NRI Secure SANS NewsBites 日本版

Vol.4 No.9 2009年3月3日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.9 2009年3月3日発行
**********************************************************************

■はじめに
【サイバー関連の裁判が行われ、その責任が問われる時代がに到来!】
Heartland事件において、同社はこれ以上の訴訟提起を防ぐため、2,000万ドル
の補償金を支払ったほか、原告側弁護士に、サイバー領域には訴訟ターゲット
になりやすい要素がふんだんにあると言い訳した、というニュースのほか、
RBSに対する2件の裁判のニュースを今号トップに掲載している。他の訴訟分野
が低迷しているため、セキュリティ関連の訴訟の増加がより目立つのだろう。
セキュリティは決して完璧にはなりえないことを踏まえると、必要なのは、当
然払うべき注意について、政府局や企業、裁判所が「ここまでセキュリティに
投資していれば十分だ」と判断できるような最低限の基準であろう。先日、米
国戦略・国際問題研究所(CSIS)や主要政府局から発表があった内容は、最低
限の基準を設ける重要な一歩になろう。法的な問題が解決されるわけではない
が、連邦政府のサイバーセキュリティのプラクティスが改革され、即座にその
影響が国防産業や銀行、企業に及ぶことは間違いない。

【インターネットストームセンターからセキュリティコミュニティに朗報】
5-10分の「ストームキャスト(Stormcast)」という形で、毎日情報セキュリ
ティ関連の出来事の概要をお知らせすることになった。
isc.sans.org/podcast.htmlかiTunesで"Stormcast"を検索してほしい。
ストームキャストはそれぞれ、グリニッジ標準時で午前0時から3時まで配信さ
れている。通勤時にチェックするのにもってこいだ。

【Consensus Audit Guidelines:セキュリティ監査ガイドライン公表】
CAG(Consensus Audit Guidelines:セキュリティ監査ガイドライン)によっ
て、連邦政府や国防関連産業のサイバーセキュリティが革新されれば、セキュ
リティ製品調達、バンキングシステムや重要インフラのセキュリティにも革命
が起きよう。重要なデータを扱う業務に従事している方は、CAGの内容と照ら
し合わせて、現在のコントロールがどうなっているかテストしていただきたい
(ポリシーの有無をチェックするのではなく、CAGにある有効性の尺度を使用
して、コントロールのクオリティをテストしていただきたい)。そして、コン
サルタントに関しては、今後、FISMA(Federal Information Security
Management Act:連邦情報セキュリティ管理法)の報告業務やISO監査からCAG
の導入・テストに沿ったサービスの提供にシフトできた企業に、大規模な発注
機会が訪れることになろう。
                Alan Paller(SANS Director of Research)

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          ● 3月開催のセキュリティ講座案内 ●
  !!セキュアプログラミングスキルを習得するための2コースを開催!!
        【GSSP試験にも対応】  今すぐお申込みを!

 ■情報セキュリティ技術基礎      3月11日(水)
   http://www.nri-secure.co.jp/seminar/2009/application.html

 ■セキュアプログラミング演習(Java) 3月12日(木)-13日(金)
   http://www.nri-secure.co.jp/seminar/2009/programming.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.14-15
   (原版:2008年2月21日、25日配信)

◆RBSに2件目の集団訴訟(2009.2.18)

RBS WorldPay社のコンピュータシステムにサイバー犯罪者が侵入して情報を盗
み出し、その情報を利用して900万ドル相当をATMより不正に引き出した。この
事件に関連して、フィラデルフィアの法律事務所がRBSに対して集団訴訟を起
こした。損害賠償として2億ドル求められている。RBSは、顧客の口座から不正
な引き出しが行われた場合は、顧客にその金額分の負債は課されないと述べて
いる。これはRBS2件目の集団訴訟となる。1月に起こされた訴訟では、2007年
に株式を発行した際に投資家に誤った情報を提供したことが問題となっていた。
http://news.scotsman.com/scotland/US-arm-of-RBS-faces.4989997.jp
【編集者メモ1】(Ranum)
インターネットセキュリティの裁判:これはまさに新たなアスベスト問題であ
る。
【編集者メモ2】(Northcutt)
RBSは被害者に対し、1年間のクレジット監視サービスを提供することにしたよ
うだ。しかしながら、原告団からは6-7年のサービス提供が求められている。
────────────────

◆USAF インターネットセキュリティの手ぬるい基地を取り締まる(2009.2.18)

米国空軍は、ネットワークセキュリティのポリシーが厳格に守られていない基
地のインターネットアクセスを停止する見込みだという。軍ではすでに、イン
ターネットアクセスに制限が設けられている(例えば、URLにblogという言葉
が入っているものにはアクセスできない)。国防総省においても、軍は
YouTubeやMySpace、その他のソーシャルネットワーキングサイトへアクセスで
きないようになっている。
http://blog.wired.com/defense/2009/02/air-force-cuts.html

【編集者メモ1】(Pescatore)
ポリシーがミッション内容とかみ合っているなら、違反者に懲罰を与えること
はよいことだ。しかし、ミッションでは「この仕事を遂行するにはこれをする
必要がある」となっているのに、セキュリティポリシーで「それをしてはなら
ない」となっている場合には問題が生じる。この場合、問題はポリシーそのも
のか、業務運営が安全に行われるようにするセキュリティコントロールの欠如
にあると言える。
【編集者メモ2】(Schultz)
私は、情報セキュリティ問題の認識向上を目的としたブログに力を注いでいる
http://blog.emagined.com/)。
したがって、米空軍が「blog」という言葉が入っているURLをブロックしてい
るというのは、誠に残念である。ブログにアクセスすることが、そのままイン
ターネットセキュリティの不足に結びつくと考えるのは、あまりに浅はかであ
る。
【編集者メモ3】(Northcutt)
ブログに対するブロックはここ1年ほど行われている。これに関して思うこと
が2つ。1つ目は、少しセキュリティ劇場じみているということ。軍においては、
Wired Magazineのブログがブロックされている以前に、ソースドキュメントは
課金式のサイトにあるのでそれを読むことすらできないようになっている。と
はいえ、一連の行動を実行に移した空軍を褒め称えたい気持ちもある。現在
ISC2のCEOであるHord Tiptonから、内務省のCIO時代に同省でインターネット
が禁止になったという話を聞いた。それによると、禁止されたことで注意は喚
起できたようだ。となると、おそらくどこかの空軍基地でも同じようなことが
行われるのではないかと踏んでいる。
また、最近頻繁に思うことは、パワフルなコンピュータとインターネットへの
アクセス権を、あまりにも多くの従業員に与えすぎていないかということであ
る。マクロな施策を導入する前に、ミクロなクライアント技術の導入を考えは
じめる時期に来ていると思う。
【編集者メモ4】(Weatherford)
厳しい措置だと考える人もいれば、ばかげていると考える人もいるだろう。し
かし、ここでは軍隊の機密のネットワークが問題になっているということを念
頭に入れていただきたい。繰り返し侵害され、大量の「機密」情報にアクセス
され、盗み出されたと発表されたネットワークのことである。このネットワー
クが、軍の調達や供給チェーンを運営しているだけでなく、空軍兵や海兵隊員
ら全員の個人情報、戦闘支援など軍の機能に関する情報もここにあるのだ。
────────────────

◆サイバー関連のインシデントの報告件数が増加(2009.2.17)

米国国土安全保障省(DHS)のUS-CERTに報告された連邦政府におけるサイバー
セキュリティのインシデント件数が、2006年から3倍にふくれあがった。2006
年度は5,144件、2007年度は12,986件、2008年度は18,050件、2008年度は
18,050件報告されている。FISMAにより、政府局にはサイバーセキュリティの
インシデントを報告する義務がある。報告対象のインシデントには、未承認ア
クセス、DoS、悪意のあるコード、不正使用やスキャン、不正調査、未承認ア
クセス未遂などがある。ここ数年で大幅に件数が増加したのは、マルウェアの
増加、およびインシデント検知能力の飛躍的な向上によるものと考えられてい
る。
http://fcw.com/Articles/2009/02/17/CERT-cyber-incidents.aspx
http://www.usatoday.com/news/washington/2009-02-16-cyber-attacks_N.htm

【編集者メモ1】(Pescatore)
インシデントを監視し、US-CERTに報告をあげる政府局の数は増えているが、
インシデント件数の増加に追いつけてはいない。
【編集者メモ2】(Schultz)
ここで報告されているインシデント件数は、あまりにも少なすぎて信憑性がな
い。したがって、インシデント報告件数の増加は興味深い事象ではあるけれど、
これまたあまり信憑性がない。
【編集者メモ3】(Skoudis)
報告件数が増加したからといって、実際にインシデントが増加しているという
確たる証拠にはならない。しかし、直面している問題を政府が理解するうえで
は役に立つ。報告がきちんと行われるようになってデータが増えれば、政府局
に仕掛けられるアタック手法に対する防御についても、一層注目が集められる
ようになろう。
【編集者メモ4】(Ranum)
アタックやインシデントが発生しても報告されなかったり、アタックとインシ
デントの定義についての論議があったため、アタックとインシデントの頻度に
ついて的確に実態をつかむのは非常に難しいと過去にも証明されている。この
ようなニュースは興味深いが、特に重要視すべきものではない。「未承認アク
セス未遂」というカテゴリーにはあまりにも多くの事例が入ってしまう。これ
は、より多くの予算割り当てを狙う態勢作りではないかと私は考えている。
────────────────

◆米国のコンソーシアム セキュリティ監査ガイドラインをリリース
  (2009.2.23)

政府や産業界のセキュリティエキスパートによるコンソーシアムが、セキュリ
ティ監査ガイドライン(CAG)をリリースした。CAGは、政府や民間産業団体が
サイバーアタックを防御し、その影響を緩和するために導入しなければならな
い20のコントロールをリストアップしたもの。各コントロールについて、阻止
・緩和できるアタック、導入方法、自動化する方法、効果的に導入されている
か確認する方法などが記載されている。CAGコンソーシアムには、実際のアタッ
クがどのように実行されるのかを知る組織(米国家安全保障局のRedチームと
Blueチーム、US-CERT、DC3、エネルギー省原子力研究所など)も参加している。
CAGは2009年3月23日まで一般からの意見を募集している。全ガイドラインは以
下のリンクで閲覧可。
http://www.sans.org/cag/http://www.theregister.co.uk/2009/02/23/cybersecurity_gold_standard/
http://news.cnet.com/8301-1009_3-10169583-83.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://fcw.com/Articles/2009/02/23/cyber-controls.aspx
http://federaltimes.com/index.php?S=3957648
http://www.informationweek.com/news/security/government/showArticle.jhtml?articleID=214502467&subSection=News

【編集者メモ】(Northcutt)
お忙しいこととは思うが、ぜひ少し時間を割いてCAGをご覧いただきたい。コ
ントロールの左側にイニシャルがあるのがわかるだろう。QWは、Quick Winと
いう意味。Quick Winをざっと見て、設置できるものがあるかどうかチェック
することをまずお勧めしたい。これは素晴らしい成果だ。リーダーらが利用し
はじめるのを見たいものだ。
────────────────

◆ネバダ州法 RFID研究の犯罪化を回避するために改正される見込み
  (2009.2.20)

ネバダ州議会で現在議論されているのは、無線ICタグ(RFID:Radio Frequency
Identification)によるセキュリティの脅威に関する研究者を犯罪者とみなす
可能性のある法案だ。しかし、この法案の提案者は、合法的な研究者に影響が
及ばないように、改正案を提案しようとしている。現在の提案内容では、
「RFIDを介して他人の個人情報を獲得したり、読み取ったりする」行為を重罪
としている。ネバダ州は、RFIDの弱点の検証が行われるような著名なカンファ
レンスを2つ(DefconとBlack Hat)主催している。
http://www.theregister.co.uk/2009/02/20/nevada_rfid_skimming_bill/
http://news.cnet.com/8301-1009_3-10168749-83.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.leg.state.nv.us/75th2009/Bills/SB/SB125.pdf
────────────────

◆インターネットの用途に関するデータの保持を2年間義務付ける法案
  (2009.2.29)

米議会において、インターネットの用途に関するログを広範囲で取得すること
を義務付ける法案が提案された。警察の捜査を支援する目的である。ISPとワ
イヤレスのアクセスポイント運営者らは、ユーザーの活動履歴を最低2年間保
持するよう義務付けられることになる。成立すれば、大規模なISPだけでなく、
零細企業、図書館、学校、政府局、DHCPを使用しているワイヤレスのアクセス
ポイントや有線ルータのある個人宅でさえも同法の対象となる。
http://www.cnn.com/2009/TECH/02/20/internet.records.bill/index.html?eref=rss_tech

【編集者メモ1】(Northcutt)
これは、ディスクドライブ製造企業に経済効果をもたらすばかりのアイデアだ。
何とも問題だらけの馬鹿げた案である。それだけ大量の情報をいかにして収集
すればいいのか?その収集情報をどのように保護すればよいのか?乱用された
らどうするつもりか?
【編集者メモ2】(Ranum)
あほらしい。平たく言えば、米国にあるすべてのインターネット・アクセスポ
イントにおける用途のパターンのログ取得を義務付けようとしているわけだ。
ホームユーザーやサイバーカフェ、空港のワイヤレスターミナル、ホテルなど
に対し、資金提供すらなしに膨大な義務を課すことになる。同法の趣旨におい
て悪者とされる輩(児童ポルノ関連業者やテロリストなど)なら、自身の活動
を隠すことくらい朝飯前であるというのに。
【編集者メモ3】(Ullrich)
今週は、インターネットストームセンターの読者のコメントに、この問題に関
するものが多かった。その中から、Jerry Roseのコメントを紹介しよう。「こ
れは、ポリシーと手順の違いのようなものだ。法は、ポリシーのようなもので
なければならない。時代の変遷に耐えうるような(技術の進化から独立した普
遍的な)形で記述されていなければならない。一方、手順というのは状況の変
化に従って頻繁に更新されるものだ。被告を起訴する方法もその一例である」
────────────────

◆また決済処理企業でセキュリティ侵害(2009.2.23)

金融機関のWebサイトのアドバイザリによると、とあるカード決済処理企業で
サイバーセキュリティ侵害が発生したという。このインシデントは、
Heartland Payment Systemの侵害とは別ものだ。これを受け、タスカルーサ連
邦クレジット組合(Tuscaloosa Federal Credit Union)は、「悪意のあるソ
フトウェアが処理機のプラットフォームに設置されていたようだが、ハッカー
による口座情報の閲覧や盗取の形跡はない」と発表している。VisaやMasterは、
この侵害によって影響を受ける銀行に通知を始めているようだ。
http://www.securityfocus.com/brief/913
http://www.databreaches.net/?p=1686
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9128429&source=rss_topic17
http://www.alabamacu.com/moreServices/idTheft.html
http://www.tvacu.com/tvacu/News.asp?111
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年2月21日 Vol.8 No.8)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          3
Mac Os                     7(#1)
Linux                      3
BSD                       1(#2)
クロスプラットフォーム             14
Webアプリ- クロスサイトスクリプティング     5
Webアプリ- SQLインジェクション         15
Webアプリ                   18
ネットワークデバイス              1
======================================================================

Apple Macに、リモートで悪用可能な脆弱性が複数報告された。
────────────────

1.危険度【重大】:Apple Mac OS Xにさまざまな脆弱性(Security Update
  2009-001)

<影響のある製品>
Apple Mac OS X 10.5.6までのバージョン
Apple Mac OS X 10.4.11までのバージョン

<詳細>
Apple Mac OS Xのコンポーネントのいくつかには、さまざまな脆弱性がある。
ユーザーとネットワークのリクエスト、いくつかのファイル、文書、メディア
形式が正しく処理されないために、メモリ崩壊やバッファオーバーフローが引
き起こされ、脆弱なプロセス権限でリモートでコードが実行される可能性があ
る。ほか、その他の論理上の欠陥によって任意の情報開示やDoS、ファイル上
書き、nullポインタの逆参照、権限昇格などの欠陥につながる可能性がある。
これらの脆弱性の中には、サードパーティのアプリケーションとコンポーネン
トにある欠陥が原因のものもある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3438
SecurityFocus BID
http://www.securityfocus.com/bid/33821
http://www.securityfocus.com/bid/33816
http://www.securityfocus.com/bid/33815
http://www.securityfocus.com/bid/33814
http://www.securityfocus.com/bid/33812
http://www.securityfocus.com/bid/33809
http://www.securityfocus.com/bid/33808
http://www.securityfocus.com/bid/33800
────────────────

2.危険度【高】:FreeBSD telnetdにリモートのコード実行の脆弱性

<影響のある製品>
FreeBSD 7.x

<詳細>
FreeBSD telnet daemon、telnetdには、リモートでコードを実行される脆弱性
がある。ユーザーに提供されたインプットが十分にサニタイズされないので、
有害な環境変数が設定されるおそれがある。これは、FreeBSDの環境処理コー
ドが最近変更されたために起こったと考えられている。この脆弱性が悪用され
ると、脆弱なtelnet daemonサービスを運用しているユーザー権限で任意のコー
ドを実行される可能性がある。telnetdはデフォルト無効になっている。この
脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
FreeBSDのセキュリティアドバイザリ
http://security.freebsd.org/advisories/FreeBSD-SA-09:05.telnetd.asc
FreeBSDのホームページ
http://www.freebsd.org/
SecurityFocus BID
http://www.securityfocus.com/bid/33777

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。