NRI Secure SANS NewsBites 日本版

Vol.4 No.4 2009年1月27日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.4 2009年1月27日発行
**********************************************************************

■はじめに

2009年の新ポスター
「情報セキュリティ分野で最もクールなキャリア トップ20」:
SANSでは、今までで一番出来のよいポスターをリリースする。情報セキュリティ
分野で最もクールなキャリアのトップ20と、その分野で活躍するエキスパート
によるアドバイスが添えられている。SANSの卒業生がこのポスターをご希望の
場合は、ポータルに登録されているご自身のアカウント情報が最新の状態かご
確認いただきたい。卒業生でない方も一枚20ドルで購入できる。大学や高校に
は、各キャリアについて詳細を掲載した冊子とともに無料で提供する予定。

職を失った情報セキュリティ分野の専門家のための経済的援助:
SANSは、職を失った卒業生を支援する新プログラムを展開している。我々は、
シリコンバレーで解雇されてしまったCIOSらからのリクエストで、このプログ
ラムを始動した。

              Alan Paller(SANS Director of Research)

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
         【SANS Tokyo 2009 Spring】 開催間近!

          早期割引は2月2日申込み分まで!!
  2009年2月9日(月)~14日(土)  会場:UDXカンファレンス(秋葉原)

!セキュリティ技術の最先端が学べる大人気のハンズオン3コースを実施!

  ■PCI/DSS準拠・実装・監査のための具体的手法の習得 -> AUD521
   ■ペネトレーション手法の完全習得、エシカルハッカー養成 -> SEC560
   ■アプリケーションの脆弱性診断スキルの短期習得 - > DEV538
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/09spring/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.4-5
   (原版:2008年1月16日、20日配信)

◆マサチューセッツ州のデータセキュリティ規制 5月に発効(2009.1.15)

マサチューセッツ州の新データセキュリティ規制では、同州住民との取引企業
は、2009年5月1日までに厳しいデータ保護要件を充足しなければならない。こ
の規制は、企業のみならず、その企業のサービスプロバイダにも適用される。
また、マサチューセッツ州住民の個人情報を保持している企業は全て対象とな
る。このMassachusetts Data Security Regulationsによると、個人情報は、
個人の姓名と社会保険番号(SSN)、運転免許証番号もしくは銀行口座番号の組
み合わせであると定義されている。この情報を保護するための要件として、経
営、技術、物理的なセキュリティ対策も網羅されている。
http://www.techweb.com/article/showArticle?articleID=212900788

【編集者メモ】(Schultz)
マサチューセッツ州は、個人情報や財務情報の保護向上を必須化する法を可決
するという同州の傾向に他州が迎合できるよう、その道を地ならししてくれた。
────────────────

◆英国国防省のITシステムの多くがセキュリティガイドラインを満たさず
  (2009.1.14-15)

データ処理に関するレビューによると、英国国防省と関連政府局のITシステム
をテストしたところ、その4分の3近くがセキュリティガイドライン要件を満た
していなかったという。同ガイドラインは、政府省庁によるデータセキュリティ
上の失態が明るみになったことを受けて、昨年夏に設けられた。国防省が基準
に対してテストを行ったのは、全システムの58%だけだった。関連のある話題
として、国防省が、マルウェアの感染によって英国海軍の戦艦ネットワークな
ど、若干のITシステムが停止していたことを認めた件がある。
http://news.zdnet.co.uk/security/0,1000000189,39591619,00.htm
http://www.vnunet.com/computing/news/2234069/quarter-mod-systems-tested-far
http://www.theregister.co.uk/2009/01/15/royal_navy_email_virus_outage/
────────────────

◆報告2件:米国税庁にデータセキュリティの問題(2009.1.15)

米財務省税務管理監査官(Treasury Inspector General for Tax
Administration)の監査報告によると、米国税庁(IRS)は、セキュリティ上の懸
念があったにもかかわらず、オンライン確定申告システムを立ち上げたという。
IRSの最新e-Fileシステム第4版のテストではセキュリティの脆弱性は13個確認
されていたが、そのままシステムの利用を2007年1月に開始した。問題となっ
ていたのは、ファイル文書を保管するシステムやデータベースに適切なアクセ
スコントロールがないこと、メインサイトが使用できなくなった場合のバック
アップ処理サイトがないこと、などがあげられている。もう一方の、政府責任
説明局(GAO)による報告には、IRSは最初の報告にあった115個の脆弱性を半分
に削減したと述べられている。GAOが示した懸念事項の中には、暗号化やデー
タアクセスのコントロールがないことなどが、同じく指摘されている。
http://www.nextgov.com/nextgov/ng_20090115_6302.php
http://www.washingtonpost.com/wp-dyn/content/article/2009/01/15/AR2009011500955.html
http://www.treas.gov/tigta/auditreports/2009reports/200920026fr.pdf
────────────────

◆編集記:プログラミングエラートップ25とアプリケーションセキュリティの
  調達ガイドライン(Alan Paller)

最も危険なプログラミングエラーのトップ25とアプリケーションセキュリティ
の調達ガイドラインが今週はじめに公表され、かなり多くの賛同を得たほか、
メディアで大きく報道された。つまり、これは重要な分岐点であり、すでにア
プリケーション開発の形勢を変えつつある出来事なのだ。トップ25は、国土安
全保障省(DHS)、国家安全保障局(NSA)、MITRE Corporationによるすばらし
い成果であり、調達ルールはニューヨーク州のそれである。しかし、問題があ
る。ある記事では、調達ガイドラインを誤って解釈し、ルールを中傷するよう
な説明を掲載していた。そこには、ニューヨーク州は「要求がきつい」上、セ
キュアプログラミングを「強制しようとしている」とあった。私は、セキュリ
ティの有効性向上の責任を担っている人々を知っている。彼らは、協力と連携
によって物事を成し遂げている。このやり方で、圧力だけでことを済ませよう
とする者たちよりも、大きな成果を挙げてきた。最終目的は、誰しも同じ安全
なアプリケーションの開発だが、たどり着くまでの経緯も同じくらい重要だ。
ニューヨーク州はより安全なアプリケーション開発手法を確立し、脆弱性を最
小限にとどめる行動をとったのである。同州の目的は、カスタムソフトウェア
を販売する前に、報告されているセキュリティ欠陥が修正された状態にするこ
となのだ。そうすれば、全てのユーザに、より安全な環境が提供されるように
なり、プログラマーにもメリットがある。ガイドラインは自発的なものであり、
安全に開発されたカスタムソフトウェアを調達できるようにするための最善策
なのだ。カスタムソフトウェアを売る側と買う側が、連携してこの取り組みに
参加しなければ成功しないというのが、ニューヨーク州の哲学なのである。
このガイドラインは広く公表されており、官民両セクターのコメントを募集し
ている。また、時間とともに進化し、改善され続けてもいくだろう。ご覧にな
りたい方は、以下のニューヨーク州またはSANSのサイトへ:
http://www.sans.org/top25errors/
http://www.sans.org/appseccontract
http://www.cscic.state.ny.us
【編集者メモ】
プログラミングエラートップ25(CWE/SANS TOP 25 Most Dangerous
Programming Errors)はまもなく日本語訳も掲載される予定。セキュアプログ
ラミングに関する様々な新しい取組みが始まっている。これらを自社にも導入
したいとお考えの方は、info@sans-japan.jpまでお知らせいただきたい。
────────────────

◆ニューヨーク州 アプリケーションセキュリティの調達ルールを普及:学生
  がセキュアプログラミングを習得できるようにサイバーアカデミーを
  (2009.1.12)

ニューヨーク州のCISO、Will Pelgrinは、ニューヨーク州の州政府局や他の州
が、カスタムソフトウェアベンダーと連携してセキュリティを組み込めるよう
に、関連組織に対して新調達ルールの原案を公表した。調達ルールを、セキュ
リティを「要求」する行為と批判する記事もあったが、ニューヨーク州政府関
係者らは協調的なイニシアチブの模範と評しており、州の全ベンダーと連携し
た新ルール導入に向けて始動している。Pelgrinは、ニューヨーク州やニュー
ジャージー州の大学と連携し、学生がセキュアプログラミングをマスターして
卒業できるようにするようにするため、サイバーアカデミーを設立すると発表
した。
http://www.internetnews.com/dev-news/article.php/3796091
【編集者メモ】
日本の大学関係者で、セキュアプログラミング教育に興味のある方は、
info@sans-japan.jpまでお知らせいただきたい。
────────────────

◆プライバシーの権利支援団体 電子カルテに堅牢なセキュリティ対策を求め
  る(2009.1.15)

米国のプライバシーの権利および市民の自由支援団体は、電子カルテを適用す
る場合には、必ず、堅牢なセキュリティ対策を組み込むことを求める書簡を議
会に提出した。その中で、アメリカ自由人権協会(ACLU:American CIvil
Liberties Union)の関連団体や社会福祉指導員と患者のプライバシーの権利協
会(National Association of Social Workers and Patient Privacy Rights)
は、自分の医療記録の用途をコントロールする権限を患者に持たせ、患者が医
療記録の共有や売買から守られるようにするよう求めた。
http://www.nextgov.com/nextgov/ng_20090115_7415.php

【編集者メモ1】(Pescatore)
医療保険の携行性と責任に関する法律(HIPAA)が、電子カルテ適用の障害になっ
ているとの噂があった。しかし私の見解では、噂のほとんどは医療記録を保存
するシステムを広告する業界から発せられたものと思われる。カンフル剤とし
て資金が流れてくることを踏まえても、「オプトイン」やデータ保護原則がな
いがしろにされたまま、電子カルテの設置に急がないようにすることが肝要で
ある。
【編集者メモ2】(Weatherford)
重大な問題である。第44代大統領のためのサイバーセキュリティに関するCSIS
委員会の報告書では、興味深いことに、「市民の自由とセキュリティのバラン
スをとる」ために具体的なルールが記されている。ところで、まだ報告書を読
まれていない方は以下のリンク参照。オバマ大統領のための素晴らしい青写真
を見ることができる:
http://www.csis.org/component/option,com_csis_pubs/task,view/id,5157/
────────────────

◆勝てないのなら味方として便乗しよう(2009.1.19)

音楽業界はデジタルダウンロード時代に突入したようだ。英国には、「comes
with music」というNokiaの携帯電話サービスがある。特定の携帯電話を購入
した企業は500万曲を収容したカタログから、無制限で「無料の」ダウンロー
ドが可能になるのだ。その他の携帯電話やインターネットサービスもこれに続
いており、楽曲の費用をサービスやアクセスの契約に組み込んでいくようだ。
http://www.nytimes.com/2009/01/19/business/worldbusiness/19digital.html?_r=1&ref=technology&pagewanted=print

【編集者メモ1】(Schultz)
全米レコード協会(RIAA)やその他の同様の団体は、楽曲の違法なダウンロー
ドを減らそうと、さまざまな取組みを行ってきた。しかし、全て失敗に終わっ
ている。この新アイテムは、楽曲のダウンロードが広範に行われていることを
考えると理にかなっている。多くの楽曲を利用可能にして、その費用をISPの
サービス料金に組み込むのはすばらしいアイデアだ。
【編集者メモ2】(Weatherford)
合法的な未来がやっていきた。音楽業界は、今までとは一線を画したビジネス
モデルに転向する準備を始めたようだ。
────────────────

◆報告:ITセキュリティに焦点をあてない取締役会も(2008.12.4)

カーネギーメロン大学のCyLabが行った企業のセキュリティ調査によると、企
業の取締役会はリスク管理を重要視しているものの、ITと企業のリスク管理の
関連性については見解にギャップがあるとわかった。所属企業の取締役会が会
社の情報セキュリティ管理に直接関わっていると答えたのは、全体の36%にと
どまっている。この統計は、米国の上場企業の取締役703名の回答をもとにま
とめられた。また、この調査報告には、企業のリスク管理計画にITリスクを盛
り込むこと、プライバシーやセキュリティを組み合わせて相互の意思伝達を図
れるようなチームを組織全体に絡む形で作ること、などの推奨策もあげられて
いる。
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1341038,00.html
http://www.bankinfosecurity.com/external/CMU-Governance-report-120408.pdf

【編集者メモ】(Paller)
取締役会がセキュリティを重要視していないことよりも嘆かわしいのは、
CyLabがあるカーネギーメロン大学やその他の研究教育機関など、大学のコン
ピュータ科学部門が、セキュアプログラミング教育を組織的にないがしろにし
ていることである。カーネギーメロン大学は、安全なソフトウェアを開発でき
ない専門家を養成してしまっている。この分野にたくさんの研究資金をつぎ込
んでいれば、学生らが後に米国のリーダーとしてコンピュータ科学や関連教育
の中心的な役割を担い、セキュアプログラミングを教育する側に立てるように
なっていただろうに。そしてCyLabは、ソフトウェアのセキュリティに素晴ら
しい影響を与えることができたはずなのに……。
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
      【ついに実現!】
      日本人SANSインストラクターによる
      SEC401:SANS Seucrity Essentials Bootcamp Style

  2009年2月19日(木)より10週にわたって開講!!
   毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム

  !! 講義とオンライン学習を通じて、効率的にスキルアップ!!
            ↓↓↓詳しくはこちら↓↓↓
     http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年1月15日 Vol.8 No.3)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     5 (#1)
その他のMicrosoft製品              3
サードパーティのWindowsアプリ         10 (#2, #4, #5)
Linux                      3
Solaris                     1
クロスプラットフォーム             26 (#3)
Webアプリ-クロスサイトスクリプティング     9
Web アプリ- SQLインジェクション        25
Webアプリ                   20
ネットワークデバイス              6
======================================================================

静寂の時は終わった。Oracle、Blackberry Enterprise Server、Windowsのユー
ザーは皆、重大な脆弱性に対処しなくてはならない。
────────────────

1.危険度【重大】:Microsoft WindowsのSMB処理にさまざまな脆弱性
  (MS09-001)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows 2008

<詳細>
SMBとは、Server Message Blockプロトコルのことであり、Microsoft Windows
実装におけるリソース、ファイル、プリンタ共有のための標準プロトコルとなっ
ている。しかし、さまざまなSMBメッセージの処理に欠陥がある。メッセージ
が細工されると、脆弱性のいずれかが引き起こされ、kernelレベル権限で任意
のコードを実行できる状態になる。このケースでは、リモートでのコード実行
は難しいと考えられているものの、理論的に可能ということだ。これらの脆弱
性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoft のセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Zero Day イニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-09-001/
http://zerodayinitiative.com/advisories/ZDI-09-002/
SMBについてのWikipedia の説明
http://en.wikipedia.org/wiki/Server_Message_Block
SecurityFocus BIDs
http://www.securityfocus.com/bid/33121
http://www.securityfocus.com/bid/33122
────────────────

2.危険度【重大】:RIM BlackBerry Enterprise Serverに複数のPDF解析の脆弱
  性

<影響のある製品>
RIM BlackBerry Enterprise Server 4.1.6までのバージョン

<詳細>
RIM BlackBerry Enterprise Serverは、RIM BlackBerryのハンドヘルド・シス
テムへのメッセージをフォーマットおよび管理するサーバ・アプリケーション
である。ファイルへの添付物の解析機能や、ハンドヘルドデバイスでよりよい
閲覧ができるようにフォーマットする機能などがある。しかし、Enterprise
ServerのPDF添付処理に、さまざまな脆弱性がある。PDFが細工されると、脆弱
性のいずれかが引き起こされ、脆弱なプロセス(SYSTEM)権限で任意のコードを
実行できる状態になる。悪用するには、BlackBerryデバイス上にある悪意のあ
る添付を積極的に閲覧するというユーザーによる操作が必要。脆弱性の技術的
詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
BlackBerry Security Advisories
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB17118
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB17119
iDefense Security Advisories
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=764
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=765
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=766
Vendor Home Page
http://www.blackberry.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/33248
http://www.securityfocus.com/bid/33250
http://www.securityfocus.com/bid/33224
────────────────

3.危険度【重大】:Oracleの複数の製品にさまざまな脆弱性(2009年1月期の重
  大なパッチ更新)

<影響のある製品>
Oracle TimesTen 7.0.5.4.0までのバージョン
Oracle Secure Backup 10.2.0.3までのバージョン
Oracle Database 11gまでのバージョン
Oracle E-Business Suite 12までのバージョン
Oracle Enterprise Manager Grid Control 10gまでのバージョン

<詳細>
Oracleは、2009年1月期の重大なパッチ更新をリリースした。複数の製品に、
リモートで未承認のコマンドやコードが実行される脆弱性やなど、さまざまな
脆弱性がある。Oracle TimesTenとOracle Secure Backupの脆弱性の概念実証
コードや、その他の脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Oracleの重大なパッチ更新
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2009.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-003/
http://www.zerodayinitiative.com/advisories/ZDI-09-004/
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=768
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=769
ベンダーのホームページ
http://www.oracle.com
SecurityFocus BID
http://www.securityfocus.com/bid/33177
────────────────

4.危険度【高】:複数のOffice OCXのActiveXコントロールにさまざまな脆弱
  性

<影響のある製品>
Office Viewer AcitveXコントロール(OCX)

<詳細>
Office Viewer ActiveXコントロール(OCX)は、ユーザーが、Webブラウザ内
でMicrosoft Officeファイルを閲覧し、編集できるようにするものである。こ
れらのコントロールのさまざまなメソッドコール処理に複数の脆弱性がある。
コントロールのいずれかをインスタンス化するWebページが細工されると、現
在のユーザー権限で任意のコードを実行できる状態になる。これらの脆弱性に
ついての概念実証コードがいくつか公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能を介して問題のコントロールを無効にすれば、影
響を軽減できる。しかし、通常の機能に影響が出るおそれもあるので注意。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/33245.html
http://downloads.securityfocus.com/vulnerabilities/exploits/33238_powerpoint.html
http://downloads.securityfocus.com/vulnerabilities/exploits/33238_office.html
http://downloads.securityfocus.com/vulnerabilities/exploits/33238_word.html
http://downloads.securityfocus.com/vulnerabilities/exploits/33222.html
http://downloads.securityfocus.com/vulnerabilities/exploits/33243-office.html
http://downloads.securityfocus.com/vulnerabilities/exploits/33243-powerpoint.html
http://downloads.securityfocus.com/vulnerabilities/exploits/33243-word.html
http://downloads.securityfocus.com/vulnerabilities/exploits/33243-excel.html
Microsoft ナレッジベースの記事("kill bit" 機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.officeocx.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/33245
http://www.securityfocus.com/bid/33222
http://www.securityfocus.com/bid/33238
http://www.securityfocus.com/bid/33243
────────────────

5.危険度【高】:NullSoft Winamp Audio Fileの解析にさまざまなバッファオー
  バーフローの脆弱性

<影響のある製品>
NullSoft Winamp 5.3.2までのバージョン

<詳細>
NullSoft Winampは、Microsoft Windowsのメディアプレーヤとして広範に使用
されている。しかし、MP3やAudio Interchange File Format(AIFF)ファイル
解析に欠陥がある。MP3やAIFFファイルが細工されると引き起こされ、バッファ
オーバーフローにつながってしまう。バッファオーバーフローのいずれかの悪
用が実現すると、現在のユーザー権限で任意のコードを実行できる状態になる。
設定によっては、脆弱なアプリケーションの受信によって悪意のあるファイル
が受信時に開かれるおそれがある。これらの脆弱性の概念実証コードが公表さ
れている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/33226.pl
AIFFについてのWikipediaの説明
http://en.wikipedia.org/wiki/Audio_Interchange_File_Format
MP3についてのWikipediaの説明
http://en.wikipedia.org/wiki/MP3
製品のホームページ
http://www.winamp.com
SecurityFocus BID
http://www.securityfocus.com/bid/33226

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。