NRI Secure SANS NewsBites 日本版

Vol.4 No.40 2009年10月6日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.40 2009年10月6日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   SANS Tokyo 2009-2010 トレーニングイベント 好評申込み受付中!
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

       【10月開催のコースの早期割引は10/12まで】
             今すぐお申込みを!!

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
         ■SANS APACウェブキャストシリーズ 【10月】■
           2009年10月7日(水)19:30~20:30

   Windows Forensic Analysis: Dissecting the Windows Registry

      スピーカー:Rob Lee(SANS Certified Instructor)

 日本時間の深夜以外の時間帯にライブ ウェブキャストがご覧いただけるよ
  うになりました。情報セキュリティの分野において世界の第一線で活躍する
  インストラクターが最先端の内容をウェブキャストにて提供します。
  お見逃しなく!!

 詳しいイベント情報はこちらをご覧ください。
   http://www.sans.org/info/48624
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.78-79
   (原版:2009年9月26日、9月30日配信)

◆建設会社 サイバー詐欺による損失で銀行を訴える (2009.9.23-24)

メーン州の建設会社が、サイバー窃盗犯が同社の口座から50万ドルを盗み出し
た事件で適正な予防対策をとっていなかった銀行を訴えた。この裁判は、
Patco Construction Co.が、コネチカット州ベースのPeople's United Bank
のブリッジポート部門、Ocean Bankに対して起こした訴えである。訴えでは8
日間で総計58万8,000ドルにおよぶ詐欺取引が複数回発生したので、それを発
見した同社は銀行に対し、その状況を通知したものの銀行はその後の詐欺取引
を阻止することができなかったと言及されている。同銀行は、二要素認証を提
供するかわりに、1,000ドル以上の取引には、セキュリティ上の質問に2つ答え
させる方法をとっていた。取引のほとんどは1,000ドル以上になることから質
問に関する情報は頻繁に使用されていたものだと想定される。したがって、ア
タッカーらはキーストロークロガーやその他のマルウェアを使用して、その情
報を得ていたものと思われる。Patcoによると、Ocean Bankはかつて取引に使
用したことのないIPアドレスで問題の取引が行われるなどの疑わしい活動、も
しくは、異常な活動にも気付くことができなかったという。詐欺取引が特定で
きるように、消費者にはたいてい銀行取引明細書の受取後一定の猶予期間が設
けられているが、企業に対して詐欺取引が発生した場合その旨を当日中に銀行
に知らせることが義務付けられていることが多い。
http://voices.washingtonpost.com/securityfix/2009/09/construction_firm_sues_bank_af.html
http://www.computerworld.com/s/article/9138467/Construction_firm_sues_after_588_000_online_theft?source=rss_security

【編集者メモ1】(Northcutt)
これは長い間私が予期していた訴訟である。あなたのペットの名前を聞くこと
が二要素認証の精神に則っていることだとは思えない。このような状況が発生
したときに、あなたの携帯電話に連絡をとるという良き姿勢をとっている企業
もある。1,000ドル以上のオンライン取引を行うほとんどの人は携帯電話を持っ
ているのだから、それはとても理にかなっており、二要素認証の真の領域にあ
てはまる行為だと言えよう。あなたが知っているもの(パスワード)とあなた
が持っているもの(携帯電話)という二要素なのだから。
【編集者メモ2】(Ranum)
今後、最終的に全ての物事が整理されていくときっとこうなる。結果的に(弁
護士が喜ぶような)訴訟が多数起こり、銀行およびクレジット会社の契約書の
条項の行数が増えていく……。そして最終的には皆、末端部分のセキュリティ
が重要であることに気づかされることになる。きっと、社会が全体的に末端部
分のコンピューティングを行う方法を真剣に再検討するときがやってくる。
────────────────

◆セキュリティスキルの需要拡大:セキュリティポリシーや法遵守関連のスキ
  ルの需要減少(2009.9.5)

GovInfoSecurityが、認定資格のレビューを発表した。これによって、セキュ
リティ関連業務従事者が興味をもっている職種の変化が浮き彫りになった。最
も需要が高いものというカテゴリーで、専門的分野の認定の多数が管理関連の
認定を上回る結果となった。専門的な認定としてはSANSのGIACやCisco、
Checkpointが「需要が高い」リストの多数を埋めた形となった。管理やポリシー
に関連のある2つの認定は、上位10位にランクインしなかった。
http://www.govinfosecurity.com/articles.php?art_id=1807&opg=1
────────────────

◆PCI DSSの遵守調査 (2009.9.23)

Impervaが委託し、Ponemon Instituteが行った決済カード産業データセキュリ
ティ基準(PCI DSS:Payment Card Industry Data Security Standard)の遵守
調査によると、決済カード取引を処理する団体のおよそ70%が、法遵守行為を
業務の中心というよりはチェックボックスにチェックを入れるだけのような業
務と考えているようだ。また、PCI DSSを戦略的アプローチの一環として導入
している企業は、侵害を経験する可能性が低いという。さらに、調査対象の80
%近くの組織がデータセキュリティ侵害を経験したと答えている。決済カード
のデータは保護していたものの、社会保険番号(SSN)や運転免許証番号、財務
口座情報など、その他の顧客データは保護していなかったと答えた企業は55%
だった。規模の小さい企業(従業員数501人~1,000人)では、PCI DSSを遵守し
ていたのは28%であった一方で、大企業(従業員数7万5,000人以上)は70%だっ
た。遵守していない理由のトップに来たのは、新しいセキュリティプログラム
の導入に伴う費用がかかるということだった。
http://www.darkreading.com/security/attacks/showArticle.jhtml;?articleID=220100919&subSection=Attacks/breaches
http://www.computerworld.com/s/article/9138427/PCI_survey_finds_some_merchants_don_t_use_antivirus_software?source=rss_security
http://www.theregister.co.uk/2009/09/23/data_security_survey/
http://lastwatchdog.com/pci-compliance-ineffective-stopping-data-thieves/

【編集者メモ】(Schultz)
「チェックボックスを埋める心理」でアプローチされているのは、決して
PCI DSSの遵守だけに限られていることではない。それに遵守できない主な理
由がそれにかかる費用だと今更聞いても別段驚かない。
────────────────

◆"Chat-in-the-Middle"アタック オンラインバンキングの顧客を餌食に
  (2009.9.18-24)

フィッシングに新しいひねりを加え、サイバー窃盗犯はライブのチャットで銀
行の詐欺検知部門の従業員を装う手法を使うようになっている。ユーザーはフィッ
シングのメールを介してサイトに誘導され、ログインの信用証明書をタイプで
入力するように求められるというもの。その後チャットのウィンドウが開き、
アタッカーは犠牲者に対し彼らの口座を検証するために銀行の詐欺防止部門が
追加で情報(セキュリティチェックの質問など)を求めていると告げる。サイ
バー犯らはJabber IMプロトコルを使用して犠牲者とのオンラインでの会話を
行っている。つまり、このアタックはfast-fluxネットワークでホスティング
されている。
http://software.silicon.com/security/0,39024655,39527467,00.htm
http://www.securecomputing.net.au/News/156603,rsa-warns-of-new-chatinthemiddle-attacks.aspx
────────────────

◆判事 アカウントを無効にするようにGoogleに命令 (2009.9.24-28)

カリフォルニア州米国地方裁判所判事は、銀行が機密情報をうっかり送信して
しまったユーザーのGmailアカウントを無効にするように命令を下した。ワイ
オミング州のRocky Mountain Bankの従業員は、間違ったアカウントにデータ
を送信してしまった。この誤送信されたデータには、氏名や社会保険番号(SSN)、
銀行顧客1,300人以上のローン情報などがあった。誤送信の判明後すぐに銀行
はそれを受信したアドレスユーザーに、問題のメールを破棄しRocky Mountain
Bankに連絡するよう依頼した。しかし返信がないため、Googleに対しアカウン
トの所有者情報を提供するように求めた。これに対しGoogleは、裁判所命令な
しに情報を提供することはできないと表明。これを受けた判事の命令は物議を
醸すものであった。なぜならアカウント所有者の言論の自由の権利(米国憲法
修正第一項)に反しているおそれがあるからだ。個人のGmailアカウントを無
効化することで生じる影響は計り知れない。
http://www.mediapost.com/publications/?fa=Articles.showArticle&art_aid=114264
http://www.theregister.co.uk/2009/09/28/google_rocky_mountain_bank_suit_rollls_on/

【編集者メモ】(Northcutt)
私は、この記事に目を通した後、熱い紅茶を飲み、このケースがいかに重要か
理解するためにもう一度記事を読まねばならなかった。時間を割いてこのストー
リーをぜひ読んでほしい。ここにはいくつかの問題がある。1つは、何年もの
間、法のシステムは技術を追随する形をとってきたということだ。5年前であ
ればWare判事の「単なるメールのアカウントだ。その人はどこかほかで別のア
カウントを取得すればいい」という論点もある程度は理解できたかもしれない。
しかし、ここ2-3年ではCharlene Liの「将来はメールアドレスと携帯電話番号
の2つの情報が身元証明に使われるようになる」との言葉が現況をよく表して
いると言える。つまり、結論としてWare判事はよくない決断を下したと言えよ
う。
────────────────

◆裁判所 Bottle Domainsの登録機関認定を取り消す決定を維持(2009.9.26-28)

先日、オーストラリアの裁判所はドメイン登録機関としてのBottle Domainsの
認定を取り消すというオーストラリアのドメインネーム管理機関(auDA: the
Australian Domain Name Administrator)が下した決定を維持することにした。
Bottle Domainsは、2007年に発生したセキュリティ侵害についての情報開示を
行わなかったという経緯がある。この問題はBottle Domainsのデータベースか
ら情報が盗まれてインターネットで売買されたために発覚した。裁判所は、
Bottle Domainsの姿勢を「クレジットカード詐欺が犠牲者に与える影響に対し
てあまりにも無関心だ」と称している。同社オーナーのNicholas Boltonは
「オーストラリア連邦警察から情報が提供されないかぎり、クレジットカード
情報が乱用される可能性について登録者に警告は与えるべきではないとの姿勢
を徹底的に維持した」ことを認めている。侵害されたデータには、Bottle
Domainsの顧客2万5,000人のクレジットカード情報などがあった。
http://www.securecomputing.net.au/News/156951,court-slams-bottle-domains-lax-security.aspx
http://www.businessday.com.au/business/second-blow-for-bolton-as-company-is-banned-20090925-g696.html

【編集者メモ1】(Pescatore)
登録機関はインフラと顧客の身元情報検証のプラクティスの両方ついてより高
いセキュリティ基準を設けなければならない。.orgドメインは、素晴らしくよ
くそれを実行しているようだ。auDAが厳しい姿勢をとったのも喜ばしいことだ。
【編集者メモ2】(Schultz)
よくも悪くも、警察やその他の捜査機関に協力的でないドメイン登録機関や
ISPは、最終的には、auDAの行ったような運命をたどることになる。
────────────────

◆米国下院議会分科委員会 サイバーセキュリティ研究開発法改正案を承認
  (2009.9.25)

米国下院議会の分科委員会が、サイバーセキュリティ研究開発法の強化を目的
とした法案を承認した。この法案が実際に施行されると、連邦政府局は「サイ
バーセキュリティリスク評価をベースにした」長期的視野の研究開発プランの
提出を義務付けられるようになる。同法案はこれから下院議会の科学技術委員
会で議論されることとなる。
http://www.scmagazineus.com/House-subcommittee-passes-cybersecurity-RD-bill/article/149714/

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年9月26日 Vol.8 No.39)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ         4
Linux                     4
HP-UX                     1
BSD                      1
Solaris                    3
Unix                      1
クロスプラットフォーム            13 (#1, #2)
Webアプリ- クロスサイトスクリプティング    3
Webアプリ - SQLインジェクション        17
Webアプリ                   11
ネットワークデバイス              1
======================================================================

今週は、Mac OS Xにたくさんの重大な脆弱性が報告された。
────────────────

1.危険度【高】: Apple iTunesのプレイリストファイルの処理にバッファオー
  バーフローの脆弱性

<影響のある製品>
Apple iTunes 9.0.1より以前のバージョン

<詳細>
一般的なデジタルメディアプレーヤとして広範に使用されているApple iTunes,
Apple Mac OS XおよびMicrosoft Windowsが、バッファオーバーフローのエラー
に脆弱である。プレイリストの".pls" ファイルが細工されると、この脆弱性
が引き起こされる。この欠陥は、".pls"ファイル処理中に生じる境界誤差だ。
悪用が実現するとアタッカーは脆弱なアプリケーションの関連で任意のコード
を実行できるようになるか、もしくはDoS状態に繋がってしまうおそれがある。
アタッカーが攻撃するには不正形式のプレイリストファイルを開くように誘導
しなければならない。その際、メールに悪意のあるファイルを添付するかメー
ルに不正形式のプレイリストファイルへのリンクを送信する手法が使われる。
この脆弱性に対する技術的詳細がいつくか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3884
製品のホームページ
http://www.apple.com/itunes/
SecurityFocus BID's
http://www.securityfocus.com/bid/36478
────────────────

2.危険度【高】: VLCメディアプレーヤにさまざまなバッファオーバーフロー
  の脆弱性

<影響のある製品>
VideoLAN VLCメディアプレーヤ1.0.1 とそれ以前のバージョン

<詳細>
VLCメディアプレーヤは、VideoLANプロジェクトによるオープンソースのクロ
スプラットフォームのメディアプレーヤとして広範に使用されているが、以下
のような複数のバッファオーバーフローの脆弱性が確認された。
a) "modules/demux/asf/libasf.c"の"ASF_ObjectDumpDebug()" 機能にバッファ
  オーバーフローのエラーがある。ASFファイルが細工されると脆弱性が引き
  起こされる。
b) "modules/demux/avi/libavi.c"の"AVI_ChunkDumpDebug_level()"機能にバッ
  ファオーバーフローエラーがある。AVIファイルが細工されるとこの脆弱性
  が引き起こされる。
c) "modules/demux/mp4/libmp4.c".の"__MP4_BoxDumpStructure()" 機能にバッ
  ファオーバーフローエラーがある。MP4ファイルが細工されるとこの脆弱性
  が引き起こされる。
エクスプロイトのどれかによって悪用が実現すると、アタッカーは脆弱なアプ
リケーションの権限で任意のコードを実行する事や、DoS状態を発生させる事
が可能になってしまう。この脆弱性の全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
VideoLAN のセキュリティアドバイザリ0901
http://www.videolan.org/security/sa0901.html
ベンダーのホームページ
http://www.videolan.org/
SecurityFocus BID
http://www.securityfocus.com/bid/36439

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。