NRI Secure SANS NewsBites 日本版

Vol.4 No.31 2009年8月4日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.31 2009年8月4日発行
**********************************************************************

■はじめに

インターネットストームセンターのボランティアスタッフは、最も知識のある
サイバーセキュリティのプロ集団として広く知られており、毎夏1,000人の方
々に、新たに仕入れた情報を伝授している。現在、そのうち12講にアクセスで
きる。
https://www.sans.org/sansfire09/night.php

戦略・国際問題研究所(CSIS)から発表された「The Twenty Most Important
Controls and Metrics for Effective Cyber Security(サイバーセキュリティ
における最も重要なコントロールおよび評価指標20)」が、政府局や規制対象
業界における必須アイテムとなってきている。
http://csis.org/files/media/csis/pubs/090223_cag_1_0_draft4.1.pdf

重要コントロール20(別名CAG)の導入、もしくは導入方法を検討中の組織の
方には、次の2コースが役立ちそうだ。
Security 440:2日間の演習特訓。8月にバージニアビーチで、9月にサンディ
エゴで、10月にシカゴで開催予定。また、9月にはこのコースのライブをオン
ライン視聴できるようにする予定。
http://www.sans.org/training/description.php?mid=1302
Security/Audit 556:5日間コース。12月にワシントンで開催予定。
http://www.sans.org/cyber-defense-initiative-2009/description.php?tid=3617

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   SANS Tokyo 2009-2010 トレーニングイベント 好評申込み受付中!
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        ●アプリケーションエンジニアのための●
         セキュアプログラミング講座 9月開講!
         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■AEのための情報セキュリティ技術基礎 <9月9日>■
   ■セキュアプログラミング演習(Java) <9月10日-11日>■
   ■セキュアプログラミング演習(C言語) <9月28日-29日>■
                 会場:野村総合研究所 セミナールーム

   !!セキュアプログラミングスキル認定のGSSP試験にも対応!!
        ↓↓↓詳細&お申込みはこちら↓↓↓
   http://www.nri-secure.co.jp/seminar/2009/0909_29_index_.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.58-59
   (原版:2008年7月25日、7月29日配信)

◆調査結果:政府におけるサイバーセキュリティ能力者は不足している
(2009.7.22-23)

公共サービスとブーズ・アレン・ハミルトン社が提携して行った研究によると、
オバマ大統領がサイバーアタックの脅威を「経済的かつ国家安全保障の課題と
して最も重要なものの1つ」と位置づけたにもかかわらず、政府には資質の高
いサイバーセキュリティ専門家が不足しているという。報告書には、政府の
「4つの主な問題点」がリストアップされている。1つ目は能力者不足。2つ目
は、政府による雇用形態が中央集中型でない点。3つ目は、煩わしい雇用プロ
セスが潜在的能力者の応募意欲を削いでいる点。4つ目は、適正なサイバーセ
キュリティ専門家を採用するにあたって、前線の雇用担当マネージャと政府の
人事専門家の連携がとれていない点である。また、報告書には政権や議会、政
府局がこれらの障害を乗り越えるにあたって取るべき推奨策も掲載されている。
http://ourpublicservice.org/OPS/publications/viewcontentdetails.php?id=135
http://www.nextgov.com/nextgov/ng_20090722_1445.php?oref=topnews
http://www.theregister.co.uk/2009/07/22/federal_cybersecurity_shortage/
http://news.smh.com.au/breaking-news-technology/us-lacks-tech-talent-for-cyber-defense-study-20090723-dug1.html
http://www.cnn.com/2009/POLITICS/07/22/cyber.security/index.html

【編集者メモ】(Northcutt)
一読の価値があるニュースではあるが、内容自体は目新しくない。最も興味深
かったのは、ITスキルのある政府職員に対する請負業者の割合だ。私は、国防
総省で多くの時間を費やしてきた。そこでは、請負業者から政府の直接雇用へ
と転身した職員にも多数出くわした。
http://ourpublicservice.org/OPS/publications/download.php?id=135
────────────────

◆Kundraのレター FISMAを是正する必要性を指摘(2009.7.21)

米国連邦CIOのVivek Kundraは、米国政府説明責任局(GAO)の情報セキュリティ
問題担当ディレクターGregory Wilshusen宛のレターで、行政予算管理局(OMB)
が政府局のサイバーセキュリティ対策度合いを測定できる新しい方法を模索し
ていると述べている。現在、政府局は局内の報告用リソースをFISMA(連邦情
報セキュリティマネジメント法)遵守の実証につぎ込んでいる状態だ。しかし、
これではサイバー上の脅威に対する管理能力の実態像が浮かび上がってこない。
Kundraは、FISMA遵守状態を示すデータのことを「各局の備えを示す主要な指
標というより、むしろ単なる事後確認である」としている。また、「政府局の
セキュリティ対策を洞察できる測定法、および継続的に潜在的脆弱性を検知で
きる方法が必要だ」とも述べている。
http://www.networkworld.com/news/2009/072109-omb-eyes-new-metrics-for.html
http://gcn.com/articles/2009/07/20/kundra-gao-fisma-compliance.aspx?sc_lang=en

【編集者メモ】(Schultz)
FISMAはその昔、役立たずな代物だった。FISMAを遵守できていても、それは膨
大な事務処理をうまくこなしていることを示していたにすぎないのだ。米国政
府ならば、必ずやもっとマシな情報セキュリティ基準を作りだせるはずだが
・・・。
────────────────

◆上院委員会 FY10 Intelligence Authorization法案に対する情報開示の必
  須条件を追加(2009.7.23)

米国政府が案出したサイバーセキュリティ・プログラムの資金調達を行うには、
各プログラムの合法性や、それによって与えられるプライバシーへの影響につ
いての情報開示の有無が、部分的に重要になる。FY10 Intelligence
Authorization(2010年度諜報活動承認)法案に付け加えられた上院情報委員会
(Senate Intelligence Commitee)の条項によれば、政権は議会に対し、個人
情報が含まれるような既存、および新規のサイバーセキュリティ・プログラム
については、全てその旨を通知しなければならないという。
http://www.nextgov.com/nextgov/ng_20090723_1951.php?oref=topnews
http://fcw.com/articles/2009/07/23/bill-to-require-added-cybersecurity-oversight.aspx

【編集者メモ】(Pescatore)
諜報機関にサイバーセキュリティのリーダーシップを求めるのが現政権のアプ
ローチであることから、アタックのブロックよりも監視が、引き続き活動の焦
点になるのだろう。しかし、この傾向はあまり望ましくない。
────────────────

◆英国ICO 来年から罰金施行の権限(2009.7.23)

2010年4月より、英国の情報コミッショナー事務局(ICO:Information
Commissioner's Office)は、個人情報の保護が適正に行えなかった組織に対
し、新たに罰金を課す権限を持つことになる。罰金額は今のところ定かでない。
しかし、ICOは問題の組織が意図的もしくは無謀な形でデータ保護法8原則のう
ち1つにでも違反した場合、罰金を課す権限を行使できるという。
http://www.theregister.co.uk/2009/07/23/ico_fines/

【編集者メモ】(Honan)
金銭的な抑止力によって、企業は個人情報を正しく保護するようになるだろう。
英国に、侵害発生時に情報開示を義務付ける法がないことを踏まえると、これ
は前向きな1歩ととらえることも出来よう。
────────────────

◆米国サイバー分野の課題:将来有望な最高峰クラスのサイバーセキュリティ
  要員を(2009.7.27)

政府と民間組織のコンソーシアムで、米国におけるサイバー分野の課題が設け
られた。具体的には、サイバーセキュリティ分野において将来リーダーになれ
る人材を1万人探し出すイニシアチブである。3つの全米コンペ(CyberPatriot
Defense Competition、DC3 Digital Forensics Competition、NetWars
Capture-the-Flag Competition)を介して、スキルを実証できた者を特定し、
サイバーセキュリティにおける最高峰の能力者として登録していく。対象分野
はさらにより分けられていく見込み。スキル実証者は、全米のさまざまな大学
で行われるサイバーキャンプ(訓練)のほか、他の全米コンペにも招待される。
また、その中でもさらに類まれな能力やスキルがあるとされた者は、奨学金や
インターンシップの座をかけた戦いにも参加できる。コンソーシアムには、戦
略・国際問題研究所(CSIS)、国防総省サイバー犯罪センター、空軍協会、
SANSなどのメンバーが名を連ねている。デラウェア州も州主催コンペの開催を
発表した。このほどLiebreman上院議員は、NetWars Capture-the-Flag
Competitionの第1ラウンドで勝利に輝いた若者と面談している。
ホームページ:
http://csis.org/uscc
http://www.computerworld.com/s/article/9135944/U.S._seeks_top_guns_for_cybersecurity_?source=rss_security
http://gcn.com/articles/2009/07/27/web-cyber-challenge.aspx
http://www.nextgov.com/nextgov/ng_20090727_2075.php?oref=topstory
Carper上院議員の陳述:
http://carper.senate.gov/press/record.cfm?id=316227
Lieberman上院議員:
http://hsgac.senate.gov/public/index.cfm?FuseAction=Press.MajorityNews&ContentRecord_id=be51788d-5056-8059-7620-33563f966a7bhttp://www.technologyreview.com/web/23066/

【編集者メモ】(Schultz)
画期的なアイデアだ。情報セキュリティ分野にはこの類の革新がもっと必要で
ある。私の唯一の心配事は、コンピュータ犯罪やその他の浅ましい活動に手を
染めている輩が、Capture-the-Flagコンペで他を寄せ付けないほどの成績で優
位に立ってしまうのではないか、ということである。
────────────────

◆Leahy上院議員 米国データセキュリティ法案を提案(2009.7.22-24)

米国のPatrick Leahy上院議員(バーモント州民主党)は、顧客の個人情報を
保持している企業に対し、当該情報を保護するプログラムの作成・導入を義務
付ける「Personal Data Privacy and Security Act」という法案を提案した。
データセキュリティ侵害発生時には、影響を受ける人間に通知を行うことも義
務付けている。Leahy議員によるこの法案の提出は今回で3度目になる。
http://www.scmagazineus.com/Leahy-for-third-time-submits-federal-data-security-law/article/140604/
http://leahy.senate.gov/press/200907/072209b.html

【編集者メモ1】(Schultz)
長いこと延び延びになっている法案である。可決すれば、個人情報の安全保護
措置に関連する組織慣行に、大きな違いをもたらすだろう。
【編集者メモ2】(Pescatore)
この法案にはよい点もある。しかし、法案の文言には侵害による詐欺のリスク
が低いことを示したリスク検査の内容を、侵害発生後45日以内に米国シークレッ
トサービスに知らせることができれば情報開示義務を免れられるとある。これ
は、大きな落とし穴であると同時に、行政手続き上の悪夢にもなりかねない。
────────────────

◆ダウンロードに関する略式判決 弁護側を打ちのめす(2009.7.27)

ボストン大学の学生Joel Tenenbaumに対するファイル共有事件の攻防が、7月
28日に開始する。彼の弁護士は、公正使用であるという主張のもと弁護を試み
たが、地方裁判所判事Nancy Gertnerが公正使用の問題について略式判決を求
める全米レコード協会(RIAA)のリクエストを承諾したために、却下されてい
る。RIAAは、楽曲30曲をKazaaファイル共有ネットワークでダウンロード可能
な状態にしていたかどでTenenbaumを訴えている。有罪になれば、1曲につき15
万ドルの罰金を科されることになる。RIAAは2004年当時、Tenenbaumの公開さ
れた共有フォルダ内に計約800曲を検知したと述べている。また、RIAAは今後、
違法ダウンロード者に対する訴訟から離れ、代わりにISPと手を組んでISPがプ
ラクティスを確立できるよう助成していく意向だという。
http://www.wired.com/threatlevel/2009/07/riaa-file-sharing-trial-starting/
http://arstechnica.com/tech-policy/news/2009/07/judge-rejects-fair-use-defense-as-tenenbaum-p2p-trial-begins.ars
────────────────

◆Network Solutionsにデータ侵害(2009.7.24-27)

Network Solutionsがホスティングしている4,000件のe-コマースサイトにおい
て、データセキュリティ侵害によりクレジットカード商取引に影響が出た。今
年3月12日から6月8日までの間にデータが盗まれたようだ。この侵害で57万
4,000人が影響を受けることになる。Network Solutionsは、電子店舗
(e-merchant)に代わって顧客への通知を買って出た。Network Solutionsは、
侵害前からPCI DSSを遵守できていたようだ。同社が最後に検査を受けたのは
2008年10月だった。この度、Network SolutionsはWebサイトをホスティングし
ているサーバに疑わしいコードを発見したため、警察にその旨報告し、侵害の
調査を行っているという。
http://voices.washingtonpost.com/securityfix/2009/07/network_solutions_hack_comprom.html
http://www.h-online.com/security/Half-a-million-customers-credit-card-data-stolen-from-Network-Solutions--/news/113851
http://www.scmagazineus.com/Network-Solutions-was-PCI-compliant-before-breach/article/140642/
http://www.computerworld.com/s/article/9135905/Network_Solutions_warns_merchants_after_hack?taxonomyId=17
http://news.cnet.com/8301-27080_3-10296817-245.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.theregister.co.uk/2009/07/25/network_solutions_ecommerce_breach/

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  <8月7日開催>参加申込受付中!
情報セキュリティソリューションセミナー(情報漏洩対策特集)
-----------------------------------------------------------------------
止まらない情報漏洩をどう防ぐ。企業が取り組むべき施策とは
http://www.nri-secure.co.jp/seminar/2009/0807.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年7月24日 Vol.8 No.30)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          3 (#3)
Linux                      2
BSD                       1
Solaris                     4
Aix                       1
Novell                     2 (#4)
クロスプラットフォーム             21 (#1, #2, #5)
Web アプリ - クロスサイトスクリプティング    2
Web アプリ - SQL インジェクション        5
Web アプリ                   8
ネットワークデバイス              1
======================================================================

Adobe FLASHとPDFの問題が深刻である。この問題はあと1週間ほど解決されな
いままであろう。となると、あなたのユーザーベースにUniversal Updateをか
ける方法を考えるのが理にかなっているだろう。MicrosoftによるWindowsの更
新ではサードパーティのソフトウェアがカバーされないのが、嘆かわしい。検
討はされたようだが、却下に至ったもよう。その後のサポートなど、責任上の
懸念があるからだろう。
────────────────

1.危険度【重大】:Adobe Acrobat/ReaderおよびAdobe Flash Playerにリモー
  トでコードが実行される脆弱性

<影響のある製品>
Adobe Reader 9.1.2
Adobe Acrobat Standard 9.x
Adobe Acrobat Reader 9.x
Adobe Acrobat Professional 9.x
Adobe Flash Player 10.x
Adobe Flash Player 9.x

<詳細>
Adobe AcrobatおよびAdobe Readerは、PDFファイルの作成・閲覧ソフトウェア
として最も広範に使用されている。Adobe Flash Playerは、Webブラウザのア
ニメーション閲覧に用いられるマルチメディアアプリケーションだ。しかし、
この両者には、細工されたFlashファイルやFlashアニメーションを含むPDFファ
イルを開くことによって引き起こされる脆弱性がある。この欠陥は、
"flash9f.dll"と"authplay.dll"モジュールに存在している。悪用されると、
影響のあるシステムにDoS状態や侵害が発生するおそれがある。設定によって
は、PDF文書は脆弱なアプリケーションによって、受信時にユーザーへのプロ
ンプトなく開かれてしまうことがあるので注意が必要。報告書によると、この
脆弱性は盛んに悪用されていることのこと。

<詳細>
ベンダーはこの問題を認めているものの、更新はまだリリースしていない。
Flash Player v9およびv10の更新を2009年7月30日までに、Adobe Readerと
Acrobat v9.1.2の更新を7月31日までに提供する見込み。

<参考>
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/advisories/apsa09-03.html
Adobe製品セキュリティインシデントレスポンスチーム(PSIRT)
http://blogs.adobe.com/psirt/
ベンダーのホームページ
http://www.adobe.com/
SecurityFocus BID
http://www.securityfocus.com/bid/35759
────────────────

2.危険度【高】:Mozilla製品にさまざまな脆弱性

<影響のある製品>
Mozilla Firefox 3.x
Mozilla Thunderbird 2.x

<詳細>
Mozilla FirefoxおよびMozilla Thunderbirdのメールクライアントは、
Mozillaのアプリケーションスイートがもとになっているが、さまざまな脆弱
性がある。これらの脆弱性は悪意のあるWebページやメールによって引き起こ
され、現在のユーザー権限で任意のコードを実行されるおそれがある。また、
Javaスクリプトとブラウザエンジン、XUL treeにある複数のRDFファイルの処
理、Base64プラグインの特定のデータの処理、文書の構築、Flashプラグイン
の処理、SVGエレメントの処理にはメモリ崩壊のエラーがある。さらに、フォ
ントグリフのレンダリングライブラリにある境界誤差が原因の脆弱性もいくつ
かある。そのほか、特定オブジェクトのパラメータで"setTimeout()"を呼び出
す方法にもエラーがある。エクスプロイトコードを作成するのに必要な技術的
詳細は、Mozillaのバグ倉庫にある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2009/mfsa2009-34.html
http://www.mozilla.org/security/announce/2009/mfsa2009-35.html
http://www.mozilla.org/security/announce/2009/mfsa2009-36.html
http://www.mozilla.org/security/announce/2009/mfsa2009-37.html
http://www.mozilla.org/security/announce/2009/mfsa2009-39.html
http://www.mozilla.org/security/announce/2009/mfsa2009-40.html
ベンダーのホームページ
http://www.mozilla.com/en-US/
SecurityFocus BID
http://www.securityfocus.com/bid/35758
────────────────

3.危険度【高】:Google ChromeのJavaScriptのRegular Expressionsにメモリ
  崩壊の脆弱性

<影響のある製品>
Google Chrome 2.0.172.37より前のバージョン

<詳細>
Google ChromeはGoogle製のWebブラウザで、Webブラウザの中で1.8%の使用率
がある第4位のブラウザである。しかし、細工されたWebページの解析時に引き
起こされるメモリ崩壊の脆弱性がある。この欠陥は、Webページにある
JavaScriptの正規表現の処理時に適正なチェックが行われないために生じる。
悪用するには、ユーザーをそのようなWebページをホスティングしているサイ
トへ誘い込まなければならない。たいていの場合、ユーザーはメールのメッセー
ジやP2Pメッセージのリンクをクリックするように仕向けられる。悪用される
と、メモリ崩壊やヒープベースのオーバーフローにつながるおそれがあり、さ
らにその後、任意のコードが実行される可能性もある。全技術的詳細が公表さ
れている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Google Chromeのセキュリティ・リリース
http://googlechromereleases.blogspot.com/2009/07/stable-beta-update-bug-fixes.html
Google ChromeについてのWikipediaの説明
http://en.wikipedia.org/wiki/Google_Chrome
製品のホームページ
http://www.google.com/chrome
SecurityFocus BID
http://www.securityfocus.com/bid/35722
────────────────

4.危険度【高】:Novell Privileged User Managerにリモートでのライブラリ
  インジェクションの脆弱性

<影響のある製品>
Novell Privileged User Manager 2.2

<詳細>
Novell Privileged User Managerは、UNIX/Linux環境全てのためのSuperuser
Privilege Management配信に使われている。これには、アタッカーがネットワー
ク上に任意のライブラリやモジュールをロードし、脆弱なシステムを侵害でき
るような脆弱性が確認されている。この欠陥は、29010番ポートを結びつける
サービスである"unifid.exe"サービス内の"spf"のRPCの導入が正しく行われな
いために生じる。悪用されると、問題のサービスの関連で、最終的に任意のコー
ドを実行される可能性がある。この脆弱性の悪用には認証は必要ない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Novellのセキュリティアドバイザリ
http://www.novell.com/support/viewContent.do?externalId=7003640
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-046/
製品のホームページ
http://www.novell.com/products/privilegedusermanager/
SecurityFocus BID's
http://www.securityfocus.com/bid/35752
────────────────

5.危険度【高】:Common Data Formatにさまざまな脆弱性

<影響のある製品>
NASA Goddard Space Flight Center CDF 3.2.4までのバージョン

<詳細>
Common Data Format(CDF)はNASAが開発した概念データの抽象化で、多次元
のデータセットの保存に用いられる。しかし、細工されたCDFファイルを解析
すると引き起こされるメモリ崩壊の脆弱性が複数確認された。そのうちの1つ
は、"ReadAEDRList64()"機能にある配列インデックスエラーであり、これは、
CDFファイルの解析時にCDF読み取りプログラムの一部で適正なチェックが行わ
れないために引き起こされる。しかし、この他にも、"SearchForRecord_r_64()"、
"LastRecord64()"、"CDFsel64()"などの機能に詳細不明なメモリ崩壊エラーが
確認されている。悪用されると、任意のコードを実行される可能性がある。こ
れらの脆弱性のうち1つの技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
INFIGO ISのセキュリティアドバイザリ(#INFIGO-2009-07-09)
http://www.infigo.hr/en/in_focus/advisories/INFIGO-2009-07-09
CDFの変更ログ - CDF V3.3.0
http://cdf.gsfc.nasa.gov/html/CDF_changesnote2.html
製品のホームページ
http://cdf.gsfc.nasa.gov/
SecurityFocus BID's
http://www.securityfocus.com/bid/35754

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。