NRI Secure SANS NewsBites 日本版

Vol.1 No.14:2006年11月15日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
No.14 2006年11月15日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

■■SANS NewsBites Vol.8 No.87-88(原版:2006年11月3日、11月7日発行)

◆オランダの投票マシン 1,200台使用不可能!?
(2006.10.31)

一部の電子投票マシンに対しテストを行ったところ、20~30メートル離れたと
ころからでもデータを傍受できるとこがわかった。そのため、オランダ諜報セ
キュリティ機関(AIVD)は、SDU製のマシン1,200台を来月の選挙に使用しない決
定を下した。また、SDU製でない投票マシンを使用する選挙区がある一方で、
鉛筆と紙を用いて投票を行うところもあるという。Nedap製(同国で使用され
ているマシンの90%にあたる)のマシンも、ハッキングに脆弱だという声があ
るが、AIVDのテストでは同社製のマシンに大きな脅威性は見られなかった。
http://www.theregister.co.uk/2006/10/31/dutch_votingmachines_inadequate/print.html

【編集者メモ1】(Schmidt)
この問題は世界中で繰り返し発生しているものだが、まだこの問題による致命
的な障害は十分といえるほど発生してない。「許可するか否か」、それは数多
くのセキュリティ技術の問題の1つに過ぎないが、同時に、対処すべき問題に
は違いない。 現状をより深く把握されたい方は、下の報告書をご覧あれ。
http://www.brennancenter.org/programs/dem_vr_hava_modsecurity.html
【編集者メモ2】(Boekman)
電子データの放出は、長い間、軍環境におけるセキュリティの課題であった。
投票マシンについても然りだ。私が、米国のセキュリティ検討課題リストを優
先順位をつけて作成するとすれば、この問題の順位は一番下に配置してしまう。
したがって、オランダで、この問題が重要視されているということはよいこと
だ。
────────────────

◆患者情報取扱い不備で 病院グループ訴えられる。
(2006.10.31)

The Sisters of St. Francis Health Services Inc. が、医療保険の相互運用
性確保及び説明責任に関する法律 (HIPAA) に違反し、「昨夏セキュリティ侵
害の影響を受けた個人に対し、即座に通知を行わなかった」として訴えられて
いる。個人情報を漏えいされた人を代表する男性1人が訴えを起こしたもの。
原告は、侵害の影響を受けた各個人に対し、5,000ドル以上の損害賠償を求め
ている。2006年7月、病院の請負業者が個人情報の入ったCDを、ノートパソコ
ンケースに放置したまま店舗にそれを返品したため、侵害事件が発生するに至っ
た。問題のCDには、患者26万人、および病院関係者らの個人情報が保存されて
いた。影響を受けた被害者は、10月になるまで通知を受けなかった。
http://www.indystar.com/apps/pbcs.dll/article?AID=2006610310448
http://www.jconline.com/apps/pbcs.dll/article?AID=/20061031/NEWS09/61031011/-1/ARCHIVE

【編集者メモ】(Schultz)
事件の経緯は、非常に重要な意味を持つかもしれない。 医療データを処理・
送受信する組織は、HIPAA要件を満たせるように、できることはやってきてい
る。ただ、このHIPAA要件の満たし方に関しては、まだ曖昧な部分がたくさん
認められる。HIPAAに違反した場合、罰金や他の懲罰が、ある程度は科される
だけだ。しかし、個人情報を侵害された民間人に訴えられた場合、その医療施
設は、多大な損害を被ることになるだろう。
────────────────

◆GAO政府説明責任局の報告書 サイバーセキュリティ研究開発行動計画の作成を求める
(2006.10.31-11.1)

政府責任説明局 (GAO)の報告書「連邦サイバーセキュリティ研究開発の調整
(Coordination of Federal Cyber Security Research and Development)」に
よると、米国政府局は「サイバースペースの安全に関する国家戦略(National
Strategy to Secure Cyberspace)」で推奨されていた連邦サイバーセキュリティ
研究開発の行動計画すら、まだ作成できていないという。セキュリティ研究に
関して、政府局間での情報共有や協力がほとんどなされていない。 行動計画
が達成できなければ、サイバーアタックからシステムを守る政府の能力が脅か
されることになる。この報告書では、「ホワイトハウス科学技術局ポリシー
(Office of Science and Technology Policy)が、情報セキュリティ研究開発
行動計画のタイムスケジュールを作成すべきだ」と指摘している。
http://www.fcw.com/article96662-11-01-06-Web&printLayout
http://www.gcn.com/online/vol1_no1/42465-1.html?topic=security
http://www.govexec.com/story_page.cfm?articleid=35386&printerfriendlyVers=1&
http://www.gao.gov/new.items/d06811.pdf
────────────────

◆クレジットカード詐欺で10人逮捕
(2006.11.3)

イリノイ州ウィル郡の警察は、ジョリエット地区のモーテルに滞在した宿泊客
のクレジットカード番号が盗難された事件に関与した12人を逮捕した。そのう
ち4人は、問題のモーテルの所有者で、残りは従業員だった。ホテルの従業員
らは、1件100ドルでクレジットカード番号を売っていたようだ。また、クレジッ
ト枠の高めに設定されたカード番号については、500ドルで売られたものもあ
る。情報提供者によると、同人らはこれまで6年間で、問題の区域のモーテル
から少なくとも1万件のカード番号を購入したという。容疑者のうち10人が現
在拘留されている。被疑者らは、地元の人間でない顧客をあらかじめ選定し、
その客がモーテルに宿泊した日から、長いときは1年の期間をおいて、クレジッ
トカード情報を売っていた。
http://www.suntimes.com/news/metro/122699,CST-NWS-scam03.article
────────────────

◆機密情報文書 ロスアラモスのトレーラーから発見される
(2006.11.2-6)

ニューメキシコ州ロスアラモスのトレーラーを捜査したところ、ロスアラモス
国立研究所(LANL)のUSBメモリスティック3つが見つかったが、成果はそれだけ
ではなかった。さらに、機密情報や兵器情報が含まれているLANLの文書(228個)
も、印刷された形で発見された。USBメモリにも機密文書が保存されていた。
ロスアラモス警察が暴力事件発生の報告に対応し、トレーラーを捜査したとこ
ろ、執行猶予中に違反を犯した手配中の男と薬物関連用品を発見した。問題の
トレーラーは、LANLの研究所公文書保管担当者として勤務した経験のある女性
のものだった。
http://www.upi.com/NewsTrack/view.php?StoryID=20061104-063805-7735r
(このサイトを閲覧するには、無料登録が必要)
http://www.latimes.com/news/nationworld/nation/la-na-lab2nov02,1,6321678.story?coll=la-headlines-nation&ctrack=1&cset=true
http://www.krqe.com/expanded.asp?ID=18010
http://www.freenewmexican.com/news/51621.html
────────────────

◆Seagate社の新技術:ハードディスクに書き込まれたデータを自動的に暗号化
(2006.10.31)

Seagate社は、ハードディスクドライブに書き込まれたすべてのデータを自
動的に暗号化する技術を開発した。これは、DriveTrustテクノロジーと称され、
現在、デジタルエンターテイメントデバイスのSeagate DB35ディスクドライブ
に活用されている。同社は、DriveTrustを用いたノートパソコン用のハード
ドライブを、来年早々に販売する。このノートブック用のドライブは、128
ビットのAdvanced Encryption Standard (AES)暗号化技術を使用している。
ユーザーは、初めてノートパソコンを起動する際に、パスワードを作成するよ
うに要求される。その後、マシンは、毎回起動時にそのパスワードを要求する
という。
http://news.com.com/2102-1029_3-6130824.html?tag=st.util.print

【編集者メモ1】 (Ullrich)
他社が開発した自己破壊ハードドライブよりは、ずいぶん分別のあるアプロー
チに聞こえる。しかし、すべては他人が思いつかないようなパスワードの設定
(そして、それを忘れないようにすること)にかかっている。この新技術
をもってしても、企業開発用のキーエスクローのような、さらに高度なソリュー
ションがなくなるわけではなかろう。
【編集者メモ2】(Northcutt)
Gen Forrestのフレーズを思い出す。TCG基準が達成できるのはまだまだ先の話
だが、Segateは、現在ここまで到達しており、同時に、この基準を相互運用可
能なものに変えてしまえるくらい大きな力を有している。人は、今使えるソリュー
ションに飛びつきたがるものだ。下のリンクのニュースは、プレスリリースを
もとにして書かれたものだが、これらの記事には良質の情報が含まれている。
http://www.seagate.com/cda/newsinfo/newsroom/releases/article/0,1121,3347,00.html
【編集者メモ3】(Grefer)
AESの輸出制限に影響を受ける可能性があるので、米国外の購読者にとっては、
LaCieのMobileハードドライブなど、 DESや3DESを使用している製品の方が入
手しやすいだろう。
http://www.eweek.com/print_article2/0,1217,a=192417,00.asp
────────────────

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年11月6日配信 Vol.5 No.44)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

◆危険度【高】: Microsoft XMLコアサービスの XMLHTTP ActiveXコントロールに
リモートでコードを実行される脆弱性(zero-day)

<影響のある製品>
Microsoft XMLコアサービス 4.0

<詳細>
Microsoft XMLコアサービスは、XML認識アプリケーションを構築するときに用
いられる。しかし、この中にあるActiveXコントロールには、リモートでコー
ドを実行されかねない脆弱性がある。悪意のあるWebページがXMLHTTPの
ActiveXコントロールをインスタンス化すると、そのWebページはこの脆弱性を
悪用して、現在のユーザーの権限で任意のコードを実行できるようになってし
まう。この脆弱性の技術的詳細がすでに公表されており、活発に悪用されてい
る。ユーザーは、CLSID "88d969c5-f192-11d4-a65f-0040963251e5"に対する
Microsoftの"kill bit"機能を介して問題のActiveXコントロールを無効にすれ
ば、この脆弱性の影響を軽減できる。

<現状>
Microsoftはこれを認識しているが、まだ更新はリリースしていない。

<参考>
Microsoftセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/927892.mspx
SANS Internet Storm Centerハンドラーの日記
http://isc.sans.org/diary.php?storyid=1825
Securiteam のブログ
http://blogs.securiteam.com/index.php/archives/717
SecurityFocus BID
http://www.securityfocus.com/bid/20915
────────────────

◆危険度【高】: America Online ICQのICQPhone ActiveXコントロールにリモートで
コードを実行される脆弱性

<影響のある製品>
America Online ICQ 5.1

<詳細>
America Online (AOL) ICQは、インスタントメッセージ用アプリケーションと
して広範囲で使用されている。しかし、これにはリモートでコードを実行され
かねない欠陥がある。ICQPhone ActiveXコントロールは、デフォルトでICQに
含まれているもので、どのURLからも自動的に任意のファイルをダウンロード
し、実行するように設定して動作させることが可能だ。 前述のファイルは、
現在のユーザーの権限で実行される。細工されたWebページは、ActiveXコント
ロールをインスタンス化し、ユーザーの操作なしでこの脆弱性を悪用できてし
まう。脆弱なコントロールは、ICQネットワークにユーザーがログインしたと
きに自動的に更新される。
ユーザーは、CLSID "54BDE6EC-F42F-4500-AC46-905177444300"に対して、
Microsoftの"kill bit"機能で問題のActiveXコントロールを無効にすれば、こ
の脆弱性の影響を軽減できる。

<現状>
AOLはこれを認識しており、更新もリリースしている。

<参考>
Zero-Dayイニシアチブ
http://zerodayinitiative.com/advisories/ZDI-06-037.html
Microsoft知識ベースの関連記事("kill bit"機能の解説)
http://support.microsoft.com/kb/240797
AOL ICQ のホームページ
http://www.icq.com
SecurityFocus BID
まだリリースされておらず
────────────────

◆危険度【中】: Microsoft Visual StudionのActiveXにリモートでコードを実行される脆弱性

<影響のある製品>
Microsoft Visual Studio 2005

<詳細>
Microsoft Visual Studioは、Microsoftの多国語統合開発環境である。この
ActiveXコントロールには、リモートでコードを実行されかねない脆弱性があ
る。悪意のあるWebページがこのコントロールをインスタンス化すると、同Web
ページはこの脆弱性を悪用して、現在のユーザーの権限で任意のコードを実行
できるようになってしまう。この脆弱性に対するエクスプロイトコード、およ
び技術的詳細がすでに公表され、活発に悪用されているようだ。ユーザーは、
CLISD"7F5B7F63-F06F-4331-8A26-339E03C0AE3D"に対して、Microsoftの"kill
bit"機能で問題のActiveXコントロールを無効にすれば、この脆弱性の影響を
軽減できる。

<現状>
Microsoftはこれを認識しているが、更新はリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のすべてが、この問題に何らかの対策を講じている。ほとんど
の企業が、kill bitを設定するか否か、現在検査中だ。ある1社は、境界アク
ティブコンテンツ保護機能を使用して、問題の通信をブロックしたとコメント
している。他の1社のユーザーの中には、kill bitをユーザー自身で設定して
いたところもあるようだ。また、あるデスクトップサポートグループは、この
問題に対処するつもりはないという。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/927709.mspx
Microsoft知識ベースの関連記事("kill bit"機能の解説)
http://support.microsoft.com/kb/240797
Metasploitのエクスプロイト・モジュール
http://metasploit.com/projects/Framework/exploits.html#ie_createobject
SecurityFocus BID
http://www.securityfocus.com/bid/20843
────────────────

◆危険度【中】: Cisco Security Agent Management Centerに認証回避の脆弱性

<影響のある製品>
Cisco Security Agent Management Center 5.1からHotfix 5.1.0.79まで

<詳細>
Cisco Security Agent Management Center (CSAMC: 別名”Cisco Security
Agent Management Center”)は、セキュリティポリシーを一元的に設定・管理
するときに使用される。しかし、これには、認証回避の脆弱性がある。LDAP経
由で管理者アカウントを認証するように設定されていると、アタッカーは、正
しい管理者ユーザー名と「入力なし」のパスワードさえ提供すれば、その管理
者の権限でCSAMCへのアクセスを獲得できるようになってしまう。ユーザーは、
可能であれば、管理者アカウントのLDAP認証を無効するとよい。

<現状>
Ciscoはこれを認識し、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Ciscoセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-11/0011.html
Cisco Security Agent Management Centerの文書
http://www.cisco.com/en/US/products/sw/cscowork/ps5212/tsd_products_support_series_home.html
SecurityFocus BID
http://www.securityfocus.com/bid/20852
────────────────

◆エクスプロイト:Appleのワイヤレスドライバある複数の脆弱性に対して

<セキュリティマネージャ委員会所属企業の対応>
この問題に対策を講じている委員会所属企業は2社のみだった。そのうち1社は、
アラート情報を同社のネットワーキングサポートグループに送信した。もう1
社は、この問題を注意深く観察していく意向だ。両社とも、FOSSコミュニティ
でバイナリドライバの問題が議論されていたが、くしくもその議論がこの種の
アタックを招いたと述べている。

<参考>
Metasploitのエクスプロイト・モジュール
http://metasploit.com/svn/framework3/trunk/modules/auxiliary/dos/wireless/daringphucball.rb
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=39#widely3
────────────────