NRI Secure SANS NewsBites 日本版

Vol.1 No.21:2006年12月25日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
No.21 2006年12月25日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

■■SANS NewsBites Vol.8 No.99-100(原版:2006年12月16日、12月21日発行)

■はじめに(Alan Paller: SANS Director of Research)

セキュリティにおける内なる敵が、驚くべき変化を遂げている。そのうちの1
つがSecurity 2.0に向ける動きだ。境界内の敵だけではなく、コンピュータ内
に潜む敵とも戦う必要性が生じた今、防御側の人間は、より一層困難で新しい
役割を担わなくてはならない。
SANSは、すでに城内に侵入した敵を特定し、防御側の人間が破壊できるツール、
その戦略や手順について、率先的に内容を明らかにしている。
「内なる敵」に関しては、データ漏えいが、CISOの懸念事項のトップに躍り出
ている。また、ノートパソコンの紛失も、同様に懸念度が高い。これに対抗す
べく彼らが使用している技術は、コンテンツ監視・フィルタリングだ。この技
術を用いれば、組織から出ていく機密情報や、組織内の特定の場所にあっては
ならない機密情報を探しあてられる。
SANSでは来春、「Content Monitoring and Filtering Summit」と題するセミ
ナーを開催する予定である。

過去にSANSカンファレンスに参加された方々からのコメントを以下に紹介する。
これらを読めば、プログラムのイメージが沸くだろう。

"素晴らしい! 有益な情報がたくさん得られる。このプログラムに参加して、
私の頭はゼリーのような状態に柔軟化した。来年も必ず参加する。"
(米国骨髄提供者プログラム Kurt Danielson)

"今回で4度目のSANSカンファレンスになる。毎度のことながら講師陣はぴか一
だ。いつも驚嘆し、多くを習得して会場を後にすることができる。"
(ワシントン州 CTED Bill Wildprett)

"今まで私が参加した他のプログラムのどれよりも素晴らしく、中身の濃い、
価値の高いプログラムだ。大学の学士課程や修士課程と比べても然り。"
(RT Communications Mark Laughlin)

"このカンファレンスで、私の職場におけるプロセスを即座に改善できるスキ
ルを習得できた。"
(AT&T Karissa Truitt)

渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今から計画を!
────────────────

◆中国 銀行詐欺における死刑判決を維持
  (2006.12.14)

Xi'anの銀行の元支店長Zhou Liminと会計士Liu Yibingは、存在しない高利回
り口座に、合わせて企業30社や個人400人から6,100万ドルを集めていた。これ
に対し、中国の最高裁は、彼らの死刑判決を維持した。この事件は、数々のス
キャンダルのうちの1つが明るみになったに過ぎない。中国の銀行は、業務の
近代化を図るために、外国の投資家から資金を集めようとしているようだ。

【編集者メモ】(Northcutt)
最小限の権限、任務の分割、任務の交代、抜き打ち監査などのように、セキュ
リティ原理の核である行動が、こんなにも普遍的に重用だなんて驚きだ。
────────────────

◆サイバー破壊で8年の懲役
  (2006.12.13)

UBS Paine Webberの元システムアドミニストレータであるRoger Duronioは、
元雇用企業のネットワークにロジックボムを仕掛けて300万ドルの損害を与え
た罪で、8年の懲役刑を言い渡された。97か月の懲役は、連邦刑ガイドライン
では最長である。Duronioはまた、310万ドルの損害賠償命じられた。Duronio
にはどうやら、 年末のボーナスが期待より少なかったことに不満を抱き、離
職した経緯があるようだ。
http://www.theregister.co.uk/2006/12/13/ubs_logic_bomber_sentenced/print.html
http://www.eweek.com/article2/0,1759,2072394,00.asp?kc=EWRSS03119TX1K0000594

【編集者メモ1】 (Ullrich)
このケースは、インサイダーが有罪となった場合の行く末を示したよい教訓と
なっている。Duronioは法廷で、UBS Paine Webbersのセキュリティポリシー
とセキュリティ慣行がいかにとるに足らないものだったかを、事あるごとに強
調していた。実質の損害額は、ここに書かれている300万ドルを超すだろう。
UBSは、サーバ1000台以上に、バックアップからファイルを復元するために膨
大な工数を費やした。しかしながら、まだ全てのデータを回復するには至って
いない。
【編集者メモ2】(Honan)
不満を唱える従業員がインサイダーアタックの源であるケースは多い。年の瀬
のこの時期は、人事部と連携し、管理者権限を持っている従業員で、芳しくな
い人事評価や期待以下のボーナスや昇給待遇を受けてしまいそうな者を、きち
んと把握しておいた方がよいだろう。
────────────────

◆Wordの3つ目の脆弱性にエクスプロイトコード
  (2006.12.13)

Microsoft Wordの3つ目の脆弱性に対するエクスプロイトコードが、インター
ネットで公表された。 しかし、Microsoftは この脆弱性を認めていない。
Microsoftの12月期のセキュリティ更新では、Wordに先に見つかった2つの欠陥
への対処はなされていなかった。これらの欠陥は、現在、アタックのターゲッ
トとして悪用されている。
http://www.eweek.com/print_article2/0,1217,a=196431,00.asp
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9006059&taxonomyId=17&intsrc=kc_top

【編集者メモ】 (Schultz)
Wordに、重大で現在パッチ不可能な複数の脆弱性が浮上している。そのため、
セキュリティのリスクが極めて高くなっている。これらの脆弱性に対するエク
スプロイトが複数公表されていることを考えると、Microsoftは、少なくとも
回避策についての情報を提供すべきである。もし回避策がないのであれば、い
つパッチを提供できるかだけでも発表するべきだ。
────────────────

◆Microsoftの12月期セキュリティ更新
  (2006.12.12-13)

Microsoftの月次セキュリティ更新には、7つの警告があった。これらの警告で
は、複数の製品にある11の欠陥に対処している。警告には、Internet
Explorer(IE)の重大な追加更新だけでなく、Visual Studio 2005 とWindows
Media Playerにあるリモートのコード実行の脆弱性に対する修正プログラムも
含まれていた。IE 5/6には、修正プログラムがリリースされてはいるものの、
IE 7用にはまだリリースされていない。
http://www.theregister.co.uk/2006/12/13/ms_patch_tuesday/print.html
http://www.securityfocus.com/brief/382
http://software.silicon.com/security/0,39024655,39164663,00.htm
http://www.zdnet.com.au/news/security/print.htm?TYPE=story&AT=339272669-130061744t-110000005c
http://www.us-cert.gov/cas/techalerts/TA06-346A.html
http://www.microsoft.com/athome/security/update/bulletins/200612.mspx

【編集者メモ1】(Pescatore)
これらの脆弱性のうちいくつかは、チェックされていないバッファによって生
じたものだ。このようなバッファを悪用されると、パッチされていないマシン
にリモートでコードを実行されるおそれが生じる。ソフトウェアベンダーのた
めの新年の抱負をここに。2007年を「ありがちなプログラミング上の愚かな錯
覚」の首位5つを、自社製品から排除する年にする、というのはどうだろう?
【編集者メモ2】(Ullrich)
興味深いことに、Officeにある顕著な脆弱性のどれに対しても、パッチが出て
いないということだ(パッチのリリース時点で、パッチが出ていた脆弱性は、
PowerPointが1つ、Wordが2つである)。Microsoftは、誤ってMac用Officeのパッ
チをリリースしていたが、それらは同日中に撤回された。
────────────────

◆Visaのインセンティブプログラム PCIデータセキュリティ基準遵守を奨励
  (2006.12.14)

Visa USAは、2,000万ドル相当のインセンティブプログラムを発表した。この
プログラムは、カード決済利用店舗に、ペイメントカード産業(PCI)データセ
キュリティ基準に遵守させることを目的としたものだ。「会員を獲得した」金
融機関(対象店舗に対し、クレジットカード決済を承認した金融機関)は、その
会員店舗全てが2007年8月31日までにPCI基準を遵守でき、さらにそれらの店舗
にてデータセキュリティ侵害が発生しなかった際には、金銭的報酬を受け取る
ことができる。会員店舗が2007年9月30日までに遵守できなかった金融機関は、
未遵守店舗一店につき5,000ドルの罰金を支払わなければならない。2007年12
月31日以降になると、その罰金は、未遵守店舗一店につき、2万5,000ドルに引
き上げられる。遵守できているかどうかの検証プロセスとしては、磁気ストラ
イプやカード検証値(Card Verification Value)、暗証番号(PIN)の全てが、
POSなどのシステムから除去されているかどうかを検査するようだ。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9006100&taxonomyId=17&intsrc=kc_t
http://www.epaynews.com/index.cgi?survey=&ref=browse&f=view&id=1166132169213202186154&block=

◆米国証券取引委員会 中小企業を対象に企業改革法への遵守期限を延ばす
  (2006.12.15)

米国証券取引委員会(SEC) は、中小規模の株式会社を対象に、米国企業改革法
(SOX法)の財務報告要件への遵守を完了する期限を延長した。株価総額7,500
万ドル以下の株式会社は、2007年12月15日以降を末日とする会計年度の年間報
告に含まれる財務報告への内部統制に対して、管理評価を提出する必要はない。
しかしながら、2008年12月15日以降を末日とする会計年度の報告から、内部統
制の有効性についての管理評価を、監査人が実証することとなる。以前、期限
は2007年7月15日に設定されていた。また、SECは最近、中小企業のコンプライ
アンス面の負担を緩和するために、関連するガイドラインを提供すると発表し
た。このガイドラインによって、これらの企業は、実際の事業に集中すること
ができるようになる。これによってプラスに転じるであろう事業の成果が、財
務報告の正確性に対し、より大きな影響を与えることだろう。諸々の期限だが、
SECがタイミングよくこのガイドラインを発行できなかった場合は、また延長
される可能性がある。
http://www.networkworld.com/news/2006/121506-sarbanes-deadline-extension.html

【編集者メモ】(Northcutt)
SECのプレスリリースはこちら:
http://www.sec.gov/news/press/2006/2006-210.htm
今までしばらくの間、これは進行中のままであった。しかし、「進行中」より
確かな形での安堵感が必要である。SOX法の監査は容赦ない。したがって、実
際に情報セキュリティを改善するという真の目的をうやむやにしていたモヤを、
きっと吸い取ってくれることだろう。
http://useu.usmission.gov/Article.asp?ID=9428FFB8-7E45-49CB-A74E-363B5B211F98
────────────────

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年12月19日配信 Vol.5 No.50)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

■はじめに(Alan Paller: SANS Director of Research)

Microsoftの重大な脆弱性 (#1~#3) が、今週の冒頭に掲載されている。しか
し、SymantecのVeritas NetBackup (#4)やSophos Anti-virus (#5)を使用して
いる組織は、Microsoftの脆弱性だけでなく、これらの欠陥にも迅速に対応す
る必要がある。また、Symantecのユーザーは、時を遡って、Big Yellow/Sagevo
ワームをブロックするパッチをきちんとインストールしていたかどうかを確認
してほしい。このパッチは5月にリリースされたが、企業の中には、それを適
用しなかったところもあるようだ。

1. 危険度【重大】: Microsoft Wordにリモートでコードを実行される脆弱性(zero-day)

<影響のある製品>
Microsoft Word 2000/2002/2003、また、その他のバージョンも脆弱なおそれあり
Mac用Microsoft Word X

<詳細>
Microsoft Wordに、リモートでコードを実行される脆弱性が発見された。この
欠陥は、先週の@RISKに掲載した2つの脆弱性とは違うものである(下の参考URL
参照)。細工されたWord文書によって、この脆弱性が悪用されると、現在のユー
ザーの権限で任意のコードが実行されるおそれがある。Word 2000以降のバー
ジョンのWord文書は、プロンプトなしで開かれることはない。この脆弱性の概
念実証コードがすでに公表されている。

<現状>
Microsoftはこの問題を認識していないため、更新もリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、Microsoftからの確認と更新を待ち望んでいる。い
くつかの企業は、特に正体不明のソースから、予期していないWord文書や迷惑
文書を受信した場合は気をつけるように、ユーザーに警告を発している。

<参考>
Robert McMillanによる掲示
http://seclists.org/isn/2006/Dec/0052.html
概念実証コード (バイナリファイルのリンク)
http://www.securityfocus.com/data/vulnerabilities/exploits/12122006-djtest.doc
@RISKのバックナンバーに掲載された関連記事(2つの同様の脆弱性について)
http://www.sans.org/newsletters/risk/display.php?v=5&i=49#widely1
http://www.nri-secure.co.jp/security/news_letter/bn019.html (日本語)
Slashdotのディスカッション
http://it.slashdot.org/article.pl?sid=06/12/14/2319250
SecurtyFocus BID
http://www.securityfocus.com/bid/21589
────────────────

2. 危険度【重大】: Microsoft Internet Explorerに複数の脆弱性(MS06-072)

<影響のある製品>
Microsoft Internet Explorerのバージョン5.01 SP4 と 6

<詳細>
Microsoft Internet Explorerには、複数の脆弱性がある。:
(1)DHTML機能や特定のスクリプトを実行するときにメモリを正しく処理できな
 いため、メモリ崩壊が起きる。細工されたスクリプトやDHTML文書によって
  これらの脆弱性が悪用されると、現在のユーザーの権限で任意のコードが
  実行されてしまう。
(2)drag-and-dropイベントやOBJECTタグの処理に欠陥があるため、現在のユー
  ザーのTemporary Internet Filesディレクトリにある任意のファイルが開
  示されてしまう。このディレクトリは、ユーザーのブラウズ履歴や他のブ
  ラウザ関連情報の保存に使用される。これらの情報開示の脆弱性を悪用す
  るには、ページを閲覧するほかにユーザーの操作が必要である。

<現状>
Microsoftはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。同企業の中
には、更新の導入手順にすでに踏み切ったところや、次期定例メンテナンスス
ケジュールに合わせて更新を実行するところもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-072.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-06-048.html
Secunia Researchのアドバイザリ
http://secunia.com/secunia_research/2006-58/advisory/
SecurityFocus BIDs
http://www.securityfocus.com/bid/21494
http://www.securityfocus.com/bid/21507
http://www.securityfocus.com/bid/21546
http://www.securityfocus.com/bid/21552
────────────────

3. 危険度【重大】: Microsoft WindowsのMedia Runtimeにバッファオーバーフローの脆弱性
  (MS06-078)

<影響のある製品>
Microsoft Windows Media Format Runtime のバージョン7.1から9.5まで

<詳細>
Microsoft WindowsのMedia Format Runtimeは、Windows Media用にフォーマッ
トされたデータを、Windows Media Playerなどさまざまなアプリケーションで
再生するときに用いられる。しかし、これにはバッファオーバーフローが2つ
含まれている。不正形式のASF(Advanced Systems Format)ファイルとASX
(Advanced Stream Redirector)ファイルを正しく処理できないために、バッファ
オーバーフローが発生する。アタッカーは、これらのバッファオーバーフロー
を悪用すれば、現在のユーザーの権限で任意のコードを実行できる。
ASFファイルとASXファイルは、デフォルト設定でもプロンプトなしで開かれる。

<現状>
Microsoftは、この問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。同企業の中
には、更新の導入手順にすでに踏み切ったところや、次期定例メンテナンスス
ケジュールに合わせて更新を実行するところもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-078.mspx
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=49#widely2
SecurityFocus BIDs
http://www.securityfocus.com/bid/21247
http://www.securityfocus.com/bid/21505
────────────────

4. 危険度【重大】:Symantec Veritas NetBackup に複数の脆弱性

<影響のある製品>
Symantec Veritas NetBackupのバージョンからMP7まで
Symantec Veritas NetBackupのバージョン5.1 からMP6まで
Symantec Veritas NetBackupのバージョン6.0からMP4

<詳細>
Symantec Veritas NetBackupには、複数の脆弱性がある。無駄に長い
"CONNECT_OPTIONS"のコマンドとそのコマンドの全長を正しく処理できないた
め、"bpcd.exe"プロセスにバッファオーバーフローの脆弱性が生じる。また、
"bpcd.exe"プロセスは、入ってくるコマンドのlogicを正しく処理できない。
そのため、これらの脆弱性が悪用されると、"bpcd.exe"プロセスの権限(この
権限はデフォルトではSYSTEM権限で実行される)で、任意のコマンドが実行さ
れる。

<現状>
Symantecは、この問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は、社内環境における影響の程度を検証中である。

<参考>
Symantecのセキュリティアドバイザリ
http://www.symantec.com/avcenter/security/Content/2006.12.13a.html
Zero-Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-06-050.html
http://www.zerodayinitiative.com/advisories/ZDI-06-049.html
IBM ISSのアドバイザリ
http://www.iss.net/threats/247.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/21565
────────────────

5. 危険度【重大】:Sophosのアンチウィルスに複数の脆弱性

<影響のある製品>
スキャンエンジン2.40以前のバージョンが付属したSophos製品

<詳細>
SophosアンチウィルスのCPIOアーカイブとSITアーカイブの処理には、複数の
バッファオーバーフローの脆弱性がある。CPIOは、主にUnixやUnixに類似した
システムで用いられる共通のアーカイブ形式である。SITはApple Machintosh
システムで一般的に用いられるアーカイブ形式である。Sophosにスキャンされ
るCPIOやSITアーカイブが細工されると、これらのバッファオーバーフローが
悪用され、スキャンプロセスの権限で任意のコードが実行されるおそれがある。
これらの脆弱性に関する技術的詳細がすでに公表されている。

<現状>
Sophosはこれを認識しており、更新もリリースしている。

<参考>
Sophosの知識ベースの関連記事
http://www.sophos.com/support/knowledgebase/article/17340.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-06-046.html
http://www.zerodayinitiative.com/advisories/ZDI-06-045.html
CPIOアーカイブに関するWikipediaの説明
http://en.wikipedia.org/wiki/Cpio
StuffIt (SITアーカイブの作成に使用される)についてのWikipediaの説明
http://en.wikipedia.org/wiki/StuffIt
SecurityFocus BID
http://www.securityfocus.com/bid/21563
────────────────

6. 危険度【重大】: Microsoft Visual StudioのWMI Object Brokerにリモートのコード実行の脆弱性
  (MS06-073)

<影響のある製品>
Microsoft Visual Studio 2005 Standard/Professional Edition
Microsoft Visual Studio 2005 Team Suite
開発者・設計者・テスター用Microsoft Visual Studio 2005 Team Edition

<詳細>
Microsoft Visual Studio の特定のバージョンにあるWMI Object Brokerの
ActiveXコントロールには、リモートでコードを実行される脆弱性が存在する。
このコントロールをインスタンス化するWebページによって、この脆弱性が悪
用されると、現在のユーザーの権限で任意のコードが実行されてしまう。これ
は、問題のActiveXコントロール(Webページがインスタンス化するコントロー
ル)が通常施行する"Internet"セキュリティゾーンに対する通常の制限が回避
されるために、可能になってしまう。ユーザーは、Microsoftの"kill bit"機
能をCLSID "7F5B7F63-F06F-4331-8A26-339E03C0AE3D"に設定し、脆弱なコント
ロールを無効にすれば、この脆弱性の影響を軽減できる。この脆弱性は、
@RISKのバックナンバーに記載された脆弱性と関連があるか、もしくは、同一
のものだと考えられている。この脆弱性は、現在、活発に悪用されているよう
だ。

<現状>
Microsoftはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のほとんどが、この脆弱性に何らかの対策を講じている。同企
業の中には、更新の導入手順にすでに踏み切ったところや、次期定例メンテナ
ンススケジュールに合わせて更新を実行するところもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms06-073.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-06-047.html
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=44#other1
Microsoftの知識ベースの関連記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/20843
────────────────

7. 危険度【中】: Microsoft SNMP Serviceにメモリ崩壊の脆弱性(MS06-074)

<影響のある製品>
Microsoft Windows 2000 SP4
Microsoft Windows XP SP2
Microsoft Windows 2003

<詳細>
Microsoft SNMPサービスは、SNMP (Simple Network Management Protocol)を
介してMicrosoft Windowsシステムを管理するときに用いられる。しかし、こ
れには、メモリ崩壊の脆弱性がある。細工されたSNMPリクエストを影響のある
システムに送信すれば、アタッカーはこの脆弱性を悪用して、SYSTEM権限で任
意のコードを実行できるようになってしまう。Microsoft SNMPサービスは、デ
フォルトではインストールされていない。ユーザーは、可能であれば、ネット
ワーク境界で、UDP161番ポートをブロックし、secure SNMP community
stringsを使用されたい。Immunity Securityのパートナープログラムのメンバー
用に機能するエクスプロイトがリリースされている。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のほとんどが、この脆弱性に何らかの対策を講じている。同企
業の中には、更新の導入手順にすでに踏み切ったところや、次期定例メンテナ
ンススケジュールに合わせて更新を実行するところもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms06-074.mspx
SNMPに関するWikipediaの説明
http://en.wikipedia.org/wiki/SNMP
SecurityFocus BID
http://www.securityfocus.com/bid/21537
────────────────

8. 危険度【中】: Microsoft Outlook ExpressのWindowsアドレスブックにバッファオーバーフローの
  脆弱性(MS06-076)

<影響のある製品>
Outlook Express 5.5 SP2
Outlook Express 6

<詳細>
Microsoft Outlook ExpressのWindows Address Book (WAB)ファイル処理には、
バッファオーバーフローの脆弱性がある。これらのファイルは、住所などの連
絡先情報を保存するときに使用されるものだ。細工されたWABファイルによっ
てこの脆弱性が悪用されると、現在のユーザーの権限で任意のコードが実行さ
れてしまう。WABファイルは、通常、プロンプトなしでは開かない設定になっ
ている。

<現状>
Microsoftはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のほとんどが、この脆弱性に何らかの対策を講じている。同企
業の中には、更新の導入手順にすでに踏み切ったところや、次期定例メンテナ
ンススケジュールに合わせて更新を実行するところもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-076.mspx
Microsoft Windowsのアドレスブックに関する概要
http://msdn.microsoft.com/workshop/wab/overviews/wabovw.asp
SecurityFocus BID
http://www.securityfocus.com/bid/21501
────────────────

9. 危険度【中】:Microsoftのリモート・インストールサービスにファイルアクセスの脆弱性
  (MS06-077)

<影響のある製品>
Windows 2000 SP4

<詳細>
Microsoft リモート・インストールサービスは、Windows OSやその他のシステ
ムコンポーネントにリモートでインストールを行うときに用いられる。しかし、
これには、安全でないファイルアクセス設定の脆弱性がある。このディレクト
リには、インストール可能なファイルが保存されており、デフォルト設定にお
いては、TFTP (Trivial File Transfer Protocol)で上書き可能だ。未認証の
アタッカーであっても、TFTPを介して、悪質なファイルをこのディレクトリに
アップロードできてしまう。システムが影響を被るには、そのシステムが悪質
なファイルをダウンロードできる設定でなくてはならない。ユーザーは、可能
であれば、ネットワーク境界でUDP69番ポートをブロックされたい。

<現状>
Microsoftはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ員会所属企業の対応>
委員会所属企業のうち2社のみが、影響のあるソフトウェアを使用していた。
同社は、次期定例メンテナンススケジュールに合わせてパッチを適用する見込
みである。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms06-077.mspx
TFTPに関するWikipediaの説明
http://en.wikipedia.org/wiki/Trivial_File_Transfer_Protocol
SecurityFocus BID
http://www.securityfocus.com/bid/21495
────────────────

10. 危険度【中】: BitDefenderのPEファイル解析エンジンにIntegerOverflowの脆弱性

<影響のある製品>
BitDefender Antivirus/Antivirus Plus
ISA ServerおよびMS Exchange用BitDefender
BitDefender Internet Security
テンタープライズ用BitDefender Mail Protection
BitDefender Online Scanner

<詳細>
BitDefenderの複数の製品において、PE (Portable Executable)ファイルの処
理に、integer overflowの脆弱性がある。Portable Executableファイルは、
Microsoft Windowsシステムにおける標準の実行ファイル形式である。不正形
式のPEファイルのうち特定のものを正しく処理できないために、integer
overflowの脆弱性が引き起こされ、スキャンプロセスの権限で任意のコードが
実行されてしまう。

<現状>
BitDefenderはこの問題を認識しており、更新をリリースしている。
BitDefenderのWebサイトによると、更新は、BitDefenderの自動更新システム
によって即座に配信されたという。また、この更新をインストールするときに、
ユーザーの操作は一切必要ないようだ。

<参考>
BitDefenderのセキュリティアドバイザリ
http://www.bitdefender.com/KB323-en--cevakrnl.xmd-vulnerability.html
n.runsのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/454501
BitDefenderのホームページ
http://www.bitdefender.com/
Portable Executableに関するWikipediaの説明
http://en.wikipedia.org/wiki/Portable_Executable
SecurityFocus BID
http://www.securityfocus.com/bid/21610
────────────────

11. ワーム: SymantecのアンチウィルスにBig Yellow/Sagevoワーム

<詳細>
eEyeの研究者らは、Symantecアンチウィルスおよびクライアントセキュリティ
・ソフトにあるバッファオーバーフローの脆弱性を悪用している、新種のワー
ムを発見した。このオーバーフローの欠陥を悪用しているワームは、Big
Yellow/Sagevoワームと称されている。しかし、この欠陥にはすでに、2006年5
月にSymantecからパッチが発行されている。したがって、Symantec AVやクラ
イアントセキュリティ・ソフトを使用している企業は、まだパッチを適用して
いないなら、即座に適用されたい。tcp2967番ポートへのアクセスをネットワー
ク境界でブロックすれば、Internetからのアタックは全て阻止できる。

<参考>
eEyeのワームバイナリ分析
http://research.eeye.com/html/alerts/AL20061215.html
Symantecのワーム分析
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-121309-3331-99&tabid=2
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=21#widely2
────────────────