NRI Secure SANS NewsBites 日本版

Vol.4 No.5 2009年2月3日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.5 2009年2月3日発行
**********************************************************************

■はじめに

オバマ大統領は、ネットワークの保護に関する課題項目を公表した。冒頭のス
トーリー参照。

優秀なペネトレーションテスターの皆さんや、攻撃ツールの構築方法を知る必
要のある方々のために、かなり高い評価を得た新しいトレーニングプログラム
がある。このプログラムでは、自動ペネトレーションテストツール以上のこと
ができるエクスプロイトの作成方法を教えている。コース名は「SEC709:
Developing Exploits for Penetration Testers and Security Researchers」。
このコースは、SANS初のレベル700のコースである。ワシントンDCやロンドン
で開催した際、非常に大きな反響があった。そして、来たる3月のオーランド
では、大人気のペネトレーションテストコースとともに、これら新コースが開
講される。(http://www.sans.org/sans2009/)

              Alan Paller(SANS Director of Research)

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
      日本人SANSインストラクターによる
      SEC401:SANS Seucrity Essentials Bootcamp Style

  2009年2月19日(木)より10週にわたって開講!!
   毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム

  !! 講義とオンライン学習を通じて、効率的にスキルアップ!!
            ↓↓↓詳しくはこちら↓↓↓
     http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.6
   (原版:2008年1月23日配信)

◆ホワイトハウス ネットワークセキュリティの課題を公表(2009.1.22)

オバマ政権は、国土安全保障アジェンダ(Homeland Security Agenda)において、
情報ネットワーク保護についての6つの主要目標の概要を述べている。
・サイバーセキュリティにおける連邦政府のリーダーシップの強化
・安全なコンピュータの研究開発への取組みの始動および米サイバーインフラ
  の強化
・米国経済の安全が維持できるITインフラの保護
・企業によるサイバースパイ活動の阻止
・犯罪者の利益獲得機会を最小限にとどめるサイバー犯罪戦略の構築
・個人情報の安全管理基準および企業による個人情報侵害事件の情報開示の必
  須化
である。
1番目の目標の中に、新政権は「大統領に直接報告をあげる役割を担い、連邦
政府部局の取組みの統制や米国のサイバーセキュリティポリシーに責任を持つ
国家的なサイバーアドバイザー役を設けるつもりである」という注目すべき一
節がある。
http://www.whitehouse.gov/agenda/homeland_security/
http://www.scmagazineus.com/President-Obamas-cybersecurity-plan-released/article/126252/
http://voices.washingtonpost.com/securityfix/2009/01/obama_administration_outlines.html?wprss=securityfix
http://news.cnet.com/8301-1009_3-10148263-83.html?part=rss&subj=news&tag=2547-1009_3-0-20

【編集者メモ】(Northcutt)
上記の最初のリンク記事は、一読の価値がある。プリントアウトして、今年の
我々の成果をこれを参考にしてチェックしていきたい。大変な労力を要する目
標が掲載されている。国家的なサイバーアドバイザーを置いて、大統領に直接
報告をあげるのはすばらしいアイデアだ。もっと前からやるべきだったのだ。
【編集者メモ】(Paller)
大統領は、「民間セクターと共同して、サイバーセキュリティと物理的な回復
力についての厳しい基準を新しく設ける」と述べている。今度こそはきっと、
連邦政府のIT調達許可ルールを変えていく初めの一歩として、我々もセキュリ
ティを重要視できるようになれるかもしれない。
────────────────

◆数百万台 高度なConfickerワームに感染(2009.1.21)

Downadupワームとしても知られているConfickerワームが、世界中のコンピュー
タシステムを悩ませている。このマルウェアによって、ニュージーランドの保
健省(Ministry of Health)のコンピュータシステムがクラッシュした。コンピュー
タの稼動は再開したものの、職員によるインターネットアクセスは禁じられて
いる。英国のシェフィールドにある5つの病院は、7,000台のPCのうち800台以
上がワームに感染し、3週間たった今もなお、ワームを除去している最中だと
いう。シェフフィールド病院のコンピュータは、マネージャが昨年暮れに
Windowsの更新をオフにした後に感染したと考えられている。
インターネットストームセンター:6件の日記
http://isc2.sans.org/diary.html?storyid=5704
http://isc2.sans.org/diary.html?storyid=5671
http://isc.sans.org/diary.html?storyid=5653
http://isc.sans.org/diary.html?storyid=5596
http://isc2.sans.org/diary.html?storyid=5695
http://isc2.sans.org/diary.html?storyid=5701
http://www.smh.com.au/news/technology/security/worm-hits-nz-government-computers/2009/01/21/1232471359300.html
http://www.theregister.co.uk/2009/01/20/sheffield_conficker/
http://www.silicon.com/publicsector/0,3800010403,39381565,00.htm

【編集者メモ】(Honan)
経営陣は、手術中にPCを再起動しなければならないようなインシデントが繰り
返し発生しないように、自動更新機能をオフにしていたようだ。しかし、それ
より深刻な懸念事項は、なぜそのような重大な区域にあるPCが、インターネッ
トや病院の主要ネットワークにアクセスできるようになっていたのか、である。

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年1月22日 Vol.8 No.4)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
その他のMicrosoft製品              1
サードパーティのWindowsアプリ         12 (#2, #3)
Linux                      2
Solaris                     2
Unix                      1
クロスプラットフォーム             25 (#1)
Webアプリ-クロスサイトスクリプティング     4
Web アプリ- SQLインジェクション        23
Webアプリ                   30
ネットワークデバイス              7

======================================================================

AppleのQuickTimeはどこにでもある。WindowsにもMacsにも、たくさんのプロ
グラムとともに自動インストールされてくる。アタッカーは、QuickTimeのよ
うなプログラムを、手軽に侵入できる「sweet spot」と考えているようだ。し
たがって、QuickTimeに確認された重大な脆弱性は見過ごすことのできない問
題である。
────────────────

1.危険度【重大】:Apple QuickTimeにさまざまな脆弱性

<影響のある製品>
Apple QuickTime 7.6までのバージョン

<詳細>
QuickTimeは、AppleのMac OS XやMicrosoftのWindows OS用のApple製ストリー
ミングメディア・フレームである。しかし、さまざまなメディアファイルや
Real Time Streaming Protocol(RTSP)URLの処理に複数の脆弱性がある。メ
ディアファイルやURLが細工されると、脆弱性のいずれかが引き起こされる。
悪用が実現すると、現在のユーザー権限で任意のコードを実行できる状態にな
る。デフォルトでは、QuickTimeでサポートされているメディアファイルのほ
とんどが、受信時にユーザーへのプロンプト無しで開かれるため注意が必要だ。
QuickTimeは、Apple Mac OSシステムの全てにデフォルトインストールされて
いるほか、iTunesなどMicrosofft Windows版のさまざまなApple製品にも、そ
の一部としてインストールされている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-09-007/
http://zerodayinitiative.com/advisories/ZDI-09-006/
http://zerodayinitiative.com/advisories/ZDI-09-005/
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3403
製品のホームページ
http://www.apple.com/quicktime
SecurityFocus BIDs
http://www.securityfocus.com/bid/33386
http://www.securityfocus.com/bid/33389
http://www.securityfocus.com/bid/33393
http://www.securityfocus.com/bid/33384
http://www.securityfocus.com/bid/33390
http://www.securityfocus.com/bid/33387
http://www.securityfocus.com/bid/33388
http://www.securityfocus.com/bid/33385
────────────────

2.危険度【高】:Symantec AppStream ClientのActiveXコントロールにさまざ
  まな脆弱性

<影響のある製品>
Symantec AppStream Client 5.2.2 SP3 MP1までのバージョン

<詳細>
AppStreamは、Symantec製の企業用アプリケーションおよびデータストリーミ
ングアプリケーションであり、広範に使用されている。機能の一部はActiveX
コントロールによって提供される。しかし、このコントロールのさまざまなメ
ソッドの処理に、複数の脆弱性がある。このコントロールをインスタンス化す
るWebページが細工されると、脆弱性のいずれかが悪用され、現在のユーザー
権限で任意のコードが実行されるおそれがある。これらの脆弱性の技術的詳細
がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能をCLSID"3356DB7C-58A7-11D4-AA5C-006097314BF8"に設定して
問題のコントロールを無効にすれば、影響を軽減できる。しかし、通常の機能
に影響が出るおそれもあるので注意。

<参考>
US-CERTの脆弱性ノート
http://www.kb.cert.org/vuls/id/194505
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/33582/
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://www.appstream.com/
SecurityFocus BID
http://www.securityfocus.com/bid/33247
────────────────

3.危険度【高】:富士通Systemcast Wizard Liteにバッファオーバーフローの
  脆弱性

<影響のある製品>
富士通Systemcast Wizard Lite 2.0より以前のバージョン

<詳細>
富士通Systemcast Wizard Liteはソフトウェア設定のコンポーネントで、富士
通のPRIMEQUESTソフトウェアスイートの一部である。Pre-Execution
Environment(PXE)リクエストの処理にバッファオーバーフローの脆弱性があ
る。リクエストが細工されると引き起こされる。悪用が実現すると、脆弱なア
プリケーション(SYSTEMの場合が多い)で任意のコードを実行できる状態にな
る。この脆弱性の全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参照>
Wintercoreのセキュリティアドバイザリ
http://www.wintercore.com/advisories/advisory_W010109.html
Fujitsuのツールのダウンロード用ページ
http://www.fujitsu.com/global/services/computing/server/primequest/downloads/tools/
SecurityFocus BID
http://www.securityfocus.com/bid/33342

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。