NRI Secure SANS NewsBites 日本版

Vol.5 No.48 2010年12月7日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.48 2010年12月7日発行
**********************************************************************
■■SANS NewsBites Vol.12 No.94
(原版:2010年11月30日)

◆イラン大統領 ウラン濃縮機器へサイバー妨害があったことを認める
(2010.11.29)
イランのMahmoud Ahmadinejad大統領は、ウラン濃縮に使用していた遠心分離
機が、「敵対者」によって「電子デバイスにインストールされたソフトウェア」
でその動作を阻害されたことを認めた。しかし、発生した問題は限定的だった
という。Ahmadinejadは、どのソフトウェアなのかについては具体的に言及しな
かったが、どうやらStuxnetが関与しているようだ。Ahmadinejadは、「専門家
によって問題の源は特定した」と加え、再発しないように措置をとる意向だと
述べた。
http://www.washingtonpost.com/wp-dyn/content/article/2010/11/29/AR2010112903468.html
http://www.wired.com/threatlevel/2010/11/stuxnet-sabotage-centrifuges/
http://www.bbc.co.uk/news/world-middle-east-11868596

【編集者メモ】(Skoudis)
ここ数週間で、ぽつぽつと流れてきたStuxnetに関する情報は、驚くべきもの
だ。まるで、5年先の未来からマルウェアがやってきて、現在の我々がそれを
調査できるようにしてくれたようなものだ。マルウェアは、徐々に広まる技術
であるため、Stuxnetは間もなく他のマルウェアに伝播していくだろう。非常に
心配なのは、Stuxnetのようなものが、どのように先進国の重要インフラに影響
を及ぼしていくのか、ということである。また、毎年Stuxnetのようなものが1
つ2つ出てくるとしたら、どうなってしまうのだろう。心配性の人間になるつも
りはないが、我々がそのような事態に対して準備できているとも思えない。
────────────────

◆ウィキリークスの文書公表、ホワイトハウスにデータ保護措置のレビューを
命令させる (2010.11.29)
ホワイトハウスの行政予算管理局(OMB)は、ウィキリークスによって国務省の
機密文書が多数公表されたことを受け、全ての米国政府局に対して機密情報保
護の手順書をレビューするように命令した。この命令で政府機関には機密シス
テムに対するアクセスを制限するために設置した対策の監査が義務付けられる
ほか、局長官らには、職員が業務に必要な情報にだけアクセスする対策の導入
が義務付けられる。この命令には、新しいセキュリティ対策の導入に関するレ
ビューの締め切りは示されていない。
http://www.govexec.com/dailyfed/1110/112910rb1.htm
http://www.computerworld.com/s/article/9198358/White_House_orders_security_review_in_wake_of_WikiLeaks_disclosure_?taxonomyId=17
http://www.informationweek.com/news/security/management/showArticle.jhtml?articleID=228400135
Memo: http://www.whitehouse.gov/sites/default/files/omb/memoranda/2011/m11-06.pdf

【編集者メモ】(Ranum)
優先順位付けの一環として、単に「知っておくべき」で済んだことが、「公表
すべき」と言われるようになったのはいつだったのだろう。まあ、機密情報を
大きなサーバに残しておいて、新米の情報アナリストにくじ引きで閲覧させて
いるようなずさんな状態であることに変わりないのだが。
────────────────

◆最高裁判所 Whitney Harperの全米レコード協会に関するケースを棄却
(2010.11.29)
米国最高裁判所は、全米レコード協会(RIAA)が、著作権のある楽曲37曲を違法
にダウンロードした疑いで高校生を訴えているケースを棄却した。現在はテキ
サス州の短大生であるWhitney Harperは、違法とは知らずに当時楽曲をダウン
ロードしていたと主張している。「無知な侵害者」という弁護の下、Harperは
彼女の損害への賠償額は1曲200ドル、もしくは総額7,400ドルにするように求
めている。最初の裁判を行った判事はそれに同意したが、その判決は、第5巡
回控訴裁判所で「CDカバーには、レコード会社からの著作権の通知があるため、
彼女の言う無知な侵害者という主張は許されない」と覆された。それに対して
Harperの弁護団は、彼女はインターネットから楽曲をダウンロードしており、
CDカバーは付いていなかっただけでなく、警告も実際にはなかったと反論した。
これに対して最高裁のSamuel Alito判事は、Harperの上告を再検討し、第5巡
回裁判所の「無知な侵害者」という見解がいかなるものかをより詳しく調べる
ように書いている。
http://www.csmonitor.com/USA/Justice/2010/1129/Supreme-Court-rejects-case-on-fines-for-illegal-Internet-music-downloads
http://www.cnn.com/2010/CRIME/11/29/scotus.music.downloads/
http://www.wired.com/threatlevel/2010/11/innocent/
━【セミナー案内】━━━━━━━━━━━━━━━━━━━━━━━━━

○「Webセキュリティ対策セミナー            【12/10東京】
~セキュリティ担当・Webサイト担当が知っておくべき処方箋~
http://www.nri-secure.co.jp/seminar/2010/1210.html

○「PCI DSS対策セミナー                【12/14東京】
~PCI DSS v2.0の概要解説及び対策のポイント~」
http://www.nri-secure.co.jp/seminar/2010/1214.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2010年11月26日 Vol.9 No.48)
<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            1
Mac Os                     1 (#1, #2)
Linux                      3
BSD                       1
Cross Platform                 26 (#3)
Web Application - Cross Site Scripting     1
Web Application - SQL Injection         1
Web Application                 2
Network Device                 4
======================================================================
1.危険度【高】:Apple製品にさまざまなセキュリティの脆弱性

<影響のある製品>
Apple Safari 4.1.3より前の4.x
Apple Safari 5.0.3より前の5.x
Apple iOS 4.2より前のバージョン

<詳細>
Appleは、iOSやApple Safari製品のさまざまな脆弱性にパッチをリリースした。
これらの脆弱性には、複数のバッファオーバーフローやメモリ破壊などがあり、
悪用されると、アタッカーは任意のコードを実行できるようになってしまう。
AppleのiOSは、iPhoneやiPod製品に使用されている。

現状:ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
Appleのセキュリティアップデート
http://support.apple.com/kb/HT4455
http://support.apple.com/kb/HT4456
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-10-257/
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/35352
http://www.securityfocus.com/bid/41174
http://www.securityfocus.com/bid/42048
http://www.securityfocus.com/bid/42285
http://www.securityfocus.com/bid/42621
http://www.securityfocus.com/bid/42624
http://www.securityfocus.com/bid/43047
http://www.securityfocus.com/bid/43049
http://www.securityfocus.com/bid/43078
http://www.securityfocus.com/bid/43079
http://www.securityfocus.com/bid/43081
http://www.securityfocus.com/bid/43083
http://www.securityfocus.com/bid/44200
http://www.securityfocus.com/bid/44204
http://www.securityfocus.com/bid/44206
http://www.securityfocus.com/bid/44643
http://www.securityfocus.com/bid/44647
http://www.securityfocus.com/bid/44779
http://www.securityfocus.com/bid/44784
http://www.securityfocus.com/bid/44950
http://www.securityfocus.com/bid/44952
http://www.securityfocus.com/bid/44953
http://www.securityfocus.com/bid/44954
http://www.securityfocus.com/bid/44955
http://www.securityfocus.com/bid/44956
http://www.securityfocus.com/bid/44957
http://www.securityfocus.com/bid/44958
http://www.securityfocus.com/bid/44959
http://www.securityfocus.com/bid/44960
http://www.securityfocus.com/bid/44961
http://www.securityfocus.com/bid/44962
http://www.securityfocus.com/bid/44963
http://www.securityfocus.com/bid/44964
http://www.securityfocus.com/bid/44965
http://www.securityfocus.com/bid/44967
http://www.securityfocus.com/bid/44969
http://www.securityfocus.com/bid/44970
http://www.securityfocus.com/bid/44971
http://www.securityfocus.com/bid/45006
http://www.securityfocus.com/bid/45007
http://www.securityfocus.com/bid/45008
http://www.securityfocus.com/bid/45010
http://www.securityfocus.com/bid/45011
http://www.securityfocus.com/bid/45012
────────────────

2.危険度【高】:Apple Mac OS XのApple Type Servicesの"CFF"フォントにリ
モートのコード実行の脆弱性

<影響のある製品>
Apple Mac OS X 10.5

<詳細>
Appleは、Mac OS Xのアップルタイプソリューションサーバ(ATSサーバ)コン
ポーネントに影響を及ぼすセキュリティの脆弱性にパッチをリリースした。
ATSサーバは、アプリケーションで使用されるフォントの管理を担っている。
悪意のあるファイルをWebサーバに提供するなどのさまざまな悪用手法を介し
て、攻撃者は、PDFファイルの解析を担うサインミスマッチの脆弱性を悪用で
きるようになってしまう。悪用が実現すると、任意のコード実行に発展する恐
れもある。

<現状>
ベンダーは、この問題を認識しており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
Appleのセキュリティアップデート
http://support.apple.com/kb/HT1222
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/44729
────────────────

3.危険度【高】:ProFTPDの"mod_sql"にリモートヒープベースのバッファオー
バーフローの脆弱性

<詳細>
モジュール式のオープンソースのFTPサーバ、ProFTPDには、ルートの許可でリ
モートのコード実行ができるようになってしまう事前認証の脆弱性がある。他
の脆弱性に対処するパッチがリリースされているため、この脆弱性を悪用して、
ルートのコード実行はできないようだ。しかしながら、sql_prepare_where()
で制限なくコピー操作が行われるという基本的な問題には、今のところパッチ
は適用されていないようだ。

<現状>
ベンダーは、この問題を認めているものの、更新をリリースしていない。

<参考>
ベンダーのサイト
http://www.proftpd.org/
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/44933

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。