NRI Secure SANS NewsBites 日本版

Vol.6 No.14 2011年4月5日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.14 2011年4月5日発行
**********************************************************************
■■SANS NewsBites Vol.14 No.24-25
(原版:2011年3月25日、3月29日)

◆SSLのセキュリティ 侵害される (2011.3.23)
攻撃者は、SSL証明書機関のパートナーであるComodoを侵害し、自分用に不正
のSSL証明書を発行した。この証明書はサイトの信頼性を保証するものだが、
それさえあれば、窃盗犯らは、Google、Microsoft、Skypeなど真正性の高い
Webサイトに行きついたと訪問者を信じ込ませられるサイトを設置することも
できた。Comodoは、盗み出しされた証明書をすでに廃棄している。
Internet Storm Center: http://isc.sans.edu/diary.html?storyid=10603
http://isc.sans.edu/diary.html?storyid=10600
http://www.eweek.com/c/a/Security/Fake-SSL-Certificate-Incident-Highlights-Flaws-in-DNS-Comodo-CEO-440985/
http://news.cnet.com/8301-31921_3-20046588-281.html

【編集者メモ1】(Pescatore)
SSL証明書業界は、これまで長い間、証明書の登録プロセスについて外部の厳
しい再調査を受けられるように投資すべき状態にあった。今回の事件や以前に
起きた他の事件で証明されきたように…。
【編集者メモ2】(Ullrich)
SSLは信頼によって成り立っている。しかし、証明機関は、価格競争に身を置
いているうちに、管理しているSSLのインフラの安全性を十分に確保するため
のリソースを結集する力を失ってしまった。二要素認証ではなくたった1つの
パスワードでシステムが侵害されてしまったとはなんと嘆かわしいことだ。
FacebookやGoogle、Microsoft、および、Twitterなどの大規模なサイトが、
やっとサイト中にSSLをオプションとして実装するようになったこの時期に、
このような事件が発生してしまった。
────────────────

◆RSA SecurIDの侵害の影響に対応 (2011.3.23)
先日、RSAは、セキュリティ侵害が発生し、SecurIDの特定の情報が侵害された
と発表した。国土安全保障省(DHS)の広報によると、この事件を受けてDHSは、
RSAのSecurID・二要素認証技術にアクセス可能なネットワークの安全性を確立
するためにRSAと共同で取り組みを行っているという。RSAは、多数の連邦政府
局と契約を結んでいた。RSAは政府局など顧客自身の情報保護を図るために、
同社がとる措置の詳細を公表した。
Internet Storm Center: http://isc.sans.edu/diary.html?storyid=10564
http://www.washingtonpost.com/world/us_agencies_respond_to_cyberattack_on_information_security_firm/2011/03/23/ABDhjoKB_story.html?wprss=rss_homepage

【編集者メモ】(Paller)
とある主要な国防業務請負業社では、係長クラスのRSAトークンの使用を停止
し、他社製ソリューションとトークンに取り換えた。この対応について、長期
的視野で計画性のあるものなのかどうかを尋ねたところ、その答えは、「いい
え。ただ侵害が発生したから取り換えただけだ」であった。
────────────────

◆アタックのコード SCADAシステムをターゲットに (2011.3.22-23)
米国・コンピュータ緊急事態対策チーム(US-CERT)は、産業施設で広範に使用
されているリモート監視・制御システム(SCADA: Supervisory Control and
Data Acquisition)ソフトウェアにある一連の脆弱性について、4つの警告を発
した。これらの脆弱性の影響を受けるSCADAシステムは、Siemens、Iconics、
7-Technologies、および、DATACである。全ての製品に、リモートにより悪用
可能な欠陥があるという。さまざまなSCADAシステムに存在する34個の欠陥に
対し、エクスプロイトコードがリリースされた。コードを調査した専門家によ
ると、問題の脆弱性の悪用により、標的とされたプラットフォームを操作する
と、システムは機能停止に陥るか、データが盗み出される恐れがあるという。
攻撃者がシステムに足がかりを得ると、さらに探査を進めシステム上の重大な
プロセスに影響を及ぼす部分にアクセスできるようになってしまう可能性があ
る。http://www.theregister.co.uk/2011/03/22/scada_exploits_released/
http://www.computerworld.com/s/article/9214990/SCADA_vulnerabilities_prompt_U.S._government_warning?taxonomyId=17
http://news.cnet.com/8301-27080_3-20045926-245.html
http://www.wired.com/threatlevel/2011/03/scada-vulnerabilities/
http://www.msnbc.msn.com/id/42237805/ns/technology_and_science-security/
http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-11-080-01.pdf
http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-11-080-02.pdf
http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-11-080-03.pdf
http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-11-080-04.pdf
────────────────

◆RaytheonとSAIC、サイバー分野の労働者を米国と取り合い

Bloomberg GovernmentのEric Englemanは、サイバーセキュリティに関する技
術系労働者不足が招く経済効果についての分析を公表した。この分析は当初、
戦略・国際問題研究所(CSIS:Center for Strategic and International
Studies)が2010年12月の報告書「サイバー分野の人材の危機:技術的な習熟
度は重要」で明らかにしたものだ。Bloombergの新しい記事には、
「Booz AllenやRaytheon、SAIC、米国政府が希少なサイバーセキュリティ分野
の労働者の取り合い競争を行っているため、給与経費が高くなってしまい、そ
れが企業買収に拍車をかけている」と書かれている。また、「人材の供給が限
られているなかで膨大な需要があるため、給与額は上昇し、人材は職を物色す
ることができる状態にある。彼らにとってそれはよいことだが、それによって、
この分野ではインフレが起こるため、事業運営の観点からは見るとあまり健全
とは言えない」と、現在は技術企業の一員で元・国家情報長官(DNI:Director
of National Intelligence)執務室の副室長はBloombergのレポーターに述べ
ている。国のニーズを満たすには、1万から3万人程度のセキュリティ分野の技
術要員が必要だとBloombergは説いている。 セキュリティ分野のエリート、
「ハンターやツール構築者(hunters and tool builders)」の給与は17万5000
ドルにまで上昇しているため、Raytheonなどの企業は小さな企業を買収しなが
ら、買収の度に100人から200人サイバーセキュリティの技術者を獲得している。
この記事は、Bloomberg Governmentの定期購読者であれば読むことができる。

【編集者メモ】(Paller)
本記事にリストアップされた企業の採用マネージャのインタビューを読むと、
この1万から3万人に該当する人間が、正確にはどのような人間を指しているか
がよくわかる。企業はトップクラスのセキュリティの専門家の取り合い競争を
しながら、情報セキュリティの法遵守を担う人員の数を減らそうとしている。
「わが社は、認定認可(C&A: certification and accreditation)業務に携わる
250人を解雇した。しかしながら、現在需要の高い実践的なセキュリティの技
術やスキルを身につければ、彼らの15%-30%は新しいキャリアを開拓するこ
とができると思う」と述べた採用マネージャもいた。
────────────────

◆ウィキリークスやツイッターの情報請求に関する上訴裁判の公聴会日程が決
まる (2011.3.25)
ウィキリークスに関連のある3人が、彼らのツイッターの使用記録へのアクセ
スを連邦検察に許可した判決を上訴している。この3人の弁護団は、この判決
は、連邦法規や米国憲法修正第1項(言論の自由)に違反していると主張して
いる。今回の訴えでは先の判決を覆したい意向だ。米国司法省は、大陪審の
ウィキリークスに対する捜査の一環として、ツイッターの記録のほか、水面下
にある機密の政府情報の開示を求めている。公聴会は4月22日の予定だ。
http://www.wired.com/threatlevel/2011/03/wikileaks-twitter-again/
http://news.cnet.com/8301-31921_3-20047315-281.html
http://www.wired.com/images_blogs/threatlevel/2011/03/objection.pdf
────────────────

◆韓国で提案されている法案 PCにセキュリティソフトウェアを義務付け
(2011.3.24)
韓国では、PCにセキュリティソフトウェアを入れるようにユーザーに義務付け
る法案が提案されている。
韓国通信委員会(KCC:Korea Communications Commission) に、どのセキュリ
ティ製品が条件を満たしているか否かを判断する権限が与えられているため、
セキュリティソリューションのプロバイダはユーザーよりも政府寄りになるだ
ろう。また、KCCは、セキュリティソフトウェア命令に遵守できていないと思
われる事業や記録、文書についてはその詳細を調査する権限を持つ。この記事
の著者、Dancho Danchevは、「セキュリティソフトウェアでは、リスクの一部
が緩和されるだけで、アンチウィルスソフトウェアを運用していてもマルウェ
アには感染すると示す報告書やテスト結果もある」と指摘している。
http://www.zdnet.com/blog/security/zombie-pc-prevention-bill-to-make-security-software-mandatory/8487

【編集者メモ】(Pescatore)
規制による技術の義務付けは技術の販売促進に効果があるが、買わされた人に
とってはマイナス効果が生じてしまう場合がほとんどだ。
────────────────

◆豪州政府 職員によるWebベースの無料電子メールサービスの使用を禁止
(2011.3.24)
豪州の政府職員は、GmailやHotmailなどWebベースの無料電子メールサービス
を使用できなくなった。豪州の連邦会計検査院長官(Australia's Federal
Auditor-General)が「政府局は、局のICTシステムで、公共のWebベースの電子
メールサービスを用いたメールの送受信を職員に対して禁止するべきだ」と推
奨する報告書を出したため、政府は今回の包括的な決定に踏み切った。監査人
らは、政府職員がこれらのサービスにアクセスする必要がある場合は、単体で
独立したデスクトップを利用するように推奨している。この禁止令は2011年7
月1日から有効となる。
http://www.zdnet.com.au/pm-s-dept-vows-to-block-hotmail-gmail-339311898.htm
http://thehill.com/blogs/hillicon-valley/technology/151703-australian-government-bans-free-email-services-over-security-concerns

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年3月25日 Vol.10 No.13)

<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps        1
Mac Os                 1 (#4)
Linux                  1
Novell                 1
Cross Platform             15 (#1,#2,#3)
Web Application - Cross Site Scripting 2
Web Application - SQL Injection     1
Web Application             3
======================================================================
1.危険度【高】: IBM Lotus Dominoサーバ・コントローラーに認証回避の脆弱


<影響のある製品>
Lotus Domino

<詳細>
IBM Lotus Dominoは、企業用のメール等、コラボレーション・アプリケーショ
ン運用のサーバプラットフォームである。これは、Lotus Dominoコンソールに
よって管理されており、Lotus Dominoサーバ・コントローラーでアクセスする
ようになっている。このLotus Dominoサーバ・コントローラーには認証回避の
脆弱性がある。これは、クライアントが提供したcookieを検証するためにユー
ザーがコントロールするロケーションでcookieファイルを使用するため、攻撃
者はcookieファイル用に悪意のあるターゲットを特定すれば、ターゲットのマ
シンに任意のコマンドを実行できるようになってしまう。悪用するために、タ
ーゲット側の人間が何か操作を行う必要はない。この脆弱性は、180日間とい
う期限のZero Day Initiative (ZDI)によって公表された。ZDIは、緩和策とし
て、コンソールのパスワードを設定して、認証されたホストへつながる2050番
ポートへのアクセスを制限するようにアドバイスしている。

<現状>
ベンダーはこの問題を認めているものの、更新はリリースされていない。

<参考>
ベンダーのサイト
http://www.ibm.com
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-110/
────────────────

2.危険度【高】: HP製品にさまざまな脆弱性

<影響のある製品>
HP Data Protector
HP StorageWorks P4000 Virtual SAN

<詳細>
HP製品2つが、コード実行の脆弱性に影響を受けやすい。HP製自動バックアッ
プ・回復ソフトウェアのHP Data Protectorには、バッファオーバーフローの
脆弱性がある。ここで脆弱となっている実行可能ファイル、DBServer.exeは、
19813番ポートで起動しており、ユーザーがコントロールする長さのバッファ
にデータを引き渡す。攻撃者がこの脆弱性を悪用すれば、ターゲットのマシン
に任意のコードを実行できるようになってしまう。悪用するために、ターゲッ
ト側が操作を行う必要はない。また、バーチャルのiSCSIストレージ・エリア・
ネットワーク(SAN:Storage Area Network)の構築に用いられるHPのStorage
Works P4000 Virtual SAN アプライアンスには、バッファオーバーフローの脆
弱性がある。脆弱な実行可能ファイル、hydra.exeは、13838番ポートで起動し
て、サニティチェックをせずにユーザーが供給するデータを固定長のバッファ
にコピーしてしまう。そのため、攻撃者は悪意のあるリクエストを送信すれば、
この脆弱性を悪用してSYSTEMレベルの権限でターゲットのマシンに任意のコー
ドを実行できるようになってしまう。この場合もやはり操作は一切必要ない。

<現状>
ベンダーはこの問題を認めているものの、更新をリリースしていない。

<参考>
ベンダーのサイト
http://www.hp.com
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-111/
http://www.zerodayinitiative.com/advisories/ZDI-11-112/
────────────────

3.危険度【高】: RealPlayerにヒープ・バッファオーバーフローの脆弱性

<影響のある製品>
RealPlayer 14.0.1.633までのバージョン

<詳細>
広範にインストールされているマルチメディアプレーヤー、RealNetworks の
RealPlayerは、ヒープベースのバッファオーバーフローに脆弱である。この脆
弱性は、IVR(Internet Video Recording)ファイルの解析を担うコードが、
検証をせずに、ユーザーが制御するサイズのバッファにユーザーが制御するデ
ータをコピーしてしまうために生じる。悪意のあるIVRファイルを閲覧するよ
うにターゲットを誘い込めば、攻撃者はこの脆弱性を悪用してターゲットのマ
シンに任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めているものの、更新はリリースされていない。

<参考>
ベンダーのサイト
http://www.real.com
SecurityFocus Archived Exploit
http://www.securityfocus.com/archive/1/517083
────────────────

4.危険度【高】: Mac OS Xにさまざまな脆弱性

<影響のある製品>
RealPlayer 14.0.1.633までのバージョン

<詳細>
Appleは、Mac OS Xや同OSで動作する複数のアプリにあるさまざまなセキュリ
ティの脆弱性にパッチをリリースした。
問題となっているアプリには、ImageIO、QuickTime、およびクライアント側の
その他のアプリなどがある。これらの脆弱性の中には、攻撃者がターゲットの
マシンに任意のコードを実行できるようになってしまうものもある。これらの
脆弱性のほとんどにおいて、攻撃者が悪用するためには、ターゲットに悪意の
あるファイルを閲覧するように誘い込まなければならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
Apple Security Update 2011-001
http://support.apple.com/kb/HT4581
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-108/
http://www.zerodayinitiative.com/advisories/ZDI-11-109/
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/40827
http://www.securityfocus.com/bid/41963
http://www.securityfocus.com/bid/43187
http://www.securityfocus.com/bid/43212
http://www.securityfocus.com/bid/43331
http://www.securityfocus.com/bid/43555
http://www.securityfocus.com/bid/43678
http://www.securityfocus.com/bid/43926
http://www.securityfocus.com/bid/44214
http://www.securityfocus.com/bid/44605
http://www.securityfocus.com/bid/44643
http://www.securityfocus.com/bid/44718
http://www.securityfocus.com/bid/44723
http://www.securityfocus.com/bid/44779
http://www.securityfocus.com/bid/44951
http://www.securityfocus.com/bid/44980
http://www.securityfocus.com/bid/45116
http://www.securityfocus.com/bid/45117
http://www.securityfocus.com/bid/45118
http://www.securityfocus.com/bid/45119
http://www.securityfocus.com/bid/45122
http://www.securityfocus.com/bid/45152
http://www.securityfocus.com/bid/45239
http://www.securityfocus.com/bid/45240
http://www.securityfocus.com/bid/45241
http://www.securityfocus.com/bid/45617
http://www.securityfocus.com/bid/46657
http://www.securityfocus.com/bid/46658
http://www.securityfocus.com/bid/46659
http://www.securityfocus.com/bid/46832
http://www.securityfocus.com/bid/46965
http://www.securityfocus.com/bid/46966
http://www.securityfocus.com/bid/46971
http://www.securityfocus.com/bid/46972
http://www.securityfocus.com/bid/46973
http://www.securityfocus.com/bid/46982
http://www.securityfocus.com/bid/46984
http://www.securityfocus.com/bid/46987
http://www.securityfocus.com/bid/46988
http://www.securityfocus.com/bid/46989
http://www.securityfocus.com/bid/46990
http://www.securityfocus.com/bid/46991
http://www.securityfocus.com/bid/46992
http://www.securityfocus.com/bid/46993
http://www.securityfocus.com/bid/46994
http://www.securityfocus.com/bid/46995
http://www.securityfocus.com/bid/46996
http://www.securityfocus.com/bid/46997
http://www.securityfocus.com/bid/47023
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。