NRI Secure SANS NewsBites 日本版

Vol.4 No.46 2009年11月25日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.4 No.46 2009年11月25日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

先日、National Journalの国家安全保障関連のレポーターShane Harrisの記事
から、サイバー戦争の実態が明るみになった(詳しくはトップニュースの冒
頭をご覧あれ)。

また、「20のクリティカルコントロールについてのコンセンサス監査ガイドラ
イン(Consensus Audit Guidelines)」の最新版がCSISからリリースされた。こ
れはSANSのWebサイトにも掲示されている。最新版には、監査官らが各コント
ロールの効果をテストする際に使える実際のテストが含まれている。
http://www.sans.org/critical-security-controls/
このサイトには、多数の対象のコントロールをオートメーション化するために
ユーザーが検査を行ったツールのリストも掲載されている。

本号の2番目のストーリーには、なぜ政府局や大企業の40%がセキュリティの
法遵守テストに「20のクリティカルコントロール」を使用するようになったか
についての先見的な新しいデータが掲載されている。「20のコントロール」は
申し分ないものであり、かつ、リスクをベースに作られたNIST 800-53
Priority One Control(最優先のコントロール)のサブセットであること、これ
らのコントロールによってセキュリティの有効性が測定できることから、この
ような変化につながる改革が起きたと言えよう。「20のコントロール」に焦点
を絞って行動すれば、NIST 800-53の枠組みにあるリスクベースのテストでも
FISMAの必須条件を完全に満たすことができる。

先日、Associate PressのLolita Baldorによる興味深い記事がワシントンポス
ト紙に載っていた。これによるとFBIは、「アタッカーは現在、政府や国防関
連の請負業者らが使用している技術と同様の高度な記述を駆使し、法律事務所
をターゲットに攻撃している」と発表したようだ。
http://www.washingtonpost.com/wp-dyn/content/article/2009/11/17/AR2009111701074.html
これとほぼ同じ内容の発表が、MI5長官から英国の大企業300社のリーダーに対
するレターにも書かれていたという。この英国の発表は、2年前に行われてい
る。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.90-91
   (原版:2009年11月14日、11月18日配信)

◆サイバー戦争の実態が明らかに(2009.11.13)

National Journalの表紙にサイバー戦争が掲載された。Shane Harris記者は、
どこで、どのようにしてサイバー戦争が用いられるかの情報を掲載。また、軍
のサイバーセキュリティの改革者であるMike McConnell氏がどのようにして潜
在する金融サイバーアタックを用いたかについての素晴らしい議論も展開して
いる。
http://www.nationaljournal.com/njmagazine/cs_20091114_3145.php
────────────────

◆連邦政府のサイバーセキュリティの修正: C&Aレポートに1ページ1,400ドル
  の費用‐記載時点ではすでに時代遅れ(2009.11.12)

米国国務省は継続的な監視を行い、「20のクリティカルなコントロール(NSA
やその他政府局がまとめた実際のアタックデータに基づいた最も重要な防御対
策)」に焦点をあてることによって、厄介なサイバーセキュリティの問題にメ
スを入れた。その結果判明したのは「測定の余地あり。コストを削減しつつも
セキュリティは大きく改善できる」ということであった。
この変更が行われるまでは、国は9万5,000ページに及ぶ認定認可や追跡レポー
トに1ページにつき1,400ドルを費やし、その総計は6年で1億3,000万ドルに及
ぶほか、得られたデータのほとんどは印刷される頃には時代遅れになっていた。
http://gcn.com/articles/2009/11/12/state-department-it-security-pilot.aspx

【編集者メモ】(Paller)
これは1983年に明らかになった「605ドルのトイレットシート」のサイバー版
だ。C&Aサイクル1回で費やされた13億ドルのうちいくらかを、連邦政府は継続
的な自動監視に費やすようにすれば、それが手本となる。これは数十億ドルを
節約しながらセキュリティを大幅に改善するうえで素晴らしい方法だと言えよ
う。
────────────────

◆米国政府局内、3分の1の割合でセキュリティインシデントは日常茶飯事
  (2009.11.10-11)

CDW-Governmentが行った米国政府のIT専門職者300人に行った調査によると、
政府局の44%が一年間のセキュリティインシデント件数の増加を指摘した。回
答者の31%は、自身の政府局内で少なくとも一日一件はセキュリティインシデ
ントが発生していると回答した。回答者の最大の懸念事項は、マルウェア、職
員の不適切な活動、ネットワークの使用、承認されたリモートユーザのアクセ
ス管理、データの暗号化であった。
http://www.govinfosecurity.com/articles.php?art_id=1931
http://www.nextgov.com/nextgov/ng_20091110_7510.php?oref=topnews
http://www.informationweek.com/news/government/security/showArticle.jhtmlarticleID=221601320
────────────────

◆米国政府説明責任局(GAO) の報告書 ロスアラモス国立研究所のネットワー
  クセキュリティの問題を指摘(2009.11.13-16)

米国政府責任説明局(GAO)の報告書では、 ロスアラモス国立研究所(LANL)にあ
るさまざまなコンピュータネットワークの脆弱性について説明されている。弱
点として、ユーザーの身元確認と認証が正しく行えていない、機密情報を暗号
化できていない、セキュリティポリシーの遵守状況を監視できていない、自分
の責務範囲を越えたデータへのアクセスをユーザーに許可しているなどがあげ
られている。また、報告書にはLANLの情報セキュリティプログラム管理に対す
るアプローチは中央集中型ではないため、ポリシーの導入にも一貫性がないと
書かれている。LANLは2001年から2008年にかけ、機密コンピュータネットワー
クのセキュリティに4,500万ドルを費やしていたという。
http://www.nextgov.com/nextgov/ng_20091116_2938.php?oref=topnews
http://www.govinfosecurity.com/articles.php?art_id=1937
http://www.gao.gov/new.items/d1028.pdf

【編集者メモ】(Pescatore)
この報告書の主な発見として言えるのは、一貫性を確立するために十分に強力
な中央管理権限を設けようとするには、サイバーセキュリティへのアプローチ
が分散化されていてはいけないということだ。これは連邦政府の研究所や学術
環境でよくありがちな問題である(民間企業の多くにおいても同様)。
Federationとは、最大限の責任と権限を地方レベルに置きながら、中央集中型
の権限を駆使して共通の必須条件を執行することである。
────────────────

◆大部分のセキュリティ製品の認可にさまざまなテストサイクルが義務付けら
  れる(2009.11.16)

ISCA Labsはこの度、セキュリティ製品テストに関する20年間のデータをもと
に調査を行い、製品が初回は認可テストに不合格になる理由として上位にくる
理由をリストアップした。それによると、もともとの設計目的である主要な機
能を果たしていないからという理由が製品の78%を占めたという。他にはロギ
ング機能がないことが58%を占めた。製品自体にセキュリティの問題があると
いう理由は44%だった。ほとんどの製品は、テストサイクルを2回から4回繰り
返さないと認可を獲得できないという。
http://www.csoonline.com/article/507825/Most_Security_Products_Fail_First_Certification_Tests
http://www.icsalabs.com/sites/default/files/WP14117.20Yrs-ICSA%20Labs.pdf

===<お知らせ>==========================================================
「極秘」「関係者限」「社内限」等の重要度を示すラベルを簡単に付与して、
社内の機密情報を効率的に管理できる「SecureCube / Labeling Personal」
を無料配布中!
http://www.nri-secure.co.jp/service/cube/labeling.html?aid=a00050260000141
==========================================================================

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年11月14日 Vol.8 No.46)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    4 (#1, #3, #4)
Microsoft Office                9 (#5, #6)
その他のMicrosoft製品             1
サードパーティのWindowsアプリ         4
Mac Os                    21 (#2)
Linux                     2
BSD                      1
Solaris                    4
Aix                      1
クロスプラットフォーム             9
Webアプリ- クロスサイトスクリプティング    5
Webアプリ - SQL インジェクション        1
Webアプリ                   8
ネットワークデバイス              3
======================================================================

1.危険度【重大】: Microsoft WindowsのKernelモードドライバにさまざまな
  脆弱性(MS09-065)

<影響のある製品>
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 およびWindows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Itaniumベースのシステム用Windows Server 2003 SP2付き
Windows Vista、Windows Vista Service Pack 1、およびWindows Vista Service Pack 2
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1、およびWindows Vista x64 Edition Service Pack 2
32-bit システム用Windows Server 2008 および32-bitシステムService Pack 2* 用Windows Server 2008
x64ベースシステム用 Windows Server 2008 およびx64ベースシステムService Pack 2*用Windows Server 2008
Itaniumベースシステム用Windows Server 2008および Itaniumベースシステム Service Pack 2用Windows Server 2008

<詳細>
Microsoft Windows Kernel-Mode Drivers (Win32k.sys)は、Window managerを
含むWindowsサブシステムのコアであるが、これにはさまざまな脆弱性が報告
されている。1つ目の問題は、Windowsのkernelシステムの呼び出しcallに引き
渡される引数の検証が十分に行われないために生じるnullポインタの逆参照の
脆弱性dereferencing vulnerability である。2つ目の問題は、グラフィック
デバイスインタフェース (GDI)のkernelコンポーネントを介してユーザーモー
ドから引き渡されるデータの検証が十分に行われないために引き起こされる権
限昇格の脆弱性だ。これらの脆弱性がアタッカーに悪用されると、権限昇格や
任意のコード実行に至るおそれがある。3つ目の問題は、ディレクトリ・エン
トリの表を構築する際に、Embedded OpenType (EOT)フォントコードの解析が
正しく行われないために生じるWindows kernelモードのドライバに生じるメモ
リ崩壊のエラーだ。これの悪用が実現すると、アタッカーは、任意のコードを
実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS09-065.mspx
製品のホームページ
http://www.microsoft.com/windows/default.mspx
SecurityFocus BID's
http://www.securityfocus.com/bid/36029
http://www.securityfocus.com/bid/36939
http://www.securityfocus.com/bid/36941
────────────────

2.危険度【重大】: Apple Mac OS Xにさまざまな脆弱性(セキュリティアップ
  デート2009-006)

<影響のある製品>
Apple Mac OS X 10.6.1までのバージョン
Apple Mac OS X 10.5.8 までのバージョン
Apple Mac OS X Server 10.6.1 までのバージョン
Apple Mac OS X Server version 10.5.8 までのバージョン

<詳細>
Apple Mac OS Xには、そのコンポーネントのいくつかにさまざまな脆弱性があ
る。ユーザーやネットワークリクエスト、複数のファイル、文書、メディア形
式を正しく処理できないために、メモリ崩壊やバッファオーバーフローの脆弱
性、integer overflowが発生し、これによって脆弱なプロセスの権限でリモー
トでの任意のコード実行に至るおそれが生じる。その他のlogical flaw論理欠
陥によっても、任意の情報開示、DoS、ファイルの上書き、nullポインタの逆
参照、権限昇格、クロスサイトスクリプティングアタック、ログインジェクショ
ン、use-after-free問題、 race condition、man-in-the-middleアタックに至
るおそれが出る。これらの脆弱性のいくつかは同梱のサードパーティのアプリ
やコンポーネントにある欠陥が原因で引き起こされているという。これらの脆
弱性の技術的詳細のいくつかは、公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-063/
http://www.zerodayinitiative.com/advisories/ZDI-09-064/
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3937
製品のホームページ
http://www.apple.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/36449
http://www.securityfocus.com/bid/36959
http://www.securityfocus.com/bid/36961
http://www.securityfocus.com/bid/36962
http://www.securityfocus.com/bid/36963
http://www.securityfocus.com/bid/36964
http://www.securityfocus.com/bid/36966
http://www.securityfocus.com/bid/36967
http://www.securityfocus.com/bid/36972
http://www.securityfocus.com/bid/36973
http://www.securityfocus.com/bid/36974
http://www.securityfocus.com/bid/36975
http://www.securityfocus.com/bid/36977
http://www.securityfocus.com/bid/36978
http://www.securityfocus.com/bid/36979
http://www.securityfocus.com/bid/36982
http://www.securityfocus.com/bid/36983
http://www.securityfocus.com/bid/36984
http://www.securityfocus.com/bid/36985
http://www.securityfocus.com/bid/36987
http://www.securityfocus.com/bid/36988
http://www.securityfocus.com/bid/36990
────────────────

3.危険度【重大】: Microsoft WindowsのデバイスAPI上のWebサービスにメモ
  リ崩壊の脆弱性 (MS09-063)

<影響のある製品>
Windows Vista、 Windows Vista Service Pack 1および Windows Vista Service Pack 2
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1およびWindows Vista x64 Edition Service Pack 2
32-bitシステム用Windows Server 2008 および32-bit システムService Pack 2*用Windows Server 2008
x64ベースシステム用Windows Server 2008およびx64ベースシステム Service Pack 2*用Windows Server 2008
Itaniumベースシステム用Windows Server 2008 および ItaniumベースシステムService Pack 2用Windows Server 2008

<詳細>
デバイス上のWebサービス(WSD)は、 Windowsクライアントが、ネットワークに
あるリモートのデバイスをスキャンし、アクセスする際に用いられる。また、
デバイスアプリケーションプログラミングインタフェース上のWebサービス
(WSDAPI)は、デバイスプロフィールを実装するときに使用されるものだ。しか
し、WSDAPIにはWSDメッセージが細工されると引き起こされるメモリ崩壊の脆
弱性が報告されている。この欠陥はクライアントとサーバにあるWSDAPIが受け
取るWSDメッセージのヘッダーのいくつかが正しく検証されないために引き起
こされる。このAPIはデフォルトで利用可能になっているが、アタックを実現
するにはアプリケーションがこのAPIをTCP5357番か5358番ポートで使用してい
なければならない。悪用が実現すると、アタッカーは任意のコードを実行でき
るようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoft セキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms09-063.mspx
Web Services on Devices (WSD) API上のWebサービスにある脆弱性
http://blogs.technet.com/srd/archive/2009/11/10/vulnerability-in-web-services-on-devices-wsd-api.aspx
ベンダーのホームページ
http://www.microsoft.com/
SecurityFocus BID
http://www.securityfocus.com/bid/36919
────────────────

4.危険度【重大】:Microsoft WindowsのLicense Logging Serviceにヒープオー
  バーフローの脆弱性(MS09-064)

<影響のある製品>
Microsoft Windows 2000 Server Service Pack 4

<詳細>
Microsoft Windows License Logging Serviceは、ユーザーがServer Client
Access のライセンスモデルで認可されたMicrosoft Server製品のライセンス
を管理できるようにするツールである。しかし、Microsoft License Logging
Serverソフトウェアには、ヒープベースのオーバーフローの脆弱性が報告され
ている。この欠陥は、RPCコールを処理する方法が原因でLicense Logging
Serviceに生じる。"LlsrLicenseRequestW"への引数の処理時に、文字配列は
nullバイトを終わらせるとされている。しかし、そこで提供されるデータに
nullバイトがない場合、ヒープオーバーフローが発生してしまう。悪用が実現
すると、アタッカーは任意のコードを実行できるようになってしまう。このア
タックを実行する際に認証は必要ない。この脆弱性の技術的詳細のいくつかが
公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-09-07
Microsoftのセキュリティ報告
http://www.microsoft.com/technet/security/Bulletin/MS09-064.mspx
License Logging Serviceについての説明
http://support.microsoft.com/kb/824196
製品のホームページ
http://www.microsoft.com/
SecurityFocus BID
http://www.securityfocus.com/bid/36921
────────────────

5.危険度【重大】: Microsoft Excelにさまざまな脆弱性 (MS09-067)

<影響のある製品>
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System Service Pack 1および2007 Microsoft Office System Service Pack 2
Mac 用Microsoft Office 2004
Mac 用Microsoft Office 2008
Mac 用Open XML File Format Converter
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer Service Pack 1 およびWord・Excel・PowerPoint 2007ファイル形式Service Pack 1用Microsoft Office Excel
Word用Viewer Service Pack 2 Microsoft Office 互換パック
Excel・PowerPoint 2007ファイル形式 Service Pack 1およびWord・Excel・PowerPoint 2007ファイル形式Service Pack2用Microsoft
Office互換パック

<詳細>
Microsoft Excelには、Excel文書の解析にさまざまな脆弱性がある。メモリ崩
壊エラー、ヒープオーバーフローのエラー、ポインタ上書きのエラー、配列イ
ンデックス作成などの問題がある。Excelファイルが不正形式の記録オブジェ
クトを含むように細工されると、疑いを持たないユーザーがそれをMicrosoft
Excelで開いたときにこれらの脆弱性のいずれかが引き起こされる。悪用が実
現すると、アタッカーは現在のユーザーの権限で任意尾コードを実行できるよ
うになってしまう。これらの欠陥を悪用するために、アタッカーは以下のよう
な行動に出る可能性がある:
(a)サーバから悪意のあるMicrosoft ExcelファイルをダウンロードするWebペー
  ジを作成し、アタッカーをそのWebページへ訪問するように誘い込む。
(b)細工されたMicrosoft Excelファイルをメールに添付して送信し、ユーザー
  にそれを開かせる。Microsoft Officeの最近のバージョンでは、ユーザー
  にまずプロンプトすることなしに受信時にすぐ文書が開かれることはない。
これらの脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-082/
http://www.zerodayinitiative.com/advisories/ZDI-09-083/
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS09-067.mspx
製品のホームページ
http://office.microsoft.com/en-us/excel/default.aspx
SecurityFocus BID's
http://www.securityfocus.com/bid/36908
http://www.securityfocus.com/bid/36909
http://www.securityfocus.com/bid/36911
http://www.securityfocus.com/bid/36912
http://www.securityfocus.com/bid/36943
http://www.securityfocus.com/bid/36945
http://www.securityfocus.com/bid/36946
────────────────

6.危険度【高】: Microsoft Office WordのFIB解析にスタックのバッファオー
  バーフローの脆弱性 (MS09-068)

<影響のある製品>
Microsoft Office Word 2002 Service Pack 3
Microsoft Office Word 2003 Service Pack 3
Mac用Microsoft Office 2004
Mac Microsoft Office 2008
Mac Open XML File Format Converter
Microsoft Office Word Viewer

<影響のある製品>
Microsoft Wordには、細工されたWord文書ファイルによって引き起こされるス
タックベースのバッファオーバーフローの脆弱性がある。この欠陥は
Microsoft WordがWord文書内の細工された不正形式のFile Information Block
(FIB)構造を解析する方法が原因で生じる。悪用が実現すると、アタッカーが
現在のユーザーの権限で任意のコードを実行できるようなメモリ崩壊に至って
しまう。これらの欠陥を悪用するために、アタッカーがとる可能性のある行動
は以下のとおり:
(a)サーバから悪意のあるWordファイルをダウンロードするWebページを作成し、
  アタッカーに対し、そのWebページを訪問するように誘いこむ。
(b) 細工されたWordファイルをメールに添付して送信し、ユーザーにそれを開
  かせる。Microsoft Officeの最近のバージョンでは、ユーザーにまずプロン
  プトすることなしに受信時にすぐWord文書が開かれることはない。これらの
  脆弱性の技術的詳細が公表されている。

<詳細>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=831
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS09-068.mspx
製品のホームページ
http://office.microsoft.com/en-us/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/36950

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。