NRI Secure SANS NewsBites 日本版

Vol.4 No.35 2009年9月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.35 2009年9月1日発行
**********************************************************************

■はじめに

今号には、セキュリティ分野では聞いたことのない、かなり重要なストーリー
が入っている(4番目)。金融機関にいる私の友人によれば、セキュリティ関
連での損失は1週間ですでに100万ドル以上超に達しており、その額はどんどん
拡大しているという。興味深いのは、銀行が顧客企業の損失を補填していない
ということ。つまり企業が倒産の憂き目に遭っているのだ。サイバーアタック
によって職が失われていく。
  Alan

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   SANS Tokyo 2009-2010 トレーニングイベント 好評申込み受付中!
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        ●アプリケーションエンジニアのための●
         セキュアプログラミング講座 9月開講!
         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■AEのための情報セキュリティ技術基礎 <9月9日>■
   ■セキュアプログラミング演習(Java) <9月10日-11日>■
   ■セキュアプログラミング演習(C言語) <9月28日-29日>■
                 会場:野村総合研究所 セミナールーム

   !!セキュアプログラミングスキル認定のGSSP試験にも対応!!
        ↓↓↓詳細&お申込みはこちら↓↓↓
   http://www.nri-secure.co.jp/seminar/2009/0909_29_index_.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.66-67
   (原版:2008年8月22日、8月26日配信)

◆米国連邦取引委員会(FTC)のルール 医療データの侵害通知責任をWebベー
  スの団体にも(2009.8.18)

米国連邦取引委員会は、医療関連の侵害通知ルールの最終版を発表。このルー
ルで、医療情報を保存・管理しているWebベースの企業・団体も、データセキュ
リティ侵害発生時に通知を行うことが義務付けられるようになる。現在、この
ような団体は、HIPAA(Health Insurance Portability and Accountability
Act:医療保険の携行性と責任に関する法律)にとらわれないことが多い。新ルー
ルによってこの矛盾が修正される。
http://www.darkreading.com/security/government/showArticle.jhtml?articleID=219400484
────────────────

◆Gonzalezに対する新たな起訴 司法取引を妨害する(2009.8.17-19)

Albert Gonzalezは、数々のハッキング事件で連邦検察官らと司法取引の合意
に達するところだった。しかし彼は、ニュージャージー州の連邦検察官らによっ
て、Hannaforf Bros.やHeartland Payment Systemなど話題になるようなデー
タセキュリティの侵害事件の多くについて再び起訴されたため、取引は不成立
となった。Gonzalezはクレジットカード口座数億件のデータ盗取の罪により、
20年の懲役刑の言い渡しを待っていたところだった。今回の新たな起訴により、
すんでのところで合意に達することができなかった。この件に関連して、
Heartlandのデータ侵害は、少なくとも部分的にSQLインジェクション攻撃を介
して行われたことが明らかになった。
http://www.theregister.co.uk/2009/08/20/albert_gonzalez_attorney/
http://bits.blogs.nytimes.com/2009/08/19/accused-hackers-lawyer-criticizes-federal-prosecutors/?ref=technology
http://www.computerworld.com/s/article/9136836/Hacking_kingpin_negotiating_plea_deal_with_feds?source=rss_security
http://www.wired.com/threatlevel/2009/08/tjx-hacker-plea/
http://www.csoonline.com/article/print/499964
http://www.cybercrime.gov/gonzalezIndic.pdf

【編集者メモ】(Schmidt)
このストーリーには、2つの論点がある。
1)このような事例には、従来のドラッグ関連事件に似ている部分がたくさん
ある。たいてい情報提供者がいるという点だ。しかし、情報提供者本人が
行っているだろう違法行為を監視するのが、ますます困難になってきてい
る。
2)実際に、このハッキングがSQLインジェクションによるものであったのなら
ばなおさら、基本的対策や報告されている脆弱性のチェック、修正行為を
行うことで阻止できたのではないか。
────────────────

◆米農務省関連の政府局 IE以外のブラウザ使用を禁ず(2009.8.19)

米農務省の協力州研究・普及・教育サービス(CSREES:Cooperative State
Research, Education and Extension Service)は、Internet Explorer以外の
すべてのブラウザの使用を禁じた。このポリシー(CSREESの全コンピュータに
適用)の発表コメントによると、「連邦デスクトップコア設定(FDCC:Federal
Desktop Core Configuration)の必須条件に足並みを揃え、全てのサードパー
ティのブラウザが、顧客のワークステーションから除去される」と述べられて
いる。しかしながら、FDCCはIEでないブラウザの使用を禁じてはいない。サー
ドパーティのブラウザによって侵害が発生したと告げられた職員もいるという。
IE以外のブラウザの設定はローカルで管理する必要があるが、IEの設定は中央
で管理することが可能である。
http://www.nextgov.com/nextgov/ng_20090819_3426.php?oref=topstory

【編集者メモ】(Schultz)
IEに、情報セキュリティコミュニティで嫌悪されてしまうほどたくさんの脆弱
性があったのは、そう何年も前のことではない。しかし、時間とともにIEの脆
弱性数は、Firefoxと同じくらいであるということに皆気づくようになり、IE
に対する憤怒も落ち着いてきたのだ。そして今、農務省(セキュリティ侵害と
なると、たいした成果はない省である)は、IEの使用を必須化した。物事が変
わりゆくのは速いものだ。Microsoftは今回のIEの勝利に特別な感慨を抱いた
に違いない。
────────────────

◆サイバー犯罪者ら 米国の中小企業をターゲットに数百万ドル奪う
  (2009.8.25)

東欧のサイバーギャング組織が、米国の中小企業をますます食いものにしてい
るようだ。数百万ドル規模のオンライン犯罪の波を引き起こし、米国の大規模
金融機関を悩ませ始めている。
http://www.washingtonpost.com/wp-dyn/content/article/2009/08/24/AR2009082402272.html?hpid=topnews

【ゲスト編集者メモ】(Rob Lee)
このような話を、よく目にするようになった。この類の犯罪が急速に蔓延して
いる背景には、大きな理由が3つある。
1)このような「避難場所」だと、逮捕されるおそれがあまりないということ
2)犯罪で得られる報酬か大きいこと
3)この手の攻撃手法に関するデータ共有範囲が最小限に留められていること
である。
したがって、企業らは自身を守るすべを知らない。クレジットカードデータの
盗難が発生して、システムをシャットダウンしなくてはならない企業もあった
ようだ。盗難発生により、クレジットカードの処理機能が働かなくなったから
だという。中小企業はセキュリティ対策が脆弱であるため、影響を大いに受け
ている。これは単にリスクというレベルの問題ではない。もう死活問題としか
言いようがない。
────────────────

◆身元が暴露されたブロガー Googleを訴える(2009.8.24)

先週、裁判所命令で身元が明らかにされたブロガーRosemary Portが、自身の
プライバシーを守れなかったGoogleを訴える意向だ。Portは1,500万ドルを要
求している。この1件は、VogueのモデルLiskula Cohenが中傷的なコメントを
書いたブロガーの身元情報を求める裁判所命令を勝ち取ったことによる。
Googleによると、Blogger.comユーザーは、訴訟で求められた場合には身元情
報を公開されるというプライバシーポリシーに同意しなければならないことに
なっているという。Port自身は、Cohenによってこの事件への注目度が急に高
まったと考えているようだ。CohenがPortの身元情報を公開させる命令を勝ち
取る前は、Portのブログへのアクセス件数はかなり少なかった。
http://business.timesonline.co.uk/tol/business/industry_sectors/technology/article6807682.ece
http://news.cnet.com/8301-17852_3-10315998-71.html
────────────────

◆ISP 罰金逃れでPirate Bayへのサービスを断ち切る(2009.8.24)

インターネットサービスプロバイダ(ISP)のBlack Internetは、罰金を逃れ
るためにPirate BayのWebサイトへのサービス提供を断ち切った。先週ストッ
クホルムにある地方裁判所で、ユーザーが問題のサイトを通じて著作権で保護
されたコンテンツにアクセス可能な日があれば、1日につき50万クローネ(7万
1,000ドル)の罰金を科す裁定が下された。Pirate Bayは他のプロバイダを見
つけることができたようだが、アクセスの状況は不安定でだという。この裁判
所命令は、著作権所有者のグループによる訴訟を受けて下された。Pirate Bay
は、スウェーデンのGlobal Gaming Factoryに売却される予定。
http://www.computerworld.com/s/article/9137051/The_Pirate_Bay_down_after_ISP_cuts_its_connection?source=rss_security
http://www.wired.com/threatlevel/2009/08/court-sends-pirate-bay-to-davy-jones-locker/
http://www.theregister.co.uk/2009/08/24/swedish_court_orders_black_internet_shut_down_tpb/
更新情報: Black InternetはPirate Bayの接続停止後、分散DoS攻撃を受けた
もよう。
http://www.scmagazineuk.com/Former-The-Pirate-Bay-ISP-suffers-sabotage-attack/article/147225/
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年8月21日 Vol.8 No.34)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Linux                      3
クロスプラットフォーム             1 (#1)
Webアプリ                    4
Network Device                 1
======================================================================

穏やかな一週間だった。夏を満喫しよう。
────────────────

1.危険度【高】:Libpurpleの"msn_slplink_process_msg()"にメモリ崩壊の脆
  弱性

<影響のある製品>
Libpurple.5.8までのバージョン
Pidgin 2.5.8までのバージョン
Adium 1.3.5までのバージョン

<詳細>
Libpurpleは、インスタントメッセージ・プロトコルの実装に使用されるライ
ブラリで、さまざまなメッセージプロトコルのサポートを提供できるものだ。
複数のプロトコルをサポートできるため、ユーザーは1つのアプリケーション
でさまざまなサービスにログインできるようになる。この機能のある
Libpurple実装は、PidginやAdiumなど数々のクライアントによって使用されて
いる。しかし、このLibpurpleにはメモリ崩壊の脆弱性が確認された。この欠
陥は、MSN SLPパケットの処理時に"msn_slplink_process_msg()"機能に生じる。
MSN SLPパケットがMSNサーバを介してクライアントに不正形式のデータを送信
するように細工されると、この脆弱性の悪用に利用されるおそれがある。悪用
されると、ログオンユーザー権限で任意のコードを実行される可能性がある。
この脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めているが、更新を認めていない。

<参考>
Core Security Technologiesのセキュリティアドバイザリ
http://www.coresecurity.com/content/libpurple-arbitrary-write
Pidginのホームページ
http://www.pidgin.im/
Adium のホームページ
http://adium.im/
Secuniaのアドバイザリ
http://secunia.com/advisories/36384/
http://secunia.com/advisories/36401/

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。