NRI Secure SANS NewsBites 日本版

Vol.5 No.8 2010年3月2日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.8 2010年3月2日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
セキュリティアーキテクチャに関するサミットが開催される。Cisco、NSA、
SANSは、システムやアプリケーション、そして何よりも開発組織のDNAに確実
にセキュリティが組み込まれるよう努力している人々を一堂に会する機会を設
ける。すでに素晴らしいスケジュールが決まっている
http://www.sans.org/security-architecture-summit-2010
さらに、プラスとなる他の素晴らしいプロセスやツールを探している。何か提
案があれば、その内容と効果をまとめていただきたい。件名にSecurity
Architecture Summitと記入の上、apaller@sans.orgまでメールしていただき
たい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS ローカルメンタープログラム 申込み受付中!
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    2010年5月11日からの全10回コース(毎週火・木曜 18:30~20:30)
!!業務後の時間を有効に利用して、高度なセキュリティスキルを習得!!

◆コース:SEC504 Hacker Techniques, Exploits & Incident Handling
  講師:Tyson Kopczynski
  会場:NRIセキュアテクノロジーズ 汐留オフィス

         ↓↓↓詳細&お申込みはこちら↓↓↓
       http://www.sans.org/mentor/details.php?nid=21594
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.14-15
   (原版:2010年2月19日、2月23日配信)

◆EPIC Google Buzzにプライバシーに関する変更を申請、連邦取引委員会に
  提訴(2010.2.17)

電子プライバシー情報センター(EPIC)は、Googleが新しく導入したソーシャル
ネットワーキングサービスBuzzについて連邦取引委員会(FTC)に提訴した。告
訴は、GoogleがGmail使用者の個人情報をBuzzの公開情報にしようと試みたこ
とに対し起こされた。Googleは「ユーザーのプライバシー規定に違反し、それ
を損ない、Google社のプライバシーポリシーに矛盾し、連邦通信傍受法にも違
反した可能性がある。EPICは、GoogleがBuzzを完全なオプトインサービスにし、
Gmailユーザーの連絡先リストを使用してBuzzの連絡先リストを作成するのを
やめ、Buzzユーザーが自分の情報をよりコントロールできるようになることを
望んでいる。
http://news.cnet.com/8301-30685_3-20000076-264.html?part=rss&subj=news&tag=2547-1_3-0-20
http://epic.org/privacy/ftc/googlebuzz/GoogleBuzz_Complaint.pdf

【編集者メモ】(Shultz)
「感じたことは現実だ(Perception is reality)」という古い諺は大いなる
真理だ。インターネットのWebサイトほど一般市民の認識に影響を及ぼす情報
源はない。
────────────────

◆サイバー攻撃シミュレーションで政策の弱点が浮き彫りに(2010.2.16 &17)
前米国連邦政府当局者らが閣僚の役割を演じたサイバー攻撃シミュレーション
により、広範囲に及ぶ攻撃を受けた際の、政府対応指針の欠如が明らかになっ
た。その攻撃で、NCAA(全米大学体育協会)March Madnessバスケットボール
対戦申込み画面に隠されたマルウェアが携帯電話に送りつけられた。マルウェ
アはユーザーのキーストロークを記録し、メッセージを傍受した。感染したデ
バイスはボットネット攻撃にも使用された。シミュレーション攻撃は、停電を
引き起こし、何百万人もの人々が携帯電話サービスを利用できなくなり、ウォー
ル街は1週間閉鎖された。そのシミュレーションは、Cyber Shockwaveと称され、
スポンサーはBipartisan Policy Centerである。
http://www.nextgov.com/nextgov/ng_20100216_5378.php?oref=topnews
http://www.washingtonpost.com/wp-dyn/content/article/2010/02/16/AR2010021605762_pf.html

【編集者メモ】(Ranum)
ボットネット攻撃で、容易に停電したり、数百万の人々の携帯電話サービスが
停止され、ウォール街が1週間閉されてしまうことには懐疑的だ(後者を主張す
る人は、ニューヨーク証券取引所がどのように機能しているのか理解してい
ないようだ)。デタラメだ。シミュレーションは信頼性がなければならない。
さもなければ、ただの宣伝活動だ。

【編集者メモ】(Paller)
シミュレーション参加者もRanumと同じことを言っている。そのシナリオは、
現在または将来の攻撃パターンを理解しない人々が作ったようだ。
────────────────

◆トップ25プログラミングエラーリストを公開、コードのセキュリティはアプ
  リケーションベンダーの責任(2010.2.16 & 17)
2010 CWE(Common Weakness Enumeration)/SANS 上位25の最も危険なプログラ
ミングエラーリストは、クロスサイトスクリプティング(XSS)、SQLインジェク
ション、およびバッファオーバーフローの脆弱性が近年のほとんどすべての主
要なサイバー攻撃の原因であるとしている。リストの背後にある組織は、SANS
InstituteとMitre Corp.,で、調達文書に使用する「製品のセキュリティの責
任はソフト開発組織にある」という文書の草案も公開している。
http://www.sans.org/top25-programming-errors/
http://www.computerworld.com/s/article/9157218/Hold_vendors_liable_for_buggy_software_group_says
http://www.csoonline.com/article/544163/Security_Experts_Developers_Responsible_for_Programming_Problems
http://www.theregister.co.uk/2010/02/17/top_25_programming_errors/
http://www.darkreading.com/vulnerability_management/security/app-security/showArticle.jhtml?articleID=222900574
http://www.h-online.com/security/news/item/Top-25-Programming-Errors-list-updated-933535.html

【編集者メモ】(Schultz)
コードのバグによる損害賠償をめぐる裁判で、今までソフトウェアベンダーは
ほとんど責任を問われなかったことは驚くべきことだ。この前例はバグに感染
したコードをベンダー側の責任にした唯一最大の例だと思う。
────────────────

◆FBI 学区のリモートWebカメラの使用を調査(2010.2.18,19 & 21)
FBIは、ペンシルバニア州ArdmoreのLower Merion学区は学校が配布した
MacBookノートパソコンにビルトインカメラを使用し、自宅での生徒の様子を
盗み見ていたという申し立てを調査している。学区の高校生の両親、Michael
とHolly Robbinsは、連邦判事にWebカメラの作動を禁止するよう要求した。ま
た、生徒がカメラを使用していた証拠をパソコンから消去してしまうことを懸
念し、生徒からコンピュータを回収しないことも求めた。学区は紛失したコン
ピュータを探すためWebカメラを使用し、Robbins夫妻が告訴した2日後にその
機能を無効にしたと主張した。訴訟によると、「Robbinsの息子」は、学校が
支給したノートパソコンを家で使用していた(そのパソコンは紛失、または盗
用されたとの報告はなかった)とき、本人または両親の許可なく、被告人によっ
て彼の写真が取られた。Robbinsによる訴訟は集団訴訟の形をとろうとしてい
る。
http://www.computerworld.com/s/article/9159778/Irate_parents_in_Pa._say_schools_use_peeping_tom_technology_?taxonomyId=17
http://www.cnn.com/2010/CRIME/02/19/laptop.suit/index.html
http://www.informationweek.com/news/services/data/showArticle.jhtml?articleID=223000163
────────────────

◆過去最大のフィンランドの情報侵害 数千人のペイメントカード情報流失
  (2010.2.19)
フィンランド警察は、10万枚以上のペイメントカード情報が流出した情報セキュ
リティ侵害を調査している。侵害されたカードは少数にとどまったが、不正な
取引に使用されていた。データは匿名のヘルシンキの会社から盗まれおり、攻
撃者は2010年1月、組織のシステムへ数回アクセスしていた。これはフィンラ
ンドで報道された、最も大きいペイメントカード窃盗事件である。
http://www.yle.fi/uutiset/news/2010/02/hackers_get_data_on_10s_of_thousands_of_payment_cards_1464115.html
────────────────

◆米軍 USBドライブの制限的使用を許可(2010.2.18 & 19)
USBドライブの使用が禁止されてから1年以上になるが、米軍は「ごく限られた
状況およびガイドラインの下に、リムーバブルデバイスの制限的使用に戻る」
ことを許可すると述べている。禁止令は2008年後半、感染したドライブから軍
のネットワークに感染が拡大した後、施行されていた。新しいガイドラインで
は、安全なUSBドライブと他のリムーバブルストレージメディアが「オペレー
ション上のミッション要求の最終手段」である場合のみ使用を許可するとした。
デバイスの使用を希望する軍隊は、定められた許可を得て、適切に在庫管理さ
れ、政府が調達し所有するデバイスのみを使用しなければならない。個人的に
所有されるデバイスは禁止されている。許可されるデバイスはパスワードで保
護し、それらに保存されるすべてのデータは暗号化する。情報がコピーまたは
転送されるのを防ぎ、特定の情報がドライブに共に保存されるのを防ぐ特性を
備えることもできる。
http://www.defensenews.com/story.php?i=4505089&c=AME&s=TOP
http://www.nextgov.com/nextgov/ng_20100219_2666.php?oref=topstory
http://darkreading.com/insiderthreat/security/storage/showArticle.jhtml?articleID=223000373&subSection=Storage+security

【編集者メモ】(Pescatore)
安全なUSBデバイスを提供するのは良い考えだ。明らかに、安全で輸送可能な
ストレージが必要なミッションがある。マルウェアの拡大を可能にする原因と
なっているセキュリティの欠陥も修正するとさらによい。USBドライブをパス
ワードで保護し、暗号化しても、簡単にマルウェアが含まれる可能性はある。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年2月19日 Vol.9 No.8)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            2
Linux                      3
Cross Platform                 15 (#1, #2, #3)
Web Application - Cross Site Scripting     5
Web Application - SQL Injection        10
Web Application                 8
Network Device                 3
======================================================================
1.危険度【高】:Adobe ReaderおよびAcrobatに複数の脆弱性(APSB10-07)
<影響を受ける製品>
Windows、MacintoshおよびUNIX向けAdobe Reader 9.3およびそれ以前のバージョン
WindowsおよびMacintosh向けAdobe Acrobat 9.3およびそれ以前のバージョン

<詳細>
Adobe Acrobatは、Portable Document Format(PDF)を作成、管理、閲覧するた
めのプログラムであり、Adobe ReaderはPDFの閲覧、印刷のみを意図されてい
る。Adobe readerおよびAcrobatには2つの脆弱性が報告されている。最初の問
題はクロスドメインの脆弱性で、Adobe ReaderおよびAcrobatを含む複数の
Adobe製品に実際に影響する。欠陥により、攻撃者はドメインsandbox制限を外
し、詳細不明のベクターによりクロスドメインリクエストを送ることができる
ようになる。2番目の欠陥は特定されていないエラーにより引き起こされ、攻
撃者は悪用することによりDoSの状態にするか、リモートで任意のコードを実
行するようにできる。これらの脆弱性に関する技術的詳細は公開されていない。

<現状>ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Adobe Security Advisory (APSB10-07)
http://www.adobe.com/support/security/bulletins/apsb10-07.html
<ベンダーホームページ>
http://www.adobe.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/38195
http://www.securityfocus.com/bid/38198
────────────────

2. 危険度【高】:Google Chromeに複数の脆弱性

<影響を受ける製品>
Google Chrome 4.0.249.89以前のバージョン

<詳細>
Google Chrome(Googleが開発したWebブラウザ)はすべてのWebブラウザの中
で5.22%の使用率を占める4番目に人気のあるブラウザである。複数の脆弱性
がGoogle Chromeに特定されており、それらは情報の開示、リモートでのコー
ド実行、データ漏洩およびフィッシング攻撃につながる可能性がある。最初の
問題は、DNSおよびプロキシリストがインタプリトされる際に引き起こされ、
極秘データの開示につながる可能性がある。2番目の問題は、v8 engineにおけ
るインテジャーオーバーフローにより引き起こされる。3番目の問題は、
""タグが処理される際のエラーによって引き起こされる。4番目の問題
は、"iframe"タグにおける"href"が処理される際のエラーであり、これは出力
先の漏洩につながる可能性がある。5番目の問題は、あるドメインのHTTP認証
ダイアログボックスを他のドメインの信用状で不正に埋めてしまうことによる
password managerのエラーであり、これはフィッシングの問題に繋がる可能性
がある。最後の問題はsandboxメッセージが直列化される際のインテジャーオー
バーフローのエラーであり、これはリモートでのコード実行につながる可能性
がある。全ての技術的詳細がソースコード分析を通じて公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<詳細>
Google Chrome Security Release
http://googlechromereleases.blogspot.com/2010/02/stable-channel-update.html
Google Chromeに関するWikipedia記事
http://en.wikipedia.org/wiki/Google_Chrome
製品ホームページ
http://www.google.com/chrome
SecurityFocus BID
http://www.securityfocus.com/bid/38177
────────────────

3.危険度【高】:OpenOffice.orgに複数の脆弱性

<影響を受ける製品>
OpenOffice.org 3.x

<詳細>
OpenOffice.orgは、一般的なオープンソースのオフィススィートである。それ
はほとんどのUnix、Unix-like、およびLinuxオペレーティングシステムにデフォ
ルトで含まれていて、Microsoft WindowsおよびMac OS Xにも使用可能である。
さまざまなドキュメントを処理する際に複数の脆弱性がある。最初の問題は、
サードパーティのライブラリ(libxml2)を使用するために引き起こされ、
CVE-2006-4339によると脆弱であることが知られていて、署名を不適切に認証
する可能性がある。
2番目の問題はサードパーティライブラリ(libxmlsec)の使用により引き起こさ
れ、XML署名HMAC切断認証バイパス問題になる傾向がある。3番目の欠陥は
CVE-2009-2493によるとMSVCRuntimeのエラーであり、OpenOffice.org.ととも
に出荷される。4番目の問題はOpenOffice.orgがマルフォームのXPMファイルを
処理する際のエラーにより引き起こされ、他のファイルフォーマットに埋め込
まれる可能性がある。5番目の問題は悪意のあるGIFファイルを不適切に処理す
ることにより発生し、他のドキュメントに埋め込まれる可能性がある。6番目
の問題はOpenOffice.orgがマルフォームのWordドキュメントを処理する際のエ
ラーにより引き起こされる。これらの脆弱性に関する詳細はソースコード分析
により入手可能である

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
OpenOffice.org Security Bulletins
http://www.openoffice.org/security/cves/CVE-2006-4339.html
http://www.openoffice.org/security/cves/CVE-2009-0217.html
http://www.openoffice.org/security/cves/CVE-2009-2493.html
http://www.openoffice.org/security/cves/CVE-2009-2949.html
http://www.openoffice.org/security/cves/CVE-2009-2950.html
http://www.openoffice.org/security/cves/CVE-2009-3301-3302.html
ベンダーホームページ
http://www.openoffice.org/
SecurityFocus BID
http://www.securityfocus.com/bid/38218

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。