NRI Secure SANS NewsBites 日本版

Vol.1 No.15:2006年11月20日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
No.15 2006年11月20日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

■■SANS NewsBites Vol.8 No.89-90(原版:2006年11月10日、11月14日発行)

■はじめに(Alan Paller: SANS director of research)

SANS 2007 (サンディエゴで3月29日から4月6日まで開催される、SANS最大の年
次カンファレンス)が、参加申し込み受付を開始した。SANSの年次カンファレ
ンスは、一箇所で開催されているものの中では、学習プログラムの数の多さが
抜きん出ている(51種類のコースと、多数の展示Fなどがある)。
http://www.sans.org/sans2007/

過去にSANSカンファレンスに参加された方々からのコメントを以下に紹介する。
これらを読めば、プログラムのイメージが沸くだろう。

"素晴らしい! 有益な情報がたくさん得られる。このプログラムに参加して、
私の頭はゼリーのような状態に柔軟化した。来年も必ず参加する。"
(米国骨髄提供者プログラム Kurt Danielson)

"今回で4度目のSANSカンファレンスになる。毎度のことながら講師陣はぴか一
だ。いつも驚嘆し、多くを習得して会場を後にすることができる。"
(ワシントン州 CTED Bill Wildprett)

"今まで私が参加した他のプログラムのどれよりも素晴らしく、中身の濃い、
価値の高いプログラムだ。大学の学士課程や修士課程と比べても然り。"
(RT Communications Mark Laughlin)

"このカンファレンスで、私の職場におけるプロセスを即座に改善できるスキ
ルを習得できた。"
(AT&T Karissa Truitt)

3月まで待ちきれない方は、以下の会場もご参照あれ。
ワシントンDC(12月9日~)
http://www.sans.org/cdieast06/
オーランド(1月13日~)
http://www.sans.org/bootcamp07/
また、サンノゼ、フェニックス、 プラハ、ブリスベンでも開催予定。
世界各都市で開催される、70種類以上のプログラムのリストをご覧になりたい
方は下のサイトへ。
http://www.sans.org/training_events/?ref=1433

★東京の次回開催は、2007年2月19日~24日を予定!★
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今から計画を!
────────────────

◆フィッシング詐欺が増加する一方でデビットカードとクレジットカードの紛失は減少
(2006.11.6-8)

英国決済サービス協会(APACS)の統計によると、2006年上期に検知されたフィッ
シング件数は、5,059件で、前年同期比で1,500%増を記録した。また、オンラ
イン詐欺による銀行の損失額も55%増と急激に増加し、総額で2,300万ポンド
(4,380万ドル相当)に達した。しかし、デビットカードとクレジットカードの
詐欺による損失額は、前年同期比で5%減少している。APACSは、チップ・アン
ド・ピンカード(ICチップと暗証番号により保護するタイプのカード)の使用
が増えたからこのような結果に転じたと考えている。 現在、窃盗犯らは、ATM
に細工し、そこで得た情報をカードのスキミング職人に委ねるという手法をと
りつつあるようだ。
http://news.bbc.co.uk/2/hi/business/6122116.stm
http://www.siliconrepublic.com/news/news.nv?storyid=single7323
http://www.silicon.com/financialservices/0,3800010364,39163887,00.htm
http://www.itnews.com.au/newsstory.aspx?CIaNID=41882
http://www.theregister.co.uk/2006/11/07/credit_card_fraud_stats/print.html
http://business.timesonline.co.uk/article/0,,9558-2440184,00.html

【編集者メモ】(Pescatore)
フィッシングメール件数やウィルスメール件数に焦点をあてても、まったく意
味はない。暴風雨の雨の滴を1つひとつ数えているようなものだ。知りたいの
はどれぐらい濡れるかであって、何滴降ってきたかではない。フィッシング詐
欺が成功する件数自体は少なくなり、全体的なダメージの状況は横ばいである
ということは、インシデント1件当たりの平均ダメージ度は上がったことにな
る。より明確にターゲットを絞ったアタックが多く見られるようになり、価値
の高いものが、標的として狙われている。
────────────────

◆オーストラリアの国防省 ノートパソコンを暗号化
(2006.11.6-7)

オーストラリアの国防省は、「省内すべてのノートパソコンにハードディスク
暗号化技術を実装する」というミッションの半分以上を完了した。国防省の職
員で、この技術を自身のコンピュータにインストールさたくない人は、同省の
CIOによる例外措置も受けられることになっている。機密情報が保存されてい
たコンピュータディスクが紛失した事件が公表されたため、この決定はそれに
駆り立てられる形で下された。
http://www.zdnet.com.au/news/security/print.htm?TYPE=story&AT=339272049-130061744t-110000005c
http://australianit.news.com.au/articles/0,7204,20712903%5E15306%5E%5Enbv%5E,00.html

【編集者メモ】 (Honan)
オーストラリアの国防省はすばらしい行動に踏み出した。 しかし、セキュリ
ティの強度は、全体の中で最も弱い箇所によって決まるものだ。したがって、
この計画で例外措置を得た者は、ノートパソコンから機密情報にアクセスしな
い、もしくはできないように設定されるように願いたい。
────────────────

◆トロイの木馬送信・少女恐喝の男 10年の懲役
(2006.11.10)

英国人のAdrian Ringlandは、少女らにトロイの木馬をダウンロードさせ、彼
女らのコンピュータの制御を奪った容疑で有罪となり、10年の懲役刑を言い渡
された。また、同人は、被害者の少女らに自身のヌード写真を送信するように
圧力をかけていた。その後、同人は、最初に送信されたヌード写真を盾に、少
女らに対し、さらに写真を送信するように恐喝していた。Ringlandの逮捕は、
カナダ王立騎馬警察(Royal Canadian Mounted Police)、 FBI、英国SOCA
(Serious Organized Crime Agency:重大な組織犯罪を捜査・摘発する組
織)、およびMicrosoftの共同捜査によって実現した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9004978&taxonomyId=17&intsrc=kc_top
http://www.theregister.co.uk/2006/11/10/trojan_pervert_jailed/print.html
────────────────

◆シンガポールの少年 Wireless Piggybackingで3年の懲役
(2006.11.10)

シンガポールの少年Garyl Tan Jia Luoが、他人のホーム用ワイヤレスネット
ワークに未承認でアクセスしていた容疑で、最高3年の懲役刑を求められてい
る。有罪になった場合、同人は最高1万シンガポールドル(6,414米ドル相当)の
罰金の支払いを命じられる可能性もある。今週、同人の裁判が始まる予定だ。
http://www.iht.com/articles/ap/2006/11/11/asia/AS_GEN_Singapore_Internet_Charges.php

【編集者メモ】 (Schultz)
他人のワイヤレスネットワークに便乗していただけで3年の懲役とは、厳しす
ぎるのではないか。他のコンピュータに侵入したすべての者が、執行猶予付き
の判決で済んでいるというのに。
【ゲスト編集者メモ】 (Tower-Pierce)
シンガポールのコンピュータ乱用法はこちら:
http://www.ida.gov.sg/idaweb/pnr/infopage.jsp?infopagecategory=infoecon:pnr&versionid=1&infopageid=I234
http://agcvldb4.agc.gov.sg/
────────────────

◆DoSアタック 英国で10年の懲役となる
(2006.11.10-12)

新しい英国法では、サービス停止を引き起こすDoSアタックが、最高10年の懲
役に科せられる犯罪とみなされている。この新法は、Police and Justice Act
といわれ、先週成立した。この法は、コンピュータ乱用防止1990年法(CMA)を
改正したもので、コンピュータに未承認の改ざんを加えた者にも懲罰を科すこ
とができる。David Lennonは、元雇用主にDoSアタックを仕掛けたが、罪を逃
れた。なぜなら、Lennonの弁護士が「CMAでは、未承認でシステムを改ざんす
る行為は犯罪とみなされているが、メールサーバはメールを受信するように設
計されているため、メールの送信行為自体は承認された改ざんである」と主張
したのである。そして判決では、Lennonには2か月間の外出禁止監視期間が設
けられただけだった。新法では、DoSアタックで有罪になった場合、最高で10
年の刑期に科されるようになる。また、サイバーアタックに利用できるツール
やソフトウェアを作成・提供した者も、6か月から2年の懲役に科される。つま
り、コンピュータの運用を何らかの手段で妨害する行為は、すべて犯罪とみな
されることになる。
http://www.theregister.co.uk/2006/11/12/uk_bans_denial_of_service_attacks/print.html
http://software.silicon.com/security/0,39024888,39163990,00.htm
http://www.zdnet.co.uk/misc/print/0,1000000169,39284670-39001093c,00.htm

【編集者メモ】 (Grefer)
法が予期せぬ結果を生んだ…情報セキュリティ用の多くのツールがサイバーア
タックに悪用される可能性があるため、英国ではこういったツールを作成・提
供する行為も非合法化されてしまうようだ。欠陥のあるパッチがソフトウェア
ベンダーから提供された場合にも、それは「コンピュータの運用を妨害する行
為」になるのだろうか。
────────────────

◆スパイウェア・マルウェア提供者に業務停止命令
(2006.11.13)

米国ネバダ州の地方裁判所は、ERG Ventures LLCとその関連会社に対し、暫定
的業務停止命令を発行した。同社らは、スパイウェアやマルウェアを、ユーザー
の同意なしでコンピュータにダウンロードした疑いがある。連邦取引委員会
(FTC)は、ERGとその関連会社に対する永久的業務停止命令を求めている。ユー
ザーには、スクリーンセーバーとビデオファイルの無料提供をうたっていたが、
実際には、ひそかにMedia Motorがダウンロードされていた。Media Motorはいっ
たんダウンロードされると、感染したコンピュータに、さらにマルウェアがダ
ウンロードしていく仕組みになっていた。マルウェアには、ユーザーのホーム
ページが改ざんされる、排除が困難なツールバー(ポップアップ画面)が追加
される、アンチスパイウェアやアンチウィルスソフトウェアが無効にされるな
ど、多くの問題が生じた。FTCが告訴した企業は、不正かつ詐欺的な慣行を禁
じるFTC法に違反している。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9005016&taxonomyId=17&intsrc=kc_top
────────────────

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年11月13日配信 Vol.5 No.45)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

■はじめに(Alan Paller: SANS director of research)

Broadcomのデバイスドライバ(Broadcomチップは、HP、Dell、Gatewayおよび
eMachinesのマシンに使われている)を使用しているワイヤレスカードが付い
たWindowsのノートパソコンは、Macintoshのワイヤレスでたびたび槍玉にあげ
られたアタックに、もろ脆弱だ。 ワイヤレスカード付きマシンがオンであれ
ば、ワイヤレスのアクセスポイントに接続してなくとも脆弱になる。また、
Firefoxユーザーは、バージョン1.5.0.8か2に今すぐ更新されたい。これとは
別に、OpenView Configuration Manager V. 1.0の更新をインストールすべき
だ。

PS:
SANS 脆弱性Top20の2006年版が、11月16日に発表された(日本語版も近日中に
掲載予定)。@RISKの読者の皆様は、新しい様相のほとんどにすぐ慣れられる
だろう。多少驚かれる変更もあるかもしれない。
http://www.sans.org.top20/

◆危険度【高】: Broadcomのワイヤレス・デバイスドライバにバッファオーバーフローの脆弱性

<影響のある製品>
Broadcom BCMWL5.SYS Driverのバージョン3.50.21.10、もしくはそれ以前のバー
ジョン

<詳細>
Broadcom BCWML5.SYSのデバイスドライバは、Broadcomワイヤレスカードをコ
ントロールする際に用いられる。しかし、これには、バッファオーバーフロー
の脆弱性がある。送信するprobe responseのSSIDが長すぎると、アタッカーは
このバッファオーバーフローを悪用して、脆弱なシステムのコントロールを完
全に奪うことができるようになる。認証は必要ないので、アタッカーは脆弱な
システムのワイヤレス通信範囲内にいるだけでよい。このドライバは、主に
Microsoft Windowsシステム用に設計されたものだが、"NdisWrapper"クロスプ
ラットフォームドライバフレームワークとも互換性があるようだ。
"NdisWrapper"があれば、IntelをプラットフォームにしたLinux上でこのドラ
イバを運用できる。この脆弱性は、さまざまなOSのkernelに存在するバグを特
定するプロジェクトの一環で発見された。同脆弱性に対して作用するエクスプ
ロイトも公表されている。また、同脆弱性は、@RISKのバックナンバーに掲載
された、Mac OS Xに発見された脆弱性に類似している。

<現状>
ベンダーの中には、ワイヤレスカードのこの脆弱性に対するパッチを提供した
ところもある。

<参考>
Month of Kernel Bugsのセキュリティアドバイザリ
http://projects.info-pull.com/mokb/MOKB-11-11-2006.html
Metasploitのエクスプロイト・モジュール
http://metasploit.com/svn/framework3/trunk/modules/exploits/windows/driver/broadcom_wifi_ssid.rb
Broadcom Wirelessのホームページ
http://www.broadcom.com/products/Wireless-LAN
「デバイスドライバ」についてのWikipediaの説明
http://en.wikipedia.org/wiki/Device_Driver
NdisWrapperのホームページ
http://ndiswrapper.sourceforge.net/
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=31#vulnerabilities1
────────────────

◆危険度【高】: Mozilla製品に複数の脆弱性

<影響のある製品>
Mozilla Firefox のバージョン1.5.0.8までのバージョン
Mozilla Thunderbird のバージョン1.5.0.8までのバージョン
Mozilla SeaMonkey のバージョン1.0.6までのバージョン

<詳細>
Mozilla Firefox Webブラウザ、Mozilla Thunderbird email client、Mozilla
SeaMonkey integrated suiteなど、Mozillaアプリケーションスイートをベー
スにした複数の製品には、複数の脆弱性がある。これらの脆弱性によって、悪
意のあるWebページや電子メールが、現在のユーザーの権限で、任意のコード
やJavaScriptコードを実行できるようになってしまう。サービス停止状態(DoS)
を引き起こすとも報告されている。影響のあるアプリケーションのすべてがオー
プンソースであるため、ソースコードを解析すれば、技術的詳細を入手できる。

<現状>
Mozilla Foundationはこれを認識しており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社のみが、この問題に対策を講じている。そのうち1社
は、すでに更新を配信した。もう1社は、今月末にIT管理システム自体を更新
する見込み。同2社におけるITサポートを受けていないユーザーは、自動的に
更新の有無をチェックしてインストールできる製品を使用するように設定され
ている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2006/mfsa2006-67.html
http://www.mozilla.org/security/announce/2006/mfsa2006-66.html
http://www.mozilla.org/security/announce/2006/mfsa2006-65.html
SANS Internet Storm CenterのHander's Diary
http://isc.sans.org/diary.php?storyid=1834
SecurityFocus BID
http://www.securityfocus.com/bid/20957
────────────────

◆危険度【高】: HP OpenView Client Configuration Managerにリモートのコマンド実行脆弱性

<影響のある製品>
HP OpenView Client Configuration Manager 1.0

<詳細>
HP OpenView Client Configuration Managerは、クライアントの設定を一元管
理する際に用いられる。しかし、これにはリモートでコマンドを実行されかね
ない脆弱性がある。プログラミングにロジックエラーがあるため、
"radexecd.exe"インストールディレクトリ内でファイルを実行する際に、正し
い認証が必要ない。さらに、このディレクトリ内のプログラムには、利用可能
なプログラムがあるので、新しく実行可能ファイルを作成できてしまう。この
脆弱性を悪用する際に、認証は必要ない。

<現状>
HPはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
TippingPointのセキュリティ研究チームのアドバイザリ
http://www.tippingpoint.com/security/advisories/TSRT-06-13.html
HPのセキュリティ警告
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00795552
SecurityFocus BID
http://www.securityfocus.com/bid/20971
────────────────

◆危険度【中】: ProFTPDに詳細不明なリモートのコード実行脆弱性

<影響のある製品>
ProFTPDのバージョン1.3、もしくはそれ以前のバージョン

<詳細>
ProFTPDは、マルチプラットフォームのオープンソース・FTPサーバとして、広
範囲で使用されている。しかし、これには、詳細不明な脆弱性がある。アタッ
カーがこの脆弱性を悪用すれば、サーバのプロセス権限で任意のコードを実行
できるようになってしまう。この脆弱性には、"CommandBufferSize"設定指示
が関係していると考えられているが、同脆弱性の正確な性質は今のところ明ら
かではない。この脆弱性の技術的詳細は公表されていないが、ProFTPDはオー
プンソースであるため、ソースコードを解析すれば、技術的詳細を入手できる。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業は、この問題の危険度格付けに意見の相違があった。 【中】
か【重大】かに関して検討中である。

<参考>
ProFTPのホームページ
http://www.proftpd.net/
SecurityFocus BID
http://www.securityfocus.com/bid/20992
────────────────

◆危険度【中】: Citrix MetaFrame IMA管理モジュールに複数の脆弱性

<影響のある製品>
Citrix MetaFrame XPのバージョン1.0と2.0
Citrix MetaFrame Presentation Serverのバージョン3.0と4.0

<詳細>
Citrix MetaFrameには、複数の脆弱性がある:
(1)サーバに細工した認証メッセージを送信すれば、アタッカーはヒープオー
バーフローを引き起こせる。このオーバーフローの脆弱性が悪用されると、
サーバのプロセス権限で任意のコードが実行されてしまう。
(2)細工したメッセージをサーバに送信するとサーバがクラッシュし、サービ
ス停止状態(DOS)に至ることもある。

<現状>
Citrixこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、この問題に対策を講じている。同社のデス
クトップサポートチームは、組織への影響を調査中だ。

<参考>
Zero-Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-06-038.html
Citrixのセキュリティアドバイザリ
http://support.citrix.com/article/CTX111186
SecurityFocus BID
http://www.securityfocus.com/bid/20986
────────────────

◆危険度【高】: Xlink Omni-NFS Serverにバッファオーバーフローの脆弱性

<影響のある製品>
Xlink Technologies Omni-NFS Server

<詳細>
Xlink Technologies Omni-NFSサーバは、Microsoft Windows NFS (Network
Filesystem)サーバとして広範囲で使用されている。しかし、これには、リモー
トで悪用可能なバッファオーバーフローの脆弱性がある。細工したNFSリクエ
ストをサーバに送信すれば、アタッカーは、このバッファオーバーフローを悪
用して、サーバのプロセス権限で任意のコードを実行することができる。この
脆弱性の技術的詳細とエクスプロイトは、すでに公表されている。

<現状>
Xlinkはこれを認めていないため、更新もリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Metasploiのエクスプロイト・モジュール
http://downloads.securityfocus.com/vulnerabilities/exploits/omni-nfs-server-5.2-stackoverflow.pm
Omni-NFSのホームページ
http://www.xlink.com/nfs_products/NFS_Server/NFS_Server.htm
SecurityFocus BID
http://www.securityfocus.com/bid/20941
────────────────