NRI Secure SANS NewsBites 日本版

Vol.5 No.29 2010年7月27日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.29 2010年7月27日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
無駄なことをやめさせて連邦政府のシステムを大幅に侵害しにくいものにしよ
うと努めてきた政府のセキュリティ業務従事者2人が、改革が必要だと認めた
くない者によるアタックに立ち向かっている。このような個人的なアタックの
痛みを緩和するのに役立つ考え方が4つある。この考え方は、Kent M. Keithが
1968年に作成した若きリーダーのための冊子の中に掲載されている。マザーテ
レサもこの考え方を適用し、彼女の郷里のカルカッタにおいて、より一層精神
的な論調で子供たちにそれを示している。NewsBitesの読者の皆様方とも、こ
の考え方を共有させていただきたい。この考え方が私にとって有益だったよう
に、何か物事を変えたいときにあなたの役に立つことを願って……。

*あなたが何か良いことをしようとすると、人は、あなたの中のどこかに自己
中心的な動機が潜んでいないかどうかを疑うものだ。それでも、良いことを
しなさい。
*あなたが成功すれば、偽りの友人と真の敵を獲得することになるだろう。そ
れでも、成功しなさい。
*大きな考えを抱いている大きな人間は、小さな考えしかない小さな人間に打
ちのめされることだろう。それでも、物事は大きく考えなさい。
*あなたが持っている最良のものを世界に与えたとしても、きっとひどい目に
あうことだろう。それでも、あなたが持っている最良のものを世界に与えな
さい。

SANS FLASH ALERT:
SiemensのSCADAシステムがターゲットになっている。パッチが適用されていな
いWindowsの重大な脆弱性が、すでにSCADAや汎用のWindowsサイトの他のター
ゲットの攻撃に利用されている。

WindowsのZero-dayの大きな脆弱性を使用するアタッカーは、特にヨーロッパ
諸国のSiemensのHMIやHistorianシステムをターゲットにしている。そのほか
の多くのサイトも、まもなくターゲットになるだろう。Symantecは、世界中で
この欠陥を使った侵害未遂を1日に9,000件受けているという。問題は、インター
ネットストームセンターがInfoconレベルを黄色(今年初)に上げるほど大き
なものとなった。対応策を含めた詳細を知りたい方はこちら:
https://isc.sans.edu/diary.html?storyid=9190
http://www.microsoft.com/technet/security/advisory/2286198.mspx

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SANS Tokyo 2010 トレーニングイベント 申込み受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
■2010年11月15日(月)~20日(土)■
!!世界中で最も受講されている2コースを実施!!

【SEC401】Security Essentials Bootcamp Style
【SEC504】Hacker Techniques, Exploits and Incident Handling
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.56-57
(原版:2010年7月16日、7月20日配信)

◆サイバースペースポリシーレビューに関する経過報告 (2010.7.13-15)
ホワイトハウスは、サイバースペースポリシーレビューのリリース後14カ月間
に実施された改善行動について、その経過報告書を発表した。達成事項の中に
は、行政予算管理局(OMB)が連邦情報セキュリティ管理法(FISMA)への遵守につ
いて新しいガイダンスを打ち出したこと、サイバーセキュリティコーディネー
ターの任命、サイバーセキュリティ理事会の設立などがあった。

http://www.computerworld.com/s/article/9179149/White_House_cybersecurity_chief_calls_meeting_to_discuss_President_s_agenda?taxonomyId=17
http://www.whitehouse.gov/administration/eop/nsc/cybersecurity/progressreports/july2010
────────────────

◆上院議員ら データセキュリティ2010年法を提案 (2010.7.14)
米国のTom Carper上院議員(デラウェア州民主党)とBob Bennet上院議員(ユタ
州共和党)は、データ保護と侵害通知を統治する現在の州法よりも優先される
データ保護法案を再提案した。同法案は当初、2007年に提出されたが可決には
至らなかった。しかし、今回のデータセキュリティ2010年法では、官民の団体
に対し、保持する個人情報を保護すること、およびそれらの情報のセキュリティ
が侵害された際には影響のある人にその旨を通知することを義務付けている。
このほか、データプライバシーおよび侵害通知に関する法案が2つ(2009年1月
に提出されたデータ侵害通知法案と2009年7月に提出されたプライバシーおよ
びセキュリティ法)あるが、これらは、上院司法委員会で承認され、後は上院
議会の投票を待つ段階に来ているという。
http://www.nextgov.com/nextgov/ng_20100714_6555.php?oref=topnews
────────────────

◆Siemensの産業コントロールシステム 新しいウィルスのターゲットに:ユー
ザーらはパスワードを変えないように通達される (2010.7.19)
Siemensは、製造企業や公共事業に使用されている、大規模な産業コントロー
ルシステム管理コンピュータが、非常に高度な新しいウィルスのターゲットに
なっていると、顧客らに警告を発している。あるワーム(Microsoftの
Zero-dayを使用している。次のストーリーを参照)によって、犯罪者らはデフォ
ルトのパスワードを使用してSiemensの産業オートメーションシステムに侵入
できるようになるが、Siemensは顧客に対し、パスワードをそのままにしてお
くように告げているという。
http://www.computerworld.com/s/article/9179298/New_virus_targets_industrial_secrets
http://www.businessweek.com/idg/2010-07-19/after-worm-siemens-says-don-t-change-passwords.html
────────────────

◆Microsoft ショートカットの欠陥を認める (2010.7.19)
Microsoftは、ショートカットの処理のためのコードに脆弱性があることを認
めた。この欠陥によって、Windowsの全てのバージョンが影響を受ける。同欠
陥は、USBドライブを開くことによって悪用されるほか、WebDAVやネットワー
クの共有を通じてリモートでも悪用されるようだ。この脆弱性には今のところ、
パッチは発行されていない。先週、この欠陥が狭義で標的とされるアタックで
悪用された。7月18日に、この欠陥のエクスプロイトコードが公表されたほか、
このエクスプロイトを支援するMetasploitのモジュールもできたようだ。
インターネットストームセンターからの最新情報:
https://isc.sans.edu/diary.html?storyid=9190
http://www.computerworld.com/s/article/9179358/Experts_predict_extensive_attacks_of_Windows_zero_day?taxonomyId=17
http://www.theregister.co.uk/2010/07/16/windows_shortcut_trojan/
http://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/
http://www.scmagazineuk.com/warnings-of-a-new-microsoft-windows-flaw-as-it-investigates-targeted-attacks-in-the-shell-component/article/174838/
http://www.microsoft.com/technet/security/advisory/2286198.mspx

【編集者メモ1】(Pescatore)
ショートカットのアイコンを無効にするのは見苦しい回避策だ。この大きな抜
け穴つきの回避策には、その穴を悪用できてしまう方法がいくつかあるのだが、
たぶんパッチが出回って適用されるようになるまでは、その策を使うのも手だ
ろう。
【編集者メモ2】(Northcutt)
集中的なアタックを予測している人はきっと正しいのだろう。この欠陥は
MicrosoftのOSのほとんどに影響を及ぼしてしまう。修正プログラムがリリー
スされることを願いたい。MicrosoftのアドバイザリとISCの記事(前述のリン
ク)を読んで、スタッフと回避策を検討してほしい。
【編集者メモ3】(Honan)
この欠陥の影響を最小限にとどめるためには、Windowsのオートラン機能を無
効にするのも1つの方法だ。Windows 7についてはこちら:
http://blogs.technet.com/b/srd/archive/2009/04/28/autorun-changes-in-windows-7.aspx
Windowsのその他のバージョンについてはこちら:
http://support.microsoft.com/kb/967715
────────────────

◆15か国 国連にサイバー武装コントロールの原案提出 (2010.7.17-19)
15か国がサイバー武装コントロールについての提案を国連に提出した。この提
案では、推奨策として「インターネットにおける行動の国際基準の作成」、
「各国のサイバーセキュリティ法についての情報の共有」、「発展途上国にお
けるコンピュータ防御の支援・強化」などがあげられている。このような推奨
策のリストの作成に携わっているのは、米国、ロシア、中国、ベラルーシ、ブ
ラジル、英国、エストニア、フランス、ドイツ、インド、イスラエル、カター
ル、南アフリカ、韓国の15か国である。10年以上前、ロシアは、軍事目的でサ
イバースペースを使用することを禁じる条約を提案したが、米国はそれに合意
しなかった。
http://www1.voanews.com/english/news/science-technology/15-Countries-Outline-Principles-on-Cyber-Security-98661289.html
http://homelandsecuritynewswire.com/first-15-nations-agree-start-working-together-cyber-arms-control

【編集者メモ】(Schultz)
論理的に言えば、このニュースであげられている国がサイバー武装コントロー
ル条約の条項に合意したら、それはそれでよいことなのだろう。しかし、条約
に携わった国がこれらの条項にいくら従おうとしたとしても、国内のサイバー
犯罪者らの活動を大幅に抑制できるとは到底思えない。
────────────────

◆サイバーアタックの要因特定技術にプライバシー上の懸念 (2010.7.15)
米国下院議会の科学技術委員会の技術革新分科委員会にて、サイバーアタック
の要因についての公聴会が開かれた。公聴会の証言で、サイバーセキュリティ
とプライバシーの専門家らは、サイバーアタックの背後に潜む人間を特定しよ
うとする取組みは、プライバシーの権利を侵害する可能性が高いと述べた。新
しい技術を、制圧的な政府が敵とみなす人間の特定に乱用するのではないかと
いう懸念の声もある。電子プライバシー情報センターのMarc Rotenbergセンター
長によると、懸案のインターネットの識別子を指定する技術は、米国では合法
ではない可能性があるという。
http://www.govinfosecurity.com/articles.php?art_id=2758
http://science.house.gov/press/PRArticle.aspx?NewsID=2882

【編集者メモ】(Pescatore)
これらの提案の多くは、「リアルスペースにおける全ての人は、警察が犯罪者
を特定できるように、道を歩くときは本名を書いたTシャツを着なくてはなら
ない」と言っているのと同様である。リアルスペースでは、ほとんどの商取引
は匿名で行われており、店舗も現金以外の取引については認証の強化を求めら
れるようになっている。つまり、インターネットでもすでに、それが当たり前
になっているのだ。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年7月15日 Vol.9 No.29)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Other Microsoft Products            3 (#1,#2)
Third Party Windows Apps            8
Linux                      6
BSD                       1
Cross Platform                 25
Web Application - Cross Site Scripting     29
Web Application - SQL Injection        20
Web Application                21
Network Device                 1
======================================================================
1.危険度【高】:Microsoft Access ActiveX Controlにさまざまなリモートコー
ド実行の脆弱性

<影響のある製品>
Microsoft Access 2007 0
Microsoft Access 2007 SP1
Microsoft Access 2007 SP2
Microsoft Access 2003 SP3
Microsoft Access 2003 SP2
Microsoft Access 2003

<詳細>
Microsoft Accessの特定のバージョンに2つの脆弱性がある。ユーザーを悪意
のあるサイトに訪問するように仕向ければ、アタッカーは、これらの脆弱性を
悪用して、現在ログインしているユーザーの権限で任意のコードを実行できる
ようになってしまう。1つ目の脆弱性は、3つのActiveXコントロールに関係し
ている。特定の順番でこれら3つのコントロールを全てロードするとメモリ崩
壊が発生し、これを利用したコード実行に発展するおそれもある。2つ目の脆
弱性は、あるActiveXコントロールでイニシャライズされていない変数を使用
することが関連している。

<現状>
ベンダーはこの問題を認めており、更新もリリースしている。

<参考>
ベンダーのホームページ
http://www.microsoft.com
Microsoftのセキュリティ報告MS10-044
http://www.microsoft.com/technet/security/Bulletin/MS10-044
Zero DayイニシアチブのアドバイザリZDI-10-117
http://www.zerodayinitiative.com/advisories/ZDI-10-117
SecurityFocus BID
http://www.securityfocus.com/bid/41442
http://www.securityfocus.com/bid/41444
────────────────

2.危険度【高】:Microsoft OutlookでMAPIが添付されているTNEFストリームに
リモートのコード実行の脆弱性

<影響のある製品>
Microsoft Outlook 2007 SP2 0
Microsoft Outlook 2007 SP1 0
Microsoft Outlook 2007 0
Microsoft Outlook 2003 SP3
Microsoft Outlook 2003 SP2
Microsoft Outlook 2003 0
Microsoft Outlook 2002 SP3
Microsoft Outlook 2002 SP2
Microsoft Outlook 2002 SP1
Microsoft Outlook 2002 0

<詳細>
Microsoft Outlookには、リモートのコード実行の脆弱性がある。ユーザーが
悪意のある添付ファイルをダブルクリックするように仕向ければ、アタッカー
は、この脆弱性を悪用してターゲットのマシンに任意のコードを実行できるよ
うになってしまう。通常、Microsoft Outlookは添付ファイルをセキュリティ
上の脅威と見なすため、ユーザーには適切な警告が表示されるようになってい
る。リファレンスだけによって添付された添付ファイルを引き渡す時にエラー
が生じるが、この脅威は回避できる。アタッカーは、添付されたリファレンス
のコマンドラインの引数を指定しなかったとしても、ローカルの実行ファイル
を使用するアタックを制限すれば、リモートのファイルが参照される可能性も
ある。そのファイルは、セキュリティ上の脅威として扱われることはないとい
う。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.winamp.com
Winampのバージョン履歴
http://www.winamp.com/help/Version_History#Winamp_5.58
SecurityFocus BID
http://www.securityfocus.com/bid/41591

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。