NRI Secure SANS NewsBites 日本版

Vol.4 No.28 2009年7月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.28 2009年7月14日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
     【いよいよ7月16日から開催!! いますぐ登録を!!】
          SANS Future Visions 2009 Tokyo
            ★事前登録受付け中!★
           ~~~~~~~~~~~~~~~~~~~~~~
         http://www.entryweb.jp/sans/fv09/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.52-53
   (原版:2008年7月4日、7月8日配信)

◆統合サイバーセキュリティ指令 サイバー戦争の実態を問題視(2009.7.2)

このほど、統合サイバーセキュリティ司令(Unified Cyber Security Command)
の設立計画が発表されたが、それに伴い、同組織の管轄範囲ならびに他の政府
局との連携方法について数々の問題が浮上した。そのほか、政府に対し、サイ
バー戦争に関連する厄介な問題を突きつける形に発展した。米国学術研究会議
の最近の研究では、「コンピュータネットワークアタックの権威筋による(軍
と)共同の機密外原則はない。したがって、この件については、現在ある原則
が前進中であると考えるのが妥当だろう」と述べられている。ジュネーブ会議
では、交戦国は全てその正体を明らかにしなくてはならないとあるが、サイバー
スペースでの戦いとなると、アタッカーは容易に自分の身元を隠すことができ
てしまう。
http://washingtontimes.com/news/2009/jul/02/us-takes-aim-at-cyberwarfare/
────────────────

◆MySpaceの悪戯についての有罪判決 覆される(2009.7.2)

連邦判事はMySpaceでの悪戯行為に及んだミズーリ州の女性Lori Dewに対する
有罪判決を覆した。この事件は、13歳の隣人の少女が自殺するという結末を迎
えている。11月に、Drewは保護されたコンピュータへ違法にアクセスしたなど
3つの罪状で起訴された。米国地方裁判所判事George H. Wuは、現在、書面審
理中であり(来週には提出される見込み)、これは暫定的な裁定となっている。
Wu判事は、DrewがMyspaceのサービス契約条項違反によって有罪ということに
なると、「契約違反という行為が犯罪化されるのではないか」と懸念している。
http://latimesblogs.latimes.com/lanow/2009/07/myspace-sentencing.html
http://www.ktla.com/news/landing/ktla-myspace-suicide,0,1166066.story
http://www.nytimes.com/2009/07/03/us/03bully.html?ref=global-home
http://www.washingtonpost.com/wp-dyn/content/article/2009/07/02/AR2009070200718.html
http://www.wired.com/threatlevel/2009/07/drew_court/

【編集者メモ】(Northcutt)
ここでも、法が技術の進歩に追いつこうとしていることがわかる。一見したと
ころこの事案は、合衆国法典集第18款第1030条(Title 18 1030 of US Code)
の「コンピュータに関連する詐欺および関連活動」に該当するように思える。
しかし実際、彼女が自分のコンピュータを使用していた場合、「保護されたコ
ンピュータ」の定義はどのようなものになるのだろうか。
http://www.law.cornell.edu/uscode/18/1030.html
────────────────

◆著作権違反対策措置の適用拒否で アイルランドのISPを訴追(2009.6.30)

アイルランドのインターネットサービアスプロバイダ(ISP)UPCは、違法ダウ
ンロードを行う者に対する3振アウトポリシーの適用を拒否したため、起訴さ
れた。アイルランドレコード協会(IRMA)は、ISPのEircommと3振アウトポリ
シーを設置することで合意し、その他の同国ISPもEircommに倣うよう通知した。
それができなければ法的措置に及ぶとも知らされていた。UPCは当初よりその
立場を明らかにしており、現在も既存の法を逸脱するリクエストには同意しな
い姿勢を示している。
http://www.siliconrepublic.com/news/article/13320/comms/upc-confirms-illegal-download-court-hearing-against-big-four-next-week
────────────────

◆Rockefeller-Snoweのサイバーセキュリティ法改正案 7月に進展の見込み
  (2009.6.26)

米国のサイバーセキュリティに関する最も広範囲にわたる法案が、問題のある
部分(国家的な有事があった場合、政府に「インターネットを閉鎖する」権利
を与えるという部分など)を除去すべく、改正が検討されている。7月中に大
幅な変更が加えられることが見込まれ、その後、委員会全員の投票を行う公聴
会が開かれる。その他の多くの範囲をカバーする条項の中で、
Rockefeller-Snowe法案は連邦サイバーセキュリティの規制を連邦政府の請負
業者にまで適用するほか、サイバーセキュリティ専門家のライセンス認可を保
証することとなっている。
http://www.nextgov.com/nextgov/ng_20090626_2244.php

【編集者メモ】(Paller)
ホワイトハウスには、サイバーセキュリティのための妥当なプランがあり、大
統領も5週間前に素晴らしいスピーチをした。しかしながら、ホワイトハウス
の行動スピードは十分に迅速とはいえないため、議会が介入することになるだ
ろう。上院諜報特別委員会がRockefeller-Snowe改正案を7月に可決したら、
Carper上院議員(FISAM2.0法案原案の作成者でありながら、政府のサイバーセ
キュリティについての上院分科委員会の議長も務める)、Liberman上院議員お
よびCollins上院議員(上院国土安全保障政府問題委員会の議長とその有力メ
ンバー)、Rockefeller上院議員およびSnowe上院議員(上院諜報特別員会の議
長とその有力メンバー)がどのような連携を見せるか、見ものである。何かと
異論の多いホワイトハウスのサイバーコーディネータの役割に関する問題につ
いて、彼ら全員が何らかの合意に達すれば、米国のサイバーセキュリティポリ
シーの再形成に着手できよう。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
     SANS Tokyo 2009-2010 トレーニングイベント 申込み受付中!
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
             http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年7月3日 Vol.8 No.27)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          1
Linux                      2
BSD                       1
Solaris                     4
クロスプラットフォーム             24 (#1, #2, #3)
Web アプリ - クロスサイトスクリプティング    6
Web アプリ - SQL インジェクション       11
Web アプリ                   12
ネットワークデバイス              1
======================================================================

バッファオーバーフローについての情報が漏れるにつれ、HP OpenViewが魅力
的なターゲットとなるおそれが出てきた。それ以外は静かな一週間だったと言
えよう。
Alan

追伸:
Windows以外の製品のパッチを自動的にチェックする方法について先週質問が
あったが、「よくある質問(とその答え)」は、Secuniaの(個人向け仕様の)
無料バージョンを使用することだ。以下のサイトで入手可能。
http://secunia.com/vulnerability_scanning/personal/
この情報をくださった方々、特にNorthrup GrummanのRobert Rathbunに感謝し
たい。しかし残念なことに、商用バージョンはまだどこにあるのかわからない。
あったとしても、非常に価格が高い可能性がある。

ミシガン大学のBruce Burrellからは、他のアドバイスが寄せられている。彼
は一つの設定で複数のブラウザを使用しており、この方法を推奨している。そ
して、「ほとんどのユーザーは実践しようとしないが、そうしたユーザーのた
めに設定をしてくれる人がいるとしたら、大変貴重な存在だ」と述べている。
────────────────

1.危険度【重大】:Motorola Timbuktu Proにバッファオーバーフローの脆弱性

<影響のある製品>
Motorola Timbuktu Pro 8.6.5までのバージョン

<詳細>
Timbuktu ProはMotorolaが作成したリモートのデスクトップーアクセスのアプ
リケーションで、さまざまなOS上で動作するように設計されている。しかし、
ユーザーが提供したデータを、とある名前のパイプセッションを介して引き渡
す処理が正しく行われないため、スタックベースのバッファオーバーフローが
生じる。アタッカーが長さの長い不正文字列を"PlughNTCommand"という名前の
パイプで送るとこの脆弱性が悪用され、SYSTEM権限で任意のコードが実行され
るか、DoS状態を引き起こされてしまう。この名前の付いたパイプでセッショ
ンを設けるのに認証は必要ない。脆弱なTimbuktuをシステムに一度インストー
ルしてしまうと、"PlughNTCommand"という名前のパイプを、アタッカーが見つ
け出せる状態になるという。

<現状>
ベンダーはこの問題を認識しており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=809
Timbuktu SoftwareについてのWikipediaの記事
http://en.wikipedia.org/wiki/Timbuktu_(software)
製品のホームページ
http://www.netopia.com/software/products/tb2/
SecurityFocus BID
http://www.securityfocus.com/bid/35496
────────────────

2.危険度【高】:HP OpenView Network Node Managerにバッファオーバーフロー
  の脆弱性

<影響のある製品>
HP OpenView Network Node Manager 7.53までのバージョン

<詳細>
HP OpenView Network Node Manager(OV NNM)は、企業ネットワークおよび大
規模なシステムを管理できるアプリケーションスイートである。しかし、
Linuxバージョンで販売されているアプリケーションには、スタックベースの
バッファオーバーフローがあるという。この欠陥は、ユーザーが提供する特定
の入力の"rping"アプリケーションにある境界誤差(boundary error)によっ
て生じる。このアプリケーションへのリクエストが細工されるとこの脆弱性が
引き起こされ、悪用されると、リモートのコード実行につながるおそれがある。
この脆弱性に関する技術的詳細は、ほとんど公表されていない。

<現状>
ベンダーはこの問題は認識しており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=810
製品のホームページ
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-15-119^1155_4000_100
SecurityFocus BID
http://www.securityfocus.com/bid/35267
────────────────

3.危険度【高】:Unisys Business Information Serverにバッファオーバーフ
  ローの脆弱性

Unisys Business Information Server 10.1
Unisys Business Information Server 10

<詳細>
Unisys Business Information Server(BIS)には、ユーザーが提供するデー
タの処理が正しくできないために生じる、スタックベースのオーバーフローの
脆弱性がある。この欠陥は、Business Information ServerにTCPポートで送信
されるパケットを処理するときに、"mnet.exe"サービスに生じる境界誤差
(boundary error)である。悪用されると、DoS状態を引き起こされるか、影
響を受けるサービスの権限で任意のコードを実行される可能性がある。この脆
弱性については、技術的情報は一切提供されていない。

<現状>
ベンダーは、この問題を認識しており、更新をリリースしている。

<参考>
iDefenseセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=808
Unisysのセキュリティアドバイザリ
ftp://ftp.support.unisys.com/pub/mapper/NT/BIS10.1/Readme.txt
製品のホームページ
http://www.unisys.com/products/software/application__development/business__information__server/
SecurityFocus BID
http://www.securityfocus.com/bid/35494

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。