NRI Secure SANS NewsBites 日本版

Vol.4 No.3 2009年1月20日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.3 2009年1月20日発行
**********************************************************************

■はじめに

USBドライブ攻撃(The Thumb Drive Attacks)の防御の事例は、もう読んでい
ただいただろうか。本号に英国拠点の技術者が行った処置を再掲した。どのよ
うな攻撃に対しても対抗できるスキル・技術を習得する必要のある方は、ぜひ
SANSトレーニングに参加してほしい。世界屈指のインストラクターとともにお
待ちしている。
http://www.entryweb.jp/sans/09spring/

これまで3年間、P&G(Procter & Gamble)に依頼し続けたことが、ついにかなう。
2月初旬にオーランドで開かれるSCADAセキュリティサミットで、同社に講演を
してもらえることになったのだ。ベンダーに、コントロールシステムのセキュ
リティの実装および保守管理について、そのライフサイクル期間中ずっと全責
任を負うようにしてもらおうと、P&Gはコントロールシステムの購入方法を変
更した。今回のサミットでは、その背景や経緯、方法について語ってもらう。
非常に効果的な方法であり、他のほとんどの組織が評価し始めている。
SCADAサミットについての詳細はこちら:
http://www.sans.org/scada09_summit
                Alan Paller(SANS Director of Research)

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  【SANS Tokyo 2009 Spring】  早期割引は2月2日申込み分まで!!
  
  2009年2月9日(月)~14日(土)  会場:UDXカンファレンス(秋葉原)

!セキュリティ技術の最先端が学べる大人気のハンズオン3コースを実施!

  ■PCI/DSS準拠・実装・監査のための具体的手法の習得 -> AUD521
   ■ペネトレーション手法の完全習得、エシカルハッカー養成 -> SEC560
   ■アプリケーションの脆弱性診断スキルの短期習得 - > DEV538
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/09spring/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.2-3
   (原版:2008年1月9日、13日配信)

◆Feinstein米国議会上院議員 消費者データ保護法を提案(2009.1.7)

米国議会のDianne Feinstein上院議員(カリフォルニア州民主党)は、消費者デー
タの保護を目的とした法案を2つ提案した。1つ目の法案では、個人情報に関わ
る侵害が発生したら、企業は直ちにその旨を消費者に通知することを義務付け
られる。また、連邦政府や国家のセキュリティ、警察に関するデータベースが
侵害されたときなど特定の場合においては、米国シークレットサービスに侵害
を報告することも義務付けられる。2つ目の法案では、個人の社会保険番号
(SSN)の販売や公表、本人の同意なしの政府用文書への印刷を違法としている。
また、組織が顧客にSSNの提示を求めるための条件が厳しくなる。
http://www.nextgov.com/nextgov/ng_20090107_1108.php
http://feinstein.senate.gov/public/index.cfm?FuseAction=NewsRoom.PressReleases&ContentRecord_id=ae11aafd-f076-aceb-2cb1-528cb682c4db

【編集者メモ】(Schultz)
Feinstein上院議員は、同じような法案を以前提出したものの、上手く行かな
かった。2008年の国政選挙の結果を踏まえると、今なら可決される可能性は高
いといえるだろう。
────────────────

◆議員らにサイバーセキュリティのブリーフィングへの参加を義務付け?
  (2009.1.5-6)

Frank Wolf下院議員(バージニア州共和党)は、米国下院議会Nancy Pelosi議長
(カリフォルニア州民主党)やその他の議会の長宛に、米国議会議員らにサイ
バーセキュリティ説明会参加義務付けルールの設置を提案するレターを出した。
これは、議員オフィスのコンピュータや彼らが保持している機密情報に関連し
て提案されたものだ。昨年、Wolf議員は彼のオフィスのコンピュータがアタッ
カーに侵害されたと述べている。その中には、中国からのアタックもいくつか
あった模様。そのほかの組織や委員会の事務所のコンピュータも被害に遭って
いる。議員らが、自ら使用しているコンピュータに保存された情報に対する悪
意ある外部からのアクセスの脅威を認識していないことに、Wolf議員は懸念を
抱いている。2008年9月、共和党と民主党が議員らのために極秘のブリーフィ
ングを行ったが、参加した議員はほとんどいなかった。そのためWolf議員は、
「下院の情報セキュリティの脅威、議員出張時に発生する情報セキュリティの
脅威、下院のコンピュータネットワークや電子デバイスの安全対策」について、
参加必須とするブリーフィングを行いたいと考えている。
http://www.nextgov.com/nextgov/ng_20090106_1446.php
http://techdailydose.nationaljournal.com/Cybersecurity%20Letter%20to%20leadership.pdf

【編集者メモ1】(Pescatore)
上院や下院には、非常に活発な情報セキュリティチームがあるものの、難しい
問題を抱えている。それは、中央のITセキュリティ管理部門の言うことなど聞
く必要はないと考えているユーザー(上下院議員およびそのスタッフ)の存在
である。もちろん、企業や大学にもその兆候は見られるが、上下院にあるこの
問題の規模ははるかにそれを上回る。しかし、ブリーフィングが答えになりう
るとは、私は思わない。政治家とスタッフが、安全化を図るために自らの慣行
をどのように変えていくか明言するようなブリーフィングでない限り、解決は
みられないだろう。
http://enisa.europa.eu/doc/pdf/deliverables/obtaining_support_and_funding_from_senior_management.pdf
【編集者メモ2】(Schultz)
米国議会の議員に対してセキュリティのブリーフィング参加を必須とするのは、
表面的には素晴らしいアイデアのように思える。しかし、たとえ企業や組織上
層部のマネージャらが、義務で参加したセキュリティブリーフィングで学んだ
ことを実際に応用したとしても、義務付けにどれだけの効果があるかは疑わし
い。その人間の役職が組織の上の方に位置づけられていればいるほど、情報セ
キュリティ関連のミーティングに参加を強制するのは難しくなってくる。しか
もそれが有料ならばなおさらだ。
────────────────

◆ガソリン給油機の暗証番号入力ボタンに 新しい暗号化の必須条件
  (2009.1.7)

Visaは、2009年1月1日よりカードのスキミング詐欺から顧客を守るため、デビッ
トカードで支払いができる米国のガソリン給油機に、トリプルDES暗号化機能
のある暗証番号入力ボタン取り付けを義務付けるという。ガソリンスタンドの
オーナーは、2010年7月1日までに、該当する全ての給油機をトリプルDES機能
付きのものにアップグレードしなくてはならない。約140万台の給油機が対象
となる。アップグレードのほか、給油機のPOSシステムがPCI(ペイメントカー
ド産業)委員会に採用されている別の決済アプリケーションのセキュリティ基
準にも、確実に準拠するようにしなくてはならない。アップグレード費用は、
カードリーダ1台につき1,800ドルから2,000ドルかかる。中には、必須条件を
満たすため、新しい給油機の導入を迫られるオーナーもいるだろう。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9125261&source=rss_topic17

【編集者メモ】(Ullrich)
PCI基準は、Webベースの決済だけでなく全てのクレジットカード決済に適用さ
れることを認識しなくてはらない。店内の決済端末機が見逃され、十分にセキュ
リティへの対応ができていないケースも多い。
────────────────

◆最も危険なプログラミングエラートップ25(2009.1.12)

CWE/SANSのトップ25リストには、最も危険なプログラミングエラートップ25が
リストアップされている。これは、世界30以上のサイバーセキュリティ組織の
専門家による意見をまとめたものである。首位25種類のエラーは、コンポーネ
ント間の連携エラー、リソース管理の問題、穴だらけの防御という3つのカテ
ゴリーに分けられている。「不適正な入力値チェック」「不適正な出力エンコー
ディング」は、リスト中たった2件に過ぎないが、これらが原因で2008年には
150万件のセキュリティ侵害が発生した。エラー撲滅を促進すべく、
www.sans.org/top25にはリソースのリストも提供されている。この「エラートッ
プ25」は、ソフトウェアのバイヤーやプログラマーをはじめ、様々な人の役に
立つだろう。まず、ソフトウェアの購入を検討している組織は、ソフトウェア
ベンダーに、購入条件としてトップ25エラーへの対処を明記できる。また、プ
ログラマーと自動化ソフトウェアアナライザは、このリストを検査指標として
利用できる。さらに、大学や短大も、セキュアプログラミングの教育リソース
を取得できる。最後に、雇用主が雇用プログラマーのスキル診断に活用するこ
ともできる。
http://www.sans.org/top25errors/
http://www.nextgov.com/nextgov/ng_20090112_2005.php
http://www.techweb.com/article/showArticle?articleID=212701491
http://www.eweek.com/c/a/Security/List-of-Most-Dangerous-Programming-Errors-Changes-IT-Security-Discussion/
http://gcn.com/Articles/2009/01/12/Coding-errors.aspx

【編集者メモ】(Paller)
ニューヨーク州のCISOであるWill Pelgrin氏はすでに、取引先のソフトウェア
開発者に対し、納品前にトップ25エラーの抑制を必須条件として打ち出してお
り、調達基準に盛り込んでいる。彼は、そのルールを広く使えるよう、条件内
容を以下のリンクに掲示することを許可してくれた。
http://www.sans.org/AppSecContract
なお、このプログラミングエラートップ25は、近日中に日本語訳が掲載される
予定。
────────────────

◆サイバーセキュリティ教育の法案(2009.1.9)

米国議会のSheila Jackson Lee 下院議員(テキサス州民主党)は、米国立科学
財団(NSF)と国土安全保障省(DHS)に対し、短大以上の高等教育でサイバーセキュ
リティ教育の向上を図るために、助成金プログラムの設置を義務付ける法案を
提案した。この助成基金は、専門能力開発プログラム、準学士プログラム、ト
レーニング用機材の購入に使用できるようにする。この法案では、州政府や地
方政府、民間企業の職員もDHSの米国サイバーセキュリティ部門に参加して学
べるプログラムを設けるという。
http://fcw.com/articles/2009/01/09/rep-jackson-lee-proposes-cybersecurity--bill.aspx

【編集者メモ1】(Schultz)
Lee下院議員によるサイバーセキュリティ教育向上の提案と、情報保証につい
て卓越した教育拠点を評価していこうという国家安全保障局(NSA)のイニシア
チブとの間に、どのような関連性があるのか知りたい。後者においては、大学
の情報セキュリティおよび保証プログラムを分類したことを除いては、別段多
くのことが達成されたとは言えない。しかし、ここで分類されたプログラムに
ついても、その多くは質の高い教育拠点という観点から見ても、必要最小限の
カリキュラムを設けているだけにすぎないのだ。これらの踏まえると、Lee議
員の法案によってNSAのイニシアチブよりも素晴らしい結果がもたらされるこ
とが明白でない限り、成立させても意味はないだろう。
【編集者メモ2】(Weatherford)
今までに提案された奨学基金の用途としては、最も効果的かつ耐久性のあるも
のひとつであろう。これまで、この種の基金を設けるためにさまざまな試みが
なされてきたが、この法案によってアプリケーションのプロセスが合理化され
れば、DHSの助成金プログラムのお役所仕事がいくつかが排除されていくだろ
う。たぶん……。
【編集者メモ3】(Pescatore)
これは「細部に手を抜いてはいけない」法案だと思う。表面上はよさそうに思
える。しかし、1980年代にLaw Enforcement Assitance Actが助成金の名の下、
「セキュリティに関連あるもの」の明確な定義なしに、漠然と資金を投じてい
たことを覚えておられるか?
────────────────

◆USBドライブ攻撃を一掃した方法とそのプロセスから学んだ教訓

研修受講禁止の通達がSANSによって解禁されたことは、すでにお話した。ここ
では、数分間でこの攻撃を排除した技術者のテクニックを再度ご紹介する。
彼は、このマルウェアの拡散を認識したとき、即座になすべきことがわかった
という。彼は、Windows組み込みのWMICコマンドでマルウェアが実行されてい
るシステムを探知し、マルウェアに変更された箇所も探し出した。そして、
regコマンドで感染したマシンのオートスタート機能を停止してマルウェアが
起動しないようにしたほか、同様の感染を阻止するため、USBやCD/DVDのオー
トラン機能も停止した。マルウェア停止と感染拡大阻止を実行した後、さらに
2~3のテクニックを駆使して感染マシンのクリーンアップを行ったそうだ。

【編集者メモ】(Paller)
SANSのコースでは、この攻撃をそのまま疑似体験するような演習を用意してい
るわけではない。あくまでも「起こりうる攻撃を理解してもらい、その防御テ
クニックを実務でどのように駆使するか」をふんだんに学んでもらう。この技
術者には、SANSのトレーニングが目指すとおりのスキルを身につけていただけ
たのだ。
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
      【ついに実現!】
      日本人SANSインストラクターによる
      SEC401:SANS Seucrity Essentials Bootcamp Style

  2009年2月19日(木)より10週にわたって開講!!
   毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム

  !! 講義とオンライン学習を通じて、効率的にスキルアップ!!
            ↓↓↓詳しくはこちら↓↓↓
     http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年1月10日 Vol.7 No.2)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品             1
サードパーティのWindowsアプリ         1 (#2)
Linux                      2
Solaris                    1
クロスプラットフォーム            16 (#1)
Webアプリ-クロスサイトスクリプティング     2
Web アプリ- SQLインジェクション        19
Webアプリ                   16
ネットワークデバイス              2
======================================================================

HP OpenViewの欠陥は非常に危険である。Open Viewには、たくさんのシステム
に対するアクセスがあるからだ。したがって、ネットワーク管理のスタッフが
問題の修正を渋っても、断固修正に踏み切るべし。
────────────────

1.危険度【重大】:HP OpenViewにさまざまな脆弱性

<影響のある製品>
HP OpenView 7.51までのバージョン

<詳細>
HP OpenViewは、ネットワーク監視および管理アプリケーションとして広範に
使用されている。しかし、複数のCGIコンポーネントにさまざまな脆弱性があ
る。これらのコンポーネントは、アプリケーションのさまざまなパーツにWeb
インタフェースを提供する際、用いられる。そのため、これらの脆弱なアプリ
ケーションに対するWebリクエストが細工されると、バッファオーバーフロー
の脆弱性が引き起こされる。悪用が実現すると、脆弱なプロセスの権限で任意
のコードを実行できる状態になる。脆弱性の技術的詳細がいくつか公表されて
いる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのアドバイザリ
http://secunia.com/advisories/28074/
製品のホームページ
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-15-119^1155_4000_100
SecurityFocus BID
http://www.securityfocus.com/bid/33147
────────────────

2.危険度【高】:ComponentOne SizerOne ActiveXコントロールにバッファオー
  バーフローの脆弱性

<影響のある製品>
ComponentOne SizerOne ActiveXコントロール8.0.20081.142より以前のバージョ


<詳細>
ComponentOne SizerOne ActiveXコントロールは、ユーザーインタフェース・
エレメントやタブの付いたそれの動的サイジングを提供する際に用いられる。
しかし、"AddTab"メソッドの処理にバッファオーバーフローの脆弱性がある。
このコントロールをインスタンス化するWebページが細工されると引き起こさ
れ、脆弱なプロセスの権限で任意のコードを実行できる状態になる。この
ActiveXコントロールは、SAPやTSC2 Helpdeskなど、広範に普及しているソフ
トウェア製品に使用されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能を介して問題のコントロールを無効にすれば、影響を軽減でき
る。しかし、通常の機能に影響が出るおそれもあるので注意。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2008-52/
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://www.componentone.com/SuperProducts/SizerOne/
SecurityFocus BID
http://www.securityfocus.com/bid/33148

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。