NRI Secure SANS NewsBites 日本版

Vol.1 No.17:2006年12月4日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
No.17 2006年12月4日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

■■SANS NewsBites Vol.8 No.93-94(原版:2006年11月24日、11月29日発行)

■はじめに(Alan Paller: SANS director of research)

SANS 2007 (サンディエゴで3月29日から4月6日まで開催される、SANS最大の年
次カンファレンス)が、参加申し込み受付を開始した。SANSの年次カンファレ
ンスは、一箇所で開催されているものの中では、学習プログラムの数の多さが
抜きん出ている(51種類のコースと、多数の展示Fなどがある)。
http://www.sans.org/sans2007/

過去にSANSカンファレンスに参加された方々からのコメントを以下に紹介する。
これらを読めば、プログラムのイメージが沸くだろう。

"素晴らしい! 有益な情報がたくさん得られる。このプログラムに参加して、
私の頭はゼリーのような状態に柔軟化した。来年も必ず参加する。"
(米国骨髄提供者プログラム Kurt Danielson)

"今回で4度目のSANSカンファレンスになる。毎度のことながら講師陣はぴか一
だ。いつも驚嘆し、多くを習得して会場を後にすることができる。"
(ワシントン州 CTED Bill Wildprett)

"今まで私が参加した他のプログラムのどれよりも素晴らしく、中身の濃い、
価値の高いプログラムだ。大学の学士課程や修士課程と比べても然り。"
(RT Communications Mark Laughlin)

"このカンファレンスで、私の職場におけるプロセスを即座に改善できるスキ
ルを習得できた。"
(AT&T Karissa Truitt)

3月まで待ちきれない方は、以下の会場もご参照あれ。
ワシントンDC(12月9日~)
http://www.sans.org/cdieast06/
オーランド(1月13日~)
http://www.sans.org/bootcamp07/
また、サンノゼ、フェニックス、 プラハ、ブリスベンでも開催予定。
世界各都市で開催される、70種類以上のプログラムのリストをご覧になりたい
方は下のサイトへ。
http://www.sans.org/training_events/?ref=1433

★東京の次回開催は、2007年2月19日~24日を予定!★
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今から計画を!
────────────────

◆ロシアのスパイ 最新テクノロジーの機密情報を求めてスパイ活動
(2006.11.18)

ロシアのスパイが、他国との技術格差(約20年遅れ)を埋めるために、スパイ
活動を行っている。カナダ、東欧、日本、米国内で監視されていたスパイ容疑
者らが、ハイテク機密情報窃盗未遂で逮捕され、このほど強制送還された。現
在米国に潜伏しているロシア人スパイの人数は、およそ100人と推測されてい
る。また、英国には40人ほどいるようだ。
http://www.theglobeandmail.com/servlet/story/LAC.20061118.SPIES18/TPStory/National
http://www.computerweekly.com/Articles/2006/11/21/220089/Foreign+intelligence+agents+hacking+UK+businesses%2c+government.htm

【編集者メモ】(Honan)
関連事項として、中国人の機密情報窃盗犯についての記事がある。
「中国 爆撃機の機密情報を買う」の記事はこちら:
http://washingtontimes.com/national/20061123-122450-1979r.htm
────────────────

◆EU委員会の主張:SWIFTがEUデータ保護法に違反!?
(2006.11.23)

EU委員会によると、SWIFT(the Society for Worldwide Interbank Financial
Telecommunications)として知られるバンキング事業団体は、欧州連合(EU)の
データ保護法に違反したという。問題の行為は、SWIFTが米国政府に金融取引
情報へのアクセスを許可したことだ。欧州法では、引き渡す情報に十分な保護
対策がとられる確約なしに、企業は個人機密情報を他国に引き渡すことを禁じ
ている。しかし、今回、米国はEUが設けた安全保護の必須条件を満たしていな
かった。米国政府は、9月11日の同時多発テロ以来、データへのアクセス許可
を求めていたという。
http://www.sfgate.com/cgi-bin/article.cgi?file=/c/a/2006/11/23/MNGQLMIT671.DTL&type=printable
http://euobserver.com/9/22937

【編集者メモ】(Schultz)
このニュースの記事全文を読めば、SWIFTが精力的にこの件を弁護しているこ
とがわかる。SWIFTは、「問題の情報を共有したことで、数々の命が救われた
うえ、我々は共有情報の安全対策を厳しく徹底していた」と主張。しかし同時
に、EU側も、SWIFTの言い分をまったく聞こうとしていないようにも思える。

関連ストーリーとして、米国とEUの上層幹部同士がデータプライバシーに関す
る共通のガイドラインの設置を目的に話合いを始めたという記事もある:
http://www.itnews.com.au/newsstory.aspx?CIaNID=42566
────────────────

◆金融機関のエンドユーザ認証のガイドライン 強度不十分の可能性
(2006.11.27)

ITアナリストとマネージャは、エンドユーザの認証に関する連邦ガイドライン
では、顧客情報の安全性維持には至らないと懸念している。 連邦金融機関検
査委員会Federal Financial Institutions Examination Council (FFIEC) が、
厳しい認証措置を推奨すること自体は正しい行動であるものの、現在、金融情
報セキュリティを侵害できる方法は、認証を破る以外に多数存在するのが現状
だ。FFIECのガイドラインは、 単一要素認証を強化する目的で作成されている。
しかし、アタッカーの中には、銀行が2要素認証に導入したワンタイムパスワー
ド対策を回避するメソッドを見いだした者もいる。金融機関は、取引レベルの
コントロールやリアルタイムのオンライン取引活動の監視措置の導入も検討す
べきだ。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=274881&taxonomyId=17&intsrc=kc_top

【編集者メモ】 (Pescatore)
FFIECのガイドラインは、リスクをベースにした認証について説明したもので、
厳しい認証を使用せよと言及しているわけではない。リスク監査で、単一要素
認証では十分に安全性を維持できないとわかった場合にどうするか? この場
合のガイダンスとして同ガイドラインには、「金融機関は、リスクを軽減でき
ると思われる複数因子認証や階層別のセキュリティ、他のコントロールを導入
すべきだ」と記述されているだけだ。
────────────────

◆フィッシャー VoIPを攻撃
(2006.11.26)

VoIP(Voice over Internet Protocol)は、 フィッシャーのアタック対象とし
て最近のトレンドになっている。中には、メールとして仕掛けられるアタック
もある。問題のメールでは、受信者に対し、機密アカウントデータに関する真
実性を確認する目的で、特定の電話番号に電話をかけるようにリクエストされ
ている。実際にその番号に電話がかけられると、真実性確認の会話が録音され
るのだ。また、電話がかかってくるアタックもある。このアタックでは、電話
をかけた人間が、すでに電話を受けた人間のクレジットカード番号を把握して
いる。そして、その電話で、本人確認のために、暗証番号を聞き出すという手
口だ。
http://www.usatoday.com/money/industries/technology/2006-11-26-phishing-usat_x.htm?csp=34

【編集者メモ】 (Skoudis)
悪者が大都市(地域コードが212の方、いらっしゃいますか?)の電話番号から
VoIPサービスに電話をかけ、その通話を、海外にあるオープンソースのPBXに
転送していたケースもあった。その通話でVoIPのユーザーは、米国に実在する
銀行から直接録音された音声メッセージを聞かされる。こうしてみると、ユー
ザーの教育が、最優先事項であることがうかがえる。 カード会社とコンタク
トをとる際にかけてよい番号は、クレジットカードに記載されている電話番号
だけだと、ユーザーに教育していただきたい。カードを紛失した場合は、一番
最近に届いた請求書に記載されている電話番号に電話することだ。
────────────────

◆Mac OS Xでスパイウェアが検知される
(2006.11.24-27)

Mac OS Xでスパイウェアが初めて検知された。概念実証コードが、ユーザーの
知らないところでインストールされている可能性がある。このプログラムは、
iAdwareと称され、System Libraryに自身をインストールする。このスパイウェ
アは、欠陥は悪用しないが、Mac OS Xの機能を利用して、アプリケーションが
ロードされるたびに実行される。
http://www.eweek.com/print_article2/0,1217,a=194912,00.ap
http://www.theregister.co.uk/2006/11/24/mac_os_x_adware/print.html

【編集者メモ】 (Skoudis)
Macユーザーは、自分は異種コンピュータを使用しているから脆弱ではないと
いう考えを捨てなくてはならない。私もMacをよく使用しているが、一瞬この
ような考えを持ちそうになることもある。しかし、この考えは禁物だ。Macは、
ユーザーが増えているので、粗を探そうとする者も増えている。特に、Safari
とMailなど、Macのクライアント側の脆弱性が心配である。これらは、今のと
ころ、IE、Firefox、Outlookほど詳細には探られてはいない。Macにパッチを
常に適用し、安全な操作を習慣化してほしい。
────────────────

◆EU委員会 SWIFTの行動を非難
(2006.11.27)

SWIFT(the Society for Worldwide Interbank Financial Telecommunication)
は、今までに、米国と取引情報を共有していた経緯がある。この問題行動を検
討しているグループ、29条調査委員会(Article 29 Working Party)によると、
SWIFTはクライアントに対して、彼らの個人財務情報が米国当局に与えられて
いる可能性があることを通知する義務を通告した。同委員会によると、金融取
引にSWIFTを使用している欧州の銀行は、データ漏えいの件で過失の共同責任
を問われているようだ。また、「有効な法的裏付けやデータ保護監督局による
独自のコントロールが施される可能性もないまま、SWIFTが組織的に、かつ長
期にわたって個人情報を内密に、かつ不透明な手段で米国財務省(UST:US
Treasury)に与えていた」行動は、欧州データ保護法に違反していると指摘。
同委員会は、SWIFTに対し、違反行為を直ちにやめ、制裁を受けるように進言
している。
http://www.independent.com.mt/news.asp?newsitemid=42551
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9005387&source=rss_topic17
────────────────

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年11月27日配信 Vol.5 No.47)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

■はじめに(Alan Paller: SANS director of research)

今週は、ベンダーが認識していない、もしくはパッチをリリースしていない脆
弱性が多数発見された。Safari (Apple OS/X) のユーザーは、リモートのエク
スプロイト(kernelレベルの権限をアタッカーに与えてしまう)に脆弱だ。利
便性はあまりよくないが、Safariユーザーは、Appleがこの脆弱性を認めて問
題を修正するまで、「安全なファイルを開く」機能をオフにしておくとよい。
CAのBrightStor ARCserveにも、新たなバッファオーバーフローが見つかった。
以下の記事を参照し、問題のポートをブロックしてほしい。また、ACERコンピュー
タを使用しているヨーロッパとアジアの組織は、LunchApp.AplunchのActiveX
コントロールにキルビットを設定すべきだ。さらに、Netgearのワイヤレスカー
ドにも、新たなバッファオーバーフローの脆弱性が確認された。この脆弱性を
悪用されると、ルータに接続していなくともコンピュータの制御を奪われかね
ない。これにはエクスプロイトコードも公表されている。

1. 危険度【高】:Mac OS Xの Disk Imageに Kernelメモリ崩壊の脆弱性

<影響のある製品>
Mac OS X現在のバージョン、および他の旧バージョンも脆弱な可能性あり

<詳細>
今月のKerneバグ(MoKB:Month of Kernel Bugs)プロジェクトで、Mac OS Xに
メモリ崩壊の欠陥が発見された。この欠陥は、OS Xが、細工されたdisk image
(DMG)ファイルをロードするときに引き起こされる。この脆弱性を悪用される
と、kernel権限で任意のコードが実行されるおそれがある。また、Safariブラ
ウザを介して、リモートで悪用されるおそれもあるので注意してほしい。デフォ
ルト設定のSafariでは、disk imageファイルを安全とみなすため、自動的にそ
のファイルを開いてしまう。したがって、悪意のあるdisk imageファイルを含
むWebサイトによって、Mac OS Xのクライアントが侵害されるおそれがある。
この脆弱性の概念実証コードが、すでに公表されている。

<現状>
Appleはこれを認めていないため、更新もリリースしていない。Safariを介し
たリモートのアタックによる影響は、Safariの「安全なファイルを開く」機能
をオフにすればある程度軽減できる。しかし、この機能をオフにすると、ユー
ザーは、動画やPDFを開こうとするたびに、「開きますか?」というプロンプ
トを見ることになる。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアを使用していた委員会所属企業は1社のみだった。同
社のSafariは、「安全なファイルを開く」機能がオフに設定されており、パッ
チがリリースされたらすぐに、パッチを適用するという。

<参考>
今月のKernelバグ ("File Format Fuzzing"によって発見される)
http://projects.info-pull.com/mokb/MOKB-20-11-2006.html
概念実証型Disk Image
http://www.securityfocus.com/data/vulnerabilities/exploits/MOKB-20-11-2006.dmg.bz2
SecurityFocus BID
http://www.securityfocus.com/bid/21201
────────────────

2. 危険度【高】: AcerのノートブックのActiveXコントロールに任意のコマンド実行の脆弱性

<影響のある製品>
Windows基盤のAcerノートブック

<詳細>
台湾企業のAcerは、欧州、アジア、アフリカ(EMEA)の市場で名をはせているノー
トブックパソコンのメーカーだ。Acerのノートブックには、「スクリプティン
グに安全」と示された"LunchApp.APlunch"のActiveXコントロールがある。こ
のActiveXコントロールは、Acerノートブックにコマンドを、(任意のパラメー
タとともに)リモートで実行するときに使用される。細工されたWebページや
HTMLメールによってこの欠陥が悪用されると、Acerのノートブックは侵害され
るおそれがある。この欠陥の発見者は概念実証コードを公表し、そのコードを
使用してAcerモデル(旧型からより新型のものまで)のActiveXコントロールに
テストしたところ、すべてに欠陥の存在が確認された。

<現状>
Acerはこの欠陥を認めていない。回避策としては、 LunchApp.Aplunchの
ActiveXコントロールのUUID(D9998BD0-7957-11D2-8FED-00606730D3AA)にキ
ルビットを設定するとよい。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Tan Chew Keongによるアドバイザリ (概念実証型エクスプロイトを含む)
http://vuln.sg/acerlunchapp-en.html
ActiveXにキルビットを設定する方法
http://support.microsoft.com/kb/240797
Acerのホームページ
http://global.acer.com/
SecurityFocus BID
http://www.securityfocus.com/bid/21207
────────────────

3. 危険度【高】: Computer AssociatesのBrightStor ARCserve Backupにバッファオーバーフローの脆弱性

<影響のある製品>
BrightStor ARCserver Backupのバージョン11.5、もしくはそれ以前のバージョン

<詳細>
Computer Associates BrightStor ARCserve Backupは、Windows、NetWare、
LinuxやUNIXバックアップサービスを提供する製品だ。しかし、この製品には、
バッファオーバーフローの欠陥がある。この欠陥は、tcp6502番ポートに細工
されたRPCリクエストが発せられると引き起こされる。この欠陥が悪用される
と、SYSTEM権限で任意のコードが実行されるおそれがある。同欠陥の技術的詳
細は、今のところ公表されていない。

<現状>
CAはこの問題を認めており、現在修正プログラムを作成中である。暫定回避策
としては、tcp6502番ポートに向かうリクエストを、ネットワーク境界でブロッ
クするとよい。

<特記事項>
CAのバックアップ製品には、過去数年間で複数の脆弱性が報告されている。し
たがって、このソフトウェアで開かれるポートはすべてブロックした方が賢明
だと、SANSは推奨する。ブロックすべきポートのリストはこちら:
http://www.ca.com/at/local/partner/techtalk_mar05_faq.pdf
http://supportconnectw.ca.com/public/ca_common_docs/brightstorwinxpsp2matrix.asp

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
LSsecセキュリティによる掲示
http://archives.neohapsis.com/archives/bugtraq/2006-11/0418.html
CAのJames K Williamsによる掲示
http://archives.neohapsis.com/archives/bugtraq/2006-11/0443.html
製品ページ
http://www3.ca.com/Solutions/ProductList.asp?ID=4536&TYPE=P
SecurityFocus BID
http://www.securityfocus.com/bid/21140
────────────────

4. 危険度【中】: RealNetworksのHelix DNA Serverに詳細不明なバッファオーバーフローの脆弱性

<影響のある製品>
Helix DNA Serverのバージョン11.0と11.1

<詳細>
Real Network Helix DNA Serverは、メディアストリーミングサーバとして、
広範囲で使用されている。しかし、これにはヒープベースのバッファオーバー
フローがある。発見者によると、この欠陥を悪用されるとサーバのプロセス権
限(もしくはroot権限)で、任意のコードが実行されかねないという。この脆弱
性の技術的詳細はまだリリースされていない。しかし、"vulndisco"パックの
ユーザー用に、エクスプロイトの詳細情報がリリースされている。

<現状>
ベンダーはこの欠陥を認めていない。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Helix コミュニティのホームページ
http://helixcommunity.org/
Vulndiscoパック
http://www.gleg.net
SecurityFocus BID
http://www.securityfocus.com/bid/21141
────────────────

5. 危険度【高】: GNU Radiusの書式文字列の脆弱性

<影響のある製品>
GNU Radius 1.4以前のバージョン

<詳細>
GNU Radiusは、ユーザー認証のためのSQLデータベースをサポートしている。
しかし、これには、書式文字列の脆弱性がある。SQLのバックエンドとともに
圧縮されると、SQL accountingがオンになってしまう。この欠陥が未認証のア
タッカーによって悪用されると、root権限で任意のコードが実行されてしまう
おそれがある。脆弱なサーバ・コードと修正後のサーバ・コードを比較すれば、
同欠陥の技術的詳細を入手できる。

<現状>
GNUはバージョン1.4をリリースして、この欠陥を修正。 FreeBSDとGentooの
Linuxバージョンは、デフォルト設定において脆弱である。

<参考>
iDefenseアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=443
GNU Radiusのホームページ
http://www.gnu.org/software/radius/
SecurityFocus BID
まだリリースされておらず
────────────────

6. 危険度【高】: Un4SeenのXMPlayにM3Uバッファオーバーフローの脆弱性

<影響のある製品>
XMPlayのバージョン3.3.0.4

<詳細>
XMPlayは、Windowsシステムのオーディオプレーヤである。しかし、これには、
スタックベースのオーバーフローの脆弱性がある。 この脆弱性は、メディア
ファイル (".m3u"、".pls" もしくは ".asx"がファイル拡張子のもの) のメディ
アのファイル名が長すぎた場合に引き起こされ、悪用されると、ログオンした
ユーザーの権限で任意のコードが実行されてしまう。複数のエクスプロイトが、
すでに公表されている。

<現状>
ベンダーはこれを認識していないため、更新もリリースしていない。ベンダー
のサイトには、最新3.3.0.5が出ているが、このzero-day欠陥の発見者は、バー
ジョン3.3.0.4が脆弱だと指摘。したがって、最新バージョンは、この脆弱性
の影響を受けない可能性が高い。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
エクスプロイトコード
http://downloads.securityfocus.com/vulnerabilities/exploits/xmplay_exploit.c
http://downloads.securityfocus.com/vulnerabilities/exploits/XMPlay_ASX_Exploit.c
Un4Seenのホームページ
http://www.un4seen.com/
M3UおよびASXのファイル形式
http://www.mediacollege.com/video/format/windows-media/files/asx.html
http://forums.winamp.com/showthread.php?threadid=65772
SecurityFocus BID
http://www.securityfocus.com/bid/21206
────────────────

7. 危険度【高】: NetGearのWG311v1ワイヤレスドライバのSSIDにバッファオーバーフローの脆弱性

<影響のある製品>
NetGear WG311v1のワイヤレスドライバのバージョン2.3.1 10、もしくはそれ
以前のバージョン

<詳細>
NetGear WG311v1のデバイスドライバは、NetGearのワイヤレスカードをコント
ロールする。しかし、これには、バッファオーバーフローの脆弱性がある。細
工された802.11 (WiFi)フレームのSSIDが長すぎる場合、アタッカーはこのバッ
ファオーバーフローを悪用して、脆弱なシステムのコントロールを完全に奪っ
てしまう。 認証は必要ないので、アタッカーは、脆弱なシステムの無線通信
範囲にいるだけでよい。この脆弱性は、probe responseパケット処理の中に存
在する。このドライバは、主にMicrosoft Windowsシステム用に設計されたも
のだが、"NdisWrapper"クロスプラットフォーム・ドライバフレームワークと
も互換性があると考えられている。そのため、このドライバを、Intelプラッ
トフォームの Linux下(もしくは、他のOSでも)で運用することも可能だ。この
脆弱性は、さまざまなOSのkernelにあるバグを発見するプロジェクトを通じて
発見された。 この脆弱性に作用するエクスプロイトがリリースされている。
この脆弱性は、@RISKに以前掲載された、NetGearのワイヤレスデバイスドライ
バに確認された他の複数の欠陥に似ている。

<現状>
NetGearはこの欠陥を認めていないため、更新もリリースしていない。

<参考>
Month of Kernel Bugs(今月のKerneバグ)のアドバイザリ
http://projects.info-pull.com/mokb/MOKB-22-11-2006.html
Metasploitのモジュール
http://metasploit.com/svn/framework3/trunk/modules/auxiliary/dos/wireless/netgear_wg311pci.rb
NetGearのホームページ
http://www.netgear.com
「デバイスドライバ」に関するWikipedia の説明
http://en.wikipedia.org/wiki/Device_driver
Ndisのホームページ
http://ndiswrapper.sourceforge.net
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=46#other1
SecurityFocus BID
http://www.securityfocus.com/bid/21251
────────────────