NRI Secure SANS NewsBites 日本版

Vol.5 No.1 2010年1月13日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.1 2010年1月13日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
2010年、雇用者が求める一番ホットなセキュリティスキルは以下のようなもの。

1. レッドチーム/侵入テスト(システム/ネットワークおよびアプリケーショ
ン)
2. フォレンジクス
3. セキュリティエッセンシャルズ
4. リバースエンジニアリング/マルウェア解析
5. ネットワークおよびシステム監査(ハンズオンテスト)
6. 侵入探知
7. セキュリティマネジメント/リーダーシップ
8. 仮想化セキュリティ

加えて、セキュリティ専門家への効果的なプレゼンテーションスキル。
驚くべきことではないが、これらの各項目について、世界最高と評価されるコー
ス:New Orleans (1月)、東京(2月)、Orlando (3月)、San Diego (5月)をご
用意している。www.sans.orgをご覧いただきたい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.100, Vol.12 No.1
   (原版:2009年12月29日、2010年1月5日配信)

◆2003年のセキュリティ強化に対する偽りのテロ対策技術(2009.12.24 & 28)

自称ソフトウェアプログラマーのDennis Montgomeryは、Al Jazeera放送の秘
密のメッセージを解読できるソフトウェアを開発したとCIAを説得し、2003年
後半、国家セキュリティレベルの強化を担当し、国際線を地上待機させ、メト
ロポリタン美術館を疎開させたりした。Montgomeryは自分の技術とそれによっ
て得られる情報は確かであるとCIA 科学技術ディレクターと職員を説得した。
その情報は政府首脳に送られた。Montgomeryは政府内の誰ともアルゴリズムを
共有しておらず、政府内の誰もその情報がどのように入手されたのか知らなかっ
たことが、後に明らかになった。報道によると、Montgomeryは「報酬」および、
(無人偵察機から監視ビデオを分析し、人々が所有する兵器を特定できると主
張した)「自動ターゲット認識」技術に対し、入札なしで3,000万ドルの契約
をした。Montgomeryとともに働いていた男は、そのソフトウェアの約40回のデ
モンストレーションを偽装する手伝いをしていたと述べている。
http://www.wired.com/threatlevel/2009/12/montgomery-2
http://www.theregister.co.uk/2009/12/24/cia_montgomery/
【編集者メモ1】(Schultz)
情けない話だが、この種のことは前例がないわけではない。「スターウォーズ」
作戦の間、米国の国家研究機関は、同様の大胆な行為をうまくやっていた。
「プライムタイム」でない技術こそ、米国の国防問題に対する究極のソリュー
ションであるという信念を吹き込んでいた。

【編集者メモ2】(Ranum)
従業員のほとんどを、技術的スキルを持つアウトソース社員にすると、このよ
うな事態を見ても、明らかに機能していないと言える人がいないため、詐欺師
のいい「カモ」になる。しかも、政府調達システムは、特にこの種のことを防
ぐために設けられている。「入札なし」というトリックを使って回避されたと
は恥だ。

【編集者メモ3】(Northcutt)
CIAについては何も知らないが、一度、Spy Museumを訪れたことはある。突い
たり、薄く切ったり、みじん切りにしたりする物が十分にあり、私だったら
CIAに詐欺を働くのを躊躇してしまうだろう。しかし、これでデモウェアの購
入には注意する重要性が強化される。製品を購入する場合、試験システムを入
手して、自分の環境で少なくとも30日間作動させるべきだ。決して、あまり経
験のないシステムから得た情報を上層部に送るべきではない。
────────────────

◆ニュージャージー州の法案 未承諾テキストメッセージに対する刑を強化
  (2009.12.28)
ニュージャージー州の上院議員Joseph Vitale とSean Keanは、要求されない
テキストメッセージを送る人々や組織に重い罰金を課す法案の発起人となって
いる。彼らが特に懸念しているのは、高齢者や障害者に送られるメッセージと
テキストメッセージの月々の費用分配を超えて、プロバイダーから追加費用を
請求されるような場合である。未承諾広告とは、事前に受信者の同意なしに送
られ、サービスまたは品物を賃貸または購入するよう勧める広告と定義されて
いる。初犯には1万ドル以下の罰金が課せられ、再犯者は2万ドル以下の罰金が
課せられる。違反者が、受信者が高齢者や障害者であると知っていた場合には、
罰金の最高額は3万ドルに増える。
http://www.msnbc.msn.com/id/34611083/ns/technology_and_science-tech_and_gadgets/
────────────────

◆GSMアルゴリズム 破られる(2009.12.28)
暗号の専門家が、ドイツのベルリンの会議でプレゼンを行い、携帯電話通話の
プライバシー保護に使用されているGSMアルゴリズムを破ったと述べている。
Karsten Nohl は、そのアルゴリズムのセキュリティが不十分であることを証
明するプロジェクトを請け負った。GMSを開発した業界グループは、Nohlの活
動は違法であると述べた。問題の暗号化技術によって、携帯電話と基地局は、
80チャンネルにわたり無線周波数を素早く変化させている。そのアルゴリズム
は、世界の携帯電話通話の約80%の暗号化に使用されている。
http://www.nytimes.com/2009/12/29/technology/29hack.html?_r=1&ref=technology
http://www.theregister.co.uk/2009/12/28/gsm_eavesdropping_breakthrough/
http://news.cnet.com/8301-1009_3-10422340-83.html?part=rss&;subj=news&tag=2547-1_3-0-20

【編集者メモ】(Hoelzer) 強力な暗号アルゴリズムを策定するのは相当難しい。
歴史は、「秘密ソース」のアルゴリズムを使い続けると必ず失敗することを物
語っている。A5/1は秘かに始められたが、重要な脆弱性が発見されている。残
念だが、業界の惰性的・現実逃避的戦略のため、何か新しいものを導入して著
しい進歩を遂げるには、たぶん何年かかかるであろう。

【編集者メモ】(Northcutt)
この話で、DVDの暗号化を思い起こす人がいるのではないだろうか? それと
もWEP? もちろん人々は常に損害賠償を起こし、すべてが明らかになるまで
は少なくとも数ヶ月はかかる。しかし、これらの業界グループに責任を負わせ
る必要がある。問題は「Nohlの行為は違法であったか」「我々は暗号アルゴリ
ズムをテストし、攻撃するべきか」ではなく、GSM Associationは、人々が損
害を被り始めた場合、集団訴訟に対して、高額な小切手を切る用意をする必要
があるどうかである。しばらくの間、私は自分の携帯電話をラジオのように扱
うだろう。
────────────────

◆ABA オンラインバンキング専用パソコンの使用を推奨 (2010.1.1 & 4)
米国銀行員協会(ABA)は、中小企業に向け、拡大する不正な ACH (Automated
Clearing House)トランザクションの問題に対する自衛策について指針を発表
した。特に注目すべきは、「企業がオンラインバンキング取引を行う際には、
電子メールやWebサイトの閲覧には使用していない専用のパソコンを使用する」
という勧告である。
http://content.usatoday.com/communities/technologylive/post/2010/01/online-banking-precaution-for-small-and-mid-sized-businesses-draws-attention-/1?loc=interstitialskip
http://www.upi.com/Top_News/US/2010/01/01/Businesses-warned-about-online-banking/UPI-81761262329630/
【編集者メモ1】(Schultz)
ABAのアドバイスは妥当だ。加害者がパソコンを所有したら、ゲームは終わり
だ。他の多機能パソコンは多数のリスクにさらされるが、それらのリスクにさ
らされない専用のパソコンを準備することは大変賢明だ。通常、この種のユー
ザーの場合、機能ごとに別のマシンを持つことは現実的ではないが、仮想化に
より(ちなみに仮想化は全くセキュリティの解決策にはならない)、少なくと
もさまざまなバーチャルマシンを持ち、機能ごとに使い分けることは可能だ。

【編集者メモ2】(Northcutt)
適度に装備されたノートパソコンは500~600ドルで入手可能で、オンライント
ランザクションには十分である。しかし、オンラインバンキングへのボックス
を制限し、ロックダウンされたコンピューターを使用する方がよいだろう。こ
れもまた、さまざまなエンドポイントのホワイトリストベンダーが、特別な目
的に合わせたバージョンのツールを発明する良い機会となるかもしれない。と
ころで、誰かMS Windows SteadyStateを使用している人がいたら、うまく作動
しているかどうか、教えていただけないだろうか?
http://www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx]
【ゲストメモ】(Tim Rosenberg)
たぶんABAは、オンラインバンキング専用のパソコンにFaronics' Deep Freeze
の搭載を推奨することもできたであろう。そのシステムを起動すると、読み込
み専用モードになるが、エンドユーザーには見えない。これにより、もし誰か
がうっかりオンラインバンキング以外の目的でシステムを使用した場合でも、
マルウェアのインストールは防止できるであろう。慈善事業のためのハッカー
は、サイバーカフェのシステムコンフィギュレーションとウガンダのトレーニ
ングセンターのシステムを保護するためにこのソフトウェアを使用している。
http://www.faronics.com/html/deepfreeze.asp
http://www.hackersforcharity.org/
────────────────

◆ニュージーランド法施行/保安機関 監視権限を強化 (2010.1.3)
ニュージーランドの警察および情報保安サービス機関は、市民のオンラインア
クティビティを監視する権限を拡大した。すべての携帯電話通話とテキスト、
電子メール、インターネットアクティビティ、チャット、ソーシャルネットワー
キングは、今や国中のいかなる場所でも監視できる。警察官が情報を収集する
には令状を入手しなければならないが、電話、電子メールおよびインターネッ
トアクティビティについては、1つの令状でよい。変更が必要とされた理由は、
犯罪者は新しい技術を使用して通信しているためである。ある情報源によると、
この権限の強化は国内の必要性からではなく、米国が世界中の監視能力を標準
化しようとする圧力から実施されたことを示唆している。
http://www.stuff.co.nz/national/3203448/NZs-cyber-spies-win-new-powers
────────────────

◆フランス 著作権侵害防止法施行(2010.1.1)
フランスの新しいインターネット著作権侵害防止法が1月1日施行された。著作
権法に違反して音楽をダウンロードするインターネットユーザーは、先ず電子
メールでの警告を受ける。法律違反を続けると、書面で警告を受ける。その両
方の警告を受けた後、違法なファイル共有を続けると、裁判官の前に出廷する
よう要求される。裁判官には、個人に罰金を課す、または個人のインターネッ
トアクセスを中断する権限がある。
http://news.bbc.co.uk/2/hi/europe/8436745.stm

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
           ■SANS ウェブキャストシリーズ■
           2010年1月27日(水)19:30~20:30

           マルウェア発見のために最新手法
         - Advanced Methods for Finding Malware -

    スピーカー:Eric Cole(SANS Technology Institute フェロー)
            http://www.sans.org/info/51629
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
  (原版:2009年12月24日 Vol.8 No.52、2010年1月1日 Vol.9 No.01)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティ Windows アプリ          3 (#1)
Linux                      3 (#2, #3)
Aix                       2
Unix                       1
Cross Platform                 40(#4)
Web Application - Cross Site Scripting      32
Web Application - SQL Injection         27
Web Application                 45
Network Device                  3
======================================================================
1. 危険度【高】:NullSoft Winampに複数の脆弱性

<影響を受ける製品>
NullSoft Winamp 5.56 およびそれ以前

<詳細>
NullSoft Winamp(Microsoft Windowsの一般的なメディアプレイヤー)に複数
の脆弱性が報告された。最初の問題は、細工されたImpulse Trackerファイル
のinstrumentの定義を解析する際のModule Decoder Plug-in "IN_MOD.DLL"の
複数のバッファオーバーフローの脆弱性である。2番目の問題は、サンプルを
解析する際のModule Decoder Plug-in "IN_MOD.DLL"でのバッファオーバーフ
ローのエラーで、細工されたImpulse Trackerによって悪用される可能性があ
る。3番目の問題は、Ultratrackerファイルを解析する際のModule Decoder
Plug-in "IN_MOD.DLL"でのバウンダリエラーである。4番目の脆弱性は、
Oktalyzer ファイルを解析する際に、Module Decoder Plug-in "IN_MOD.DLL"
のインテジャーオーバーフローのエラーにより引き起こされる。5番目の問題
は、不正な形式のPNGまたはJPGデータを含む細工されたメディアファイルを解
析する際、複数のインテジャーオーバーフローのエラーにより引き起こされる。
悪用が実現すると、攻撃者は、影響を受けたアプリケーションを利用して、任
意のコードを実行できるようになる。これらの脆弱性に関するいくつかの技術
的詳細が公開されている。

<詳細>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Secunia Research Security Advisories
http://secunia.com/secunia_research/2009-52/
http://secunia.com/secunia_research/2009-53/
http://secunia.com/secunia_research/2009-56/
http://secunia.com/secunia_research/2009-57/
Vupen Security Advisory
http://www.vupen.com/english/advisories/2009/3576
製品ホームページ
http://www.winamp.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/37374
http://www.securityfocus.com/bid/37387
────────────────

2. 危険度【高】:Cisco WebEx WRF Player に複数の脆弱性

<影響を受ける製品>
Cisco WebEx 27.00
Cisco WebEx 26.00

<詳細>
Cisco WebExは、WebEx会議サービス(マルチメディア会議ソリューション)の
管理に使用される。WebEx記録形式".wrf"は、オフラインで記録されるWebEx会
議記録の保存に使用される。Cisco WebEx WRF playerは、この".wrf" ファイ
ルの再生に使用される。複数のバッファオーバーフローの脆弱性が、Cisco
WebEx WRF playerに特定された。欠陥は、WRF playerが、".wrf"ファイルを処
理する方法にあり、細工された".wrf"ファイルを使って、これらの脆弱性が悪
用される可能性がある。悪用が実現すると、攻撃者は、影響を受けたアプリケー
ションを利用して、任意のコードを実行できるようになる。WRF playerは、マ
ニュアルでも自動でもインストールできる。これらの脆弱性に関する技術的詳
細は公開されていない。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Cisco Security Advisory
http://www.cisco.com/warp/public/707/cisco-sa-20091216-webex.shtml
製品ホームページ
http://www.webex.com/
SecurityFocus BID
http://www.securityfocus.com/bid/37352
────────────────

3. 危険度【高】:HP OpenView Storage Data Protectorに複数の脆弱性

<影響を受ける製品>
HP OpenView Storage Data Protector 6.0
HP OpenView Storage Data Protector 5.5
HP OpenView Storage Data Protector 5.1

<詳細>
HP OpenView Storage Data Protectorは、ディスクまたはテープからのバック
アップおよび復元を自動化するソリューションで、それにより継続性を保つ。
2つのバッファオーバーフローの脆弱性が、HP OpenView Storage Data
Protectorに特定された。最初の問題は、TCPポート5555をリッスンする
"MSG_PROTOCOL"のコマンドを処理する際のバックアップクライアントサービス
デーモン"OmniInets.exeのバウンダリエラーである。2番目の問題は、Cell
Manager Database Service "rds.exe" (TCPポート1530に結合)のバウンダリエ
ラーである。悪用が実現すると、攻撃者は任意のコードを実行できるようにな
る。これらの脆弱性についての技術的詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
HP Support document-Security Bulletin
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01124817
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-09-099
TippingPoint DVLabs Security Advisory
http://dvlabs.tippingpoint.com/advisory/TPTI-09-15
HP Data Protector Software
http://h71028.www7.hp.com/enterprise/w1/en/software/information-management-data-protector.html
ベンダーホームページ
http://www.hp.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/37386
http://www.securityfocus.com/bid/37396
────────────────

4. 危険度【高】:BigAnt Instant Messenger Serverにバッファオーバーフ
ローの脆弱性

<影響を受ける製品>
HUATU SOFTWARE BigAnt IM Server 2.52

<詳細>
BigAntは、エンタープライズインスタントメッセージングシステムであり、
BigAnt Instant Messenger (IM) Serverは、サーバーコンポーネントである。
バッファオーバーフローの脆弱性が、BigAnt IM serverに特定され、細工され
たTCP ポート6660への"USV"リクエストにより、引き起こされる可能性がある。
具体的な欠陥は、非常に長い"USV"の受信リクエストに、適切なバウンドチェッ
クを行わないために生じる"AntServer.exe"モジュールのバッファオーバーフ
ローのエラーである。悪用が実現すると、攻撃者は影響を受けたアプリケーショ
ンを利用して、任意のコードを実行できるようになる。脆弱性に関する全ての
技術的詳細は、概念実証(POC)とともに公開されている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースされていない。

<参考>
製品ホームページ
http://www.bigantsoft.com/
SecurityFocus BID
http://www.securityfocus.com/bid/37520

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。