---------- PR --------------------------------------------------------
       ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
       ┃ Internet Week は「出会う」「学ぶ」「議論する」場です ┃
       ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆2004年11月30日-12月3日◆パシフィコ横浜にて開催◆Internet Week 2004◆
いよいよ申込み受付を開始！ お申込みはこちら->> http://internetweek.jp/
----------------------------------------------------------------------
---------- PR --------------------------------------------------------
 不┃正┃侵┃入┃の┃実┃態┃と┃具┃体┃的┃対┃策┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
日時：2005年2月3日(木)～4日(金) http://www.nic.ad.jp/security-seminar/
場所：大手町サンケイプラザ(東京)    詳細・お申し込みはこちらから！
                             JPNIC・JPCERT/CCセキュリティセミナー2004
----------------------------------------------------------------------
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
    __
    /Ｐ▲         ◆ JPNIC News & Views vol.205【臨時号】2004.10.19 ◆
  _/ＮＩＣ
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.205 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、10月4日・5日に開催されたJPNIC・JPCERT/CCセキュリティセミナー
2004 ～For Advanced～についてお伝えします。セミナーを担当した講師の方
から今回の講演内容のエッセンスについてお寄せいただいておりますので、じ
っくりお読み下さい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ JPNIC・JPCERT/CCセキュリティセミナー2004 ～For Advanced～ 
     【知っておくべき脆弱性の基礎知識】 開催報告
                                    インターネット基盤企画部 根津 智子
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

  ネットワークオペレータの方は、日々公開される新たなセキュリティ情報
（=脆弱性情報）を見て、マシンにパッチを適用するなどの対策作業を行って
いると思います。しかしながら、これらの情報が持つ意味などは、意外と考え
ずに自動的に作業されていることはないでしょうか。

JPNICと有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）が
2004年10月4日・5日に開催した今回のセキュリティセミナーは、この「脆弱性」
にフォーカスを当ててお送りしました。

  この脆弱性の「仕組み」、パッチが出るまでの「流れ」などは一見日々の業
務に直接の深い関係はなさそうには見えます。しかし知って作業を行うのとそ
うでないのとでは、その作業が長期的に続くことを考えた場合、モチベーショ
ンや効率にも大きく差が出てくるものです。今回は、こういった情報を伝える
ことにより、今まで何となく行っていたことに、新たな意味を見い出して欲し
いと、講師共々、セミナーに臨みました。

実際にセミナーを担当した講師から、当日の講演内容のレジュメと今回の狙い
について一言ずつ寄せて頂いていますので、それをお伝えし、開催報告にかえ
たいと思います。

======================================================================
◆脆弱性の基礎知識…セミナーの開催にあたって、現在のセキュリティに関す
                    る動向と問題意識を総括し、その中で、脆弱性情報につ
                    いて学ぶことの意義についてお話ししました。

                                           JPCERT/CC代表理事　歌代和正
======================================================================

  「ソフトウェア等脆弱性関連情報取扱基準（経済産業省告示）」では、脆弱
性を「ソフトウェア等においてコンピュータウィルス、コンピュータ不正アク
セス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇
所」と定義しています。製品供給者から見た場合の製品の脆弱性は、それが認
識されているか否かは別にして、その製品に備わった静的な性質のように見え
ます。

  しかし、利用者から見た場合、それを利用する環境全体の中で脆弱性を捉え
なければなりません。ISO/IEC 15408 では、所有者・対策・脅威・脅威エージェ
ント・リスク・資産との関係を指摘しています。「自分にとっての資産は何か?」
「その損失を抑えるにはどう対策を講じるべきか?」「対策を講じた後もリス
クはあるか?」「そのリスクが資産価値に対しどういう重みを持つか?」等の視
点から総合的に勘案して、はじめて自分にとっての脆弱性が見えてくるのです。

  また、個々の製品には脆弱性がなくても、それらを組み合わせたシステムが
脆弱になることはあります。逆に、脆弱性を持つ製品を組み合わせて、強固な
システムを構築することも可能です。つまり、製品の脆弱性とシステムの脆弱
性は別物なのです。それらのシステムが組み合わさって、より大きなシステム
を構成し、それはさらに大きな環境の一部となります。脆弱性も、このような
階層構造のそれぞれの段階で考えなければなりません。

  供給者の視点に立ち返ると、偏った思い込みに囚われず、多様な利用者環境
を想定し、どのような環境でも脆弱性が問題とならない製品を提供するように
心がけるべきです。

======================================================================= 
◆Webの脆弱性…XSS（Cross Site Scripting）の脆弱性とは? それを防ぐには? 
               など、Webにまつわる各種脆弱性についての解説を行いました。

                                          中央大学研究開発機構 塩月誠人
=======================================================================

  本セッションは、 Webシステムにまつわる脆弱性とはどういったものなのか、
どういう危険性があるのか、またどのような対策が必要とされるのかについて、
WebサービスおよびWebアプリケーションレイヤにターゲットを絞り、網羅的に
解説するものでした。

  そもそも脆弱性を考える上で重要なのは、脆弱性の要因となる「脅威」（あ
るいは「攻撃手法」）を理解することです。そのため、ここではWASC
（Web Application Security Consortium）が今年の7月に発行した「Web
SecurityThreat Classification」という技術文書をベースに、認証、承認、
クライアントサイド・アタック、コマンド実行、情報取得、ロジカル・アタッ
クという大分類に沿ってWebシステムに関する一般的脅威を体系的に述べ、同
時にそれぞれの脅威がどのような場合に脆弱性へとつながるかを説明しました。
今回は時間の関係で、各々のトピックについて深くは掘り下げず、極力全体を
網羅する方向でまとめているため、詳細については講演資料に掲載した参考
URLの各文献を参照していただきたいと思います。

=======================================================================
■脆弱性キーワードを読み解く…セキュリティホール情報に登場する Buffer 
                               Overflowなどのキーワードについて、問題
                               発生のメカニズム、対処方法を解説しまし
                               た。
                                                         NEC 古賀洋一郎
=======================================================================

  セキュリティにかかわるバグである Buffer Overflow、Double free Bug、
Format String Bug が、攻撃用コードの実行を引き起こすメカニズムを解説し
ました。

  攻撃用コード実行のためには、攻撃対象となるプロセスのメモリ空間にコー
ドを注入し、そのコードに処理を飛ばすことが必要です。コードの注入方法は、
正規のデータ入力を経由してなど、いろいろ考えられます。そのコードに処理
を飛ばすための方法は、関数のポインタやサブルーチンの戻りアドレスなど、
処理の飛び先を格納しているデータを書き換えることです。

  今回とりあげたバグを悪用することで、ターゲットデータの書き換えが実現
してしまいます。そのポイントは、Cの規格で未定義とされている部分におけ
る処理系の動作にあります。

  多くの処理系では、規格上未定義の状態に陥ることを想定していないのです
が、バグのために未定義の状態に陥ってしまうことがあります。そうなると、
本来ならばユーザにはアクセスできないデータの書き換えが可能になるなど、
予期しないことが起こり得ます。こうした反応を攻撃者はうまく悪用し、結果
的に攻撃用コードの実行につなげるのです。

=======================================================================
◆Buffer Overflowのケーススタディとデモンストレーション
        …Buffer Overflow の脆弱性について、最近の事例を挙げて解説する
          と共にテストツールを使ったデモなどを行いました。

                                                  株式会社ラック 新井悠
=======================================================================

  ネットワークに対して影響を与えることが予想されるイベントが予期された
とします。たとえば、脆弱性が発見されてワームの感染活動の手段として用い
られることが懸念される状況となったとします。そこではじめて「対応準備」
が行われるわけです。わたしのセッションでは、対応準備の行われる前の段階
についての知識をもとにお話をさせていただきました。すなわち、まさに「脆
弱性が発見されてワームの感染活動の手段として用いられることが懸念される
かどうか？」という『仕分けのしかた』です。

  Windowsに感染するワームの横行が昨年からのトレンドであり、セキュリティ
の最重要課題でした。一方で、脆弱性の情報は危険性が「致命的な」あるいは
「特大の」といったケースがほとんどであるといっても過言ではないでしょう。
そしてそれらは、Buffer Overflowというカテゴリに含まれていることがほと
んどなのです。「ワームに利用される可能性のあるBuffer Overflow」を見分
けることは、パッチの適用に代表される対応準備に大きな影響を与えることで
しょう。

  同時に、Buffer Overflowの抑制が期待できる技術的手段についても解説し
ました。Buffer Overflowを利用したワームは発生しなくなるという未来は、
レガシーなシステムがまだまだ多く存在する現状からかんがみれば、とても想
像できるものではないのかもしれません。それでも、長い目でみれば事態はゆっ
くりと解決の方向へ向かっているのかもしれません。そうした実感を少しでも
参加者の皆さんに伝えることができたのなら、わたしにとってそれ以上のこと
はありません。

====================================================================== 
◆脆弱性情報流通体制…国内の脆弱性情報流通の枠組みについて紹介すると
                      共に国際的な連携の枠組みについても紹介しました。

                                                 JPCERT/CC　伊藤友里恵
======================================================================

  JPCERT/CCは、2004年7月に経済産業省から「脆弱性情報流通調整機関」に指
定されました。そのような経緯もあり、国内外でどういった枠組みのもと、こ
の「脆弱性情報」が取り扱われているのかについて概説を行いました。

  さて、JPCERT/CCでは日々この脆弱性情報を取り扱って（ハンドリングして）
いるわけですが、そもそも「脆弱性情報」とは、人によっても組織によっても
何を脆弱性と捉えるかによって異なるものです。JPCERT/CCでは、定義を「通
常ソフトウェアの欠陥によって引き起こされるもので、明白・または暗示的な
セキュリティポリシーの違反で、頻繁に予期しない挙動を引き起こすもの」と
しています。

  また、この脆弱性情報を「ハンドリングする」とは、脆弱性関連情報を必要
に応じて「開示」することにより、脆弱性の悪用や障害を引き起こす危険性を
最小限に食い止めることだと位置づけています。すなわち、脆弱性情報を単に
一般公開するだけではなく、それと同時に対応策等も公開されるようにするた
めの仕組みを作り、リバースエンジニアリングから攻撃コードが先にでてしま
う危険性を防いでいます。

  通常、脆弱性ハンドリングの手順は、(1）報告を受ける→(2)報告された脆
弱性の再現・分析・優先順位付け→(3)対応の方針決定→(4)対応という順をた
どります。具体的には、日本国内では、発見者はこういった情報を、IPA（独
立行政法人 情報処理推進機構 Information-technology Promotion
Agency,Japan）に連絡し、IPAが受付と分析を行った後、JPCERT/CCがその脆弱
性に関係のある対象ベンダを抽出し連絡をして、対応してもらうという手順を
たどります。そしてその対応結果を、JVN（JPCERT/CC Vendor Status Notes） 
というWebサイトにアップロードすることにより、その対策情報が一般公表と
いうことになります。

  海外から入ってくる情報も同様に、JPCERT/CCというハブを通し、ハンドリ
ングがなされます。こういった枠組みをとることによって、ベンダは情報公開
前から対応を始めることが出来、また、対応状況をJVNというポータルサイト
を通して周知することができるというメリットを享受することができます。

  また、こうしたメリットは開発者側だけではなく、利用者側も享受すること
ができます。例として、一人のオペレータが、システムの脆弱性を調べるため
に、まじめにセキュリティニュースを読んで、マシン一台にパッチをあてるだ
けで298日間の日数が必要だという統計があります。JPCERT/CC やJVNを積極的
に利用し、効率的に脆弱性対策ができる体制が確立すれば幸いです。

======================================================================
◆プロトコルの脆弱性…IP, ICMP, TCP, UDP など基本的なプロトコル自体に
                      含まれる既知の脆弱性と、それらへの対策の現状に
                      ついて解説しました。

                        株式会社インターネットイニシアティブ　永尾禎啓
======================================================================

  ネットワークにまつわる脆弱性には、実装上の不具合に起因するものだけで
なく、プロトコルの仕様自体に起因しているものもあります。通常、プロトコ
ルの脆弱性と言えば、そうしたプロトコルの仕様に原因がある脆弱性を指しま
す。本セッションでは、IP,ICMP,UDP,TCPプロトコルに潜む既知の基本的な脆
弱性について、その仕組みを解説し、さらに対策や緩和策の現状についても紹
介しました。

  脆弱性に関しては、Ping of Death攻撃やTCP ISN推測攻撃といった、いわば
古典である一方で、必須の知識と言えるものを取り上げました。対策や緩和策
としては、TCP SYN flood攻撃に対するsyncache/syncookieといった興味深い
最新技術の詳細解説も含めました。

  聴講下さった皆様が、実務でプロトコルの脆弱性に関する調査や情報収集を
しなければならなくなったときに、これらの基礎知識がお役に立ちましたら幸
いです。

=======================================================================
◆プロトコルの脆弱性の実例…複数のベンダにまたがるプロトコルの仕様や
                            実装の脆弱性の概要を紹介すると共に、その
                            流通過程などの実例を紹介しました。

                                                    JPCERT/CC 鎌田 敬介
=======================================================================

  ソフトウェアやハードウェアに含まれる脆弱性は、特定製品の脆弱性ばかり
でなく、複数の製品にまたがるような脆弱性が存在する場合があります。その
ような脆弱性の中でも、特に大きな問題となるのがプロトコル自体の脆弱性で
すが、2004年になってからプロトコルレベルでの脆弱性がいくつも発見され公
開されています。

  今回のセミナーでは、「プロトコルの脆弱性」をテーマとして2004年4月に
公開され、世界的にも注目を浴びたTCPの脆弱性を中心に解説しました。TCPの
基礎的な事項から、脆弱性の技術的な内容、JPCERT/CCと英国NISCCが行った国
際的な脆弱性ハンドリングの裏舞台も紹介しました。あわせて、2004年5月に
公開された IEEE802.11 無線機器の脆弱性についても簡単に触れました。

                  ◇              ◇              ◇

  いかがでしたでしょうか。 当日の模様につきましては、後日、以下のJPNIC
のWebサイトからストリーミング配信しますので、これを読んでご興味を持た
れた方は、是非ご利用頂きたいと思います。(既に当日の写真と資料は公開し
ています。）

   ★JPNIC・JPCERT/CCセキュリティセミナー資料
     http://www.nic.ad.jp/ja/materials/security-seminar/

  また、次回のセミナー【不正侵入の実態と具体的対策】は2005年2月3日と4
日に行います。UNIX系とWindows系にわけて、それぞれ実際にあったインシデ
ント事例を元にケーススタディを行い、その後、ログの管理方法と解析方法、
不正侵入をどう発見するか等の解説を行います。詳細については下記Webサイ
トをご覧下さい。

   ★JPNIC・JPCERT/CCセキュリティセミナー2004 Webサイト
     http://www.nic.ad.jp/security-seminar/
 
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/(PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
 JPNIC News & Views vol.205 【臨時号】 

 ＠ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F 
 ＠ 問い合わせ先   jpnic-news@nic.ad.jp 
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          ＠ Japan Network Information Center 
■■◆                                     ＠  http://www.nic.ad.jp/ 
■■

Copyright(C), 2004 Japan Network Information Center