NRI Secure SANS NewsBites 日本版

Vol.4 No.7 2009年2月18日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.7 2009年2月18日発行
**********************************************************************

■はじめに

セキュリティ分野の職種には、なお多くの求人がある。2008年のSANSによる給
与および資格調査の結果を見ると、興味深い点が多々ある。
その概要は以下のとおり。
1.セキュリティ分野の求人はいまだ多数。11月末実施の調査結果では、回答者
  の79%が人員削減はないと予測しているほか、雇用セキュリティスタッフの
  能力レベルを引き上げている組織が増えているという。求められる能力とし
  ては、形式的なもの(ポリシー、報告書作成、セキュリティアウェアネス、
法遵守)より、実践的なもの(ペネトレーションテスト、侵入検知、システム
強化、技術監査)へ変化してきていることが挙げられる。
2.セキュリティのスキルに対する高評価。コンピュータセキュリティのプロの
  38%以上が、年10万ドル以上稼ぎ出している。西海岸の給与額が首位になっ
  たのは今回が初めて。ワシントン州のセキュリティ関連の給与は、ニューヨー
  ク州のそれを凌ぐ結果に。
3.セキュリティ関連の資格がますます重要に。雇用主である回答者の81%が、
  資格を採用時の重要な判断材料としている。有効な資格ランキングにおいて、
  ISC2のCISSP認定は今も首位。ISACA CISAの認定はその順位を落としており、
  GIACやCiscoの認定における技術的かつ実践的な要素の重要度が高まってい
  る影響と見られる。
この給与調査はこちらでダウンロード可:
http://www.sans.org/resources/salary_survey_2008.pdf

さて、ダメージの最も大きいプログラミングエラーのトップ25がリリースされ
た。賞賛、絶叫など、多くの反響があったもよう。たいへん有益なリストと言
えよう。このリストを、いかにして連邦政府や州政府レベル、および、民間組
織の調達文書に盛り込んでいくかという問題に、大きな関心が集まっている。
これを受けてSANSは、関連組織とともに大きなプロジェクトを遂行中であり、
1ヶ月以内に完了するものと見込まれる。ニューヨーク州のWill Pelgrin氏が、
預託信託機関(Depository Trust)のJim Routh氏、Aspect Security(および
OWASP)のJeff Williams共著の調達文書原案(www.sans.org/appsecsontract)
を改善するにあたり、ご意見のある方は、早めにappseccontract@sans.org.
で。

参考資料のご案内2件:
(1) サイバー犯罪についての理解を深める
   National JournalのWebサイトにあるShane Harrisの "The Cybercrime
   Wave "。
   http://www.nationaljournal.com/njmagazine/cs_20090207_7484.php
(2) 不吉なConfickerワームについての理解を深める
   USA TodayのByron Acohidoによるブログ記事。
   http://lastwatchdog.com/?p=329

              Alan Paller(SANS Director of Research)

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          ● 3月開催のセキュリティ講座案内 ●
  !!セキュアプログラミングスキルを習得するための2コースを開催!!
        【GSSP試験にも対応】  今すぐお申込みを!

 ■情報セキュリティ技術基礎      3月11日(水)
   http://www.nri-secure.co.jp/seminar/2009/application.html

 ■セキュアプログラミング演習(Java) 3月12日(木)-13日(金)
   http://www.nri-secure.co.jp/seminar/2009/programming.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.10-11
   (原版:2008年2月7日、2月11日配信)

◆大規模なATM詐欺 WorldPayの侵害事件が原因?(2009.2.29)

FBIは国際的なATM詐欺を捜査している。この詐欺は、窃盗団が超短時間で49都
市のキャッシュマシンから数百万ドルを盗み出した事件である。この詐欺は、
RBS WorldPayで発生したデータセキュリティ侵害に原因があると見られている。
RBS WorldPayは、決済カード(デビットカードのようなもの)を使用して、雇
用主が従業員に直接支払いを行えるサービスを提供していた。アタッカーはこ
のシステムにアクセスし、カードのクローン作成に成功。みごとに統制がとら
れた形で実行されていた。2008年11月8日、1時間という短い時間に、世界各地
の49都市にあるATM130台でこの不正カードが使用された。現金引き出しの上限
設定を外したうえで、引き出し役の人間に何度も繰り返しこのカードを使用さ
せたようだ。総計900万ドルもの現金を盗み出すのに使われたカードの数は、
たったの100枚だったという。現金引き出し役は、この詐欺のためだけに起用
された者で、少額の分け前が与えられたにすぎないと見られている。
http://www.myfoxny.com/dpp/news/090202_FBI_Investigates_9_Million_ATM_Scam
http://blog.wired.com/27bstroke6/2009/02/atm.html

【ゲスト編集者メモ】(SANS Insutitute フォレンジック研究員のRob Lee)
集団訴訟を起こそうとしても、自発的に情報を開示するためのコストが相当高
くなることから、犠牲者らが泣き寝入りしてしまう可能性が高い。犠牲者同士
の情報共有がないとなれば、逮捕される可能性が低いまま高額な利益を得られ
る犯罪ということになり、犯罪者を更に横行させてしまうことが予想される。
とはいえ、我々は犠牲者をとがめるのではなく、犯罪者の悪行をこそ止めなけ
ればならないのだ。
────────────────

◆増幅分散DoS攻撃 零細ISPを直撃(2009.2.4-5)

新しいひねりが加えられた分散DoS攻撃が浮上している。先月、ポルノサイト
の運営者が競合他社サイトを停止させるべくホストISPにこのアタックを試み
たために、その存在が明らかになった。DNS増幅と称されるこのアタックは、
比較的少ない台数のPCでネットワークトラフィックを増幅させるものである。
偽装クエリによって、DNSサーバが異常に大きなサイズの結果を送信するよう
になってしまう。ボットネットのオペレータは、日々ネットワークの実装を更
新し、このようなアタックを可能にするツールを加えているという。
http://www.networkworld.com/news/2009/020509-porn-site-feud-spawns-new.html
http://www.scmagazineus.com/New-style-of-DNS-amplification-can-yield-powerful-DDoS-attacks/article/126839/
http://isc.sans.org/diary.html?storyid=5773

【編集者メモ1】(Ullrich)
アタック自体は新しくないが、ここ数年で発生頻度が上がっていることは確か
だ。規模も大きくなってきている。やっとスマーフ増幅を排除したというのに、
今度は、DNSサーバの設定方法にベストプラクティスが適用されているか確認
し、踏み台として悪用されることを回避できるよう対処せねばならない。
【編集者メモ2】(Donald Smith)
「サイズの大きなテキストファイル」を使用したDNS反射攻撃より前に、この
手のアタックが実際に行われていた。スプーフィングされたソースアドレスが
ネットワークに出入りできないようにすることが、このアタックへの唯一の長
期的解決策と言えよう。
【編集者メモ3】(Honan)
このアタックの仕組みの詳細は、Gadi EvronとRandal Vaughnによる以下の新
聞記事に掲載されている。
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
────────────────

◆Hathaway 連邦政府のITシステムセキュリティレビューのリーダーに
  (2009.2.9-10)

オバマ大統領は、元Cyber Coordination ExecutiveのMelissa Hathaway氏に、
およそ2か月にわたってサイバーセキュリティレビューをさせる意向。彼女は
このレビュー期間中、国家・国土安全保障会議(National Security and
Homeland Security Councils)のシニアディレクター(Senior Director for
Cyberspace)として職務をこなす。未確認情報だが、レビュー終了後、彼女は
オバマ政権のサイバーセキュリティチーフに就くという話も出ているようだ。
http://www.vnunet.com/vnunet/news/2236100/obama-orders-cyber-security
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9127682&intsrc=news_ts_head
http://www.securityfocus.com/brief/905
http://www.msnbc.msn.com/id/29108453/

【編集者メモ1】(Paller)
Hathawayがホワイトハウスのこの役職に任命されるとなると、彼女よりもサイ
バー技術について経験のある人材にその地位をあてがうべきだと考えている人
々から、異議の声が多数上がるだろう(政府や重要インフラのサイバーリソー
スをコントロールする権限は自分にこそ付与されるべきだと考えている人の声
も、全て施錠されたドアの向こうで論じられているだけなので聞こえることは
ないが)。確かに、我こそはと思っている政府内の人間は、攻撃にしろ防御に
しろ、非常に上手くこなすだろう。しかし、そんな彼らにとっても、国にとっ
ても、(かなり非凡な)Hathawayがこの役職に就くことが最も得策だと思う。
なぜなら彼女は、彼らの活動と国家的優先事項のバランスを効率よくとれる人
材だからだ。適格なチェックとバランスを組み合わせること、それが勝利の戦
略になるのである。
【編集者メモ2】(Weatherford)
非常にすばらしいニュースだ。新政権でこのようなことが迅速に行われている
のを見るのは、喜ばしいかぎりである。ホワイトハウスの誰かがしっかり耳を
傾けている証拠だ。このレビューの結果によって、政府のサイバーセキュリティ
プログラムに革新的な変化をもたらす足がかりができるだろう。
Bob Gourleyは、Melissa HathawayについてCTOvision.comに興味深いブログ記
事を書いている。
http://www.ctovision.com/2008/10/melissa-hathaway-op-ed-on-cyber-security.html
────────────────

◆ヒューストン地方裁判所 マルウェア感染で閉鎖(2009.2.7-9)

テキサス州ヒューストンのネットワークのコンピュータが何台かマルウェアに
感染したため、地方裁判所のシステムが先週後半、閉鎖されてしまった。駐車
違反チケットやその他の罰金支払い処理のために事務局は開いているが、訴訟
事件表はリセットしなければならないという。感染の影響で、ヒューストン警
察は軽犯罪による逮捕業務を一時停止しなければならなかった。関係者による
と、マルウェアは、同市のコンピュータ1万6,000台のうち475台に感染してお
り、感染割合は全体の3%だという。市関係者は金曜日の午後、サイバーセキュ
リティ企業に委託して、マルウェアの除去を行ったようだ。ヒューストンの情
報技術副長官は、主犯格はConfickerとDownadupであると述べている。月曜日
の朝の時点では、裁判所は閉鎖されたままであった。
http://www.chron.com/disp/story.mpl/front/6250411.html
http://www.chron.com/disp/story.mpl/front/6253999.html
http://www.theregister.co.uk/2009/02/09/houston_malware_infection/

【編集者メモ1】(Hoelzer)
コンピュータ全体の2.9%がダウンしただけで裁判所が閉鎖されてしまい、実
世界に直接影響が及んだことになる。だから、サイバーテロは非常に重大な問
題なのだ。連邦システムの10%に影響が生じたらどうなってしまうのだろう?
最悪90%だとしたら?この事件により、感染率が低くとも実世界に影響が生じ
てしまうことが実証された。
【編集者メモ2】(Ullrich)
ニュース記事では、裁判所業務に生じた影響に焦点があてられている。もちろ
ん、このような感染はデータ漏えいの格好の機会にもなる。Downadupは、悪意
のある者がこのようなシステムに侵入するときに使うツールだということを肝
に銘じておこう。
【編集者メモ3】(Pescatore)
パッチ適用について無頓着な状態がずっと続いていた。この問題に対するパッ
チは、2008年10月5日にはすでにリリースされていたというのに……。パッチ
未適用のシステムが、頻繁にターゲットになっていたというわけではなかった
ものの、旧来の脅威もまだ確実に存在しているのが現状だ。「定期的なパッチ
適用の費用を減らして署名ベースの保護を更新すること VS. 何もしない」と
いう課題こそが、解決の重要な鍵である。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年2月7日 Vol.8 No.6)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          9 (#4, #5, #6)
Linux                      3
BSD                       1
Solaris                     2
Novell                     3 (#1)
Unix                      1
クロスプラットフォーム             22 (#2, #3)
Webアプリ-クロスサイトスクリプティング     11
Web アプリ- SQLインジェクション        19
Webアプリ                   28
ネットワークデバイス              2
======================================================================

Mozilla製品(特に FirefoxやThunderbird)に重大な脆弱性が発見された。ま
た、Novell Netware GroupwiseのSMTPに、新しいバッファオーバーフローが報
告されている。
────────────────

1.危険度【重大】:Novell Netware Groupwise SMTPのコマンド処理にバッファ
  オーバーフローの脆弱性

<影響のある製品>
Novell Netware Groupwise SMTP Server 8.0 HP1より以前のバージョン

<詳細>
Novell Netware Groupwiseはメッセージングプラットフォームとして広範に使
用されているが、SMTPコンポーネントのRCTPコマンドの処理に脆弱性がある。
RCTPコマンドが細工されるとバッファオーバーフローの脆弱性が引き起こされ
れ、脆弱なプロセス権限(ルートもしくはSYSTEMの場合が多い)で任意のコー
ドが実行される可能性がある。この脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-010/
ベンダーのアドバイザリ
http://www.novell.com/support/viewContent.do?externalId=7002502
製品のホームページ
http://www.novell.com/products/groupwise/
SecurityFocus BID
http://www.securityfocus.com/bid/33560
────────────────

2.危険度【重大】:Mozilla製品にさまざまな脆弱性

<影響のある製品>
Mozilla Firefox 3.0.6より以前のバージョン
Mozilla Thunderbird 2.0.0.21より以前のバージョン
Mozilla SeaMonkey 1.1.15より以前のバージョン

<詳細>
FirefoxのWebブラウザ、Thunderbirdメールクライアント、SeaMonkeyアプリケー
ションスイートなど複数のMozilla製品において、複数のインプット処理にさ
まざまな脆弱性がある。WebページやJavaScriptが細工されると、これらの脆
弱性が引き起こされ、さまざまな悪用が可能な状態に陥るおそれがある。これ
らの脆弱性の全技術的詳細は、ソースコードを分析すれば入手できる。また、
今回の更新でクロスサイトスクリプティングや情報開示の脆弱性が修正されて
いる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2009/mfsa2009-01.html
http://www.mozilla.org/security/announce/2009/mfsa2009-02.html
http://www.mozilla.org/security/announce/2009/mfsa2009-03.html
http://www.mozilla.org/security/announce/2009/mfsa2009-04.html
http://www.mozilla.org/security/announce/2009/mfsa2009-05.html
http://www.mozilla.org/security/announce/2009/mfsa2009-06.html
ベンダーのホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/33598
────────────────

3.危険度【高】:複数のVNCにさまざまな脆弱性

<影響のある製品>
UltraVNC 1.0.5.4までのバージョン
TightVNC 1.3.10までのバージョン

<詳細>
VNC(Virtual Network Computing)は、スクリーンおよびデスクトップの共有
プロトコルとして広範に使用されている。VNCクライアントのいくつかには、
VNCスクリーン共有プロトコルの処理に脆弱性がある。悪意のあるサーバにユー
ザーがアクセスすると、これらの脆弱性が悪用されるおそれがあり、現在のユー
ザー権限で任意のコードが実行される可能性がある。ユーザーが脆弱になるに
は、まず悪意のあるサーバに接続することが必要。しかし、設定によっては、
VNCクライアントはWebページやメールのリンクをクリックすると開かれるおそ
れがあるので注意。これらの脆弱性のいくつかについては、ソースコードを分
析すれば全技術的詳細を入手できる。また、概念実証コードが公表されている
脆弱性もある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
概念実証コード
http://milw0rm.com/exploits/7990
Virtual Network ComputingについてのWikipediaの説明
http://en.wikipedia.org/wiki/Virtual_Network_Computing
製品のホームページ
http://www.tightvnc.com/
http://www.uvnc.com/
SecurityFocus BID
http://www.securityfocus.com/bid/33568
────────────────

4.危険度【高】:Free Download Managerにリモートでのバッファオーバーフロー
  の脆弱性

<影響のある製品>
Free Download Manager 3.0 build 848より以前のバージョン

<詳細>
Free Download Manager(FDM)はファイル移行管理アプリケーションとして広
範に使用されているが、移行中のHTTPヘッダーの処理に欠陥がある。悪意のあ
るサーバからのレスポンスが細工されるとバッファオーバーフローの脆弱性が
引き起こされ、現在のユーザー権限で任意のコードが実行される可能性がある。
技術的詳細は、ソースコードを分析すれば入手可能。悪意のあるサーバに接続
しなければ侵害されない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2009-3/
製品のホームページ
http://www.freedownloadmanager.org/
SecurityFocus BID
http://www.securityfocus.com/bid/33554
────────────────

5.危険度【高】:NewsGator FeedDemonのRSS処理にバッファオーバーフローの
  脆弱性

<影響のある製品>
NewsGator FeedDemon 2.7までのバージョン

<詳細>
NewsGator FeedDemonはMicrosoft Windows用のReally Simple Syndication
(RSS)リーダとして広範に使用されている。RSSは、Webコンテンツの更新情
報を配信するもので、ブログやWebサイトでよく用いられている。RSSフィード
が細工されるとFeedDemonにバッファオーバーフロー状態が生じるため、現在
のユーザー権限で任意のコードが実行される可能性がある。この脆弱性の全技
術的詳細が公表されている。悪意のあるRSSフィードを購読しなければ、侵害
されない。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
Bkisのセキュリティアドバイザリ
http://security.bkis.vn/?p=329
RSSについてのWikipediaの説明
http://en.wikipedia.org/wiki/Really_Simple_Syndication
製品音ホームページ
http://www.newsgator.com/Individuals/FeedDemon/Default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/33630
────────────────

6.危険度【高】:Nokia PC Suiteのプレイリスト処理にバッファオーバーフロー
  の脆弱性

<影響のある製品>
Nokia PC Suite 6.xほか、それ以前のバージョンも影響を受ける可能性あり

<詳細>
Nokia PC Suiteは、Nokia携帯デバイスの管理に使用されるアプリケーション
スイートである。しかし、マルチメディアプレーヤのコンポーネントが行うプ
レイリストファイルの処理に、バッファオーバーフローの脆弱性がある。プレ
イリストが細工されると引き起こされ、現在のユーザー権限で任意のコードが
実行される可能性がある。設定によっては、ユーザーへのプロンプト無しに悪
意のあるプレイリストファイルが受信時に開かれるそれがあるので注意が必要。
この脆弱性の概念実証コードの技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/33586.py
ベンダーのホームページ
http://www.nokia.com/
SecurityFocus BID
http://www.securityfocus.com/bid/33586

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。