NRI Secure SANS NewsBites 日本版

Vol.6 No.7 2011年2月15日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.07 2011年2月15日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
Cyber Foundationsコンペへのエントリーの最終期限まであとわずか(2/18日
まで)。
http://www.uscyberchallenge.org

オーランドで開催されるSANS 2011カンファレンスは、セキュリティトレーニ
ングのイベントとしては世界最大の規模だ。新しいコースや、様々なセッショ
ンが連日夜まであるほか、ベンダーEXPOも開催される。
http://www.sans.org/sans-2011
※NRIセキュアテクノロジーズもSANS 2011に出展します。
http://www.sans.org/sans-2011/vendorexpo.php

■■SANS NewsBites Vol.13 No.10-11
(原版:2011年2月1日、2月8日配信)

◆IPv4のアドレス空間 最後のブロックを割り当て (2011.2.3)
最後のIPv4アドレス空間のブロックが、5つの地域インターネットレジストリ
に割り当てられた。IPv4アドレスは、インターネット接続型デバイスの増加に
伴い、ここ最近、急速にその割り当てが進んでいた。これにより、今以上に多
くの配分が望めるIPv6に移行していく必要性が強調された。広範に使用されて
いるデバイスの大部分は、すでにIPv6をサポートしているため、ほとんどのユー
ザーは、この移行によって影響を受けることはない。
Internet Storm Center(http://isc.sans.edu/diary.html?storyid=10342
は、以下の3つのリンクを強く推奨している。
http://www.v3.co.uk/v3/news/2274584/ipv4-ipv6-internet-address
http://www.nextgov.com/nextgov/ng_20110203_6062.php?oref=topnews
http://news.cnet.com/8301-30685_3-20030482-264.html

【編集者メモ1】(Paller)
自組織内で大規模なネットワークを運用している組織は、この課題に注目しな
くてはならない。今年になって、SANS IPv6のクラスへの参加者が急激に増え
たことから、それは一目瞭然である。
【編集者メモ2】(Schultz)
IPv4のアドレス空間が欠如していたことなど、もはや懸念事項としては新しく
もない。これまでの数年間、個人や組織の多くがこの問題に気づき、数に制限
のあるIPv4のアドレスを、これまた数に制限のあるネットワークアドレス変換
(NAT)サーバに割り当て、プライベートアドレスを組織内のネットワークで
使用したりして問題に対処していたのだ。
────────────────

◆インターネット閉鎖スイッチは誇張表現 (2011.2.3)
米国上院国土安全保障委員会のメンバーらが計画しているサイバースペース保
護法案の中で、米国大統領に与えられた権限が「インターネット遮断スイッチ
(Internet Kill Switch)」と称されていたため、インターネットをいきなり
使えない状態にすることができるボタンのようなイメージが喚起されてしまっ
た。そのような装置はない。インターネットの遮断は、単にスイッチをオフす
るのではなく、法的命令が下されないと起こり得ない。この法案に対する批評
家らは、先週エジプトで発生したインターネットの切断を引き合いに出してい
た(エジプトのインターネットサービスは、その後復旧した)。この件では、お
そらくエジプト政府が主要なISPに連絡をとり、ルータに何らかの変更を加え
るように命令を下した可能性が高い。この米国法案では、具体的に言論の自由
を阻む目的でインターネットを遮断することを大統領に対して禁じている。ま
た、この停止スイッチに対する誇張表現は度が過ぎているが、それは、この法
案の文言が曖昧だからだという批評家の声もある。この法案の起草者らは、
「このような広範にわたる権限の実行は、我々の憲法を侮辱する行為だ」と述
べ、この法案によって、エジプトで見られたような大統領がインターネットを
遮断できる権限は与えないと明言する文言も発行している。
http://blogs.computerworld.com/17765/there_is_no_internet_kill_switch_except_metaphorically
http://www.computerworld.com/s/article/9207980/The_Internet_kill_switch_that_isn_t?taxonomyId=17&pageNumber=2

【編集者メモ】(Schultz)
ここでは、「恐怖のテレビ」が問題の一部になっていると思われる。ニュー
ス番組は、人々の恐怖をうまくかきたてる。この「恐怖のテレビ」によって、
米国政府のWebサイトにアクセスしたことがあるコンピュータであれば、「政
府にはそれを独断的に押収する権利がある」と政府が断言したという懸念が生
じたのは、つい先頃のことだ。次なる懸念は何だろう?
────────────────

◆Verizon データのスピード調整をスタート (2011.2.3)
Verison WirelessのWebサイトに掲示されたメモによると、同社は過度な量の
データを消費しているユーザーに対して、データの処理スピードの調整を始め
るという。これは、他の大多数のユーザーのためのパフォーマンスを向上させ
ることが目的である。この変更で影響を受けるユーザーは、全体の5%である
とのこと。また、メモによれば、Verizonは、「データをキャッシュする量や
使用する容量を減らし、デバイス用に動画をより適切にサイジングする」など、
データ転送の効率化を図れる技術の導入を始めるところだという。
http://www.bgr.com/2011/02/03/verizon-wireless-to-begin-throttling-data-speeds-of-heaviest-users-optimizing-content-starts-today/
http://news.cnet.com/8301-13579_3-20030514-37.html
https://ecache.vzw.com/imageFiles/Myacct/nda/images/docs/VerizonWirelessServiceInformation.pdf
────────────────

◆議員ら Facebookのデータプライバシーについて答えを求める (2011.2.2)
米国の議員らは、Webサイトやサードパーティのアプリに対し、ユーザーの自
宅住所、電話番号、その他の個人情報に対するアクセスをリクエストできる
Webサイト、およびサードパーティのアプリを許可しようというFacebookの計
画について、さらなる情報を求めている。問題の機能は、プライバシーに対す
る懸念から、1月にお預けとなった。しかし、Facebookは今後数週間の間に、
この機能を再開する見込みだという。Ed Markey下院議員(マサチューセッツ州
民主党)、下院のプライバシー幹部会の共同議長を務めるJoe Barton下院議員
(テキサス州共和党)は、FacebookのMark Zuckerbergに対し、「そもそも、な
ぜそのような機能が当初から導入されていたか」についての質問リストを含む
書簡を送付した。
http://www.politico.com/news/stories/0211/48703.html
http://www.usatoday.com/money/media/2011-02-03-facebook03_ST_N.htm
http://markey.house.gov/docs/2-2-2011ltr_to_fb-_addresses_and_mobile_numbers.pdf

【編集者メモ】 (Pescatore)
FacebookやGoogleなど、広告によって支えられているサイトは全て、彼らが属
する産業界自体が独自で監視を行っていないことを踏まえて、追加でそれを行
うべきだ。「誰かが叫んではじめて、後ずさりする」というパターンが見られ
れるが、このようなことは実際の商取引では許されないことである。
────────────────

◆ハッカー活動家 セキュリティサービス会社に対する攻撃で最後の一線を越
える (2011.2.7)
米国政府のために機密に仕事を行っているセキュリティサービス会社、HBGary
Federalが、攻撃の的になっている。同社の役員らが送受信したメールメッセー
ジが、ハッキンググループ、自称「Anonymous(匿名)」によって、インター
ネットに掲示されてしまった。また、問題のグループは、HBGary Federalの社
員複数人のTwitterのアカウントに侵入し、彼らの名前を語って、攻撃的なコメ
ントを載せている。Anonymousは、ここ数カ月でさまざまな組織に対してDDoS攻
撃を仕掛け、悪名をはせているグループである。HBGary Federalのセキュリティ
サービス主任は、ニュースで「Anonymous」のリーダーの身元情報を発見したが、
その情報をFBIと共有する予定だと述べていた。HBGaryの共同設立者であるGreg
Hoglundも、「これまでの彼らの行いは、単に技術的に違法だった。だが、そう
いった行為は、政府内の内部告発者を直接的に支援しようというものだった。
そして今回、彼らは私的データを盗み、それをネットに掲示するといった連邦
犯罪に踏み切るような状況になっている」とし、Anonymousは、今回の行動で
新しい領域に踏み込んできたと言及している。
http://krebsonsecurity.com/2011/02/hbgary-federal-hacked-by-anonymous/
http://www.wired.com/threatlevel/2011/02/anonymous-hacks-hbgary/
http://news.cnet.com/8301-1009_3-20030849-83.html

【編集者メモ】(Northcutt)
今号に掲載されているストーリーの多数において、法と警察では、技術やそう
いった技術を不適切な方法で使用しているケースに追い付いていけないことが
説明されている。その一方で、法は、技術や能力に追い付こうと懸命に努力を
し、たくさんの人間(Geroge HotzやAdrian Assange)を逮捕、起訴している。
ここで利益を得られる集団は…弁護士だけだ。
────────────────

◆外相 談:英国政府のシステムが攻撃を受ける (2011.2.4-7)
英国政府の関係者は、マルウェア搭載のEメールが頻発している件に対し、こ
れは中国を発信源に米国のホワイトハウス経由で来ていると考えている。問題
のメッセージは、昨年末に英国関係者の受信メールボックスで受信された。こ
れらのメールには、ZeuSというマルウェアをユーザーのコンピュータにダウン
ロードできるリンクが含まれていたという。攻撃者が、ホワイトハウスのメー
ルアカウントを侵害してメッセージを送信したのか、もしくはホワイトハウス
から来たように見せかけるためにアカウントを細工したのかどうかは今のとこ
ろ定かではない。英国のWilliam Hague外相は、今週ミュンヘンで開催される
国際セキュリティサミットにて、英国政府のシステムに対するサイバー攻撃に
ついて語る意向だという。
http://fcw.com/articles/2011/02/07/alleged-white-house-email-cyberincident-now-called-spoof-attack-from-china.aspx?admgarea=TC_SECCYBERSEC
http://www.silicon.com/technology/security/2011/02/07/hague-details-cyber-attacks-on-whitehall-39746929/
http://www.v3.co.uk/v3/news/2274616/hague-cyber-attack-government
────────────────

◆ナスダック(NASDAQ) 攻撃を受けても取引用のプラットフォームには影響な
し (2011.2.5-7)
攻撃者は、NASDAQ株式市場を運営している企業のコンピュータシステムへ
のアクセスを何とか獲得したが、取引を管理しているシステムの部分へのアク
セスは得られなかった。問題の攻撃は、NASDAQ OMXが米国のサーバに通常存在
しないファイルがあることに気付いたために発見された。この侵害は、企業が
情報の保存・共有を行えるようにするWebベースのアプリ、Director's Deskを
介して発生したようだ。
http://www.v3.co.uk/v3/news/2274617/hackers-nasdaq-financial-system
http://www.nytimes.com/2011/02/07/business/07nasdaq.html?scp=4&sq=nasdaq&st=cse
http://www.zdnet.com/blog/security/nasdaq-confirms-servers-hacked-via-web-facing-application/8087
http://www.h-online.com/security/news/item/Report-Hackers-break-into-NASDAQ-US-stock-exchange-Update-1184318.html
http://www.computerworld.com/s/article/9208358/Report_Nasdaq_systems_were_hacked_last_year?taxonomyId=203
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃近日開催予定のセミナー         NRIセキュアテクノロジーズ
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月23日(水)、3月2日(水)<東京汐留>
情報資産識別・管理ソリューションミーティング
~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label01.html?xmid=35&xlinkid=05
------------------------------------------------------------------------
○2011年2月24日(木)・3月15日(火)<東京汐留>
事例から学ぶ特権ID管理実践セミナー
~特権ID管理と監査ログ管理を短期・安価で実現する
エージェントレスソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/ac01.html?xmid=35&xlinkid=06

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年2月4日 Vol.10 No.6)

<今週報告された脆弱性情報のサマリー>

======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
Third Party Windows Apps            1
Linux                     2
Novell                     1
Cross Platform                20 (#1,#2,#3)
Web Application - Cross Site Scripting     2
Web Application                1
Network Device                 1
======================================================================
1.危険度【高】:RealPlayer AVIの解析にバッファオーバーフローの脆弱性

<影響のある製品>
RealPlayer 11.0から11.1まで、SP 1.0から1.1.5、および、14.0.0から14.0.1まで

<詳細>
RealNetworksは先日、同社製のクロスプラットフォームのメディアプレーヤー、
RealPlayerにあるバッファオーバーフローの脆弱性に対処できるパッチをリリー
スした。vidplin.dllライブラリは、RealPlayerがAVIファイルの解析に使用す
るものだが、これはユーザーによって提供されたデータをバッファにコピーす
る前に、ユーザーが制御する長さを使用してバッファを配分するようになって
いる。ターゲットを悪意のあるファイルを閲覧するように仕向ければ、攻撃者
は、この脆弱性を悪用し、ターゲットのマシンに任意のコードを実行できるよ
うになってしまうという。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.real.com
RealNetworksのセキュイティ更新
http://service.real.com/realplayer/security/01272011_player/en/
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-033/
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/46047
────────────────

2.危険度【高】:Apple QuickTimeのスプライト変換にバッファオーバーフロー
の脆弱性

<影響のある製品>
Apple Mac OS X 10.6から10.6.4、および、Mac OS X Server 10.6から10.6.4.

<詳細>
Appleは、同社製のクロスプラットフォームのQuickTimeメディアプレーヤーに
影響を及ぼす脆弱性に、パッチをリリースした。QuickTimeは、スプライトを
レンダリングできるようになっている。スプライトは写真や動画の固定断片で
あり、後でQuickTime APIに対するアニメ化されたコールになりうるものだ。
このAPIに対する特定の変換によって、QuickTimeはスプライトを増減し、バッ
ファの外のメモリに書き込みを行うようになっている。ターゲットを悪意のあ
るファイルを閲覧するように仕向ければ、攻撃者は、問題として生じたバッファ
オーバーフローを悪用し、任意のコードを実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-038/
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/44794
────────────────

3.危険度【高】:HP OpenViewのPerformance Insight Serverにバックドア

<影響のある製品>
HP-UX、Linux、Solaris、および、Winodwsで動作するHP OpenView
Performance Insight Server v5.2、v5.3、v5.31、v5.4、v5.41

<詳細>
HPは、コンピュータネットワークの性能を測定するツール、OpenView
Performance Insightの脆弱性に対処できるパッチをリリースした。問題の脆
弱性は、com.trinagy.security.XMLUserManagerクラスに、静的に定義された
アカウントが内密に存在するために引き起こされる。悪意のあるリクエストを
送信すれば、未承認の攻撃者であってもこの脆弱性を悪用し、なんと「システ
ムレベル」の許可で任意のコードを実行できるようになってしまう。悪用を実
現するにあたって、ターゲット側にユーザーが操作を行う必要はない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.hp.com
HPのセキュリティアップデート
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02695453
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-034/
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/46079

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。