NRI Secure SANS NewsBites 日本版

Vol.1 No.10:2006年10月13日発行

**********************************************************************
           NRI Secure Security Information
          (SANS NewsBites、@RISKサマリー版)
                           No.10 2006年10月13日発行
**********************************************************************

このメールマガジンは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

■■SANS NewsBites Vol.8 No.79-80(原版:2006年10月7日、11日発行)

◆政府のコンピュータはBOTに悩まされている?

セキュリティベンダーは、政府のコンピュータ7,000台が悪意のあるbotに感染
していると述べている。これらのbotは、スパムやDoSアタック、データ窃盗に
よく利用されるものだ。ベンダーから指摘のあった拠点のITマネージャは、ベ
ンダーの主張に不本意なようだ。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=193104896
────────────────

◆HPの電話詐欺 5人が有罪(2006.10.4)

元ヒューレットパッカード会長のPatricia Dunnら5人に、 同社の電話詐欺行
為に関与した疑いがかけられている。元会長を除く4人のうちの1人は、HPの元
上席弁護士であり、ほかの3人は、社内情報漏えいの源を特定する目的で他人
の通話記録を入手する任務を果たすべく、外部から雇われた。カリフォルニア
州検事長は問題の5人を電話による詐欺、コンピュータ・データの乱用、身元
情報窃盗、また、これら3つの罪を犯そうとした共謀罪で有罪とした。
http://ag.ca.gov/newsalerts/release.php?id=1378&PHPSESSID=0daec1a3b741fbdc3f90607f66d91a98
(これらのサイトを閲覧するには、無料登録が必要)
http://www.nytimes.com/2006/10/04/business/04hewlettcnd.html?_r=1&pagewanted=print&oref=slogin
http://www.washingtonpost.com/wp-dyn/content/article/2006/10/04/AR2006100401754_pf.html

【編集者メモ】 (Schultz)
HPが犯した電話詐欺の失態から大きな教訓を得た。「統治こそがすべて」とい
うことを。いかなるレベル(特に経営レベル)であっても統治が崩れると、組
織全体の統治も崩れていく。情報セキュリティ分野もこの法則の例外ではない。
────────────────

◆米国における侵害件数 1億件に届く勢い(2006.9.25-10.1)

Privacy Rights Clearinghouse (PRC)は、セキュリティ侵害を受けた件数を記
録しているが、その件数が1億に達しようとしている。PRCは、2005年2月に
ChoicePointの事件以来、セキュリティ侵害を記録し続けている。 侵害の影響
を受けた記録件数が非常に多いことから、パスワードと暗号化以外の方法でセ
キュリティを確保する必要があることがうかがえる。また、組織は誰がどの情
報にアクセスできるか、情報はどこに保存されているか、いつ、どこから、な
ぜその情報が移動されたのかを判断できるルールを設ける必要がある。
http://www.technewsworld.com/story/53222.html
http://www.newsobserver.com/104/story/493117.html
────────────────

◆米国商務省 中国のサーバからのアタックのターゲットに(2006.10.6)

米国商務省の産業セキュリティ局(BIS)の関係者によると、中国のサーバを
拠点にしているサイバーアタッカーらが、これまでに1か月以上、同局のコン
ピュータをターゲットにしているという。BISは、商用および軍用の米国の輸
出製品を監視する部署だ。BISのユーザーアカウントにアクセスしようと、人
のいない夜間にアタックが行われている。BISは、ワークステーションを新し
いものに入れ替えることにした。また、インターネットアクセスのほとんどを
ブロックしている。局内ネットワークに接続されていないワークステーション
のみが、インターネットへのアクセスを許可されている。
(以下のサイトを閲覧するには、無料登録が必要)
http://www.washingtonpost.com/wp-dyn/content/article/2006/10/05/AR2006100501781_pf.html
http://www.techweb.com/wire/193105174

【編集者メモ】(Paller)
BISは、日用品、商用・軍用を兼ねるソフトウェアや技術など、米国からの輸
出製品をコントロールする政府局だ。米国軍が重要視している新技術について
知り得たいと考えている組織にとって、同局は魅力的なデータソースに映るだ
ろう。Titan Rain (数年にわたって中国から発せられ続けた統制アタック)は、
米国の機密政府拠点に向けられ、それらのアタックは成功してきた。肝心なと
きに、政府局はセキュリティ予算の大部分を、より安全なシステムの購入にあ
てるのではなく、FISMA報告書の作成に費やしていたのだ。
────────────────

◆侵害事件公表による株価への影響は1年続く(2006.10.9)

オーストラリアのアナリスト企業と米国のリサーチ企業が合同で行った研究報
告によると、データ侵害事件を公表したことによって、株式市場の株価に大き
な影響が生じることがわかった。研究では、セキュリティ侵害事件を認めた6
企業に焦点をあてた。これらの企業の株価は、事件公表後1か月以内に、平均
で5%下がり、引き続く8か月間では、2.4%から8.5%の下げ幅を維持した。そ
して、それらの株価が元の水準に戻るまでには、ほぼ1年近くかかっている。
http://www.webwereld.nl/articles/43234/data-leaks-hit-share-prices-hard.html

【編集者メモ1】(Schultz)
この研究結果は、メリーランド大学で数年前に行われた研究結果と合致する。
これらの研究によって、情報セキュリティの真価を問う、セキュリティ専門家
のビジネスの後ろ盾を強化できる。つまり、データを十分に保護できないと株
価が下がる。この一言で、素早く経営陣の注意を引くことができるだろう。
【編集者メモ2】(Grefer)
この研究結果は、常識的な内容である。しかし、対象の6企業と同じ産業内の
同規模の企業群の株価の推移と比較していたならば、よりこの研究結果が有益
なものになっただろうに。なぜなら、これら6企業の株価の下落は、単によく
ある市場の波の影響であった可能性も否めないのだから。
────────────────

◆ヨーロッパの投票マシンにセキュリティ欠陥 (2006.10.5)

オランダの研究者グループの報告によると、NEDAP/Groenendaal ES3B投票マシ
ンには、重大なセキュリティ問題があるという。問題のマシンは、オランダ国
内広範囲で使用されている。また、ドイツやフランス、アイルランドにおける
選挙でも使用されている。研究者らは、妨害を試みる者が選挙前にデバイスへ
のアクセス権を獲得してしまうと、選挙結果を完全にコントロールでき、その
改ざん検知も事実上不可能であるという。また、マシンの無線信号を監視し、
投票者の投票方法を検知することもできるようだ。
http://www.theregister.co.uk/2006/10/05/e-voting/print.html
http://www.siliconrepublic.com/news/news.nv?storyid=single7158
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9003958&intsrc=news_ts_head

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年10月10日配信 Vol.5 No.40)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

<巻頭言> Alan Paller(SANS Director of Research)
今週は、McAfee、Symantec、Computer AssociatesおよびTrendMicroなど、セ
キュリティベンダーのソフトウェアに、多数のセキュリティ欠陥が確認された
一週間だった。セキュリティベンダーの製品の欠陥がますます増加している。
それらの欠陥は前からそこにあったものかもしれないが、アタッカーがこれら
の製品をターゲットにしていることがうかがえる。
中でも、Xeroxの脆弱性は興味深い。その脆弱性を是正する方法がまったく存
在しないのだ。企業の機密保存スペースを見ると、特に、dual-homedプリンター
などは最も効果的なアタックの矛先になる。ネットワークインタフェースカー
ドの付いたプリンターのほとんどに、複数の脆弱性が存在しているものの、そ
れらにパッチを適用しようとすらしていないのが現状だ。
────────────────

◆危険度【重大】: McAfee ePolicy Orchestrator/ProtectionPilotにリモートの
  バッファオーバーフロー

<影響のある製品>
McAfee ePolicy Orchestrator 3.0 SP2a以前のバージョン
McAfee ProtectionPilot 1.1.1 のパッチ2 以前のバージョン

<詳細>
McAfee ePolicyOrchestrator とMcAfee Protection Pilot両方に使用されてい
るWebサーバのコンポーネントには、悪用可能なバッファオーバーフローの脆
弱性がある(このコンポーネントは、McAfee ePolicyOrchestratorではポリシー
のモニター・管理に、McAfee Protection Pilotでは、脅威防御ソフトウェア
の管理に使用されている)。このサーバ・コンポーネントに細工したリクエス
トを送信すれば、アタッカーは、バッファオーバーフローを引き起こすことが
でき、プロセスの権限(SYSTEM権限の場合も多い)で任意のコードを実行でき
るようになってしまう。これらの脆弱性に対して機能する複数のエクスプロイ
トが公表されているので注意されたい。ユーザーは、可能であれば、ネットワー
ク境界でTCP81番ポートへのアクセスをブロックするとよい。

<現状>
McAfeeはこれを認識しており、更新もリリースしている

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は、次期定例システムメンテナンススケジュールに合わせて、パッチを適
用する見込みだ。

<参考>
BackTrackによる技術説明
http://www.remote-exploit.org/advisories/mcafee-epo.pdf
概念実証コード
http://www.milw0rm.com/exploits/2467
McAfeeのホームページ
http://www.mcafee.com/
SecurityFocus BID
http://www.securityfocus.com/bid/20288
────────────────

◆危険度【高】:Computer Associatesの製品に複数の脆弱性

<影響のある製品>
BrightStor ARCserve Backup R11.5 Client
BrightStor ARCserve Backup R11.5 Server
BrightStor Enterprise Backup 10.5
BrightStor ARCserve Backup v9.01
CA Server Protection Suite r2
CA Business Protection Suite r2

<詳細>
Computer Associatesの複数の製品に、複数の脆弱性がある。
(1)Message Engine RPCサービスには、悪用可能なヒープオーバーフローの脆
  弱性がある。
(2)UDP41524番ポートとTCP41523番ポートを使用しているDiscoveryサービスに
  は、悪用可能なスタックベースのバッファオーバーフローの脆弱性がある。

これらの脆弱性のどちらかを悪用できれば、アタッカーは脆弱なプロセスの権
限(SYSTEM権限の場合も多い)で任意のコードを実行できるようになってしま
う。これらの脆弱性を悪用する際に認証は必要ない。また、両方の脆弱性の技
術的詳細がすでに公表されている。

<現状>
Computer Associatesはこれを認識しており、更新もリリースしている

<参考>
Zero Day Initiativeのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-06-030.htmlhttp://zerodayinitiative.com/advisories/ZDI-06-031.html
Computer Associatesのセキュリティ警告
http://supportconnectw.ca.com/public/storage/infodocs/basbr-secnotice.asp
SecurityFocus BIDs
http://www.securityfocus.com/bid/20364
http://www.securityfocus.com/bid/20365
────────────────

◆危険度【高】: Symantec Automated Supportツールの ActiveXコントロールに
  リモートのバッファオーバーフロー
★より詳細な情報は「Secure/Info」に掲載★

<影響のある製品>
以下の製品には、ActiveXコントロールの脆弱なバージョンが含まれている。
他の製品も脆弱な可能性がある。
Symantec Norton SystemWorksのバージョン2005/2006
Symantec Norton Internet Securityのバージョン2005/2006
Symantec Norton AntiVirusのバージョン2005/2006
Symantec Automated Support Assistant

<詳細>
Symantec Automated Support ToolのActiveXコントロールは、 問題解決のた
めの診断情報を提供するSymantecの複数の製品に使用されている。しかし、こ
れには、悪用可能なバッファオーバーフローの脆弱性が含まれている。このコ
ントロールをインスタンス化するWebページが細工されると、このバッファオー
バーフローが悪用され、現在のユーザーの権限で任意のコードが実行されてし
まう。これらの欠陥を悪用できる再利用可能なエクスプロイトコードがすでに
公表されている。これらの欠陥に類似した欠陥が、過去に広範囲で悪用された。

<現状>
Symantecはこれを認識しており、更新もリリースしている

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が影響のあるソフトウェアを使用していた。そのう
ち1社はすでに、システムのパッチ適用に着手している。もう1社には、数百件
の実装が確認されたが、それらのシステムはIT部門が正式にサポートしている
ものではなかった。同社は、どのユーザー層が影響を受けているのかを特定す
る現実的な手段が見出せないため、迅速な対応がとれないでいる。

<参考>
Symantecセキュリティアドバイザリ
http://securityresponse.symantec.com/avcenter/security/Content/2006.10.05.html
Symantecホームページ
http://www.symantec.com
SecurityFocus BID
http://www.securityfocus.com/bid/20348
────────────────

◆危険度【中】: MailEnable NTLM認証にリモートのコード実行の脆弱性

<影響のある製品>
MailEnable ProfessionalおよびEnterpriseのバージョン2.0、および、それ以
前のバージョンにも脆弱性があるおそれあり。

<詳細>
MailEnableは、Microsoft Windowsの電子メールソリューションとして広範囲
で使用されている。しかし、MailEnableの認証リクエスト処理には、悪用可能
な脆弱性が複数含まれている。NTLM(NT Login Manager)認証をSMTPサーバに送
信すれば、アタッカーはサーバプロセスの権限(SYSTEM権限の場合も多い)で任
意のコードを実行できるようになってしまう。今のところ、この脆弱性の悪用
に認証は必要ないと考えられている。NTLM認証は、MailEnableのデフォルトで
は無効になっている。

<現状>
MailEnableはこれを認識しており、更新もリリースしている

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Mu Securityアドバイザリ
http://labs.musecurity.com/advisories/MU-200609-01.txt
MailEnableホームページ
http://www.mailenable.com
SecurityFocus BID
http://www.securityfocus.com/bid/20290
────────────────

◆危険度【中】: Trend Micro OfficeScanのActiveXに、書式文字列の脆弱性

<影響のある製品>
以下の製品には、ActiveXコントロールの脆弱なバージョンが含まれている。
また、他の製品も脆弱な可能性がある。
Trend Micro OfficeScan Corporate Editionnoのバージョン7.3

<詳細>
Trend Micro OfficeScan Corporate Editionは、アンチウィルス・アンチスパ
イウェアスイートとして広範囲で使用されている。しかし、これには、悪用可
能な書式文字列の脆弱性がある。細工した文字列をリモートのクライアントの
ActiveXコンポーネント・検索機能に送信すれば、アタッカーはこの脆弱性を
悪用して、OfficeScanのプロセス権限で任意のコードを実行できるようになる
おそれがある。この脆弱性の技術的詳細がすでに公表されている。

<現状>
Trend Microはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Layered Defenseのセキュリティアドバイザリ
http://www.layereddefense.com/TREND01OCT.html
Trend Micro のホームページ
http://www.trendmicro.com
SecurityFocus BID
http://www.securityfocus.com/bid/20284
────────────────

◆危険度【中】:phpBBにリモートのコード実行の脆弱性

<影響のある製品>
phpBBのバージョン2.0.21、また、それ以前のバージョンも脆弱なおそれあり

<詳細>
phpBBは、PHPベースの掲示板システムとして広範囲で使用されている。しかし、
これにはリモートのコード実行の脆弱性がある。特別なフォーマットを行った
specially-formatted値を、"Avatar_Path"変数を介してphpBBインスタンスに
送信すれば、アタッカーはWebサーバのプロセスの権限で任意のPHPコードを実
行できるようになってしまう。phpBBはオープンソースであるため、この脆弱
性の技術的詳細は、ソースコードを分析すれば簡単に入手できる。

<現状>
phpBBはこれを認識していないため、更新もリリースしていない。

<参考>
phpBBのホームページ
http://www.phpbb.com
SecurityFocus BID
http://www.securityfocus.com/bid/20347
────────────────

お詫びと訂正:
前号(2006年10月6日配信 No.9)の@RISKの4番目の脆弱性「OpenSSLのASN.1に
リモートのバッファオーバーフローの脆弱性」には間違いがありましたので、
訂正してお詫びいたします。
脆弱性は、ASN.1データの処理にあったわけではなく、「OpenSSLの
SSL_Get_Shared_Ciphers機能にあった」が正しい表現です。OpenSSL開発者に
よると、この機能は広範囲では使用されていないとのことです。