NRI Secure SANS NewsBites 日本版

Vol.4 No.37 2009年9月15日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.37 2009年9月15日発行
**********************************************************************

■はじめに

ヨーロッパのSCADAセキュリティサミット(ストックホルムで10月27-30日開催)
の最新情報:新しく追加されたセッションでは、コントロールシステムのスマー
トメーターやバーチャル化についての実例が紹介されるほか、これらによるセ
キュリティへの影響が論じられる。米国土安全保障省のコントロールシステム
セキュリティプログラムでは、無料のコースとツールも提供される。

詳細および参加登録はこちら:
http://www.sans.org/euscada09_summit/

ニュース速報:インターネットストームセンターは、Windowsのzero-dayの脆弱
性を新たに発表した。コード実行は伴わないが、重大な脆弱性である。1つの
パケットでもWindowsのホストをシャットダウンできてしまう。
http://isc.sans.org/diary.html?storyid=7093


「SANS Tokyo 2009 Autumn」でスキル武装を!!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「SANS Future Visions 2009 Tokyo」での
Alan Paller(SANS 調査研究部門ディレクター)の基調講演ビデオ
  !!公開中!!(10月12日まで)
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   SANS Tokyo 2009-2010 トレーニングイベント 好評申込み受付中!
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.72-73
   (原版:2009年9月5日、9月11日配信)

◆判事 データセキュリティ不十分で銀行を訴える許可を夫婦に与える
  (2009.9.2)

イリノイ州地方裁判所判事は、インディアナ州の夫婦に対し、Citizen’s
Financial Bankを過失で訴える許可を与える判決を下した。この訴えはMarsha
およびMichael Shames-Yeakelによるもので、夫婦の情報を保護するために最
新のセキュリティ対策をとっていなかった点で銀行側に過失があると主張して
いる。ユーザーの認証対策が不十分だったため、同夫婦の口座から2万6,000ド
ル以上が引き出されたという。これに対し、Citizens' Financial Bankは、同
夫婦の訴え棄却を求めている。

http://www.computerworld.com/s/article/9137451/Court_allows_suit_against_bank_for_lax_security?source=rss_security
────────────────

◆TJX 侵害事件について銀行と調停で合意に達する(2009.9.2-3)

TJX Cos.は、2007年に9,400万件の決済カードが侵害されるという大規模なデー
タセキュリティ侵害が発生した関連で、4銀行から集団訴訟が提起されていた
が、調停により52万5,000ドルを支払うことで合意した。銀行側は、この事件
の影響を受けた口座における不正取引の有無の監視、侵害されたカードの再発
行を行う事態に陥ったため、生じた費用の損失補填を目的に訴訟を起こしてい
た。今回の合意では、自社に落ち度があったとTJX側が認めたわけではなく、
ただ、銀行に生じた費用を補填することに対して合意がなされただけである。
http://online.wsj.com/article/BT-CO-20090902-711269.html
http://www.computerworld.com/s/article/9137491/TJX_agrees_to_settle_another_breach_lawsuit_for_525_000
http://www.scmagazineus.com/TJX-settles-for-525K-with-four-banks-over-breach/article/148095/

【編集者メモ】(Schultz)
TJXは、このような集団訴訟のケースにしては軽い処遇だったことを幸運と思
わなければならない。しかし、大規模な訴訟によって生じたTJXの苦難の道は
まだ終わっていない。今後数年、この余波に対処していかなければならないの
だ。
────────────────

◆国際的なカード詐欺犯罪で5人起訴(2009.9.1-2)

盗まれたカード番号10万件近くを使って400万ドル以上が盗み出された事件で、
5人の男が手配された。東欧出身の問題の5人は、米国と欧州の警察が行った4
年にわたる捜査の一環で手配された17人のうちの5人であった。その5人中2人
はすでに逮捕されて米国に強制送還された。3人目もこのほど逮捕され、
送還待ちの状態だ。残りの2人はいまだ逃走中である。
http://www.computerworld.com/s/article/9137403/Five_indicted_in_long_running_cybercrime_operation?source=rss_security
http://www.theregister.co.uk/2009/09/01/international_payment_card_ring/
http://www.scmagazineus.com/New-busts-in-global-identity-theft-ring/article/147966/
────────────────

◆中国のセキュリティ企業 巨大なマルウェアのデータベースを提供

中国のセキュリティ企業KnownSec社は、中国のマルウェアとマルウェア感染に
ついての情報を含む巨大なデータベースを開発した。他者にも提供する見込み
である。データベースのデータは、1日200万件近くのサイトを訪問するクロー
ラーによって収集されたものだ。KnownSec社は、各サイトで発生した出来事の
履歴、ある時点において感染したサイトのリスト、および発見された各ウィル
スやワームについての情報を記録している。CEOのZhao Wei氏は、「当社はこ
のデータベースの情報をインシデントレスポンスチームと共有するつもりだ」
と発表した。
http://www.first.org/newsroom/releases/20090703a.html
────────────────

◆Apache 最近のアタックについてインシデントレポートを発表
  (2009.8.28-9.3)

Apache Software Foundationの管理者が、同社のWebサイトを一時的にシャッ
トダウンせざるをえなくなったセキュリティ侵害について、詳細な説明を公表
した。アタッカーは、特定のサーバへのルートアクセスを獲得してログを破壊
したため、管理者らは、他の証拠から、何が起きたか、情報をつなぎ合わせな
ければならなかった。アタッカーは、Linuxのkernelにある既知の脆弱性を悪
用してサーバにアクセスした。この欠陥については、最近、修正プログラムが
リリースされていたが、このサーバには適用されていなかった。インシデント
レポートによると、このインシデントで明らかになった問題の中には、SSHキー
が正しく制限されていなかったことや、粗悪なバックアップ手順が採用されて
いたことなどがある。一方で、うまく作用した要因としては「2つの場所を使
用して冗長サービスとしていたために、被害のなかった方からサービスを運用
できたこと」、「侵害されたマシンはそれぞれ不均一であったため、複数のマ
シンで権限を昇格するのがアタッカーにとって難しかったこと」などがあげら
れた。今回の侵入事件を受けて、Apacheはホストに最低4096ビット長にした新
しいキーを生成する見込みであるほか、ログの中央管理を導入する可能性もあ
るという。
http://www.theregister.co.uk/2009/09/03/apache_website_breach_postmortem/
https://blogs.apache.org/infra/entry/apache_org_downtime_report
http://isc.sans.org/diary.html?storyid=7030

【編集者メモ】(UllrichとHonan)
これは、なぜアタックが起きたか、コアシステムをターゲットにするためにア
タッカーが他のシステムをどのように使うか、などに関するすばらしい分析だ。
Apacheに感謝したい。このようなレポートを読んで他人の経験から学びたい。
────────────────

◆SANS Technology Instituteの修士号取得候補者からH1N1の世界的流行準備
  対策文書

あなた自身や、あなたの組織のITシステムが、H1N1のような世界的流行にどれ
だけ対応できるか判断したければ、Jim BeechyやRob VandenbrinkがSANS
Technology Instituteでセキュリティエンジリアリングの修士号獲得のために
書いた小論文を読むといい。非常によく書かれているだけでなく、他人に教育
をする上で有益な、PowerPointのプレゼンテーションも添えられている。
http://www.sans.edu/resources/pandemic-preparedness/

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
主催:NRIセキュアテクノロジーズ株式会社

情報セキュリティソリューションセミナー(PCI DSS特集)
----------------------------------------------------------------------
~ PCI DSS 企業が抱える課題と準拠のメリット ~
http://www.nri-secure.co.jp/seminar/2009/0924.html
** 2009年9月24日(月) 《受講無料》**

度重なるクレジットカード情報の漏えい事件をうけ、カード情報を扱うシス
テムのセキュリティ対策を明確化した「PCI DSS」に注目が集まっています。
本セミナーでは「PCI DSS」の概要から認定・維持の流れをご紹介するととも
に企業が抱える課題や市場の動向、準拠のメリットなどをご紹介いたします。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK: The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年9月5日 Vol.8 No.36)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          4
Linux                      3
Solaris                     1
Cross Platform                 30 (#1)
Webアプリ・クロスサイトスクリプティング     5
Webアプリ・SQLインジェクション         10
Webアプリ                   13
ネットワークデバイス              1
======================================================================

OpenOfficeのみが、即座に更新しなければならないツールとなっている。この
一週間、それ以外は特になかった。

ターゲテッドアタックの件数増加とともに、アタック自体も高度化しているこ
とに危惧されている方も多いだろう。アタックののほとんどは過去の古い脆弱
性が利用されている。悲しいことに、そのような脆弱性は最新の総合的なパッ
チに含まれていないことがあるからだ。
────────────────

1.危険度【高】:OpenOffice.orgのWord文書の解析にさまざまな脆弱性

<影響のある製品>
OpenOffice.org 3.1

OpenOffice.orgは、Windows、Mac OS X、Solaris、その他OS用のオープンソー
スのオフィス用ソフトウェアスイートである。しかし、OpenOfficeにはさまざ
まな脆弱性が確認されている。これらの脆弱性は、Microsoft Word文書を脆弱
なOpenOffice.org実装で開くと引き起こされる。1つ目の問題は、Word文書の
表の特定の記録を解析する際の整数アンダーフローエラー。2つ目の問題は、
特定箇所の処理時に起きる境界エラーで、ヒープオーバーフローに至るおそれ
がある。この両ケースが実現されると、任意のコードを実行される可能性があ
る。設定によっては、受信時にユーザーへのプロンプト無く、脆弱なアプリに
よって文書が開かれるおそれがあるので注意が必要だ。この脆弱性の全技術的
詳細は、ソースコードを分析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secunia Researchのセキュリティアドバイザリ
http://secunia.com/secunia_research/2009-26/
http://secunia.com/secunia_research/2009-27/
ベンダーのホームページ
http://www.openoffice.org/
SecurityFocus BID
http://www.securityfocus.com/bid/36200

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。