NRI Secure SANS NewsBites 日本版

Vol.4 No.8 2009年2月25日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.8 2009年2月25日発行
**********************************************************************

■はじめに

USA Todayに、連邦政府に対するアタックの大幅増加を報じる記事とホワイト
ハウスによる対策を記した記事が、大々的に掲載された。

一面記事:
http://www.usatoday.com/news/washington/2009-02-16-cyber-attacks_N.htm

ホワイトハウスの対策(マネーセクション):
http://www.usatoday.com/tech/2009-02-16-cybersecurity-expert-obama_N.htm

ホワイトハウスの対策についてのブログ記事:
http://lastwatchdog.com/archives/467

              Alan Paller(SANS Director of Research)

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          ● 3月開催のセキュリティ講座案内 ●
  !!セキュアプログラミングスキルを習得するための2コースを開催!!
        【GSSP試験にも対応】  今すぐお申込みを!

 ■情報セキュリティ技術基礎      3月11日(水)
   http://www.nri-secure.co.jp/seminar/2009/application.html

 ■セキュアプログラミング演習(Java) 3月12日(木)-13日(金)
   http://www.nri-secure.co.jp/seminar/2009/programming.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.8-9
   (原版:2008年2月14日、18日配信)

◆Heartlandの侵害で160の金融機関が影響を受ける:その数未だ増加中
  (2009.2.6-12)

Bank Information SecurityのWebサイトによると、160近くの金融機関が
Heartland Payment Systemsのデータセキュリティ侵害で影響を受けたという。
米国40州、およびカナダ、バミューダ、グアムの銀行も、顧客のカード情報が
漏えいされたケースがあったと報告している。侵害を受けたカードの数は不明
だが、Heartlandは月1億件の決済を処理していたという。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9127822&source=rss_topic17
http://www.bermudasun.bm/main.asp?SectionID=24&SubSectionID=270&ArticleID=40389&TM=28150.45
http://www.theregister.co.uk/2009/02/12/heartland_data_breach_latest/
http://www.bankinfosecurity.com/articles.php?art_id=1200&opg=1
────────────────

◆欧州委員会 英国政府にPhorm裁判について回答を求める(2009.2.11-12)

英国政府は、2006年から2007年にかけて行われたPhormターゲット広告に関す
る非公開のBT社裁判について、その情報を欧州委員会(European Commission)
に提供しなければ、正式な情報提供要請を受けることになる。レターがすでに
3件送付されているにもかかわらず、英国政府はまだ、「Phorm裁判に対する同
委員会の懸念に対し、十分な返答をしていない」という。問題の裁判は、BT社
の顧客の同意を得ずに行われた。英国情報長官(UK Information Comissioner)
事務局とロンドン警察は、この問題を静観することに決めたようだ。しかし、
欧州委員会は、この裁判がEU法違反であった可能性があるという懸念がさらに
高まったとしている。
http://news.zdnet.co.uk/security/0,1000000189,39615480,00.htm
http://www.theregister.co.uk/2009/02/11/phorm_eu_action_threat/
────────────────

◆MicrosoftとICANNなど 共同でConflickerのブロックに取り組む
  (2009.2.12)

Microsoftは、ICANN(the Internet Corporation for Assigned Names and
Numbers)などと共同して、インターネットによるConflickerワームの更新受
信の阻止に取り組んでいる。Conflickerワームが使えるドメインの多くは、登
録されればブロックされる。また、登録されていないドメインは研究者に監視
されるほか、彼らのマルウェア研究の対象となる。Confickerは、Downadupと
いう名前でも知られており、世界中のPC1000万台に感染している。Microsoft
は、Conflickerワームに関係のある人間の逮捕や起訴につながる情報を提供す
れば、25万ドルを進呈すると発表した。
http://www.theregister.co.uk/2009/02/12/conficker_reward/
http://www.heise-online.co.uk/security/Microsoft-ICANN-and-others-move-to-block-Conficker--/news/112640
http://news.cnet.com/8301-1009_3-10163084-83.html?part=rss&subj=news&tag=2547-1009_3-0-20
────────────────

◆カナダの判事 インターネットユーザーは「プライバシーの維持を期待でき
  ない」との判決(2009.2.13)

インターネットサービスプロバイダ(ISP)は記録を保持するものだというこ
とを踏まえると、インターネットユーザーは「プライバシーの維持を期待でき
ない(プライバシーがほとんどない)」という判決を、カナダの判事が下した。
この判決は、児童ポルノに関する裁判でのものだ。問題の事件では、警察が
ISPに対し、問題のコンテンツにアクセスしていると思われる顧客のIPアドレ
スを提出するよう求めたことが問題になっていた。この要請に対し、Bell
Canadaは令状がないにもかかわらず情報を提供したという。カナダのISPのほ
とんどは、令状なしで顧客の氏名情報を提供できないようになっているが、児
童ポルノ事件に関係がある場合はそのかぎりではない。プライバシー提唱者ら
は、この判決が、警察当局が令状なしで個人のネットサーフィンの全履歴を自
由に入手できることを認めるような判例となることを危惧している。また、彼
らは、判事がISPからの獲得情報をあたかも電話帳で見つけられる情報と同じ
ようなものと誤認してしまったのではないかと考えているようだ。
http://www.nationalpost.com/news/story.html?id=1283120
http://www.montrealgazette.com/news/Police+have+access+your+online+history/1286193/story.html

【編集者メモ1】(Northcutt)
プライバシー権がここまで弱体化してしまうとは。ISPは、ユーザーのネット
サーフィンについて情報を収集し、マーケティング会社に売ろうとするものだ
ということを覚えておくべし。
【編集者メモ2】(Hoelzer)
この問題に関しては、法的にますます目が放せなくなる一方だ。裁判管轄区の
多くにおいて、政府は一定の記録を保持するよう求められている。判決の意図
はよいが、それが特定の政治的観点から、不利な形で個人に対して乱用される
おそれもある。たとえば今週、英国発のニュースに、「このようなデータを大
手プロバイダに集めて、政府のアクセス・監視を簡単にしようという計画があ
る」というのもある。
────────────────

◆Heartlandの侵害事件で3人逮捕(2009.2.13)

フロリダ州の警察が、Heartland Payment Systemsのデータセキュリティ侵害
に関連していたとみられる3人を逮捕した。彼らは、侵害で盗まれたクレジッ
トカードをウォルマートで使用していた。そこで購入したアイテムは転売した
という。Heartlandの侵害で影響を受けた金融機関の数は、少なくとも220にの
ぼると考えられている。Heartlandは先月、2005年のどこかで侵入者が決済カー
ド情報を盗み出したと発表した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9127984&source=rss_topic17
http://www.bankinfosecurity.com/articles.php?art_id=1210
────────────────

◆英国 通信情報の維持業務を集約(2009.2.13-16)

英国政府は、国内すべてのISPに欧州データ維持法準拠を徹底するため、ユー
ザーの通信情報をBT社やその他「大手プロバイダ」に維持させようと計画して
いる。政府は、各プロバイダのデータ維持システムを法遵守させるための費用
を負担しない決定を下したため、この動きに転じた。英国の法案では、IPアド
レスやセッションデータは12か月維持しなければならないとなっている。この
データ維持計画に、4,600億ポンド(6,570億ドル)の税金が投入される見込みだ。
http://www.theregister.co.uk/2009/02/16/eu_data_retention_transposition/
http://www.vnunet.com/computing/news/2236479/retaining-communications-cost
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年2月13日 Vol.8 No.7)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              7 (#1, #2, #3)
サードパーティのWindowsアプリ          5
Linux                      7
HP-UX                      1
Solaris                     1
Aix                       1
クロスプラットフォーム             20 (#4, #5)
Webアプリ-クロスサイトスクリプティング     19
Web アプリ- SQLインジェクション        19
Webアプリ                   31
ネットワークデバイス              9
======================================================================

MicrosoftのInternet ExplorerとExchange Server両方に、重大な脆弱性が報
告された。RealPlayerもしかり。
.────────────────

1.危険度【重大】:Microsoft Internet Explorerにさまざまな脆弱性
  (MS09-002)

<影響のある製品>
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
Microsoft Internet Explorerには、HTMLおよびWebスクリプティング構造の処
理が正しくできていないことに由来する脆弱性が複数ある。Webページが細工
されるとこれらの問題が引き起こされるため、ログインしたユーザー権限で任
意のコードを実行される可能性がある。ユーザーが悪意のあるページを訪問す
る操作をしないかぎり、悪用されない。これらの脆弱性の技術的詳細がいくつ
か公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms09-002.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-011/
http://www.zerodayinitiative.com/advisories/ZDI-09-012/
SecurityFocus BID
http://www.securityfocus.com/bid/33627
http://www.securityfocus.com/bid/33628
────────────────

2.危険度【重大】:Microsoft Exchange Serverに複数の脆弱性(MS09-003)

<影響のある製品>
Microsoft Exchange Server 2000
Microsoft Exchange Server 2003
Microsoft Exchange Server 2007

<詳細>
Microsoft Exchange Serverは、企業ユーザーにメール、カレンダー、連絡先、
タスクにアクセスできるようにするMicrosoftのメッセージングシステムであ
る。しかし、リモートでのコード実行やリモートでのDoS攻撃に脆弱である。
ユーザーが細工されたメールを閲覧すると、脆弱なプロセス権限で任意のコー
ドを実行されるか、もしくは不正形式のコマンドによってDoSを引き起こされ
る可能性がある。これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms09-003.mspx
Microsoft Exchange ServerについてのWikipediaの説明
http://en.wikipedia.org/wiki/Microsoft_Exchange_Server
Microsoft Exchange Serverのホームページ
http://www.microsoft.com/exchange/default.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/33134
http://www.securityfocus.com/bid/33136
────────────────

3.危険度【重大】:RealNetworks RealPlayerのファイル解析にさまざまな脆
  弱性

<影響のある製品>
Real Networks RealPlayer 11

<詳細>
RealPlayerは、さまざなマルチメディア形式を再生できるRealNetworksの特許
メディアプレーヤである。しかし、RealPlayerが特定のインターネットビデオ
レコーダ(IVR)ファイルを解析する方法に複数の脆弱性がある。IVRファイル
が細工されると、ヒープ崩壊やバッファオーバーフローが引き起こされ、NULL
バイトで任意のメモリロケーションを上書きされる可能性がある。悪用が実現
されると、ログインユーザー権限で任意のコードを実行される可能性がある。
ユーザーがファイルを開かなくても、ファイルをプレビューするだけでこの問
題が引き起こされる。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
FortiGuard アドバイザリ(FGA-2009-04)
http://www.fortiguardcenter.com/advisory/FGA-2009-04.html
ベンダーのホームページ
http://www.realnetworks.com/
SecurityFocus BID
http://www.securityfocus.com/bid/33652
────────────────

4.危険度【重大】:Microsoft Office Visioにさまざまな脆弱性(MS09-005)

<影響のある製品>
Microsoft Office Visio 2002
Microsoft Office Visio 2003
Microsoft Office Visio 2007

<詳細>
Microsoft Visioは、Microsoftの作図ソフトだが、悪意のあるVisioファイル
の処理に複数の脆弱性がある。Vissioファイルが細工されると引き起こされ、
現在のユーザー権限で任意のコードを実行される可能性がある。アタッカーは、
悪意のあるファイルをメールで送信するか、Webサイトにホストしてユーザー
にそれを開くよう求めるが、それに成功しなければ悪用には至らない。これら
の脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms09-005.mspx
Microsoft VisioについてのWikipediaの説明
http://en.wikipedia.org/wiki/Microsoft_Visio
Visioのホームページ
http://office.microsoft.com/en-us/visio/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/33659
http://www.securityfocus.com/bid/33660
http://www.securityfocus.com/bid/33661
────────────────

5.危険度【高】:HP OpenView Network Node Managerにさまざまな脆弱性

<影響のある製品>
HP OpenView Network Node Manager(NNM)7.x 、また、それ以前のバージョ
ンも脆弱なおそれがある

<詳細>
HP Netwok Node Manager(NNM)は、ネットワーク地形図を理解するために用
いられる。しかし、ユーザー入力の消毒チェックが正しく行えないため、バッ
ファオーバーフロー、リモートでのコマンドインジェクション、情報開示など
の脆弱性がある。リクエストが細工されると、脆弱性のいずれかが引き起こさ
れてしまう。悪用が実現されると、脆弱なサービス権限で任意のコードを実行
されるか、機密情報へアクセスされる可能性がある。これらの脆弱性の技術的
詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=770
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=771
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=772
製品のホームページ
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-15-119^1155_4000_100
SecurityFocus BID
http://www.securityfocus.com/bid/33666/
http://www.securityfocus.com/bid/33667/
http://www.securityfocus.com/bid/33668/

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。