NRI Secure SANS NewsBites 日本版

Vol.4 No.47 2009年12月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.47 2009年12月1日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

20のクリティカルセキュリティコントロールをオートメーション化するための
ユーザー確認ツールが掲載されたCAGリストが入手可能になった。
http://www.sans.org/critical-security-controls/user-tools.php

リストにはないが、コントロールのオートメーション化に有効なツールをご存
知であれば、12月15日までにcag@sans.org へメールを送っていただきたい。
新しいCAGには、NIST ガイドラインのメトリクスとテスト、マップがあり、と
てもクールである。
http://www.sans.org/critical-security-controls/

20のクリティカルコントロールの次のステップは、各コントロールについて最
善のオートメーションを実装するために必要な仕様に関して、全国的なコンセ
ンサスを得ることだ。コントロール1(インベントリ)と10(継続的な脆弱性ア
セスメント)については草書案がある。そのいずれかについて(本当に)知識
がある方は、お知らせいただきたい。cag@sans.org

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

  !!超人気インストラクター: Eric Cole、Bryce Galbraith 来日!!

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.92-93
   (原版:2009年11月21日、11月25日配信)

◆下院科学技術委員会(House Science & Technology Committee) サイバー
  セキュリティ強化法を可決。(2009.11.19)

米国下院科学技術委員会は、2009年サイバーセキュリティ強化法を可決した。
委員会議長Bart Gordon (イリノイ州民主党)によれば、その法案は「ネット
ワーク化されたシステムのセキュリティを改善するために、連邦政府は民間部
門と協力しなければならない」というコンセプトに基づいているという。その
法案には、今年初めに下院小委員会が承認した2つの法案の内容が盛り込まれ、
米国が国際的なサイバーセキュリティ基準の策定に関与する際には、米国標準
技術研究所(NIST)が主導的な役割を果たすこと、連邦政府機関が戦略的長期
サイバーセキュリティ研究開発計画を確立することが定められている。また、
60日間にわたるサイバースペースポリシーレビューからの勧告も盛り込まれて
いる。
http://www.scmagazineus.com/house-committee-passes-cyber-rd-standards-bill/article/158110/
http://thomas.loc.gov/cgi-bin/bdquery/z?d111:HR4061:/

【編集者メモ】(Paller)
この善意にあふれた法案は、防御のために攻撃情報を知らせなければならない
というサイバーセキュリティの第一法則に反している。NISTが公開するガイダ
ンスは攻撃に基づいて作られていると理解している連邦機関(特に米国コンピュー
ター緊急対応センター(US-CERT)や国家安全保障局(NSA)のVAO、国防総省
(DoD)のDC3)への確認なしにNISTに責任を追加するなんて、科学技術委員会
は、議会にそのようなNIST一辺倒のガイダンスが持つ暗い記録を伸ばすよう要
求し、国のシステムを実質的により大きなリスクにさらしているようなものだ。
  (Schultz)
正直、私はNISTが近年米国政府の情報セキュリティ関連問題について主導権を
握っていることに愕然としている。
  (Pescatore)
一見して、単にNISTの地位を強化することは、SCAPの業務推進に役立ち、他の
研究開発と対立することはあまりないだろう。しかし、このような法案が進む
につれ、妙なことが詳細に組み込まれることがよくある。
  (Northcutt)
簡単には解釈できない。私が知る限りでは、12ヶ月以内に計画を開始すること
になっている。目標は、自動化されたチェックリスト、国際基準、官民の協力
体制、多額の研究助成金やIDマネジメントの改善で、さらにこの分野に従事す
る女性や少数民族の数を増やすことである。全て良さそうだ。いつもの容疑者
に金が使われるのではなく、実質的な仕事が行われることを望む。
  (Ranum)
サイバーセキュリティは、「研究開発」課題というよりは、「出血を止めて押
さえる」問題だ。
────────────────

◆NSA オペレーティングシステムの強化を支援(2009.11.7,18,19)

上院テロ国土安全小委員会で、国家安全保障局(NSA)情報保証ディレクター
の Richard Schaefferは、NSAはMicrosoft がWindows 7を強化するのに協力し、
Apple、Sun MicrosystemsおよびRed Hatに対しても同様に支援を行っていると
証言した。NSAが開発プロセスに関与することで、バックドアをソフトウェア
に組み込み、通信の監視と傍受をできるようにしているという憶測が流れた。
NSAは、そのような疑惑を否定し、セキュリティのガイドラインとチェックリ
ストを策定する支援をしていると述べている。Schaefferは、それらの機関は、
3つのステップ(セキュリティ対策の実施、ネットワークの適切な構成、ネッ
トワークの効果的な監視)に従うことにより、既知のサイバー攻撃の80%に対
してシステムを守ることができると述べた。
http://www.theregister.co.uk/2009/11/19/nsa_enhanced_windows7_security/
http://www.computerworld.com/s/article/9141105/NSA_helped_with_Windows_7_development?source=rss_security
http://www.h-online.com/security/news/item/NSA-helps-Apple-Sun-and-Red-Hat-harden-their-systems-863889.html
http://fcw.com/Articles/2009/11/17/NSA-3-steps--better-cybersecurity.aspx

【編集者メモ】(Pescatore)
陰謀説だ。NSAや他の政府機関はIT業界とともに長い間、標準ソフトウェアと
ネットワークハードウェア製品の「素晴らしい」構成定義の策定に関わって
きた。この場合の強化とは、構成の改善、不必要なサービスの最小化を意味し
ている。
────────────────

◆立法案 政府と請負業者のコンピュータでのP2P使用を禁止
(2009.11.17-18)

米国下院に提出された法案は、正式に許可される場合を除き、政府のコンピュー
タと政府請負業者が使用するコンピュータで、ピアツーピア(P2P)ファイル
共有技術の使用を禁止する。その連邦ファイル共有法(Secure Federal File
Sharing Act)は、行政管理予算局(OMB)が、P2Pの使用指針を発行すること
を定め、政府のネットワークでP2Pを個人的に使用することも禁止する。その
法案は、下院倫理委員会の機密文書がP2Pソフトウェアを通じ、不注意で漏洩
されてしまったことが先月明らかになったことによるものだ。
http://www.computerworld.com/s/article/9141099/Bill_would_restrict_P2P_use_on_government_networks_?source=rss_security
http://www.msnbc.msn.com/id/34001958/ns/technology_and_science-security/
http://www.washingtonpost.com/wp-dyn/content/article/2009/11/17/AR2009111703841.html
http://thomas.loc.gov/cgi-bin/bdquery/z?d111:H.R.4098:

【編集者メモ】(Pescatore)
私は、倫理委員会の文書漏洩に対しては、お決まりの愚かな対応がなされるだ
ろうと予想していた。2001年に何人かの議員がバッファオーバーフローを違法
とする提案をしたことと似ている。ユーザーはこのようなことを行うべきでは
ないというポリシーはすでにあった。それを禁止する法律があっても何も変わ
らない。問題は政府のパソコンの構成管理が不十分なことだ。
  (Honan)
P2Pを禁止する法律を制定しても全く意味がない。P2Pの使用は、すでにほとん
どの政府機関のポリシーで禁止されている。ポリシーや法律を増やしても、人
々がやるべきでないことをやるのをやめるわけではない。違反者を捕まえて、
処罰することが必要だ。
────────────────

◆国防総省システムへの攻撃が増加(2009.11.20,23)

米中経済・安全保障関係検討委員会の議会への年次報告書によると、米国国防
総省(DoD)のコンピューターシステムは、2009年前半に43,785回サイバーイ
ンシデントの標的となった。この傾向が続けば、国防総省へのサイバー攻撃は、
去年と比べて60%増加することになる。攻撃に関するデータは、アメリカ戦略
軍(US Strategic Command)により提供された。その報告書は「多くの状況証
拠と科学捜査の証拠は、中国政府が攻撃に関与していることを示している」と
述べている。中国外務省報道官は、その報告書は「偏見と不純な動機に満ちて
いる」と述べた。
http://www.scmagazineus.com/report-cyberattacks-against-the-us-rising-sharply/article/158236/
http://www.computerworld.com/s/article/9141200/Cyberattacks_on_U.S._military_jump_sharply_in_2009?taxonomyId=17
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=221900505
http://www.msnbc.msn.com/id/34108078/ns/technology_and_science-security/
────────────────

◆Pump-and-Dumpスパマーに懲役刑(2009.11.23)

米国デトロイト地方裁判所判事は、株式詐欺スパムメール送信に関わった4人
に対し、2年6カ月から4年3カ月に及ぶ懲役刑を言い渡した。Alan M. Ralskyと
共謀者、Scott Bradley、How Wai John Hui、John S. Brownは、詐欺メールを
送って株価を操作するpump-and-dumpを画策した。報道によれば、270万ドルを
稼いでいたという。
http://www.justice.gov/opa/pr/2009/November/09-crm-1275.html
http://www.freep.com/article/20091123/NEWS05/91123066/1002/BUSINESS/Spam-King-gets-4-years-for-fraud
────────────────

◆気候研究文書が盗まれ、インターネットに公開(2009.11.20-21)

英国東アングリア大学の気候研究部のコンピュータに、アタッカーが侵入し、
何千もの電子メールやその他の文書を盗み、インターネットに公開した。地球
温暖化に懐疑的な人々は、それらの文書は研究者がデータを歪曲して、実際よ
り悪く思わせていることを裏付けるものだと述べている。研究者は、その情報
は文脈から切り離されて引用されていると主張している。
http://www.washingtonpost.com/wp-dyn/content/article/2009/11/20/AR2009112004093_pf.html
http://www.computerworld.com/s/article/9141258/Global_warming_research_exposed_after_hack?taxonomyId=17
http://news.bbc.co.uk/2/hi/science/nature/8370282.stm
http://www.v3.co.uk/v3/news/2253716/hackers-attack-uk-climate


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年11月21日 Vol.8 No.47)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
サードパーティのWindows アプリ          9
Linux                      3
Solaris                     1
Unix                       1
Novell                      1
クロスプラットフォーム             16 (#1, #2)
Webアプリ - クロスサイトススクリプティング    3
Webアプリ - SQL インジェクション         2
Webアプリ                    11
ネットワークデバイス               3
======================================================================

1. 危険度【重大】:Apple Safari 複数の脆弱性

<影響のある製品>
Apple Safari 4.0.4より以前のバージョン

<詳細>
Safariは、Mac OS X とMicrosoft Windows向けのAppleのウェブブラウザであ
る。さまざまなウェブページ、コンストラクトのスクリプティング、画像の処
理に複数の脆弱性が存在する。1つ目の問題は、カラープロファイルが組み込
まれた画像を不適切に処理することにより生じるinteger overflowのエラーで
ある。2つ目の問題は、特別に細工されたXMLコンテンツを解析する際にアプリ
ケーションが停止することである。3つ目の問題は、Safariがナビゲーション
を処理する際のエラーによって生じる情報漏洩の問題である。特別に細工され
たHTMLファイルによって、ローカルファイルがロードされてしまう可能性があ
る。4つ目の問題は、Cross-Origin Resource SharingがWebKitに実装される方
法にあり、クロスサイト・リクエストが偽造される可能性がある。5つ目の問
題は、WebKitがFTPディレクトリリストを処理する方法にあり、任意のコード
実行、情報漏洩、またはアプリケーションの停止につながる可能性がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Apple Knowledge Base Article
http://support.apple.com/kb/HT3949
SecurityFocus BID's
http://www.securityfocus.com/bid/36010
http://www.securityfocus.com/bid/36357
http://www.securityfocus.com/bid/36994
http://www.securityfocus.com/bid/36995
http://www.securityfocus.com/bid/36996
http://www.securityfocus.com/bid/36997

────────────────

2. 危険度【高】:RhinoSoft Serv-U FTPサーバ TEA デコーダ バッファオー
バーフローの脆弱性

<影響のある製品>
RhinoSoft Serv-U 9.0 .5
RhinoSoft Serv-U 9.0.0.1

<詳細>
WindowsプラットフォームのRhinoSoft Serv-Uファイルサーバは、FTP、SFTPお
よびHTTPサーバである。スタックベースのバッファオーバーフローの脆弱性が
RhinoSoft Serv-U FTPサーバで報告され、特別に細工されたリクエストにより
引き起こされる可能性がある。具体的な欠陥は、TEAデコーディングアルゴリ
ズムを用いて、文字列を16進数で表示する際のバウンダリのエラーである。情
報搾取に成功すると、アタッカーは影響を受けたアプリケーションのコンテク
ストで任意のコードを実行できる。脆弱性の技術的詳細のいくつかが公表され
ている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secunia Research Advisory
http://secunia.com/secunia_research/2009-46/
Serv-U File Serverに関するWikipediaの記事
http://en.wikipedia.org/wiki/Serv-U_FTP_Server
製品ホームページ
http://www.serv-u.com/
SecurityFocus BID
http://www.securityfocus.com/bid/37051/


======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。