NRI Secure SANS NewsBites 日本版

Vol.4 No.6 2009年2月10日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.6 2009年2月10日発行
**********************************************************************

■はじめに

セキュリティ関連の給料や資格についての最新の調査結果が入ってきた。驚く
ほど喜ばしい内容だった。プレス関係者に真っ先に告げることになるが、追っ
てこの調査結果の概要をまとめて皆様にもお届けする所存。

3月1日からオーランドでスタートする38コースの詳細はこちら:
http://www.sans.org/sans2009

              Alan Paller(SANS Director of Research)

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
      日本人SANSインストラクターによる
      SEC401:SANS Seucrity Essentials Bootcamp Style

  2009年2月19日(木)より10週にわたって開講!!
   毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム

  !! 講義とオンライン学習を通じて、効率的にスキルアップ!!
            ↓↓↓詳しくはこちら↓↓↓
     http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.8-9
   (原版:2008年1月31日、2月4日配信)

◆分散DoSアタック キルギスタンにおける接続を壊滅(2009.1.28)

キルギスタンの2大インターネットサービスプロバイダ(ISP)に対して、分散
DoSアタックが継続的に行われている。同国のコンピュータのほとんどがオフ
ラインになってしまった。1月18日に始まったこのアタックは、ロシアの
"Cybermilitia"によってコントロールされているものと考えられている。米国
空軍基地に送受信されているメールも影響を受けているもよう。背後にいるの
は、先夏、グルジア共和国に対して組織的なアタックを行ったグループと同じ
であると考えられている。ロシアがキルギスタンに対し、3億ドルの貸付とエ
ネルギー開発向けの1億ドルの投資を行うかわりに、他国の空軍を立ち退かせ
ようとしとしていたという問題が背景にある。やっと最近になって、サービス
のいくつかが回復したもよう。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9126947
http://www.theregister.co.uk/2009/01/28/kyrgyzstan_knocked_offline/

【編集者メモ1】(Pescatore)
すなわち、キルギスタンの大手ISPは分散DoSアタック対策をいいかげんに行っ
ていたということになる。これでは、水道局がろ過業務を怠っているようなも
のだ。
【編集者メモ2】(Schultz)
このようなアタック(政治的要因での分散DoSアタック)の件数は、時間とと
もに必ず増えていくだろう。インターネットにおける分散DoSアタックを防御
するのは不可能に近い。また、その犯人が国家となると、罰するのも不可能で
ある。
【編集者メモ3】(Northcutt)
エストニア、グルジア、キルギスタン……。ロシア政府は「関与していない」
と言うが、これは"Cybermilitia"の仕業である。コマンドとコントロールIPア
ドレスのいくつかが、元Russian Business Networkに関係のあるものだったと
いう。つまり、愛国心から起こった犯罪だ。Cybermilitiaが、母なるロシアと
相反するようになったら一体どうなるのだろう?また、中国が、ロシア
Cybermilitiaの千倍規模の部隊を出動させたらどうなってしまうのだろう?米
国の停電を引き起こしたのは中国だとする主張もある。インターネットは法に
則った秩序ある領域だと信じる人間がいたら、数年で後悔に至るだろう。この
傾向に、我々はさらに拍車をかけてしまっているようだ。私掠船の歴史を思い
起こさせる。米国には、それとは違う道を歩んでほしい。
http://www.nationaljournal.com/njmagazine/cs_20080531_6948.php
http://www.strategypage.com/htmw/htiw/articles/20080608.aspx
────────────────

◆Heartland裁判 集団代表訴訟の形を求める(2009.1.28)

ニュージャージー州トレントン地裁では、先月はじめにデータ侵害事件があっ
たことが明らかになったHeart Payment Systemsに対し、損害賠償を求める訴
訟が行われている。この裁判では、Heartlandシステムが侵害事件発生の通知
を迅速に出していなかったこと、データ保護措置を十分に施していなかったこ
と、被害者に対して身元査証詐欺から身を守るために生じた費用を補償する提
案を出していなかったことが論点となった。この訴えを起こしたミネソタ州の
女性は、集団訴訟の形にしたいようだ。
http://news.cnet.com/8301-1009_3-10151961-83.html

【編集者メモ】(Hoelzer)
まだまだ「法遵守」と「セキュリティ」の違いが理解されていないようだ。
「法遵守」で「セキュリティ」の問題を修正することはできないものの、法的
責任には影響を及ぼす。したがって、このケースが今後どのような展開を見せ
るのかとても興味深い。また、PCI/DSSにおいては、通知スピードについての
定義がまだ曖昧であることが浮き彫りになるだろう。
「セキュリティ」VS.「法遵守」の討論はこちら:
http://auditexperts.wordpress.com/2009/01/20/you-might-be-compliant-but-are-you-secure/
────────────────

◆Heartland社が侵害を認めて生じた影響(2009.1.27-28)

Heartland Payment Systemが、先週、大規模なデータセキュリティ侵害が発生
していたことを発表したため、米国中の金融機関が大量の決済カード再発行に
着手している。Heartlandの侵害事件が原因で発生した決済カード詐欺があっ
たことを認めている金融機関もある。この侵害を受けて、Washington Credit
Union Leagueは、決済カードデータを処理する全ての店舗や第三機関に対する
データ保護コントロール義務化法案を推進するようになった。関連性のある話
として、決済カード口座の情報を盗み出すのに使用されていたスニッファが、
サーバディスクの未使用部分に発見されたという。かなり巧妙に隠されていた
ため、2つのフォレンジックチームの目を逃れていた。発見されたのは、一連
の一時ファイルの隙間だった。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9126879&intsrc=hm_list
http://www.storefrontbacktalk.com/securityfraud/heartland-sniffer-hid-in-unallocated-portion-of-disk/

【編集者メモ1】(Hoelzer)
自主的な基準であるPCI/DSSのモチベーションとしては、政府による決済カー
ド産業のセキュリティ法整備を不要と見なさせるようにする、ということがあ
る。効果的に実証できなければ、法整備施行の方向に向かうだろう。
【編集者メモ2】(Honan)
The StoreFrontBackTalkの記事には、この侵害が起きた経緯について、興味深
い詳細が掲載されている。システムを保護するために、AVやIPS/IDSなどのに
頼ってばかりはいられないこと、通信や活動に異常がないか日常的にログファ
イルを確認すること、そして、スタッフ全員が添付ファイルやリンクをクリッ
クすることによって生じるリスクについて理解していることの重要性が強調さ
れている。
────────────────

◆高速中性子についてのICANN作業グループ 最初の報告書に対するコメント
  を募集(2009.1.26-28)

高速中性子についてのICANN(Internet Corporation for Assigned Names and
Numbers)作業グループは、一般からのコメントを募るため、最初の報告書を
公開した。どうやら、ボットマスターが防御攻撃を阻止するために使用してい
る技術、また、コンテンツ配信ネットワークが負荷分散を行う技術、論者らが
言論の自由が制限された国で検閲を逃れる技術の扱い方と、その対処方法につ
いて頭を悩ませているようだ。また、同グループの中では、高速中性子に対し
て何らかの行動を起こすべきかどうかについても、意見が分かれているようだ。
http://icann.org/en/announcements/announcement-26jan09-en.htm
http://gnso.icann.org/issues/fast-flux-hosting/fast-flux-initial-report-26jan09.pdf
http://www.theregister.co.uk/2009/01/28/icann_fast_flux_report/
────────────────

◆政府説明責任局 銀行機密法に関連するデータの保護を堅牢化する必要性を
  説く(2009.2.2)

米政府説明責任局(GAO)によると、財務省の金融犯罪取締執行ネットワーク
(FinCEN:Financial Crimes Enforcement Network)は、同ネットワークが保
持し、他の政府局や政府と共有している財務データのセキュリティを強化する
必要があるという。FinCENは、自身のネットワークと米国税庁(IRS)のネット
ワーク、財務通信システム(TCS:Treasury Communication System)を使用して、
銀行機密法(BSA: Bank Secrecy Act)を施行・管理している。これら全てのシ
ステムのセキュリティはある程度までは修正されているものの、組織による未
承認アクセスを阻止・制限・検知するためのコントロールとシステムや保持情
報に対するコントロールの適用にはムラがあった。BSAは、記録を保持し、疑
わしい財務取引がないかどうか監視・報告することを銀行に義務付ける法であ
る。
http://www.gao.gov/new.items/d09195.pdf
http://gcn.com/Articles/2009/02/02/FinCEN-020209.aspx

【編集者メモ】(Weatherford)
残念なことに、「コントロールの適用にむらがあった」というくだりは、官民
両方に共通していることだろう。セキュリティやIT関連の人間がその重要性を
理解していないというより、経営層が献身的に取り組んでいないということを
示している。つまり、資金や人員が不十分なのだ。Gene Spafford教授は、
「情報セキュリティは、悪事の発生を防止するという単純な発想から、事業の
基本的なコンポーネントに変遷した」と述べている。しかし、今でも多くの人
間が未だその事実を受け入れていないのだ。
────────────────

◆USAJobsのデータ Monster.comの侵害事件で盗まれる(2009.1.31-2.2)

USAJobsのプログラムディレクタは、1月に明らかになったMonster.comのデー
タベース侵害事件に、政府の求職サイトのデータがあったことを認めた。侵害
されたデータには、IDやパスワード、氏名などがあったが、履歴書、社会保険
番号(SSN)、財務データに影響はなかった。USAJobsは、Monster.comで動作す
るようになっていた。USAJobsには、盗まれたメールアドレスがフィッシング
アタックに使用されるかもしれないという警告が掲示されている。本件は、イ
ンターネットストームセンターによって最初に報告されたものである。
http://isc.sans.org/diary.html?storyid=5737
http://fcw.com/Articles/2009/02/02/Government-jobs-site-is-hacked.aspx
http://www.washingtonpost.com/wp-dyn/content/article/2009/01/30/AR2009013003716.html?sub=AR
http://www.usajobs.gov/securityNotice.asp
────────────────

◆司法省の職員に対するセキュリティテスト 貯蓄投資委員会をもてあそぶ
  (2009.1.30)

米司法省は、電子メールのフィッシングアタックに対する同省職員の対応をテ
ストするため、Thrift Savings Plan(貯蓄預金制度)から発せられたように
見せかけたメールを彼らに送信した。しかし、その旨、連邦職員退職貯蓄投資
委員会(Federal Retirement Thrift Investment Board)に告知していなかっ
た。この偽メッセージには、Thrift Savings Plan(TSP)で評価額が30%以上下
がった場合は、損失分が償われると書かれていた。さらに、加入希望者は1月
31日までに個人情報を提供すること、としていた。TSP委員会がこのテストの
件を知らされたのは、実際にメッセージが送信されてから2週間経った1月28日
だった。しかし、それまでの間に、すでに同委員会にはこうした詐欺に対する
対策が打ち出されていたという。
http://www.google.com/hostednews/ap/article/ALeqM5iOgj0IuXeQR5XWjevDZu4qS-tWOQD9613O6O0
http://www.govexec.com/story_page.cfm?articleid=41938&dcn=todaysnews

【編集者メモ1】(Ranum)
このようなテストは、単に誰かの顔をつぶしてしまうだけで、長期的に有益な
効果があったためしがない。このようなことをやる目的は、監査人やペネトレー
ションテスターが、誰かに「ひっかかったね!」と言って自分の価値を誇示し
たいためだけだろう。
【編集者メモ2】(Paller)
実際には、このようなセキュリティ認識テストを効果的とする確かなデータも
存在する。こういったテストが含まれていないなら、それは有用なセキュリティ
認識プログラムにはなりえない。実施した司法省を賞賛する。この調子で取り
組みを続けていただきたい。できれば、実際に存在する組織をフィッシングの
エサにするのではなく、架空の組織を利用して行ってほしいものだ。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年1月31日 Vol.8 No.5)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          9 (#1, #2)
Linux                      2
Solaris                     5
Unix                      1
クロスプラットフォーム             39
Webアプリ-クロスサイトスクリプティング     6
Web アプリ- SQLインジェクション        27
Webアプリ                   18
ネットワークデバイス              2
======================================================================

EMCのAutostartに、重大な脆弱性が発見された。アタッカーが、バックアップ
やセキュリティシステム管理ツールに焦点をあてていることが示された。それ
は、「紺屋の白袴」のように、システム管理やネットワークセキュリティの開
発者の多くが、セキュアプログラミングやセキュリティ基準に無頓着になって
いるからだ。
────────────────

1.危険度【重大】:EMC AutoStartにリモートでコードが実行される脆弱性

<影響のある製品>
EMC AutoStart 5.3 SP2までのバージョン

<詳細>
EMC AutoStartは、企業用アプリケーションフェイルオーバーおよび再起動シ
ステムとして広範に使用されている。しかし、入力された特定のデータの検証
ができないうえ、ユーザによるリクエストの特定の提供値を暗に信頼してしま
う。これらの値はコードへのポインタとして扱われる。値が特異的に選別され
てしまうと、脆弱なプロセス(SYSTEM)権限で任意のコードが実行されるおそ
れがある。この脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。可能ならば、
TCP8042番ポートをブロックするとよい。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-09-009/
製品のホームページ
http://www.emc.com/products/detail/software/autostart.htm
SecurityFocus BID
http://www.securityfocus.com/bid/33415
────────────────

2.危険度【高】:MW6 Barcode ActiveXコントロールにバッファオーバーフロー
  の脆弱性

<影響のある製品>
MW6 Barcode ActiveXコントロール

<詳細>
MW6 Barcode ActiveXコントロールは、さまざまな形式でバーコードを作成す
るのに用いられるコントロールとして、広範に使用されている。しかし、
"supplement"プロパティの処理にバッファオーバーフローがある。細工された
Webページがこのコントロールをインスタンス化してプロパティを設定すると
引き起こされ、現在のユーザー権限で任意のコードが実行できる状態になる。
この脆弱性の全技術的詳細と概念実証コードが公表されている。

<影響のある製品>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能をCLSID"14D09688-CFA7-11D5-995A-005004CE563B"
に設定して問題のコントロールを無効にすれば、影響を軽減できる。

<参考>
概念実証コード
http://milw0rm.com/exploits/7869
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://www.mw6tech.com/barcode/barcode.html
SecurityFocus BID
http://www.securityfocus.com/bid/33451

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。