NRI Secure SANS NewsBites 日本版

Vol.4 No.29 2009年7月23日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.29 2009年7月23日発行
**********************************************************************

先月、国防総合大学は、Frank Kramerによる「サイバーパワーと国家の安全
(Cyber Power and National Security)」という本を新しく発行した。この
本は、またたく間にポリシー作成者らの間で、最もよく読まれる本となった。
この本の技術セクションは、脆弱性に携わる中でも最高峰に位置する人々が感
心するほど深い内容になっているほか、ポリシーセクションでは、サイバーパ
ワーを戦略的に使うための重要かつ斬新なアプローチについて語られている。
Kramerは、冷戦の勝利に貢献したと広範に評価されている司法省ブレインの1人
である。彼がサイバーセキュリティに焦点をあててくれているとは喜ばしいこ
とだ。                            Alan

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
          【SANS Future Visions 2009 Tokyo】
    !!多数の皆様のご参加をいただきありがとうございました!!

本イベントのチェアマンであるSANS Instituteアラン パーラーより、皆様へ
のメッセージがございます。下記URLよりご覧ください。
  <1分程度の軽い動画コンテンツです>
  http://sans-japan.jp/Future_Visions_2009_Movie
               制作協力:株式会社ヒューマンセントリックス
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.54-55
   (原版:2008年7月11日、7月15日配信)

◆米韓のサイト 攻撃される:攻撃元PCを自己破壊に追いこむという最新情報
  も(2009.7.8-9)

先週、米韓の政府、軍、民間産業のWebサイトを停止に追いやった分散DoS攻撃
の背景には、MyDoomの派生型があるとみられている。このアタックは高度では
ないが、厄介である。このため、背後には北朝鮮の存在があると推測している
報告もあるようだ。ワシントンポストのBrian Krebsは、これらのサイトを攻
撃するようPCに仕向けているウィルスは、感染したコンピュータのファイル
(OSも含む)を上書きすると報道している。
インターネットストームセンター:
http://isc.sans.org/diary.html?storyid=6757
http://voices.washingtonpost.com/securityfix/2009/07/pcs_used_in_korean_ddos_attack.html?wprss=securityfix
http://www.nextgov.com/nextgov/ng_20090708_6262.php
http://www.computerworld.com/s/article/9135279/Updated_MyDoom_responsible_for_DDOS_attacks_says_AhnLab?taxonomyId=17
http://www.computerworld.com/s/article/9135324/Cyber_attack_in_South_Korea_set_to_resume_says_AhnLab?source=rss_security
http://www.computerworld.com/s/article/9135327/DDOS_attack_again_takes_down_South_Korean_Web_sites?source=rss_security
http://www.theregister.co.uk/2009/07/08/federal_websites_ddosed/
http://www.cnn.com/2009/TECH/07/08/government.hacking/index.html
http://news.bbc.co.uk/2/hi/asia-pacific/8142282.stm
http://www.msnbc.msn.com/id/31825511/ns/technology_and_science-security/
http://gcn.com/Articles/2009/07/08/Cyberattacks-on-US-Korean-sites.aspx
http://www.nytimes.com/2009/07/10/technology/10cyber.html?_r=1&ref=technology
http://voices.washingtonpost.com/securityfix/

【編集者メモ1】(Paller)
今朝、韓国政府の情報源は、ボットネットワークの大規模な自滅の一例として、
攻撃元コンピュータにあるファイルが上書きされていると発表した。悲しいか
な、新しいボットネットワークなど簡単に作れてしまうのだ。
【編集者メモ2】(Pescatore)
このような攻撃は、インターネットの世界ではありきたりの事象にすぎない。
ビジネスマンが赤道直下の国のイグルーで、もしくはスカンジナビア半島の小
屋でフランチャイズ店舗を開こうと決めたらどうなるか想像してみよう。これ
は、このような攻撃から生き残ることのできないWebサイトに依存している事
業のたとえである。プレスは、ターゲットのおいしさという視点から報道しが
ちだが、要は、停止に陥ったサイトのセキュリティ適正診断が欠けているだけ
の話である。
【ゲスト編集者メモ3】(ゲスト編集者Marc Sachs)
www.whitehouse.govのようなサイトは、Akamaiが提供するようなサービスを介
して数百(場合によっては数千)のロケーションに物理的に分散されている。
人気のあるコンテンツ(www.cnn.com)が潜在ユーザーの目に止まるよう、電
気的に近い場所へあらかじめ分散して効率を上げることが、Akamaiの当初の概
念だった。このアプローチをとると、実際のFQDNというよりはむしろコンテン
ツ配信サーバに攻撃を浴びせなくてはならなくなるため、古典的なフラッディ
ングアタックに対してWebサイトが免疫を確立できる、という予想外の利益が
あった。Akamaiがダウンした場合は、もちろんサービスを提供しているサイト
も死ぬが、それは別の問題である。最近の分散DoS攻撃では、.govサイトの多
くが、Webサービスの管理とセキュリティを外部委託していた。これらのケー
スのほとんどで、サイトへの影響は確認されなかった。しかし、政府局のよう
に自組織内で全て維持している場合、もしくはより帯域幅のあるインターネッ
トに対して少量の接続しかできない場合、また、サービスを外注しているもの
の、発注時にドロップダウンメニューから「分散DoSからの保護」を選択して
いなかった場合、これらのサイトは激しいダメージを受けた。つまり、技術的
な問題というよりは、リーダーシップや「責任ある行動」の観点による問題だ
と私には思える。分散DoS(とその他の無数のセキュリティ上の問題)には解
決策が存在し、前もってそれに投資する意思のある組織なら、たいへん有効に
作用する。餌食になって嘆くなど、どれだけ自分が困り果てているか示すだけ
にすぎない。ああ、みっともない。
────────────────

◆アイルランドのデータ保持法案(2009.7.13)

アイルランドの通信(データ保持)法2009年度案では、インターネットサービ
スプロバイダ(ISP)に、ユーザーによるインターネット使用記録1年間分の保
持を義務付けている。そのほか、通話記録の保持期間が3年から2年に短縮され
た。通話記録保持に改正が加えられたことによって、アイルランド法は欧州連
合の政令(加盟国に対し、通話記録を6カ月以上2年未満保持するように義務付
けるもの)と足並みが揃ったことになる。保持されるべきデータには、通話や
メールの内容は含まれない。
http://www.examiner.ie/ireland/retention-period-for-phone-data-to-be-cut-96213.html
http://www.siliconrepublic.com/news/article/13407/government/irish-govt-to-retain-all-web-text-and-phone-data-for-two-years

【編集者メモ1】(Honan)
データ保持法案の当初の目的は、アイルランド警察と国防軍が重大犯罪やテロ
に対抗すべく、彼らが保持されたデータにアクセスできるようにすることだっ
た。のみならず、同国の国税検査官もアクセス可能になるという。
http://www.examiner.ie/ireland/watchdog-concern-at-revenue-data-access-96329.html.
この法案では、プライバシーの問題に影響が生じるため、それに不安を感じる
者がたくさんいる。さらに、法案の適用範囲についての議論がないまま、じり
じりと拡大していることを考えると、不安や不信の声が高まるのは当然だ。
────────────────

◆調査結果:企業には災害復旧計画が欠落(2009.7.10)

アイルランドの中小企業117社を対象に行った調査によると、43%の企業が、
災害復旧計画を設けていないという。そのうち半数以上が、災害復旧計画を作
る計画すらないと答えている。規模が小さすぎるため、計画を設けるメリット
がないと考えている組織が16%、計画導入には費用がかかりすぎると答えた組
織が12%だった。一方で、調査に回答した全ての企業が、何らかのバックアッ
プ技術を採用しているという。16%の企業がその場でバックアップ用メディア
にデータを保存していると答えたものの、26%の企業がバックアップ保管施設
に耐火性能がないと述べている。そのほか、バックアップ用メディアからデー
タを回収・修復するのに何らかの問題が生じたとの回答は39%に上った。また、
31%が修復のテストを行っていないという。
http://www.siliconrepublic.com/news/article/13397/cio/43pc-of-firms-have-no-disaster-recovery-plans

【編集者メモ1】(Schultz)
中小企業が災害復旧計画を設けない理由は、他にもまだある。それは、実際に
正しく実行するのが非常に困難かつ複雑であるということだ。そのため、この
規模の組織は必要な時間とリソースを投資するよりも、すぐにあきらめてしま
うのが関の山なのだ。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2009-2010 トレーニングイベント 申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
           http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年7月10日 Vol.8 No.28)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     2 (#1)
サードパーティのWindowsアプリ          2
Linux                      1
HP-UX                      1
Solaris                     4
クロスプラットフォーム             15
Web アプリ - クロスサイトスクリプティング    6
Web アプリ - SQL インジェクション        5
Web アプリ                   6
ネットワークデバイス              4 (#2)
======================================================================

ActiveXに1件の脆弱性があり、政府と産業、国際的なサイトに大きな分散DoS
攻撃があった。
────────────────

1.危険度【重大】:Microsoft VideoのActiveXコントロールにバッファオーバー
  フローの脆弱性

<影響のある製品>
Windows XP Service Pack 2およびWindows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Itanium ベースのシステム用SP2付きWindows Server 2003

<詳細>
Microsoft VideoのActiveXコントロール"MSVidCtl.dll"は、動画のキャプチャ
や録画、再生のために、Microsoft DirectShowのフィルタへの接続するときに
用いられ、Microsoft Mediaセンターの主要なコンポーネットになっている。
しかし、このコントロールにはスタックベースのバッファオーバーフローの脆
弱性があり、細工されたデータファイルを読むときに悪用されるおそれがある
という。悪意のあるWebページが、問題のコンポーネントをインスタンス化す
るとこの脆弱性が引き起こされ、現在のユーザー権限で任意のコードを実行さ
れる可能性がある。この脆弱性の技術的詳細と概念実証コードが公表されてい
る。

<現状>
ベンダーはこの問題を認めているものの、更新はリリースしていない。
"killbit"機能を使って影響を受けるコントロール(Microsoftセキュリティア
ドバイザリ(972890)に載っている)を無効にすれば、影響を軽減することが
できる。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/972890.mspx
Microsoftナレッジベースの記事("killbit"機能を解説)
http://support.microsoft.com/kb/240797
Microsoftのセキュリティ研究と防御策のブログ記事
http://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx
ベンダーのホームページ
http://www.microsoft.com/
SecurityFocus BID
http://www.securityfocus.com/bid/35558
────────────────

2.危険度【高】:Symbian S60にメモリ崩壊の脆弱性

<影響のある製品>
Symbian S60
Nokia N96
Nokia E71
Nokia E61i

<詳細>
Symbian S60は、NokiaのSymbian OSで動作するスマートフォンのソフトウェア
・プラットフォームである。しかし、不正形式のメディアファイルが組み込ま
れたMMSを処理すると引き起こされる、さまざまなメモリ崩壊の脆弱性がある。
欠陥があるライブラリは以下のとおり:
"rarender.dll"
"STH264HWDecHwDevice.dll"
"clntcore.dll"
"HxMmfCtrl.dll"
"mdfh264payloadformat.dll"
"MMFDevSound.dll"
"ArmRV89Codec.dll"
悪用されると、脆弱なスマートフォン上で任意のコードを実行される可能性が
ある。全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めておらず、更新もリリースしていない。

<参考>
SEC Consultのアドバイザリ
https://www.sec-consult.com/files/SEC_Consult_Vulnerability_Lab_Pwning_Symbian_V1.03_PUBLIC.pdf
SecurityFocusのアーカイブ(SEC Consult SA-20090707-0)
http://www.securityfocus.com/archive/1/504757
S60についてのWikipediaの説明
http://en.wikipedia.org/wiki/S60_platform#S60_editions
ベンダーのホームページ
http://www.symbian.org
SecurityFocus BID
http://www.securityfocus.com/bid/35590

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。