NRI Secure SANS NewsBites 日本版

Vol.4 No.39 2009年9月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.39 2009年9月30日発行
**********************************************************************

■はじめに

企業や政府局は、システムを安全に維持することができる十分かつ確実なスキ
ルを持つサイバーセキュリティの専門職者の不足に悩まされている。軍に関し
ても、サイバースペースで戦って勝利をおさめることができる人員が不足して
いる。
類まれな才能のある人間のパイプラインの増強を目的としたイニシアチブで最
もクールなものは、米国サイバーチャレンジであろう。
Tim O'Reilly's Gov 2.0のNetWars(ネット戦争)の初期ラウンドでの勝利者イ
ンタビューを行った。その動画クリップは啓蒙的で(ユーモラスであり)、サ
イバーセキュリティに従事してほしいと思う才能のある若者にやる気を起こさ
せるだろう。このビデオを見て奮起を決意した方は、ぜひSANSトレーニングに。
http://blip.tv/file/2610813
                                Alan

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   SANS Tokyo 2009-2010 トレーニングイベント 好評申込み受付中!
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

       【10月開催のコースの早期割引は10/12まで】
             今すぐお申込みを!!

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
         ■SANS マンスリーウェブキャストシリーズ■
               本日11:00~12:00

    What Every Pen Tester Should Know about Web Applications
           スピーカー:Johannes Ulrich, Ph.D.

 情報セキュリティの分野において世界の第一線で活躍するインストラク
  ターが最先端の内容をウェブキャストにて提供。 今すぐアクセス!!
           http://www.sans.org/info/48218
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.76-77
   (原版:2009年9月19日、9月25日配信)

◆SANSのTop Cyber Security Risks まだまだ業界で過小評価 (2009.9.16)

SANS Instituteによるトップサイバーリスクのレポートによると、アタックの
大部分が2つの種類の脆弱性に起因しているという。Adobe ReaderやFlash
Playerのような人気プログラムにあるパッチがあてられていない欠陥、および
正規のWebページにある同様の欠陥が悪用されたために、脆弱なコンピュータ
を感染に至らせてしまい、さらなるサイバー犯罪にそのコンピュータが使用さ
れているというものである。このレポートによると、組織においてはパッチを
あてる際、OSの欠陥よりもWebアプリケーションにかかる時間の方が2倍ほど長
いことが多いようだ。
http://www.sans.org/top-cyber-security-risks/
http://blogs.usatoday.com/technologylive/2009/09/cyberattackers-focus-on-web-applications.html
http://www.csoonline.com/article/502096/SANS_Security_Ignores_the_Two_Biggest_Cyber_Risks
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=220000292
http://www.scmagazineuk.com/Businesses-fail-to-understand-threats-and-fail-to-keep-patches-updated/article/149030/
http://isc.sans.org/diary.html?storyid=7129
────────────────

◆米国保健社会福祉省の危害基準で HIPAAが適用される団体に侵害通知の抜
  け穴 (2009.9.16-17)

米国保健社会福祉省(HHS: Department of Health and Human Services)の新ルー
ルでは、HIPAA(医療保険の携行性[相互運用性]と責任に関する法律)が適用
される団体に対し、暗号化やデータ破壊、もしくはインシデントが新ルールの
危害基準を満たさない場合は、データセキュリティの侵害が発生しても顧客に
通知を行わなくてもよいという。このルールでは、侵害によって「財務上の影
響があるものへの損害、もしくは個人に対するその他の危害」がもたらされた
かどうかを団体自身が答えるように要請し、そこで得られた回答が基準になる
という。危害基準を満たしていない場合は、団体は、暗号化を行っていない場
合に限り、影響を受ける個人に通知を行うように義務付けられることになる。
http://www.theregister.co.uk/2009/09/17/healthcare_breach_disclosure/
http://www.eweek.com/c/a/Health-Care-IT/Health-IT-Data-Breaches-No-Harm-No-Foul-293398/
http://edocket.access.gpo.gov/2009/pdf/E9-20169.pdf

【編集者メモ】(Liston)
わかった。この際はっきりさせておこう。
私が間違いを起こして、誰かにあなたのデータを盗ませたとする。そうすると、
(間違ったことを認めている)私が、私の間違いによってあなたに生じた損害
の有無を決められるということ!? そういうことなのか? となると、その後
どのような間違いが起こるか…。殺人犯、重罪犯などが、自分の懲役終了時期
を決められるようになるのではないか?
────────────────

◆TrendMicroの調査結果:マルウェアは数ヶ月間残っていることも
(2009.9.15-16)

マルウェアに感染したコンピュータは、そこに留まるという。調査対象となっ
たIPアドレス1億件によると、感染したコンピュータの80%が、30日以降経っ
ても感染したままだった。また、50%は、10ヶ月後も感染状態にあったという。
潜伏期間が長いのは、マルウェアは、システムリソースが消費されるなど注意
を引くようなことを何も行わない場合が多いからである。感染したマシンの多
くはボットネットの一部であるため、定期的な更新を受信しているという。こ
の更新が、マルウェアが検知を回避するのに役立っているようだ。
http://www.scmagazineus.com/Study-Malware-persists-on-compromised-machines/article/149089/
http://www.theregister.co.uk/2009/09/15/malware_persistence/
http://blog.trendmicro.com/the-internet-infestation-how-bad-is-it-really/

【編集者メモ】(Liston)
そんなこと、みんなわかっているだろう。全く驚くようなことではないと思う
のだが……。それに最近では、マルウェアにはビジネスモデルすらある。その
モデルは、あなたがマルウェアを「除去」しないかぎり、活動を阻害されない
のだ。
───────────────

◆フランス議会 三振アウトの著作権侵害対策の改正案を承認
(2009.9.15-16)

フランス議会は、習慣的に違法なダウンロードを行っている者のインターネッ
トアクセスを切断することができる制度の設置法案を、285対225で承認した。
今年はじめに同様の法案が可決されたものの、その合憲性が問題視されていた。
今回の法案では、新たな著作権対策局であるHadobiに、ユーザーのインターネッ
ト接続の切断を許可しているが、そのためには判事の命令を必要としている。
違反者は、最高で30万ユーロの罰金、および2年の懲役が科せられるおそれが
ある。子供がダウンロードしてしまった場合、その家族にも罰則が適用される
が、刑の厳格度は緩和される。同法によって、Wi-Fi接続を使用している人は、
その接続が乱用されないようにすることを義務付けられる。この法案は、立法
議会の下院で承認されたため、次は上院で議論されることとなる。
http://news.bbc.co.uk/2/hi/technology/8257720.stm
http://euobserver.com/9/28673
http://news.zdnet.co.uk/internet/0,1000000097,39753515,00.htm
────────────────

◆米国連邦通信委員会 ネットの中立性に関するルールを提案 (2009.9.21)

9月21日、米国連邦通信委員会(FCC)の会長であるJulius Genachowskiは、イン
ターネットサービスプロバイダに対し、彼らのネットワーク上で競合他社のイ
ンターネット通信速度を遅くする行為を禁止するルール一式を提案した。
Genachowskiは、 2005年に導入された中立性原則を明文化するために、ルール
作成のプロセスを開始するという。消費者に影響があると考えられていたのは、
動画や電話サービスへのアクセスがブロックされるか、もしくはそれらからの
通信速度が遅くなるということである。一方でプロバイダは、使用帯域幅が過
剰に広い加入者に対して課金を行っている可能性もある。そのため、プロバイ
ダには、ネットワーク管理におけるポリシーに透明性を持たせることが求めら
れる。この提案ルールは、スマートフォンのデータ接続など、全てのブロード
バンド接続に適用されるため、予想よりも広範に適用されると思われる。プロ
バイダの中には、ネットワーク運用の方法まで政府が決めるべきではないと考
えているところもあるようだ。米国上院議員Kay Bailey Hutchinson (テキサ
ス州共和党)は、このルール作成の動きに対して、それを阻止するための法案
を提案した模様。
http://online.wsj.com/article/SB125354032776727741.html
http://www.wired.com/epicenter/2009/09/net-neutrality-announcement/
http://www.wired.com/epicenter/2009/09/republican-net-neutratlity-amendment/
http://www.nytimes.com/external/readwriteweb/2009/09/21/21readwriteweb-fcc-proposes-new-rules-to-ensure-net-neutra-38727.html
http://voices.washingtonpost.com/posttech/2009/09/fcc_wants_to_be_smart_cop_of_i.html
http://voices.washingtonpost.com/posttech/2009/09/senate_republicans_to_push_aga.html

【編集者メモ】(Pescatore)
旧ルールでもISPは、「違法な」コンテンツへのアクセスや配信をブロックで
きるだけでなく、「ネットワークに害を及ぼす」可能性のあるデバイスもブロッ
クできるとなっていた。これらのルールに締まりがあるようには思えないが、
マルウェアサイトへのアクセスや、仕向けられているアタックをブロックする
行為を正当化できる理由は提供してくれている。ただ、そこに「違法な」や
「害を及ぼす」について適当な定義があればの話だが…。
────────────────

◆司法省のレビュー:Einstein 2はユーザーのプライバシーを侵害していない
  (2009.9.18)

米国司法省(DOJ)がEinstein 2の監視プログラムのレビューを行ったところ、
連邦政府職員のインターネット通信を監視していこのプログラムは、職員のプ
ライバシーの権利、もしくは職員と通信を行った人間のプライバシーの権利の
どちらにも違反していないという結果となった。Einstein 2の目的は、政府の
ネットワークへのアタックを検知することだ。職員は、ログイン時に彼らの活
動が監視されることを警告されているため、「期待する合法的なプライバシー
の権利」は、取り除かれることになる。しかし、あるプライバシー提唱グルー
プは、このレポートに、Einstein 2がどのように働くのか、について十分な説
明がなされていないことに懸念を示している。
http://www.msnbc.msn.com/id/32920337/ns/technology_and_science-security/

【編集者メモ】(Pescatore)
米国の雇用主が雇用者のインターネット活動を監視できるようになったために、
社内ネットワークを使用している従業員の「あると期待されている正当なプラ
イバシーの権利」が欠落するようになってしばらく過ぎた…。


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年9月19日 Vol.8 No.38)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
サードパーティのWindowsアプリ         9
Mac OS                     9 (#1)
Linux                     3
HP-UX                     1
BSD                      1
Solaris                    2
Unix                      1
クロスプラットフォーム            20 (#2, #3, #4, #5)
Webアプリ- クロスサイトスクリプティング    7
Webアプリ - SQLインジェクション        16
Webアプリ                   14
ネットワークデバイス             13
======================================================================

今週は、Mac OS Xにたくさんの重大な脆弱性が報告された。
────────────────

1.危険度【重大】: Apple Mac OS Xにさまざまな脆弱性 (セキュリティアップ
  デート2009-005)

<影響のある製品>
Mac OS X Server 10.5
Mac OS X Server 10.4.x (Universal)
Mac OS X Server 10.4.x (PowerPC)
Mac OS X 10.5.8
Mac OS X 10.4.11

<詳細>
Apple Mac OS Xにおいて、コンポーネントのいくつかにさまざまな脆弱性が確
認された。これらのコンポーネントどれかのインプット、もしくはデータが細
工されると、脆弱性が引き起こされ、さまざまな悪用可能な状態につながって
しまう。問題となっているエラーは以下のとおり:
(a) アリアスファイルの処理にバッファオーバーフローのエラーがある。
(b) Resource Managerのリソースフォークの処理にメモリ崩壊のエラーがある。
(c) Mac OS Serverシステムにのみ同梱されているClamAV 0.94.2に、さまざま
  な脆弱性が確認された。これらの脆弱性の中には、リモートのコード実行に
  つながるものもある。
(d) ColorSyncプロフィールが組み込まれた画像の処理に、integer overflow
  のエラーがある。
(e) Core GraphicsがPDFファイルを処理する方法にinteger overflowがある。
(f) 長さの長いテキスト文字列を描くことによって、CoreGraphicsに、ヒープ
  オーバーフローのエラーが生じる。
(g) CUPSにnullポインタの逆参照のエラーがある。
(h) CUPS USBのバックエンドにヒープオーバーフローのエラーがある。
(i) Adobe Flash Playerのプラグインにさまざまな脆弱性が確認された。これ
  らの脆弱性の中には、リモートのコード実行につながるものもある。
(j)ImageIOが、TIFF画像がエンコードされたPizarFilmを処理する方法に、さ
  まざまなメモリ崩壊エラーがある。
(k) Launchサービスに設計上の問題がある。安全でないファイルが自動的に開
  かれるおそれがある。
(l) 安全でないコンテンツがダウンロードされ、それを開こうとしても警告が
  表示されないため、Launchサービスに設計上の問題が生じる。
(m) MySQLには実装上の問題があり、それが権限昇格につながるおそれもある。
(n) PHP 5.2.8にさまざまな脆弱性が確認されたが、その中にはコード実行に
  つながるものもある。
(o) Sambaには、適正なチェックを行えないためにエラーが生じるが、そのた
  めにフォルダが予期せぬ形で共有されてしまうおそれがある。
(p) Wiki Serverには、UTF-8でないものでエンコードされたデータのあるリク
  エストを処理する方法に、クロスサイトスクリプティングのエラーがある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3865
製品のホームページ
http://www.apple.com/macosx/
SecurityFocus BID's
http://www.securityfocus.com/bid/29106
http://www.securityfocus.com/bid/33927
http://www.securityfocus.com/bid/34344
http://www.securityfocus.com/bid/34357
http://www.securityfocus.com/bid/34446
http://www.securityfocus.com/bid/35169
http://www.securityfocus.com/bid/35759
http://www.securityfocus.com/bid/35774
http://www.securityfocus.com/bid/35900
http://www.securityfocus.com/bid/35901
http://www.securityfocus.com/bid/35902
http://www.securityfocus.com/bid/35904
http://www.securityfocus.com/bid/35905
http://www.securityfocus.com/bid/35906
http://www.securityfocus.com/bid/35907
http://www.securityfocus.com/bid/35908
http://www.securityfocus.com/bid/36350
http://www.securityfocus.com/bid/36354
http://www.securityfocus.com/bid/36355
http://www.securityfocus.com/bid/36357
http://www.securityfocus.com/bid/36358
http://www.securityfocus.com/bid/36359
http://www.securityfocus.com/bid/36360
http://www.securityfocus.com/bid/36361
http://www.securityfocus.com/bid/36363
http://www.securityfocus.com/bid/36364
────────────────

2.危険度【高】: BigAnt Messenger Serverにバッファオーバーフローの脆弱
  性

<影響のある製品>
BigAnt IM Server 2.50

<詳細>
BigAntは、インスタントメッセージングクライアントとサーバを両方備えた企
業用インスタントメッセージングシステムである。しかし、BigAntメッセージ
ングサーバにバッファオーバーフローの脆弱性が確認された。HTTP GETリクエ
ストが長すぎると、それがアタッカーに利用されたこの脆弱性が引き起こされ
る。この欠陥はHTTPリクエストに十分な境界チェクが行われないために、
"AntServer.exe"モジュールに生じるエラーである。悪用が実現すると、アタッ
カーは、ログオンしたユーザーの権限で任意のコードを実行できるようになっ
てしまうか、もしくはDoS状態につながってしまうおそれがある。この脆弱性
の全技術的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
概念実証コード(Milw0rm)
http://milw0rm.com/exploits/9673
ベンダーのホームページ
http://www.bigantsoft.com/
SecurityFocus BID
http://www.securityfocus.com/bid/36407
────────────────

3.危険度【高】: NginxのURL処理にバッファアンダーフローの脆弱性

<影響のある製品>
Nginx 0.x

<詳細>
Nginxは、オープンソースのマルチプラットフォームのHTTPサーバ、およびメー
ルプロキシサーバである。しかし、Nginx Webサーバには、バッファアンダー
フローの脆弱性が確認された。URLが細工されると、それをアタッカーが利用
し、この脆弱性が引き起こされる。この欠陥は、URLの処理中に
"ngx_http_parse_complex_uri()"機能に生じるエラーだ。悪用が実現すると、
脆弱なアプリケーションの関係で任意のコードが実行されるか、もしくはDoS
状態に至ってしまうおそれがある。この脆弱性の全技術的詳細は、ソースコー
ドを分析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
US-CERT の脆弱性ノートVU#180065
http://www.kb.cert.org/vuls/id/180065
NginxについてのWikipediaの説明
http://en.wikipedia.org/wiki/Nginx
ベンダーのホームページ
http://nginx.net/
SecurityFocus BID
http://www.securityfocus.com/bid/36384

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。