5000
  件に制限(2009.6.23-24)

Microsoftは、同社製のMicrosoftセキュリティエッセンシャル・ベータのダウ
ンロードサービスを終了した。このソフトウェアは当初、6月23日(火)にリ
リースされたが、24時間も経たないうちに、設定上限である7万5000件に達し
た。Microsoftセキュリティエッセンシャルの最終バージョンが、年末にリリー
スされる見込みである。このベータバージョンは、最初のテストで好ましい結
果を残している。
http://news.cnet.com/8301-13860_3-10271865-56.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.securityfocus.com/brief/976
http://www.theregister.co.uk/2009/06/24/mse_beta_halt/
http://www.theregister.co.uk/2009/06/24/ms_morro_review/
────────────────

◆英国 中国やロシアによってサイバー関連の脅威にさらされる
  (2009.6.25-26)

英国保安相West卿によると、同国は中国やロシア、アルカイダによってサイバー
関連の脅威にさらされているという。中でも一番懸念されているのは、英国の
公共事業や金融システム、政府や軍のネットワークをコントロールしているシ
ステムへのアクセスがアタッカーに取得されてしまうのではないかということ
だ。MI5、チェルトナムの政府通信本部(GCHQ)や警視庁のリスニングポスト
の専門知識を集約するため、サイバーセキュリティ業務センター(Cyber
Security Operations Centre)が新しく設立された。West卿は、政府は今後ハッ
カーを雇い、重大なシステムをアタックから保護するのに役立てようと考えて
いるという。また、英国はサイバー戦争に対する戦略策定も計画している。
http://www.theregister.co.uk/2009/06/29/cyberminister_gaffe/
http://news.bbc.co.uk/2/hi/uk_news/politics/8118729.stm
http://www.telegraph.co.uk/news/newstopics/politics/lawandorder/5634820/Al-Qaeda-China-and-Russia-pose-cyber-war-threat-to-Britain-warns-Lord-West.html
http://www.smh.com.au/technology/security/britain-hires-hacker-to-held-defend-the-realm-20090626-czbw.html

【編集者メモ1】(Schultz)
人材の審査は、情報セキュリティで最も重要なコントロール措置の1つである。
コンピュータ犯罪者を雇い入れて情報セキュリティのタスクを実行させようと
いう案が出るということは、実際には人材の審査を重要視していないと言える。
このような人間の圧倒的多数が素行調査に合格するなど、とんでもない話だ。
【編集者メモ2】(Honan)
政府が重大な情報システムの保護方法について犯罪者に相談するなど、情報セ
キュリティ産業界の真摯な専門家たちに対する侮辱にほかならない。
【編集者メモ3】(Paller)
法に触れる行為をしているかもしれないが、実は自分のスキルを国のために使
いたいと思っている……そんな若者達に対するルートがあるならば、利用する
という考えにも頷けるものがある。しかし、そこには危険が潜んでいる。サイ
バースペースには危険がつきものだ。このような人材の中からベストメンバー
を見出せなければ、我々は二重の意味でダメージを受けることになる。彼らが
我々を助けることはないという意味でのダメージ、および彼らが我々にとって
好ましくない人間を助けることになるという意味でのダメージだ。
────────────────

◆Alexander中将:サイバー指令計画とサイバー教育の概要をまとめる
  (2009.6.26)

新・米国サイバー指令(US Cyber Command)のリーダーに選出される可能性の
高いKeith Alexander中将はワシントンの大聴衆に対し、「米陣営における防
御者、運用者、悪意者、アタッカーなど、サイバースペースで活動する全ての
人間に対し、共通のトレーニングを行わなければならない」と述べた。
Alexanderは、司法省のネットワークを改善することが、この指令の第一のミッ
ションであることを明確にした。
http://www.federalnewsradio.com/index.php?nid=35&sid=1705302

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
     SANS Tokyo 2009-2010 トレーニングイベント 開催決定!
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
      http://www.entryweb.jp/sans/training/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年6月26日 Vol.8 No.26)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          2
Linux                      2
BSD                       2
Solaris                     4
クロスプラットフォーム             34 (#1, #2, #3)
Web アプリ - クロスサイトスクリプティング    3
Web アプリ - SQL インジェクション        5
Web アプリ                   9
======================================================================

ご使用のShockwaveにパッチの適用は? 現在4億5000万個のShockwaveが出回っ
ているが、ほとんどの人はパッチ適用の有無を把握していないだろう。
Windowsアップデートでは、この問題は修正されない。自宅から社内システム
に接続するときに、ユーザー自身とそのコンピュータをどのように保護すれば
よいか? この問題に対する秀逸な解決策があるという方は、
apaller@sans.org.までご一報を。いただいた情報は共有する予定。
────────────────

1.危険度【重大】:Adobe Shockwave PlayerにPointer上書きの脆弱性

<影響のある製品>
Adobe Shockwave Player 11.5.0.596までのバージョン

<詳細>
4億5000万人以上のユーザーがいるAdobe Shockwave Playerは、Adobe
Directorが作成したマルチメディアプレーヤーである。これによって、Adobe
のアプリケーションで、Shockwaveプラグインとともにインストールされたブ
ラウザによって、パブリッシングや閲覧が行える。しかし、不正にメモリが上
書きされてしまうエラーがあり、リモートでのコード実行につながるおそれが
ある。この欠陥は、細工されたDirectorファイルの解析時に脆弱なShockwave
Playerがメモリを割り当てるために存在する。アタッカーは、疑いを抱いてい
ないユーザーが悪意のあるDirectorファイルをロードするように仕向けなけれ
ばならない。例えば、悪意のあるファイルをホスティングしているWebサイト
にユーザーを誘い込む、などの方法がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-044/
Adobeのセキュリティ警告 (ApSB09-08)
http://www.adobe.com/support/security/bulletins/apsb09-08.html
Adobe ShockwaveについてのWikipediaの説明
http://en.wikipedia.org/wiki/Adobe_Shockwave
製品のホームページ
http://www.adobe.com/products/shockwaveplayer/
SecurityFocus BID
http://www.securityfocus.com/bid/35469
────────────────


2.危険度【重大】: Google ChromeのHTTPレスポンスにバッファオーバーフロー
  の脆弱性

<影響のある製品>
Google Chrome 2.0.172.33より前のバージョン

<詳細>
Google ChromeはGoogle製のWebブラウザで、世界で4番目に多く使用されてい
るブラウザである(シェア1.8%)。しかし、HTTPサーバからのHTTPレスポン
スが細工されると、その解析時にバッファオーバーフローの脆弱性が生じる。
アタッカーに誘導されて細工したHTTPレスポンスでレスポンスをするサイトに
行くと、DoS状態を引き起こされたり、任意のコードを実行される可能性があ
る。この脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Google Chromeのセキュリティリリース
http://googlechromereleases.blogspot.com/2009/06/stable-beta-update-security-fix.html
Google ChromeについてのWikipediaの記事
http://en.wikipedia.org/wiki/Google_Chrome
ベンダーホームページ
http://www.google.com/chrome
SecurityFocus BID
http://www.securityfocus.com/bid/35462
────────────────


3.危険度【重大】:Foxit ReaderとJPEG2000/JBIG Decoderにさまざまな脆弱性

<影響のある製品>
Foxit Reader 3.0およびJPEG2000/JBIG2 Decoderのアドオン2.0.2009.303より
前のバージョン

<詳細>
Foxit readerは、多言語のPDFリーダーで、文書のロードや保存のメソッドが
速く、簡素、かつファイルサイズが小さいことで知られている。しかし、
Foxit Reader用のJPEG2000/JBIG Decoderアドオンには2つの脆弱性があり、メ
モリ崩壊につながるおそれがある。1つ目の欠陥は、JPEGストリームで生じた
データのネガティブストリームオフセットが、バウンドアドレスから読み取れ
るようになること。2番目の欠陥は、JPEG2000のヘッダーの解読時に生じるエ
ラーである。悪意のあるJPEG2000ストリームの付いたPDF文書が細工されると
これらの脆弱性が引き起こされる。Foxit readerは、デフォルトで
JPEG2000/JBIG Decoderアドオンとともにインストールされないようになって
いる。このアドオンは、reader用にインストールされなければ脆弱な状態にな
らない。JavaScriptを無効にすると、この脆弱性は阻止され、PDF文書がWebブ
ラウザ内で開かれないようになるので、危険度を軽減できるかもしれない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Foxit Softwareのセキュリティ警告
http://www.foxitsoftware.com/pdf/reader/security.htm#0602
Foxit ReaderについてのWikipediaの説明
http://en.wikipedia.org/wiki/Foxit_Reader
製品のホームページ
http://www.foxitsoftware.com/pdf/reader/
SecurityFocus BID's
http://www.securityfocus.com/bid/35442
http://www.securityfocus.com/bid/35443

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。