NRI Secure SANS NewsBites 日本版

Vol.4 No.44 2009年11月10日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.4 No.44 2009年11月10日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

より高度な技術をお持ちの読者へ:
最近、「新たにSnortルールを作成したものの、実際に警告を発するかどうか
のテスト通信をまだ行っていない」「侵入テストを行うために、制限的なコマ
ンドラインパケット作成ツールを使用して通信を作成しようとしたものの、望
んだとおりに動作しなかったのであきらめてしまった」。こんな経験をお持ち
のあなたのために、ネットワークセキュイティの第一人者、Judy Novakによる
実践コース「SEC567 Scapy」でパワーパケット作成セミナーが、CISOやセキュ
リティツールベンダー用にサクラメントで開催される。
http://www.sans.org/packet-crafting-scapy-2009/description.php?tid=3712

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.88-89
   (原版:2009年10月31日、11月4日配信)

◆米国政府説明責任局(GAO)の報告書:行政予算管理局のFISMA法管理不行き届
  きが米国政府のサイバーセキュリティの非効率性の重要な原因だと露呈
  (2009.10.29)

米国政府説明責任局(GAO)が先日公表した報告書では、「不適切な効果測定」
に行政予算管理局(OMB)が頼っていたことを言及している。OMBが米国国立標準
技術研究所(NIST)の手順ガイダンスにあまりに依存しすぎていたため、結果的
に政府局は 「コントロール活動の効率性や情報セキュリティプログラムの影
響を実証できないような対策」を報告するはめに陥っていた。上院議員のTom
Carperはこの5年間で、「非効率的かつ無益な」認定認可行為(つまり1ページ
作成ごとに1,400ドル以上かかり、かつ提出時にはすでに期限を経過しており、
結局その後保管室に放置されるようなレポートの作成)に50億ドル以上が無駄
に使われたと述べている。GAOは、OMBが追求すべき測定尺度について、5つの
特徴を述べている。それらの特徴は、各政府局がNISTの手順コントロールから
離れて、成果をもとにした継続的、かつ信頼できるコントロールに、また実際
にリスクを軽減できる優先順位の高いコントロールを強化する必要性が強調さ
れている。
上院議員Carperのコメント:
http://hsgac.senate.gov/public/index.cfm?FuseAction=Files.View&&FileStore_id=7824c6fa-c5f6-4506-a5a1-1e77de39f082
GAOの証言:
http://hsgac.senate.gov/public/index.cfm?FuseAction=Files.View&FileStore_id=9cffe896-5747-43c8-9bd7-22e21d72d799
10月29日の公聴会にて行われた「セキュリティの強化と無駄の削減」について
の追加証言:
http://hsgac.senate.gov/public/index.cfm?FuseAction=Hearings.Hearing&Hearing_ID=8505fb0f-bf9b-4bb4-9e25-e71154391202

【編集者メモ】 (Paller)
GAOの発見およびCarper上院議員の結論は、「OMBによるNISTガイダンス依存の
義務付け」を強硬だと苦情をあらわにしていた監査官事務局やIT監査人による
懸念の声を公正に扱っている。その後OMBは、NISTのガイダンスで測定できる
のは、重要なセキュリティコントロールの効率性を示せないような事務作業だ
けだったとわかり、セキュリティについての結論を発表するように彼らに求め
た。GAOの発見事項は、CIOやCISOの多くや、声高に(もちろんプライベートで
ではあるが)異を唱えてきた者が達した結論を反映している。彼らは、FISMA
に則った報告を行うためにコンサルタントに資金をつぎ込んだために予算が使
い果たされ、セキュリティを迅速に向上できたはずの重要なオートメーション
に投資するのに十分な資金が残らかなかったと口々に述べている。
────────────────

◆判事 TD Ameritradeのケースで提案された調停解決を却下 (2009.10.27-28)

連邦判事は、TD Ameritradeのデータセキュリティ侵害のケースにおいて提案
された調停解決を却下した。2007年にAmeritradeの顧客600万人以上の個人情
報が侵害され、その情報が後日スパムを送信するのに使われた。判事は今回提
案された調停内容は原告よりもAmeritradeの方に利益がもたらされる内容だっ
たため、「公正妥当、適正なものではない」と述べた。さらに判事は「同社が
調停の一環として設置を提案している追加のセキュリティ対策は、どの企業に
とっても導入するのが当たり前の対策だ」と言及した。
http://www.computerworld.com/s/article/9139988/Judge_says_TD_Ameritrade_s_proposed_security_fixes_aren_t_enough?taxonomyId=1&pageNumber=1
http://www.storefrontbacktalk.com/supply-chain/are-judges-cracking-down-on-data-breach-corporate-victims/
────────────────

◆中小企業の4分の3がセキュリティの支出を凍結もしくは削減
  (2009.10.28-29)

McAfeeが世界9カ国の中小企業100社を調査したところ、71%に及ぶ中小企業が
「データセキュリティ侵害が発生すれば倒産するおそれが生じる」と答えたも
のの、4分の3の企業は 2009年度の情報セキュリティ関連の支出を凍結もしく
は削減すると答えている。また、3分の2の企業がセキュリティに費やす時間は
1週間に3時間以下と答えているほか、昨年度データセキュリティ侵害を経験し
た企業は、調査対象となった企業の20%にのぼった。侵害で生じた損害を緩和
するためにかかった費用は、平均で4万1,000ドルだという。
http://www.securityfocus.com/brief/1029
http://news.cnet.com/8301-1009_3-10384916-83.html
http://www.mcafee.com/us/research/security_paradox/index.html

【編集者メモ1】(Northcutt)
規模の小さな企業は、解決不能な問題がますます増えていく状態に直面してい
る。アタックの手法は多種多様だ。しかし、セキュリティベンダーは、考えら
れるアタックの中でもごく一部に焦点をあてた「点」の解決策しか提供してく
れない。私はエンドポイントの4大ホワイトリストにあるセキュリティ製品の
うち1つを運用しているが、この製品はまさに全ての変化を検知する。しかし、
その変化がよいものなのか、悪いものなのかを知る術はない。Securia PSIは
一筋の光といえる製品だが、この製品がどの方向に向かっていくのかは不明だ。
規模の小さな企業がこれを使用するとしても、それが安全な設定で運用されて
いるかどうかを知る術はないだろう。ダウンロード可能で、現在のエンドポイ
ントにあるものを上書きできるリファレンスOSのようなものがますます必要に
なってくるだろう。中小企業のオーナーの観点から言わせてもらうと、「問題
を解決できないなら、なぜそれにお金を費やすのだ?」である。
【編集者メモ2】(Ullrich)
この調査報告の「もっとセキュリティに資金を費やせば、セキュリティは一層
改善される」という仮説は、必ずしも本当だとは思わない。セキュリティ製品
となると、がらくたにお金を使ってしまうはめに陥るのも簡単なのだ。
────────────────

◆Microsoftの報告書: 企業環境での脅威リストの上位はワーム (2009.11.2)

Microsoftのセキュリティ情報報告書(Security Intelligence Report)によ
ると、2009年上期における企業用コンピュータに対する脅威の首位は、
Confickerだったという。ワームの感染件数は2008年下期から今年の上期で、
全体的に2倍増となった。ワームは最も蔓延しているサイバー脅威として5位か
ら2位に上昇。しかしワームは、ホームユーザーに対してはさほど大きなセキュ
リティ上の懸念にはならないようだ。2009年上期において、ホーム環境でのサ
イバーセキュリティの脅威として最も蔓延しているとされたのは、不正セキュ
リティソフトウェアを含むトロイの木馬だった。フィッシングの件数は今年の
5月と6月だけで、それまでの10ヶ月間の件数の4倍を記録した。これはソーシャ
ルネットワーキングサイトを介した集中的なアタックが原因だという。
http://www.informationweek.com/news/global-cio/security/showArticle.jhtml?articleID=221400323
http://www.darkreading.com/vulnerability_management/security/attacks/showArticle.jhtml?articleID=221500012&subSection=Attacks/breaches
http://www.microsoft.com/downloads/details.aspx?FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd&displaylang=en

【編集者メモ】 (Schultz)
情報セキュリティ専門家の多く(もちろん私も含む)が、ワームの脅威は消え
つつあると声高に唱えていたのはたった数年前のこと…。何とも皮肉なことだ。
────────────────

◆欧州委員会 英国にプライバシーの強化を求める(2009.11.2)

欧州委員会は、英国政府は十分に市民のプライバシーを確保できていないと述
べている。この懸念は、ユーザーの行動をもとににあみ出されたPhormのター
ゲット広告技術に関しての2006年と2007年の裁判から生じたもの。この技術に
よって関係する人々はその存在を通知されることなく、彼らのサーフィン習性
が追跡されていた。欧州連合(EU)テレコム長官、Viviane Redingは英国当局に
対し、「英国法を改正し、同国民が、電子通信機密性に関するEU法で設けられ
た安全対策の恩恵をフルに受けられるようにすること」を求めている。英国に
は、今回の委員会からのレターに何らかの対応を示すために2か月の猶予が与
えられている。
http://news.bbc.co.uk/2/hi/technology/8337685.stm

【編集者メモ】(Schultz)
英国のプライバシーについていくら強調しても、英国政府は今まで以上にコン
ピューティングにおけるプライバシーの保護を推進している様子はない。これ
はおかしな話だ。
────────────────

◆米国下院議会倫理委員会の報告書 ピアツーピアネットワークから誤って漏
  えいされる (2009.10.30-11.2)

米国下院議会倫理委員会の機密報告書が、ピアツーピア(P2P)ファイル共有ネッ
トワークを介して、誤って漏えいされた。この報告書には、議員および議会補
佐30人に関わる倫理問題の取り調べ詳細が掲載されていた。同委員会委員らは、
この調査に関する活動内容を今までに暴露していないことを誓って署名をして
いる。同委員会議長のZoe Lofgren(カリフォルニア州民主党)は、下院議会の
一連の投票に割り込む形で侵害について議員に通知を行った。この漏えいは、
とある若手職員が自宅勤務中にP2Pソフトウェアを使用したことが原因で発生
したようだ。問題の職員は解雇されている。今回の漏えいを受け、下院議会議
長のNancy Pelosi(カリフォルニア州民主党)と下院少数党院内総務のJohn A.
Boehner (オハイオ州共産党) は、サイバーセキュリティ政策について直ちに、
かつ総括的な検査を行うように求めることとなった。
http://www.washingtonpost.com/wp-dyn/content/article/2009/10/29/AR2009102904597_pf.html
http://www.theregister.co.uk/2009/10/30/confidential_congress_report_leaked/
http://www.computerworld.com/s/article/9140154/Leaked_House_Ethics_document_spreads_on_the_Net_via_P2P?taxonomyId=17
http://www.wired.com/threatlevel/2009/11/ethics-leak
http://www.washingtonpost.com/wp-dyn/content/article/2009/10/30/AR2009103003749_pf.html
http://www.politico.com/news/stories/1009/28967.html

【編集者メモ】(Pescatore)
セキュリティコントロールのない消費者用PCや消費者用Webサービスを使用し
たために重大な企業情報の漏えいが発生してしまった。これはそのような結末
を招いた多くのインシデントの1つにすぎないと言えよう。ポリシー(「職員に
は、それをしてはいけないと言ったはずだ」という言葉だけのポリシー)に依
存するのは、まさに責任転嫁行為である。彼らがその禁止行為を「きっと行わ
ないだろう」ことをわかっていながらそのようなポリシーに頼るなど、なおさ
ら責任転嫁としか言いようがない。
テレワーク(自宅勤務)を安全に行えるようにサポートできる方法はたくさんあ
るというのに…。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
<11月26日開催>
情報セキュリティソリューションセミナー(より使いやすいセキュリティ特集)
----------------------------------------------------------------------
~セキュリティの向上と利便性の両立~
http://www.nri-secure.co.jp/seminar/2009/1126.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年10月31日 Vol.8 No.44)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
サードパーティのWindowsアプリ         10
Linux                     12
Solaris                     4
Unix                      2
クロスプラットフォーム             37 (#1, #2, #3, #4)
Webアプリ - クロスサイトスクリプティング    12
Webアプリ - SQLインジェクション         7
Webアプリ                   18
ネットワークデバイス              7
======================================================================

1.危険度【重大】: Oracle製品にさまざまな脆弱性(2009年10月期CPU)

<影響のある製品>
Oracle Database 11g、11.1.0.7
Oracle Database 10g Release 2、10.2.0.3、10.2.0.4
Oracle Database 10g、 10.1.0.5
Oracle Database 9i Release 2、9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3)、10.1.3.4.0、10.1.3.5.0
Oracle Application Server 10g Release 2 (10.1.2)、10.1.2.3.0
Oracle Business Intelligence Enterprise Edition、10.1.3.4.0、10.1.3.4.1
Oracle E-Business Suite Release 12、12.0.6, 12.1
Oracle E-Business Suite Release 11i、11.5.10.2
AutoVue 19.3
Agile Engineering Data Management (EDM) 6.1
PeopleSoft PeopleTools & Enterprise Portal 8.49
PeopleSoft Enterprise HCM (TAM) 9.0
JDEdward Tools 8.98
Oracle WebLogic Server 10.0 からMP1まで、および、10.3
Oracle WebLogic Server 9.0 GA、9.1 GA、および、9.2から9.2 MP3まで
Oracle WebLogic Server 8.1 から8.1 SP5 まで
Oracle WebLogic Server 7.0 から 7.0 SP6 まで
Oracle WebLogic Portal 8.1 から 8.1 SP6、9.2から9.2 MP3まで
10.0から10.0MP1まで 10.2から10.2MPまで  10.3から10.3.1まで
Oracle JRockit R27.6.4 までのバージョン(JDK/JRE 6、5、1.4.2)
Oracle Communications OrderおよびService Management 2.8.0、6.2.0、6.3.0 および 6.3.1

<詳細>
Oracleは、2009年10月15日に、同社製品の多くに追加でセキュリティパッチを
リリースした。今回の重大なパッチ更新(Critical Patch Update)には、さま
ざまな製品用に38個の新たなセキュリティ修正プログラムが含まれている。こ
の更新で対処される欠陥にはリモートのコマンド実行の脆弱性、DoS問題、情
報開示の脆弱性、SQLインジェクションの脆弱性、セキュリティ制限の回避問
題、および特定のデータ操作などがある。これらの脆弱性のほとんどにおいて、
それらを悪用する際にはユーザーの認証が必要である。これらの脆弱性の中に
は技術的詳細が公表されているものもある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Oracleの重大なパッチ更新(2009年10月期CPU:Critical Patch Update)
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html
ベンダーのホームページ
http://www.oracle.com/
SecurityFocus BID
http://www.securityfocus.com/bid/36711
────────────────

2.危険度【高】: Mozilla FirefoxおよびSeaMonkeyにさまざまな脆弱性

<詳細>
Mozilla Firefox 3.5.x
Mozilla Firefox 3.0.x

<詳細>
MozillaスイートアプリベースのMozilla Firefox WebブラウザとMozilla製
Mozilla SeaMonkeyのクロスプラットフォームのインターネットスイートには、
さまざまな脆弱性がある。これらの脆弱性はアタッカーによってセキュリティ
制限の回避、情報開示、影響を受けるシステムの侵害などに悪用されるおそれ
がある。その他の脆弱性としては、浮動小数点のスペースの割り当てが正しく
できないために生じるメモリ崩壊のエラーなどがある。ほか、Web-workerの再
帰呼び出しの処理時にメモリ崩壊エラーが生じる。また、GIFカラーマップの
処理時に報じるヒープオーバーフローの脆弱性もある。
"XPCVariant::VariantDataToJS()" XPCOMのユーティリティにあるエラーによっ
て、悪意のあるJavaScriptコードが実行されるおそれも。さらにJavaScriptや
Browser Engine、liboggzライブラリにもメモリ崩壊のエラーがいくつかある。
これらの脆弱性の技術的詳細はソースコードを分析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2009/mfsa2009-52.html
http://www.mozilla.org/security/announce/2009/mfsa2009-54.html
http://www.mozilla.org/security/announce/2009/mfsa2009-55.html
http://www.mozilla.org/security/announce/2009/mfsa2009-56.html
http://www.mozilla.org/security/announce/2009/mfsa2009-57.html
http://www.mozilla.org/security/announce/2009/mfsa2009-59.html
http://www.mozilla.org/security/announce/2009/mfsa2009-61.html
http://www.mozilla.org/security/announce/2009/mfsa2009-62.html
http://www.mozilla.org/security/announce/2009/mfsa2009-63.html
http://www.mozilla.org/security/announce/2009/mfsa2009-64.html
ベンダーのホームページ
http://www.mozilla.org/
SecurityFocus BID
http://www.securityfocus.com/bid/36843/
────────────────

3.危険度【高】: Operaにさまざまな脆弱性

<影響のある製品>
Opera 10.01より以前のバージョン

<詳細>
Operaは、Opera Software社が開発したクロスプラットフォームのWebブラウザ
で広範に使用されている。しかしOperaには、情報開示やセキュイティ回避、
影響を受けるシステムを侵害されるなど、さまざまな脆弱性がある。1つ目の
問題はOperaにあるメモリ崩壊のエラーで、これはドメイン名が細工されると
引き起こされる。この脆弱性の悪用が実現すると、アタッカーは任意のコード
を実行できるようになってしまう。2つ目の問題は、Operaによって、フィード
引き受けページにスクリプトが運用できるようになってしまうことである。こ
れによってフィードの自動引き受け、もしくはその他のフィードの読み取りに
至ってしまうおそれが生じる。3つ目の問題は、OperaがWebフォントを正しく
使用できないために引き起こされるもので、これはスプーフィングアタックの
実行に用いられるおそれがある。これらの脆弱性の技術的詳細が公表されてい
る。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Operaのセキュリティアドバイザリ
http://www.opera.com/support/kb/view/938/
http://www.opera.com/support/kb/view/939/
http://www.opera.com/support/kb/view/940/
OperaについてのWikipediaの説明
http://en.wikipedia.org/wiki/Opera_%28web_browser%29
ベンダーのホームページ
http://www.opera.com/
SecurityFocus BID
http://www.securityfocus.com/bid/36850
────────────────

4.危険度【高】: Sun Java System Web Serverにバッファオーバーフローの脆
  弱性

<参考>
Sun Java System Web Server 7.x

<詳細>
Sun Java System Web serverは、主に中規模から大規模のビジネスアプリ用と
して設計されたSun Microsystem製のクロスプラットフォームのWebブラウザで
ある。しかし、このSun Java Web Serverにはバッファオーバーフローの脆弱
性が報告されている。この脆弱性はユーザーが提供するインプットの境界チェッ
クが十分に行われないために生じる詳細不明のエラーだ。悪用が実現すると、
アタッカーは影響を受けるアプリの関連で任意のコードを実行できるようになっ
てしまう。この脆弱性の技術的詳細は公表されていない。

<現状>
ベンダーはこの問題を認めておらず、更新もリリースしていない。

<参考>
Sun Java System Web ServerについてのWikipediaの説明
http://en.wikipedia.org/wiki/Sun_Java_System_Web_Server
製品のホームページ
http://wwws.sun.com/software/products/web_srvr/home_web_srvr.html
SecurityFocus BID
http://www.securityfocus.com/bid/36813

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。