NRI Secure SANS NewsBites 日本版

Vol.1 No.13:2006年11月7日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
No.13 2006年11月7日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

■■SANS NewsBites Vol.8 No.83-84(原版:2006年10月28日、11月1日発行)

■はじめに:Alan Paller(SANS Director of Research)
コントロールシステムのハッキングおよび恐喝に関しての更新

産業コントロールシステム(ダムや発電所、パイプラインを運用管理するシス
テム)が、実際にサイバー犯によって侵入されたことを受けて、信頼性につい
て問題が提起された。
バージニア州のウィリアムズバーグで開催された連邦高官リーダーシップコン
ファレンス(Federal Executive Leadership Conference)で、諜報機関の代
表が政府高官や産業界要人200人に対して講演した。その中で、重要インフラ
組織のシステムが不正侵入され、しかるべき支払いを行わないと、機能停止を
行使すると恐喝される事件があったことを認めた。 昨日公表された追加情報
によると、コントロールシステムに恐喝アタックが発生しているのは、米国外
だとのこと。米国の重要インフラ企業は、同様のアタックの恐喝を受けて、支
払いを行ったことがあるかどうかについて肯定も否定もしていない。
ネットワークに関する脅威の情勢も姿を変えつつある。アタッカー同士に競争
が生じているため、比較的新しい、温床的脆弱性がターゲットになりやすくなっ
ている(ほとんどの組織の脆弱性がそれに当たり、それらの脆弱性をふさいで
いる組織は、全体の10分の3 以下にすぎない)。
我々は、11月15日に「インターネットセキュリティの脆弱性Top20」を発表す
る。

◆RFIDのクレジットカード 平文Plaintextでデータを送信
(2006.10.23-24)

学術研究者らは、RFIDチップ搭載の新しいクレジットカードから、暗号化され
た機密情報が送信できることを発見した。マサチューセッツ大学アマーストキャ
ンパスの研究者らは、配送用の封筒を通してカードを読み取ることに成功。読
み取れた情報の中には、平文のカード所有者の氏名、カード番号、使用期限日
までもがあった。 RFIDカードは、磁器を通す必要がないという利便性をうたっ
ていた。つまり、ユーザーは、読み取り機の前にカードをちらつかせるだけで
よいというものだった。 企業の広告の中には、カード内の情報は暗号化され
ていると暗示しているものもあった。しかし、Visa, MasterCardおよび
American Expressなどのカード20枚にテストを行ったところ、データは暗号化
されていなかったことが判明。カードは、洋服や財布を通して読み取られるお
それがある。カード発行会社は、他のセキュリティ対策によって、RFID支払い
システムの乱用を防止できると主張している。また、この研究結果についても、
実験に使用したカード枚数が少ないことから、批判の声も上がっている。
http://news.com.com/2102-1029_3-6128407.html?tag=st.util.print
http://www.theregister.co.uk/2006/10/24/rfid_credit_card_hack/print.html

【編集者メモ】(Pescatore)
テストを行った20枚のカード全てに問題があったとこだけで、すでに大きな問
題とすべきだ。これは、人気投票でも選挙でもない。カード発行会社に、カー
ド所有者の個人情報の保護機能をオン・オフにする権限があったのであれば、
これらの「タッチする必要のない」カードが、セキュリティ対策を組み込まず
に発送されていたなど、あってはならないことだ。そして、業界人の反応は、
まるで時代遅れの言い逃れだ。彼らが述べるべきだった言葉は「これは不測の
事態だ。全力を尽くしてこの状態を改善する」だろう。
────────────────

◆バージニア州議会 紙面投票記録を求める
(2006.10.26)

バージニア州で電子投票マシンに問題が発覚したため、州議会は同州内の「電
子投票の正確性を確認する」目的で、検証用の監査証跡紙の提出を要求した。
監査証跡によると、バージニア州の地区の中には、投票サマリーページのフォ
ントのサイズが通常よりも大きかったため、立候補者氏名がかすれてしまい、
投票者の間に混乱を招きかねない問題が確認されたところもあった。最近、同
州の選挙管理委員会に対して、電子投票マシンと紙面記録をテストするプログ
ラムを作成するように義務付ける法案が打ち出されたが、バージニア州議会は、
それを否決したばかりだ。
http://www.washingtonpost.com/wp-dyn/content/article/2006/10/25/AR2006102501918_pf.html

【編集者メモ1】(Schultz)
今年は「バージニア州の年」だ!
実際にあるべき選挙の公平性や正確性を保証しようとするなら、何度も言った
ように、民主的なプロセスが踏まれているかどうかを一番大事に考えるべきだ。
【編集者メモ2】(Kreitner)
弁護士集団は、電子投票の問題に飛びつく準備万端だ。したがって、電子投票
マシンが問題なく使用されてしばらくたつまでは、全てを紙にバックアップす
ることが懸命だと言えよう。
────────────────

◆Diebold社 メリーランド州の投票マシン4,700台のマザーボードを交換
(2006.10.26-27)

メリーランド州選挙管理委員会のGilles W. Burger会長は、Diebold社の選挙
システムが、同州との契約に違反していたかどうかを調査している。同社は、
4つの郡において、報告なしに投票マシン4,700台のマザーボードを取り換えて
いた。これらのボードは、マシンのスクリーンがフリーズするのを修正する目
的で交換されている。Burger氏によると、 同委員会は、2005年に「Diebold社
は、投票マシンの一部に技術更新を行った」と報告したが、マザーボードを取
り換えたことは告げていなかったという。
http://www.usatoday.com/tech/news/2006-10-27-diebold-fixes_x.htm
http://www.washingtonpost.com/wp-dyn/content/article/2006/10/25/AR2006102501907_pf.html

【編集者メモ1】(Honan)
サプライヤーが考えをめぐらし、投票マシンのハードウェアを内密に取り替え
たとしても、サプライヤーやその技術のセキュリティに信頼性が生まれること
はほとんどない。
【編集者メモ2】(Kreitner)
地元の自治体が電子投票マシンのストレージに予算をあてられなかったために、
職員の自宅に電子投票マシンを保管していたという事実を、最近テレビが報道
した。となると、Diebold社は、問題の4,700台のマシンを探しあてるのに、彼
らの自宅一軒一軒を訪問していったのだろうか?
【編集者メモ3】(Schultz)
Diebold社の行動によって、電子投票に反対の人の割合がさらに増えるだろう。
【編集者メモ3】(Northcutt)
メリーランド州に住んでいて、自分の投票がきちんと票としてカウントされて
ほしいと思われるなら、不在者投票を行ってみてはいかがだろう? 電子投票
の問題は目新しいものではないが、研究によると、マシンを実際に購入して投
票を行う前から、問題発生の可能性が顕著に見られたという。
────────────────

◆Microsoft ドイツで先例たるスパム裁判に勝利
(2006.10.26-27)

Microsoftは、ドイツにはアンチスパム法がないにもかかわらず、同国でスパ
マーを訴えた裁判に勝訴した。問題の男は、Microsoftの許可なしに、返信ア
ドレスをHotmailに見せかけ、迷惑メールを送信していた容疑で有罪となった。
ドイツでは、商標の侵害は犯罪と見なされている。この判決は、今後ドイツで
行われるスパマー裁判の先例判決となるであろう。この男は、スパムの送受信
にかかわる損害賠償をしなければならない。
http://www.networkworld.com/news/2006/102606-microsoft-wins-case-against-german.html
http://www.heise.de/english/newsticker/news/80142

【編集者メモ】(Honan)
ドイツにも、スパムに関する法があるはずだ。
"Gesetz gegen Unlauteren Wettbewerb (UWG)"の第7章をご覧あれ。
http://www.oecd-antispam.org/rubrique.php3?id_rubrique=27.
────────────────

◆24か国 ビザ免除プログラム・電子パスポートの期日に間に合う
(2006.10.27)

米国ビザ免除プログラム(VWP)に参加している27か国のうち、3か国を除く24か
国が、生態認証データを組み込んだパスポートの導入を完了した。VWPに参加
している国の国民は、ビザなしで米国を訪問できる。VWPを利用したい国に対
して米国国土安全保障省(DHS)は、電子パスポートの必須条件を満たす期日と
して2006年10月26日を設定していた。この期日に間に合わなかった国の国民は、
米国入国にビザが引き続き必要になる。DHSによると、残りの3か国、アンドラ、
ブルネイ、リヒテンシュタインがこの要件を満たせるように、今後もその協力
を惜しまないという。参加国の国民のほとんどが、VWPを利用すれば90日以内
であれば、米国にビザなしで滞在できる。2005年10月26日までにマシンで読み
取り可能なパスポートを発行された旅行者も、VWPを利用できる。また、2005
年10月26日から2006年10月25日までの期間にデジタル写真付かつマシンで読み
取り可能なパスポートを発行された旅行者も同様だ。
http://www.fcw.com/article96613-10-27-06-Web
http://www.dhs.gov/xlibrary/assets/vwp_travelerguide.pdf
http://travel.state.gov/visa/temp/without/without_1990.html

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年10月31日配信 Vol.5 No.43)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

<巻頭言> Alan Paller(SANS Director of Research)
今週は、新たな脆弱性が、あまり報告されなかった。しかし、Oracleに膨大な
数の脆弱性の詳細情報がリリースされたため、Oracleのユーザーは、パッチ適
用予定日を繰り上げて対応することができるだろう。
────────────────

◆危険度【高】:AOL Nullsoft Winampに複数のバッファオーバーフローの脆弱性

<影響のある製品>
Winampのバージョン5.23と5.3、もしくは、それ以前のバージョン

<詳細>
Winampは、広範囲で使用されているメディアプレーヤである。しかし、これに
は、複数のヒープベースのバッファオーバーフローがある。Winampは、AOLの
Ultravoxメディアストリーミングプロトコルをサポートしている。1つ目のヒー
プベースのオーバーフローは、細工された"ultravox-max-msg"ヘッダーを提供
すると引き起こされる。2つ目のオーバーフローは、細工されたLyrics3タグ
(MP3ファイルに歌詞を組み込む際に使用されるもの)によって引き起こされ
る。不正形式のプレイリストファイル(.m3uもしくは.plsの拡張子)、細工され
た"shout:" URIや"uvox:" URIによって、これらのオーバーフローが引き起こ
されると、Winampのユーザーのシステムに任意のコードが実行されるおそれが
ある。Internet Explorerは、プレイリストファイルや"shout:" URIファイル、
"uvox:" URIファイルを自動的に開いてしまうので注意が必要だ。このため、
悪意のあるサイトやリンクを閲覧したりクリックしたりする操作でも、十分こ
れらのオーバーフローを悪用できてしまう。

<現状>
Winampはバージョン5.31をリリースして、これらの脆弱性に対処した。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
iDefense のアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-10/0424.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0418.html
Ultravoxプロトコルの仕様
http://ultravox.aol.com/Ultravox3.pdf
Lyrics3 Tag
http://www.id3.org/lyrics3.html
SecurityFocus BID
http://www.securityfocus.com/bid/20744
────────────────

◆危険度【高】:AOLのYGPPicDownload.dllのActiveXコントロールにバッファ
オーバーフローの脆弱性

<影響のある製品>
AOL 9.0 Security Edition

<詳細>
AOLの9.0 Security Editionは、AOLユーザーをマルウェアやスパムなどの脅威
から保護するための製品だ。このソフトウェアは、YGPPicDownload.dllの
ActiveXコントロールと同梱されているが、このActiveXコントロールには、バッ
ファオーバーフロー脆弱性がある。この脆弱性は、"downloadFileDirectory"
プロパティや"AddPictureNoAlbum"メソッドに細工されたインプットがなされ
ると引き起こされる。Webページにこの欠陥を悪用されると、AOL Security
Editionのユーザーのシステムに任意のコードが実行されかねない。このコン
トロールは、"safe for scripting"と示されているため、ユーザーの操作がな
くとも、悪意のあるWebページ内のスクリプトによって発動するおそれがある。
特定のPCにおいては、このソフトウェアがデフォルトで同梱されているので、
注意が必要だ。

<現状>
AOLはこれを認識し、更新をリリースしている。ユーザーは、Microsoftの
"kill bit"機能を介して、影響のあるActiveXコントロールを無効にすれば、
影響を軽減できる。影響のあるコントロールに対するGUIDは:
"D670D0B3-05AB-4115-9F87-D983EF1AC747"である。

<セキュリティマネージャ委員会所属企業の対応>
AOLソフトウェアが事前にインストールされている(しかし、ほんとんどの場
合一度も使用されていない)Dellコンピュータ数百台を所持している委員会所
属企業が1社あった。同社は現在、問題のActiveXコントロールが、これらのコ
ンピュータに存在しているかどうかを調査している。

<参考>
iDefenseのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-10/0422.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0420.html
AOL 9.0 Security Editionの製品ページ
http://corp.aol.com/products/brands_aol2.shtml
Microsoft知識ベースの関連記事("kill bit"機能を説明)
http://support.microsoft.com/kb/240797
@RISKのバックナンバーに掲載された関連記事(類似の問題)
http://www.sans.org/newsletters/risk/display.php?v=5&i=3#widely3
SecurityFocus BID
http://www.securityfocus.com/bid/20745
http://www.securityfocus.com/bid/20747
────────────────

◆更新:Oracleの2006年10月期・重大なパッチ更新

10月期のOracleパッチ更新に掲載されている脆弱性多数に関する技術的詳細が、
このほど公表された。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業は、先週と同様の対応を行っている。:
委員会所属企業のほとんどは、この問題に対して何らかの対策を講じており、
近々にパッチを適用する見込みだ。数社は、次期システムメンテナンススケジュー
ルに合わせて適用を行う。その他の企業は、通常の(かつ厳しい)Oracleパッ
チの回帰テストを行っており、テストに成功したらパッチを適用するようだ。

<参考>
Red Databaseのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-10/0392.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0391.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0389.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0388.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0385.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0384.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0383.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0382.html
────────────────

◆危険度【重大】: Novell eDirectory iMonitorのバッファオーバーフローの脆弱性にエクスプロイト

<参考>
エクスプロイトコード
http://www.milw0rm.com/exploits/2671
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=42#widely1
────────────────