NRI Secure SANS NewsBites 日本版

Vol.6 No.13 2011年3月29日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.13 2011年3月29日発行
**********************************************************************
東北地方太平洋沖地震で被災された皆さまに、心よりお見舞い申し上げます。
皆さまの安全と、一日も早い復興をお祈り申し上げます。

災害の影響を踏まえ、2週間メールマガジンの配信を休止いたしました。
この間のVol.6 No.11~12につきましては、下記URLにてご覧いただけます。
http://www.nri-secure.co.jp/security/news_letter/index.html

■■SANS NewsBites Vol.13 No.22-23
(原版:2011年3月18日、3月22日配信)

◆RSA 深部まで侵害される:「SecurID情報が盗まれた」 (2011.3.17-18)
RSAに対して「非常に高度なサイバー攻撃」が仕掛けられ、RSAのSecurID二要
素認証製品のセキュリティが侵害された。執拗かつ継続的に特定の組織を標的
としたAPT(Advanced Persistent Threat)」によって、RSAシステムからSecur
IDのトークンに関するデジタル情報が盗まれたという。同社は顧客に連絡をと
り、侵害発生の通知を行っている。また、「SecurID実装の強化」に関しての
アドバイスも提供していく意向だ。SecurIDトークンはこれまでに4,000万ほど
配付され、金融取引や政府機関において頻繁に使用されている。
http://news.cnet.com/8301-27080_3-20044455-245.html
http://www.wired.com/threatlevel/2011/03/rsa-hacked/
http://www.bbc.co.uk/news/technology-12784491
http://blogs.computerworld.com/17995/rsa_securid_hacked_2fa_fob_and_software_compromise
http://www.nytimes.com/2011/03/18/technology/18secure.html?src=busln
http://www.rsa.com/node.aspx?id=3872
顧客に対するRSAのレター:
http://www.rsa.com/node.aspx?id=3872

【編集者メモ1】(Paller)
APT攻撃では、3つの主要な感染方法が用いられる。そして、どの方法につい
ても、それに対応する「最も効果的な」防御方法がある。捜査関係者の情報に
よると、今回のRSAへの攻撃においては、この3つの中のどれとも共通ではない
方法がとられていたという。つまり、残念だがRSAのユーザーは、3つの防御方
法のどれを使っても、保護されていないことになるのだ。
【編集者メモ2】(Skoudis)
組織がますます二要素認証に依存するようになってきていることを踏まえると、
この記事は大変重要である。RSAのセキュリティプラクティスについては、たい
へん厳しい質問がいくつか問われることになるだろう。そして、そのような質
問の答えは、閉ざしたドアの向こうでしか答えられないような内容なのだ。
SecurIDトークンの実装やサーバ、もしくは関連スイート、その他のコンポーネ
ントに重大な弱点がある場合は、大きな転換が必要となる可能性がある。同様
に、すでに顧客に配付されているトークンの種を盗み出していたとしたら、ト
ークンをリコールするはめになるかもしれない。
────────────────

◆提案された法案 FISMAの事務処理業務をリアルタイムの監視業務に置き換
える (2011.3.17)
米国の下院議員James Langevin(ロードアイランド州民主党)が、事務処理に重
きがおかれている連邦情報セキュリティマネジメント法(FISMA)の法遵守要件
を、自動的かつ継続的な監視業務に置き換える法案を提案した。同法案は、行
政サイバースペース調整法案と称されており、この法案によりホワイトハウス
に米国サイバースペース執務室が設置されるほか、米国の重大なインフラを成
す民間のネットワークに対する国家安全保障省(DHS)の権限が拡大される。
http://www.govinfosecurity.com/articles.php?art_id=3437&opg=1
http://www.infosecurity-us.com/view/16703/house-bill-would-expand-dhs-authority-over-private-networks/
【編集者メモ】(Pescatore)
継続的な監視はよいことだ。しかし、それがよくありがちな「資金割り当ての
ない命令」にすぎないのなら最悪である。政府局にはセキュリティを向上する
ための調達資金や人員が与えられていないが、それこそが最優先事項であり、
「セキュリティの不足量の測定方法」を変更する前にやるべきことである。

【編集者メモ】(Paller)
政府局には、継続的な監視を遂行するために十分に資金が与えられている。定
期報告(3年ごとにファイルに書類を束ねるだけの報告)のために以前割り当て
られた資金は、年間3000万ドルだった。調達を共同で行うのであれば、継続的
な監視を導入し、その後1年、2年、3年とその効果を高めていくには十分な金
額だ。CISOが無駄な3年毎の報告業務を外注し続けるのを黙認し、資金の無駄
遣いを行ってきたのは、実はCIOであることがだんだん明白になってきている。
したがって、マスコミの前で、議会の取締などを通じて恥をかくのも彼らであ
る。
上院の分科委員会のCarper委員長のコメントはこちら:
http://hsgac.senate.gov/public/index.cfm?FuseAction=Hearings.Hearing&Hearing_id=8505fb0f-bf9b-4bb4-9e25-e71154391202
Vivek Kundraが、下院議会で「法遵守の文化」で生じた無駄な産物について話
す証言を見たいなら、こちらへ(連邦政府CIO会議のサイトに掲示されている):
http://www.cio.gov/pages.cfm/page/Vivek-Kundra-Testimony-Federal-Information-Security

【編集者メモ】(Pescatore)
この法案には、素晴らしいアイデア(安全な製品の生産を推進する目的で政府
の調達力を利用するなど)についての記述がある。しかし一方で、重要インフ
ラの制御や、その他複数の法案で10年来行われてきた民間産業との協力関係に
ついての曖昧な記述も、いつもどおりに見られる。そして、前者の記述と後者
の記述が、これまたいつもどおりに織り交ざっている。
────────────────

◆民間セクター サイバーセキュリティに対する取り組み改善必要
(2011.3.16)
米国戦略国際問題研究所(CSIS)のJames Lewisは、米国下院・国土安全保障委
員会に対し、「民間セクターは、米国のサイバー空間を防衛するために十分な
取り組みができていない」と述べた。同国の重大なインフラの85%は民間企業
が所有しているが、そういった企業はシステムを保護するために必要な投資を
行っていない。投資しても定量化できるような利益が出ないからだ。Lewisは、
2010年1月以降に発生したサイバーセキュリティ関連の主な事件をリストアッ
プして提示した。Lewisは「規制を行うのは不愉快なことだ」と認識している
ものの、「規制以外の方法をとればさらに悪化する場合がある。まさにサイバー
セキュリティの場合がそうだ」と述べている。
http://www.nextgov.com/nextgov/ng_20110316_8174.php?oref=topnews
http://www.govinfosecurity.com/articles.php?art_id=3440
http://www.msnbc.msn.com/id/42119311/ns/technology_and_science-security/
【編集者メモ1】(Schultz)
Lewisの言うとおりだ。米国の重大なインフラの安全性を確立するために現在
すでにある戦略は、いかなる戦略であれ明らかにうまく機能していない。誰し
も規制は好きではないが、この戦略か規制の2択なら規制の方がまだマシであ
るように見える。
【編集者メモ2】(Pescatore)
サイバーセキュリティに関して既存の規制に不足があるわけではない。しかし
ながら、FTC(公正取引委員会)を除き、規制力のある既存の政府局で、「セ
キュリティの改善を実際に推進するために既存の規制を使用した」という事例
があまりないのだ。もうそろそろ、「どうしたら、FTCという模範型が規制力
のある既存の他の政府局にコピーできるのだろうか?」という問いにピントを
合わせた行動がスタートしてもよい頃だろう。
────────────────

◆Google 「中国政府はGmailを妨害している」と主張 (2011.3.21)
Googleによると、中国当局が、同社のGmailサービスに何らかの妨害を行って
いるという。中国のGmailユーザーは、Webメールサービスの利用に不具合が生
じていると報告している。Googleは「サービス利用に生じた不具合をGoogle社
のシステムの問題であるかのようにみせかけるよう行われているようだが、同
社が徹底的にチェックを行った結果、何の問題もみつからなかった」と述べて
いる。
http://www.eweek.com/c/a/Messaging-and-Collaboration/Google-China-Blocking-Gmail-to-Counter-Jasmine-Revolution-577863/
http://www.informationweek.com/news/internet/google/showArticle.jhtml?articleID=229301361&cid=RSSfeed_IWK_All

【編集者メモ】(Schultz)
横行中の悪意のある活動という点で、中国に対して何らかの行動をとるには
ICANNの方が、現在それを行っている組織よりもよい行動がとれるのではない
かと思われる。
────────────────

◆フランスの監督機関 ストリートビューのデータ収集でGoogleに罰金を科す
(2011.3.21)
フランスの、情報処理と自由に関する全国委員会(CNIL)は、Googleが保護さ
れていないWi-Fiネットワークから個人情報をうっかり収集していたとし、同
社に10万ユーロ(14万2000ドル)の罰金を科した。(Googleは、ストリート
ビューの地図機能のための情報を収集中に、問題のデータを収集した。)CNIL
は、Googleによる問題の活動を「不公正な情報収集」とみなし、同社は収集し
た情報で経済的恩恵を得ていたと主張している。
http://www.scmagazineuk.com/google-fined-100000-by-french-regulator-over-street-view-data-collection/article/198791/
http://www.computerworld.com/s/article/9214864/French_panel_fines_Google_142K_for_Street_View_collection_of_Wi_Fi_data?taxonomyId=17
http://www.bbc.co.uk/news/technology-12809076

【編集者メモ】(Schultz)
しかし、14万2000ドルという罰金は、今回の個人情報収集の問題の大きさから
するとかなり安い。
────────────────

◆PHPサーバの侵害 コードの完全性についての懸念を提起 (2011.3.21)
開発者らによると、PHPのWiki開発者ーサーバ(wiki.php.net)に攻撃者が侵入
し、複数のアカウントのアクセス情報を盗み出したという。他のサーバには、
攻撃によるアクセスを行われた形跡はないようだが、開発者らは、盗み出され
た情報を使えば、攻撃者はPHPのリポジトリにアクセスできるようになってし
まうので、PHPのソースコードが侵害されかねないとの懸念をあらわにしてい
る。詳細にわたるコードの監査を行ったが、変わっているところは見つからな
かった。侵害されたマシンは一掃され、SVNのアカウントすべてが新しいパス
ワードの取得を余儀なくされた。
http://www.h-online.com/security/news/item/PHP-developer-wiki-server-hacked-1211874.html
http://www.scmagazineuk.com/the-php-group-confirms-that-its-wikiphpnet-box-was-hacked-over-the-weekend/article/198786/
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年3月18日 Vol.10 No.12)

<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Other Microsoft Products            1 (#2)
Third Party Windows Apps            1
Linux                      3
Cross Platform                 14 (#1,#3)
Web Application - Cross Site Scripting     5
Web Application                 2
Network Device                 1
======================================================================
1.危険度【高】:Adobe Flash Playerにさまざまな脆弱性

<影響のある製品>
Adobe Flash Player 10.2.152.33 までのバージョン
Adobe Acrobat X 10.0.1 までのバージョン
Adobe Acrobat 9.4.2 までのバージョン
Adobe Reader X 10.0.1 までのバージョン
Adobe Reader 9.4.2 までのバージョン


<詳細>
Adobe Flash Playerには、メモリ崩壊の脆弱性がある。この脆弱性は、Reader
やAcrobatによって読みとられるPDF文書に組み込まれているフラッシュコンテ
ンツなど、不正形式のフラッシュコンテンツを正しく解析できないために生じ
る。この脆弱性に対する攻撃がちまたで横行しているが、攻撃にはExcel文書
に組み込まれた悪意のあるSWF(Small Web Format:旧Shockwave Flash)が伴う。
これに対し、Microsoft Security Research & Defenseは、特定の攻撃による
悪用のリスク緩和のための情報を提供した。攻撃者は、ターゲットに悪意のあ
るファイルを閲覧させれば、この脆弱性を悪用してターゲットのマシンに任意
のコードを実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めているが、更新はリリースされていない。

<参考>
ベンダーのサイト
http://www.adobe.com
APSA11-01のパッチのスケジュールについての背景
http://blogs.adobe.com/asset/2011/03/background-on-apsa11-01-patch-schedule.html
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/advisories/apsa11-01.html
Microsoft Security Research & Defenseの掲示
http://blogs.technet.com/b/srd/archive/2011/03/17/blocking-exploit-attempts-of-the-recent-flash-0-day.aspx
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/46860/
────────────────

2.危険度【高】:Microsoft Internet Explorerにさまざまな脆弱性 (Pwn2Own)
<影響を受ける製品>
Microsoft Internet Explorer 8

<詳細>
Microsoft Internet Explorerには、さまざまな詳細不明の脆弱性がある。こ
れらの脆弱性を悪用するエクスプロイトが今年のPwn20wnコンテストで実証さ
れたが、このエクスプロイトによって、攻撃者は、ターゲットのマシンに任意
のコードを実行できるようになってしまう。このエクスプロイトが、これらの
脆弱性のうち2つとも利用すれば、確実にコード実行を行うことができる。3つ
目の脆弱性は、Windows Vistaや、Windows 7のInternet Explorer 8のセキュ
リティレイヤーにおいて、保護モードを回避する際に用いられる。保護モード
では、アプリケーションがファイルやその他のシステムリソースを読み取とっ
たり改変したりする機能が制限されるようになっている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースされていない。

<参考>
ベンダーのサイト
http://www.microsoft.com
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/46821
────────────────

3.危険度【高】:Google Chromeにメモリ崩壊の脆弱性

<影響のある製品>
Google Chrome 10.0.648.133より前のバージョン

<詳細>
Googleは、ChromeのWebブラウザの脆弱性のためのパッチをリリースした。
Chromeのスタイル処理には、詳細不明のメモリ崩壊の脆弱性がある。Googleは、
この脆弱性の危険度を「高」とし、その特性とともに、コードの実行に用いら
れるおそれがあると説明している。攻撃者は、悪意のあるサイトを閲覧するよ
うにターゲットを仕向ければ、この脆弱性を悪用できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.google.com
Google Chrome StableおよびBeta Channelのアップデート
http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates.html
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/46849
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。