NRI Secure SANS NewsBites 日本版

Vol.1 No.22:2006年12月29日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
No.22 2006年12月29日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。
■■SANS NewsBites Vol.8 No.101(原版:2006年12月23日)
■はじめに(Alan Paller: SANS Director of Research)

SANSを代表して、207年も皆様すべてが健康で安全な年になるよう祈念いたし
ます。私たちは、SANSのさまざまな活動に対する皆様からのご意見やご協力を
お待ちしています。また、世界中で開催されるSANSのトレーニングプログラム
のどれかでお会いできることを楽しみにしております。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃The Trusted Source for Computer Security Training
┃ SANS Tokyo 2007 Spring
┃ ~~~~~~~~~~~~~~~~~~~~~~ ┃       2007年2月19日~24日 開催決定!

┃  ■SANS認定インストラクターの高いスキル、豊富な実例■
┃  ■講師と受講者相互によるディスカッション形式の講義■
┃  ■参考書と呼ぶにふさわしい詳細な解説付きの研修教材■
┃  ■国内はもちろん世界でも比類のない充実のプログラム■

┃ ┏━━━━━━━━━━━━━━━━━━━━
┃ ┃早期割引き申込み受付中!(2月12日まで)
┃ ┃詳細はこちら
┃ ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
http://sans-japan.jp/SJ/tokyo2007_spring/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━AD━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今から計画を!
────────────────

◆ソニー カリフォルニア州によるDRM訴訟で示談成立
  (2006.12.20)

CDに付いていたルートキットソフトウェアに関して、ソニーBMGはカリフォル
ニア州に訴えられていたが、このほど両者間で示談が成立した。ソニーは、著
作権侵害を防止するため、特定のCDにデジタル権利管理技術(DRM)をバンドル
していた。このソフトウェアは、コンピュータにディスクを挿入するだけで、
自動的にそのマシンにインストールされてしまうものだった。問題のソフトウェ
アは、ユーザーがアンインストールできないように隠されていただけでなく、
ユーザーのマシンをエクスプロイトに脆弱な状態してしまった。ソニーは、75
万ドルの罰金を払い、影響を受けた各顧客に175ドルを返金する。示談の合意
内容によると、ソニーは今後、DRM技術の存在を表示せずに、DRM技術をCDに入
れてはならないとされている。ソニーは、2006年1月にも、同じ問題について
の集団訴訟で、示談を成立させいる。
http://www.vnunet.com/vnunet/analysis/2171300/sony-settles-lawsuit-rootkit
http://news.zdnet.co.uk/security/0,1000000189,39285213,00.htm
────────────────

◆英国民IDカード情報 3つのデータベースに分けられる
  (2006.12.19-20)

英国政府は、全国民のIDカードを1つのデータベースに集約するプランを撤回
した。ID情報は、代わりに3つのシステムに分けられる。内務省のJohn Reid氏
は、機密情報を3つのデータベースに分けることで、リスクを低減することが
できるとコメント。政府はまた、指紋と顔面生体認証データのみを起用し、当
初予定していた虹彩スキャンデータはプランから除外した。
http://www.zdnetasia.com/news/security/printfriendly.htm?AT=61976558-39000005c
http://news.bbc.co.uk/1/hi/uk_politics/6192419.stm
────────────────

◆電子医療記録共有に オプトアウト許可
  (2006.19-20)

英国イングランドのNational Health Service (NHS)は、自身の医療記録を国
内で共有することに関して、市民本人がオプトアウトしてもよいとした。それ
に関するプロセス自体はまだ決まっていないものの、市民自身が、オンライン
で医療記録のエラーを修正できるようにし、かつ、その医療記録を共有しても
よいかどうかを決定する権限も本人に与えられるようだ。このプランの起案者ら
は、国内のどこからでも医療記録にアクセスできるようにすれば、たくさんの
人の命を救うことができると主張。しかし、反対者らは、いったん記録が国家
システムにアップロードされると、それに変更を加えたり除去したりするのは
困難で、データを見せる許可を与える制御力が、個人にはなくなることを懸念
している。
http://www.theregister.co.uk/2006/12/19/doh_sticks_to_opt_out/print.html
http://news.bbc.co.uk/2/hi/health/6189745.stm
http://www.silicon.com/publicsector/0,3800010409,39164718,00.htm?r=1

【編集者メモ】(Schultz)
市民自身がオプトイン、オプトアウトの決定をできるようにすることは、すば
らしい考えだ。市民は、自身の医療情報が共有化されることで生じるリスクと、
緊急事態にそれにアクセスできずに生じるリスクとを天秤にかけて、選択を行
えばよい。
────────────────

◆英国企業の約3割が、EUプライバシー保護法を遵守せず
  (2006.12.20)

英国企業200社にアンケート調査を行ったところ、31%の企業がEUのプライバ
シーおよび電子通信法に遵守していないことがわかった。この法律は、2003年
12月に成立し、メール受信をオプトインした者に向けてしか販促メール等の送
信は許されないというもの。オプトアウトの選択肢のみ、もしくは、オプトイ
ンが事前に選択されている設定の企業は、法律を遵守しているとはみなされな
い。このアンケートは、銀行、クレジットカード会社、出版社、旅行会社など
さまざまな分野の企業を対象に実施された。2005年に似たような調査を行った
が、当時、遵守できていない企業の割合は34%だった。
http://www.crm2day.com/news/crm/120916.php
────────────────

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年12月26日配信 Vol.5 No.51)
@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

■はじめに(Alan Paller: SANS Director of Research)

Firefox、JAVA Runtime環境・SDKにリスクの高い脆弱性が判明した。これらの
脆弱性は悪用が簡単なため注意が必要である。

1. 危険度【高】:Mozillaプロダクトに複数の脆弱性

<影響のある製品>
Mozilla Thunderbird versions prior to 1.5.0.9
Mozilla SeaMonkey versions prior to 1.0.7
Mozilla Firefox versions prior to 2.0.1
Mozilla Firefox versions prior to 1.5.0.9

<詳細>
Thunderbird、SeaMonkey、Firefoxを含むMozillaプロダクトに、リモートから
のコード実行、クロスサイトスクリプティング、権限昇格、コンテンツスプー
フィング、DoSなど複数の脆弱性がある。少なくとも、リモートからのコード
実行の脆弱性の1つは、悪意のあるWebページを閲覧するだけで実行可能である
ことが判明している。技術的な詳細のいくつかはまだ公開されていないが、ソー
スコードを分析することによって解明できるかもしれない。

<現状>
Mozillaはこれを認識し、アップデートが可能な状態にある。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のすべてがMozillaを使用しているが、IT部門によって正式に
サポートされてはいない。したがって、利用者がMozillaの自動アップデート
機能を利用して更新を行っている。

<参考>
Mozilla Security Advisories
http://www.mozilla.org/security/announce/2006/mfsa2006-68.html
http://www.mozilla.org/security/announce/2006/mfsa2006-69.html
http://www.mozilla.org/security/announce/2006/mfsa2006-70.html
http://www.mozilla.org/security/announce/2006/mfsa2006-71.html
http://www.mozilla.org/security/announce/2006/mfsa2006-72.html
http://www.mozilla.org/security/announce/2006/mfsa2006-73.html
http://www.mozilla.org/security/announce/2006/mfsa2006-74.html
http://www.mozilla.org/security/announce/2006/mfsa2006-75.html
http://www.mozilla.org/security/announce/2006/mfsa2006-76.html
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-06-051.html
SecurityFocus BID
http://www.securityfocus.com/bid/21668
────────────────

2. 危険度【高】:SunのJava Runtime Environmentに複数の脆弱性

<影響のある製品>
Sun JDK、JRE 5.0 Update 7 とそれ以前のバージョン
Sun SDK、JRE 1.4.2_12 とそれ以前のバージョン
Sun SDK、JRE 1.3.1_18 とそれ以前のバージョン

<詳細>
Sun Java Runtime Environment(JRE)とSun Java Software Developer Kit
(SDK)には、リモートからのコード実行、権限昇格、情報漏えいなど複数の
脆弱性がある。ユーザーが悪意のあるJavaアプレットを含むWebページを閲覧
すると、ログオンしているユーザーの権限で、クライアントシステム上で任意
のコードを実行されてしまうおそれがある。Javaアプレットは、通常のブラウ
ザ設定で自動的にダウンロードされ、実行されることに注意してほしい。JRE
は、Windows XP以前のMicrosoft WindowsシステムやSoralisを含む多くのUnix
システム、Linuxディストリビューションにデフォルトでインストールされて
いる。したがって、早期のアップデートをお勧めする。

<現状>
Sunはこれを認識し、アップデートが可能な状態にある。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業がこの問題に対して対応している。同企業の中には、
ベンダーの自動更新機能を使用するところや、次期定例メンテナンススケジュー
ルに合わせて更新を実行するところもあるようだ。

<参考>
Sun Security Advisories
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102729-1&searchclause=

http://sunsolve.sun.com/search/document.do?assetkey=1-26-102732-1&searchclause= Wikipedia Article Explaining Java Applets
http://en.wikipedia.org/wiki/Java_applet
Sun Java Home Page
http://java.sun.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/21673
http://www.securityfocus.com/bid/21674
http://www.securityfocus.com/bid/21675
────────────────

3. 危険度【高】:ESET NOD32 CABルーチンにヒープオーバーフローの脆弱性

<影響のある製品>
ESET NOD32 Antivirusバージョン1.1743を含むそれ以前

<詳細>
アンチウィルスソリューションであるESET NOD32は、CAB(cabinet)アーカイ
ブファイルのハンドリングにおいてヒープオーバーフローの脆弱性がある。細
工されたCABファイルがこの脆弱性を利用して、スキャンプロセスの権限で任
意のコードを実行することができる。

<現状>
ESETはこれを認識し、アップデートが可能な状態にある。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
n.runs Security Advisory
http://archives.neohapsis.com/archives/bugtraq/2006-12/0341.html
ESET Home Page
http://eset.com
Wikipedia Article on the Cabinet Archive Format
http://en.wikipedia.org/wiki/Cabinet_(file_format)
────────────────

4. 危険度【高】:MailEnable POP3 PASSコマンドにバッファオーバーフローの脆弱性

<影響のある製品>
MailEnable ProfessionalおよびEnterprise Editionsのバージョン2.35
(それ以前のバージョンも脆弱な可能性あり)

<詳細>
Microsoft WindowsシステムのメールソリューションであるMailEnableには、
POPサーバのPASSコマンド実行にバッファオーバーフローの脆弱性がある。未
認証のアタッカーがこのバッファオーバーフローの脆弱性を利用してPASSコマ
ンドに過度に長い引数を送ると、POPサーバの権限で任意のコードが実行でき
るおそれがある。すでにあるエクスプロイトコードを簡単に修正するだけで悪
用が可能になるとの情報もある。

<現状>
MailEnableはこれを認識し、アップデートが可能な状態にある。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Secunia Security Advisory
http://www.securityfocus.com/archive/1/454713
MailEnable Home Page
http://www.mailenable.com/
Wikipedia Article on POP
http://en.wikipedia.org/wiki/Post_Office_Protocol
SecurityFocus BID
http://www.securityfocus.com/bid/21645/
────────────────