NRI Secure SANS NewsBites 日本版

Vol.1 No.3:2006年8月21日発行

**********************************************************************
           NRI Secure Security Information
               2006年8月21日発行
                          with SANS Institute
**********************************************************************

このメールマガジンは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。


■■SANS NewsBites Vol.8 No.63-64(原版:2006年8月12日、16日発行)

■はじめに:Alan Paller(SANS Director of Research)

公のデータ侵害に関して言えば、今週は史上最も重要な一週間であったかもし
れない。しかし、これは単なる氷山の一角に過ぎない。大手金融機関によって
報告されたサイバー詐欺の損失額は、5倍から8倍に増加した。連邦政府局や政
府の請負業者は、ルートキットによってシステムのいたる所が侵害され、機密
情報が盗まれていることを発見。サイバー犯罪は、公共に与えるインパクトが
強く、場合によっては国家機密漏えいのリスクも多分にはらんでいるため、犯
罪者たちの標的となりつつある。多くの企業は、セキュリティツールを購入し、
その脅威に対抗する取組みを行い、何事も起こらないようにただ祈っている。
しかしこれでは、境界が安全かどうかの確証や、悪質なネットワーク活動の痕
跡をも特定できず、システムのの弱点を見つけることもできない。Windowsや
UNIXシステムの守備を固めることも不可能だ。つまり、恥ずかしいことに、サ
イバー犯罪をいとも簡単に実行されてしまう状態にあるといっていい。

昨日、ある女性と電話で話をしていたら、「上司にどう話せば、私のスタッフ
はセキュリティトレーニングを受けることができ、それに受講料分の効果が必
ずあると説得することができるか」と聞かれた。私は、おおかたのトレーニン
グに効果はないと答えた。セキュリティに関する概念やあり方など、実践とは
かけ離れた研修があまりにも多く存在するのが現状だからだ。セキュリティの
トレーニングは実践的なスキルを身につけられるか否かにかかっている。講師
に最新かつ実践的な経験と知識があり、教え方も秀でていれば、トレーニング
に出席した受講者は、その直後から組織とシステムのセキュリティを改善する
ことができるようになる。このようなトレーニングであれば、支払った金額以
上の価値が組織にもたらされる。私は、SANSトレーニングが今まで出席したト
レーニングの中で最も有意義なトレーニングであったという受講者の公開コメ
ントを彼女に伝えた。

「このセミナーにおいて、情報技術における今後の方向性を決定できるような
講師陣から学ぶという素晴らしい機会を得ることができた」
Larry Anderson (Computer Sciences社)

「SANSの競合と言われる機関のいくつかが提供するコースに参加したことがあ
るが、SANSは、こてんぱんに彼らのコースを打ちのめした!」
Alton Thompson (米国海兵隊)

「私はIT業界で14年の経験があるが、今のところ私が参加した研修の中ではSANS
が一番だ」
Tom Davis(インディアナ大学)

「習得した技術やツールをすぐに使用できるようになれるトレーニングは、
SANSのトレーニングだけだろう」
Dwight Leo (米国国防補給庁)

SANSトレーニングの受講者から、同様のコメントを3000件以上いただいている。
SANSトレーニングの詳細はこちらで:
http://www.sans.org/
東京開催の情報はこちら:
http://sans-japan.jp/SJ/tokyo2006_11/index.html


◆スパイ容疑で海軍隊員逮捕(2006.8.9-10)

米国海軍下士官(Petty Officer 3rd Class)のAriel J. Weinmannが、機密情報
の入った海軍のノートパソコンを持ち出し、それを外国政府に売り飛ばそうと
していたスパイ容疑の罪状3つで逮捕された。Weimannは、脱走、一般守則違反、
機密情報の違法コピー、政府所有物破損など、他の容疑もかけられている。海
軍指揮官らは、まだこのケースを裁判にかけるかどうかの決定を下していない。
実際に裁判になった場合、Weimannには死刑が科せられる可能性もある。同人
は現在、ノーフォーク海軍航空基地に拘留されている。
http://www.msnbc.msn.com/id/14275131/
(下のサイトを閲覧するには、無料登録が必要)
http://www.washingtonpost.com/wp-dyn/content/article/2006/08/09/AR2006080901704_pf.html
────────────────

◆米国復員軍人援護局のデータ、また行方不明:上院議員、同局長官の辞職求
  める(2006.8.8)

復員軍人擁護局(VA)は、3万8,000人分の個人情報が保存されているデスクトッ
プコンピュータが、下請け業者のオフィスから行方不明になった事実を認めた。
これを受けて、上院議員Harry Reid(ネバダ州民主党)は、VA長官Jim
Nicholsonの辞職を求めた。この5月、2,650万人の退役軍人および現役隊員の
情報が保存されていたノートパソコンが職員の自宅で盗難に遭い、これに関連
していたとみられる2人の男が逮捕された。それに引き続いて、またこの事件
である。先の5月の盗難事件で盗まれたノートパソコンは、6月に回収している
が、関係者らは、中にあった情報にはアクセスされていないと考えているよう
だ。
(下のサイトを閲覧するには、無料登録が必要)
http://www.washingtonpost.com/wp-dyn/content/article/2006/08/08/AR2006080800656_pf.html
http://www.cnn.com/2006/POLITICS/08/08/vets.data/

【編集者メモ】(Pescatore)
何かに追い討ちをかけるのは、確かにおもしろいい。しかし、請負業者のオフィ
スからデスクトップコンピュータが物理的に移動されたからといって、同局の
長官を辞職に追いやるというのなら、政治家全員が同様に退職すべきだという
ことになる。
────────────────

◆AOLの検索情報漏れで、プライバシー法案の焦点が変わる(2006.8.10)

AOLの顧客65万人の検索クエリが外部に漏れたことを受けて、データ漏えい阻
止を図る法案が再び注目されるようになった。米国下院議員Ed Markey(マサ
チューセッツ州民主党)は、この2月、消費者のインターネットデータ保管に
関する法案、EWOCID:Eliminate Warehousing of Consumer Internet Data
Actを提案した。また、Markey議員は今週、AOLの今回の失態で、さらにこの法
案の成立の必要性が高まるだろうとコメントしている。EWOCID法案では、Web
サイト側が保存できる個人情報の量を制限している。また、全てのWebサイト
運営者に対し、「適正期間内に」氏名、メールアドレス、場合によってはIPア
ドレスなどの個人情報を削除することを義務づけている。
http://www.zdnet.co.uk/print/?TYPE=story&AT=39280702-39020375t-10000025c
http://www.eweek.com/print_article2/0,1217,a=185796,00.asp
http://www.theorator.com/bills109/hr4731.html

【編集者メモ1】 (Schultz)
Markey下院議員は、正義のための現代版十字軍騎士といえよう。個人情報や財
務情報の適正な保護を義務付ける彼の取組みはあっぱれなものだ。
【編集者メモ2】(Pescatore)
これもまたオプトインに関する問題だ。非常にたくさんの企業が、顧客の検索
文字列データを利用している。ただ、AOLは、不運にも情報を公にさらした失
態がばれてしまっただけだ。しかし、そのような検索文字列データを所有して
いるのはいったい誰なのだろう? その所有者が検索者だとしたら、そのデー
タが使用される際には、彼らが明確な承認を出すのが筋ではないだろうか?
────────────────

◆米国国土安全保障省、重大な欠陥にパッチを適用するようにWindowsのユー
  ザーに要請(2006.8.8-10)

米国国土安全保障省(DHS)は、Windowsにある特に危険な脆弱性について警告を
出すという異例の措置に踏み切った。また、Windowsのユーザーに対し、これ
らの欠陥に対するMicrosoftのパッチを早急に適用するように要請している。
パッチは、警告MS06-040に掲載されており、Windowsサーバ・サービスにある
バッファオーバーフロー欠陥を修正できる。アタッカーがこの欠陥を悪用する
と、保護されていないコンピュータの制御を奪い、ユーザーの操作なしでコー
ドを実行できるようになってしまう。この欠陥のエクスプロイトが、すでに脆
弱なシステムの攻撃に利用されている。8月8日(火)に、Microsoftは12個のセ
キュリティ警告を発行した。これらの警告では、23個の脆弱性について説明さ
れており、そのうち9個は「重大」レベルに分類されている。
インターネットストームセンターの記事:
http://isc.sans.org/diary.php?storyid=1582
http://isc.sans.org/diary.php?storyid=1578
http://isc.sans.org/diary.php?storyid=1557
http://www.dhs.gov/dhspublic/display?content=5789
http://www.newsfactor.com/news/U-S--Warns-of-Windows-Security-Flaw/story.xhtml?story_id=0220026YWR7M
http://news.com.com/2102-7348_3-6103805.html?tag=st.util.print
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9002275&taxonomyId=18
http://www.techweb.com/wire/191900653
http://blog.washingtonpost.com/securityfix/2006/08/microsoft_fixes_23_security_fl.html
http://www.microsoft.com/technet/security/bulletin/ms06-aug.mspx

【編集者メモ1】(Paller)
DHSが大々的に通知(直ちに修正を行う必要のあるセキュリティ問題について
の通知)を行ったのは、大変喜ばしい変革だ。今まで長すぎるほどの間、DHS
はこのような発表をごく一部の人にだけ限定して行ってきた。結果的に一般市
民はそのまま放置されていたため、彼らは必然的に脆弱すぎる状態のまま放っ
ておかれていた。DHSのサイバーチームを、国家にとってより価値の高いチー
ムに変遷させたGeorge ForesmanとRob Zitzに賞賛を。
【編集者メモ2】(Pescatore)
この問題は、ワーム的要素が高く、エクスプロイトも存在しているため、多く
の注目が集まっている。しかし、2003年のワーム以来、大きくその様は変わっ
た。現在、より深刻に懸念されているのは、「直接的なアタックによってサー
ビス停止状態(DoS)等を引き起こす喧騒的なワーム」ではなく、「パッチを施
さない、または保護措置をとっていない怠慢者を静かに狙うエクスプロイト」
である。
【編集者メモ3】(Honan)
ホームコンピュータ5台のうち1台が、アンチウィルスソフトウェアで保護され
ていない状態(2006年度消費者報告による)であるとすると、コンピュータセキュ
リティに携わる人にとっては、近いうちに「あなたが激動の時代に生き延びら
れますように」という昔の呪いが現実のものになってしまう。
────────────────

◆英国原子力産業セキュリティについての報告:ワイヤレス関連のリスクが浮
  き彫りに(2006.8.13)

英国民間原子力セキュリティ室(OCNS:Office for Civil Nuclear Security)
からの報告によると、2006年3月31年終了年度において、英国の原子力産業に
39件のセキュリティインシデントが報告されていたことがわかった。また、ノー
トパソコンの盗難や、「インターネット経由で機密情報が不適当な形で送信さ
れる」など、情報セキュリティ侵害事件が8件起きている。今のところ、これ
らの侵害によって損害が生じたという報告はないが、OCNSは、ワイヤレス技術
によって拡大したIT侵害事件のリスクに懸念を表わしている。報告には、物理
的なセキュリティインシデントに関する詳細情報も報告されている。
────────────────

◆米国復員軍人援護局、1ヶ月以内にノートパソコン全てに暗号化措置
  (2006.8.14)

米国復員軍人援護局(VA)は、同局のノートパソコン全てにあるデータを暗号化
すると発表した。VA長官のJames Nicholsonによると、新しいセキュリティプ
ログラムを即始動し、1ヶ月以内に全てのノートパソコンに暗号化措置を施す
予定だという。同局は、ノートパソコンを暗号化した後、続いてデスクトップ
コンピュータを、そして、サーバやデータセンターの情報を暗号化する見込み
だ。
http://www.eweek.com/print_article2/0,1217,a=186049,00.asp
http://www.gcn.com/online/vol1_no1/41653-1.html
http://www.fcw.com/article95655-08-14-06-Web&printLayout

【編集者メモ1】(Schultz)
ノートパソコンに保存されているデータを暗号化しても(最終的にはデスクトッ
プや他のシステムも)、VAにあるセキュリティ問題全てが解決されるわけでは
ない。しかし、この措置によって、正しい方向に向かって、大きな一歩が踏み
出せるといえよう。
【編集者メモ2】(Grefer)
突然の実装を考えると、この実装によって、インフラや相互操作性に生じる影
響の可能性に関して十分な対策が練られているのかどうかや、主要な処理や配
信に関してもどのような条件が設けられたかなどが心配になってしまう。

**********************************************************************

■■@RISK:The Consensus Security Vulnerability Alert Vol.5 No.32
(原版:2006年8月15日配信)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。

<今週のコメント>
火曜のMicrosoft警告で、膨大な数の「重大」な脆弱性が報告された。しかし、
Microsoftが行っている開発プロセスにおいて、失敗例が確かに増加している
が、それを投影して脆弱性が膨大になっているわけではないようだ。Microsoft
のプログラミング欠陥が多数発見された原因は、組織的な違法ハッキング活動
が最近になって大幅に拡大しているからである。ハッキングは、サイバー詐欺
による銀行の損失に換算すると、(2005年上半期以来)450%増加した。そのほ
か、米国政府(および他国の政府)のコンピュータや、陸軍業務請負システムな
ど、広域にわたって侵入件数が増加している。特に、東欧やアジアでサイバー
犯罪を敢行する者の人数が急増しているのだ。脅威レベルが高まっている今こ
そ、セキュリティ管理業務の従事者には最新かつ実践的な技術スキルを身につ
けてほしい。そうすれば、彼らは侵入事件を検知し、その処理を行い、適切な
防御策を構築できるようになるだろう。今のところ、このようなスキルの習得
を図る最善策として勧められるのは、SANSトレーニングプログラムに参加する
ことだ。このプログラムにはSANS屈指のインストラクターが勢揃いしているた
め、世界最高レベルの講師から学ぶことができるのだ。また、会場で展示会や
無料コースなども用意されている。
────────────────

◆危険度【重大】:Microsoftのサーバ・サービスに、リモートでコードを実
  行される脆弱性(MS06-040)

<影響のある製品>
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1/SP2
Microsoft Windows Server 2003 SP0/SP1

<詳細>
Microsoft Windowsサーバ・サービスは、さまざまなOSやネットワーキングサー
ビスを提供する際に用いられる。このサーバ・サービスのRPC(Remote
Procedure Call)インタフェースに、リモートで悪用されるバッファオーバー
フロー脆弱性が確認された。アタッカーが"NetpwPathCanoncalize"のRPCリク
エストを細工してそれを送信すれば、このバッファオーバーフローを悪用して
任意のコードを実行し、システムの制御を完全に奪うことができてしまう。こ
の脆弱性のエクスプロイトコードはすでに公表されている。また、同コードは
botに活発に利用されており、Windows2000やXP SP1システムへの感染に悪用さ
れている。CERTやSANSによると、この脆弱性の悪用行為は、このセキュリティ
警告がリリースされる以前から検知されていたという。

<現状>
Microsoftは、セキュリティ警告MS06-040に言及されているパッチをリリース
した。ユーザーは、このパッチを即座に適用した方がよい。eEyeやその他のス
キャンツールを用いて、ネットワーク内の脆弱なシステムを特定することも可
能だ。また、回避策として、TCPとUDPの445番と139番をネットワーク境界でブ
ロックするとよい。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、このMicrosoftの問題に何らかの対策を講じている。
いくつかの企業は、この問題に迅速に対処しており、パッチを既に適用した。
他の企業は、次期定例システム更新スケジュールに合わせてパッチを適用する
見込みである。また、数社は、サーバを通常の問題として対処する一方、デス
クトップは緊急事項として対処している。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx
SANS担当者日誌のBot解析に関する記事
http://www.incidents.org/diary.php?storyid=1597&isc=c53e9a09018bce943dfaf79508620564
http://isc.sans.org/diary.php?storyid=1593
LurHQのBot解析
http://www.lurhq.com/mocbot-ms06040.html
eEyeスキャンツール
http://archives.neohapsis.com/archives/fulldisclosure/2006-08/0263.html
http://www.eeye.com/html/resources/downloads/audits/NetApi.html
Metasploitのエクスプロイト
http://metasploit.com/projects/Framework/exploits.html#netapi_ms06_040
概念実証型エクスプロイト
http://www.securityfocus.com/bid/19404
SecurityFocus BID
http://www.securityfocus.com/bid/19409
────────────────

◆危険度【重大】:Microsoft Internet Explorerに複数の脆弱性(MS06-042)

<影響のある製品>
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1/SP2
Microsoft Windows Server 2003 SP0/SP1

<詳細>
Microsoft Internet Explorerには、リモートで悪用される脆弱性が複数確認
された。これらの脆弱性には、現在のユーザーの権限でリモートでコードを実
行される脆弱性や、情報開示脆弱性、FTP URLに組み込まれた任意のFTPコマン
ドを実行される脆弱性などがある。

<現状>
Microsoftはこれを認識しており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、このMicrosoftの問題に何らかの対策を講じている。
いくつかの企業は、この問題に迅速に対処しており、パッチを既に適用した。
他の企業は、次期定例システム更新スケジュールに合わせてパッチを適用する
見込みである。また、数社は、サーバを通常の問題として対処する一方、デス
クトップは緊急事項として対処している。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-042.mspx
Zero Dayイニシアチブ・アドバイザリ
http://zerodayinitiative.com/advisories/ZDI-06-026.html
http://zerodayinitiative.com/advisories/ZDI-06-027.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/11826
http://www.securityfocus.com/bid/18682
http://www.securityfocus.com/bid/19312
────────────────

◆危険度【重大】:Microsoft MHTML Link解析に、リモートでコードを実行さ
  れる脆弱性(MS06-043)

<影響のある製品>
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1/SP2
Microsoft Windows Server 2003 SP0/SP1

<詳細>
Microsoft Windowsは、リンク内のMHTML URLを正しく解析できていない。
MHTMLは、HTML(HyperText Markup Language)の拡張版で、これによって、組み
込まれているオブジェクトやメタデータが許可される。細工したMHTMLリンク
が悪質なWebページに含まれていると、この脆弱性を悪用して、現在のユーザー
の権限で任意のコードが実行されてしまう。また、この欠陥はコアのライブラ
リにあるため、Webブラウザや電子メールクライアント以外のアプリケーショ
ンが影響を受ける可能性もある。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、このMicrosoftの問題に何らかの対策を講じている。
いくつかの企業は、この問題に迅速に対処しており、パッチを既に適用した。
他の企業は、次期定例システム更新スケジュールに合わせてパッチを適用する
見込みである。また、数社は、サーバを通常の問題として対処する一方、デス
クトップは緊急事項として対処している。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-043.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/18198
────────────────

◆危険度【重大】:MicrosoftのHTML Help ActiveXコンポーネントに、リモー
  トでコードを実行される脆弱性(MS06-046)

<影響のある製品>
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1/SP2
Microsoft Windows Server 2003 SP0/SP1

<詳細>
Microsoft HTMLのヘルプシステムで使用されるActiveXコンポーネントには、
リモートでコードを実行されるおそれのある脆弱性がある。悪質なWebページ
が脆弱なコンポーネントをインスタンス化すると、それによってこの脆弱性が
引き起こされ、結果的に現在のユーザーの権限で任意のコードが実行されてし
まう。
ユーザーは、Internet Explorer内で脆弱なコンポーネントがインスタンス化
されないように、CLSID"{52a2aaae-085d-4187-97ea-8c30db990436}"の
"killbit"機能を介して、この脆弱性の影響力を制限するとよい。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てがこのMicrosoftの問題に何らかの対策を講じており、
また、次期定例システム更新スケジュールに合わせてパッチを適用する予定だ。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-046.mspx
TippingPointのセキュリティ研究チームのアドバイザリ
http://www.tippingpoint.com/security/advisories/TSRT-06-08.html
Microsoft知識ベースの記事("killbit"機能の概要を説明)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/18769
────────────────

◆危険度【重大】:ClamアンチウィルスのUPX解凍処理にリモートでコードを
  実行される脆弱性

<影響のある製品>
Clam AntiVirus 0.88.3以前のバージョン

<詳細>
Clam AntiVirus (ClamAV)は、オープンソースのウィルススキャンエンジンと
して広範囲で使用されている。しかし、ClamAVには、リモートで悪用されるバッ
ファオーバーフローの脆弱性がある。アタッカーがUPXで圧縮した実行ファイ
ルを細工し、それを添付して送信すれば、ClamAVプロセス権限として任意のコー
ドを実行されるおそれがある。この脆弱性を悪用する際に、ユーザーの操作は
一切必要としない。デフォルト設定のClamAVは脆弱だと考えられている。その
ため、ユーザーは、UPX圧縮実行ファイルのスキャンを無効にして、この脆弱
性の影響範囲を制限するとよい。また、この脆弱性の概念実証コードが公表さ
れている。

<現状>
ClamAVはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼動していないか、ごく一部の使用に
とどまっている。したがって、どの委員会所属企業でも正式にサポートしてい
ない。そのため、特に対策を講じる企業はないと報告されている。

<参考>
Damian Putによる掲示 (技術的詳細情報を含む)
http://archives.neohapsis.com/archives/bugtraq/2006-08/0162.html
概念実証型
http://overflow.pl/poc/clamav_upx_heap.exe
UPX Executable Packerのホームページ
http://upx.sourceforge.net/
ClamAVのホームページ
http://www.clamav.net
SecurityFocus BID
http:/www.securityfocus.com/bid/19381
────────────────

◆危険度【重大】:McAfee Subscription ManagerのActiveXコンポーネントに、
  リモートでコードを実行される脆弱性

<影響のある製品>
McAfee Subscription Managerを使用しているMcAfee製品すべてに脆弱性のお
それあり。問題のコンポーネントが使用されている製品は以下のとおり:
McAfee AntiSpyware
McAfee Internet Security Suite
McAfee Personal Firewall Plus
McAfee Privacy Service
McAfee QuickClean
McAfee SpamKiller
McAfee VirusScan
McAfee Wireless Home Network Security

<詳細>
McAfee Subscription ManegerのActiveXコンポーネントは、McAfee社のHome製
品ラインおよびHome Business製品ライン全てに実装されている。しかし、こ
れらの製品にはリモートで悪用されるバッファオーバーフローの脆弱性がある。
悪質なWebページが脆弱なコンポーネントをインスタンス化すると、
McSubMger.dllコンポーネント内のバッファオーバーフローを悪用し、現在の
ユーザーの権限で任意のコードを実行されかねない。この脆弱性の技術的詳細
および概念実証コードが公表されている。ユーザーは、
CLSID"{9BE8D7B2-329C-442A-A4AC-ABA9D7572602}"の"killbit"機能を使って
Internet Explorerの脆弱なコンポーネントのインスタンス化を許可しないよ
うに設定し、この脆弱性の影響範囲を制限するとよい。

<現状>
McAfeeはこれを認識しており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、ごく限られた範囲で影響のあるソフトウェ
アを使用していた。同社は、ユーザー自身がベンダーの更新を直接入手・適用
することを期待し、それに頼ることになる。

<参考>
eEyeのセキュリティアドバイザリ(概念実証コードを含む)
http://archives.neohapsis.com/archives/bugtraq/2006-08/0142.html
Microsoft知識ベースの記事("killbit"機能の概要を説明)
http://support.microsoft.com/kb/240797
McAfeeのセキュリティ警告
http://ts.mcafeehelp.com/faq3.asp?docid=407052
SecurityFocus BID
http://www.securityfocus.com/bid/19265
────────────────

◆危険度【高】:Microsoftマネジメントコンソールにリモートでコードを実
  行される脆弱性(MS06-044)

<影響のある製品>
Microsoft Windows 2000 SP4

<詳細>
悪質なWebサイトを駆使すれば、Microsoft Windowsにあるクロスサイトスクリ
プティングの脆弱性を悪用することができる。この脆弱性によって、
Microsoftマネジメントコンソールライブラリにある、ローカルHTMLリソース
ファイルへのアクセスが許可される。リモートのユーザーがこれらのファイル
へアクセスできると、現在のユーザーの権限で任意のコマンドを実行できるよ
うになってしまう。ユーザーは、Microsoft "Active Scripting"を無効にして、
この脆弱性の影響範囲を制限するとよい。ただし、この操作によってOSの機能
性にも影響が出ることに注意。ユーザーは、プレーンテキストで電子メールメッ
セージを読むようにするとよい。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、このMicrosoftの問題に何らかの対策を講じており、
また、次期定例システム更新スケジュールにパッチを適用する予定だ。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-044.mspx
Internet Explorerのセキュリティゾーンについて
http://support.microsoft.com/default.aspx?scid=182569
SecurityFocus BID
http://www.securityfocus.com/bid/19417
────────────────

◆危険度【高】:Microsoft Windows Explorerにリモートでコードを実行され
  る脆弱性(MS06-045)

<影響のある製品>
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1/SP2
Microsoft Windows Server 2003 SP0/SP1

<詳細>
Microsoft Windows Explorerは、SMBやWebDAVファイル共有サイトにあるファ
イル名が細工されていると、それらを正しく処理できない。そのため、この欠
陥を悪用したアタッカーは、現在のユーザーの権限で任意のコードを実行でき
るようになってしまう。この欠陥は、細工されたファイル名を持つファイルが
あるファイル共有サイトを訪問し、そのウィンドウ内のどこかをダブルクリッ
クするだけで悪用が可能だ。ファイル名にアプリケーションのGUID(Globally
Unique Identifier)があると、そのアプリケーションが実行されてしまう仕組
みになっている。しかし、この悪用を実現するには、ユーザーがまず悪質な共
有サイトを訪問し、新しく開いたウィンドウをダブルクリックしなくてはなら
ない。この脆弱性の技術的詳細と概念実証コードがすでに公表されている。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、このMicrosoftの問題に何らかの対策を講じており、
また、次期定例システム更新スケジュールにパッチを適用する予定だ。

<参考>
Microsoftのセキュリティ掲示
http://www.microsoft.com/technet/security/Bulletin/MS06-045.mspx
Plebo Aesdi Naelによる掲示(概念実証コードと技術的詳細情報を含む)
http://lists.grok.org.uk/pipermail/full-disclosure/attachments/20060627/3d930eda/PLEBO-2006.06.16IE_ONE_MINOR_ONE_MAJOR.obj
SecurityFocus BID
http://www.securityfocus.com/bid/19389
────────────────

◆危険度【高】:Microsoft Windowsのハイパーリンクオブジェクトにリモー
  トでコードを実行される複数の脆弱性(MS06-050)

<影響のある製品>
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1/SP2
Microsoft Windows Server 2003 SP0/SP1

<詳細>
電子メールやOffice文書内にある細工されたリンクをクリックすることによっ
て、最終的に現在のユーザーの権限で任意のコードが実行されてしまうおそれ
がある。なぜなら、ハイパーリンク・オブジェクトライブラリ(Hyperlink
Object Library)に複数の欠陥があるからだ。このライブラリは、ハイパーリ
ンクを解析・操作するときに用いられる。これらのうち少なくとも1つの脆弱
性に関しては、提供されたリンクでユーザーをライブのWebサイトに訪問させ
なければ悪用は実現できない。そのため、同脆弱性においては、マルウェアの
寿命が制限されている。これらの脆弱性のうち1つについての技術的詳細が、
すでに公表されている。この欠陥はOSライブラリにある欠陥であるため、他の
アプリケーションに影響を及ぼす可能性もある。

<現状>
Microsoftはこれらを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、このMicrosoftの問題に何らかの対策を講じている。
いくつかの企業は、この問題に迅速に対処しており、パッチを既に適用した。
他の企業は、次期定例システム更新スケジュールに合わせてパッチを適用する
見込みである。また、数社は、サーバを通常の問題として対処する一方、デス
クトップは緊急事項として対処している。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-050.mspx
TippingPointセキュリティ研究チームのアドバイザリ
http://www.tippingpoint.com/security/advisories/TSRT-06-10.html
SecurityFocus BID
http://www.securityfocus.com/bid/18500
────────────────

◆危険度【高】:Barracuda Spam Firewallにリモートでコマンドを挿入さ
  れる脆弱性

<影響のある製品>
Barracuda Spam Firewall Appliance

<詳細>
BarracudaのSpam Firewall Applianceは、企業版アンチスパムアプライアンス
として広範囲で使用されている。しかし、このアプライアンスには、リモート
でコマンドを挿入される脆弱性がある。アプライアンスの
"/cgi-bin/preview_email.cgi"スクリプトに、細工したリクエストを送信する
と、認証されていないアタッカーでも、管理者権限で任意のコマンドを実行で
きるようになってしまう。この脆弱性の技術的詳細がすでに公表されている。
ユーザーは、barracuda管理者用インタフェースをネットワーク境界でブロッ
クするとよい。

<現状>
Barracudaはこれを認識しており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社では、膨大な人数のユーザー向けて届くメールに対して、このソフトウェ
アを使用している。8月4日に掲載されたMatthew Hallのbugtraq記事には、
「当初の脆弱性はBarracuda Networksによって密かに修正されていた (2006年
8月3日GMT11pm時点)ようなので、このアタックの影響力は抑制されている」と
あった。そのため、この委員会所属企業は特に対策を講じる必要はないと判断
した。

<参考>
Matthew Hallによる掲示
http://archives.neohapsis.com/archives/bugtraq/2006-08/0093.html
概念実証型エクスプロイト
http://milw0rm.com/exploits/2145
http://milw0rm.com/exploits/2136
Barracudaのホームページ
http://www.barracudanetworks.com/
SecurityFocus BID
http://www.securityfocus.com/bid/19276
────────────────

◆危険度【中】:MicrosoftのDNSにリモートでコードを実行される複数の脆弱
  性(MS06-041)

<影響のあるソフトウェア>
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1/SP2
Microsoft Windows Server 2003 SP0/SP1

<詳細>
MicrosoftのDNS(Domain Name System)クライアント実装にある複数の欠陥によっ
て、アタッカーは、システムの制御を完全に奪えるようになってしまう。1つ
目の欠陥は、脆弱なシステムに影響を受けるAPIを呼び出させるようにWebペー
ジを細工すると発動される。これによって、アタッカーはシステム権限で任意
のコードを実行できるようになってしまう。2番目の欠陥は、悪質なネームサー
バ上で脆弱なシステムに細工した記録を調べさせると引き起こされる。これに
よって、システム権限で任意のコードが実行される可能性が生じる。ユーザー
は、"Autodial.DLL"ライブラリを無効にして、1つ目の脆弱性の影響力を抑制
するとよい。結果として、脆弱なAPIへのアクセスが阻止できる。2つ目の脆弱
性は、ATMA、TXT、X25、HINFOおよびISDN DNS記録のレスポンスをネットワー
ク境界でブロックすれば、その影響力を軽減できる。

<現状>
Microsoftはこれらを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、このMicrosoftの問題に何らかの対策を講じている。
いくつかの企業は、この問題に迅速に対処しており、パッチを既に適用した。
他の企業は、次期定例システム更新スケジュールに合わせてパッチを適用する
見込みである。また、数社は、サーバを通常の問題として対処する一方、デス
クトップは緊急事項として対処している。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-041.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/19404
────────────────

◆危険度【中】:Microsoft OfficeのVisual Basicにリモートでコードを実行
  される脆弱性(MS06-047)

<影響のある製品>
Microsoft Office 2000/XP
Microsoft Project 2000/2002
Microsoft Access 2000
Microsoft Visio 2002
Microsoft Works Suite 2004/2005/2006
アプリケーションSDK 6.0 - 6.4のためのMicrosoft Visual Basic

<詳細>
細工したVisual Basic文書を含む悪質なMicrosoft Office文書を開くと、現在
のユーザーの権限で任意のコードを実行されてしまうおそれがある。一般的な
設定では、Office文書は自動的に開かないようになっている。そのためユーザー
は、信頼できないソースから受信した文書を開かなうようにするべきだ。脆弱
な文書のプロパティは、今のところ明らかではない。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、このMicrosoftの問題に何らかの対策を講じており、
また、次期定例システム更新スケジュールに合わせてパッチを適用する予定だ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-047.mspx
アプリケーション用Microsoft Visual BasicのHome Page
http://msdn.microsoft.com/vba
SecurityFocus BID
http://www.securityfocus.com/bid/19414
────────────────

◆危険度【中】:Microsoft PowerPointのBIFFファイル形式にリモートでコー
  ドを実行される脆弱性(MS06-048)

<影響のある製品>
Microsoft PowerPoint 2000
Microsoft PowerPoint 2002
Microsoft Office PowerPoint 2003
Mac用PowerPoint 2004/X

<詳細>
文書プロパティを細工されたMicrosoft PowerPoint文書を開くと、現在のユー
ザーの権限で任意のコードが実行されてしまうおそれがある。PowerPoint
2000以外の一般的な設定では、PowerPoint文書は自動的に開かないようになっ
ている。そのためユーザーは、信頼できないソースからの届いた文書は開かな
いようにするべきだ。この脆弱性の技術的詳細がすでに公表されている。

<現状>
Microsoftはこれを認識し、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、このMicrosoftの問題に何らかの対策を講じており、
また、次期定例システム更新スケジュールに合わせてパッチを適用する予定だ。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-048.mspx
Nevis研究所のSowhatによる掲示(技術的詳細情報も含む)
http://archives.neohapsis.com/archives/bugtraq/2006-08/0152.html
@RISKのバックナンバーに掲載されている関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=28#widely2
SecurityFocus BID
http://www.securityfocus.com/bid/18957
────────────────

◆危険度【中】: MicrosoftのKernelにリモートでコードを実行される脆弱性
  (MS06-051)

<影響のある製品>
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1/SP2
Microsoft Windows Server 2003 SP0/SP1

<詳細>
Microsoft Windowsは、Windows kernelの例外処理機能が原因で、リモートで
コードを実行される脆弱性が生じる。この脆弱性を悪用するアタックは、悪質
なWebサイトによって実行される。この脆弱性に関する他の技術的詳細は今の
ところ公表されていない。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、このMicrosoftの問題に何らかの対策を講じている。
いくつかの企業は、この問題に迅速に対処しており、パッチを既に適用した。
他の企業は、次期定例システム更新スケジュールに合わせてパッチを適用する
見込みである。また、数社は、サーバを通常の問題として対処する一方、デス
クトップは緊急事項として対処している。
<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-051.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/19384
────────────────

◆危険度【中】: SAP Internet Graphics Serviceに詳細不明のリモート・バッ
  ファオーバーフロー脆弱性

<影響のある製品>
SAP IGS のバージョン6.40と7.00

<詳細>
SAP Internet Graphics Serviceは、グラフィックの出力を許可するSAPスイー
トのコンポーネントである。しかし、これには、リモートで悪用されるバッファ
オーバーフロー脆弱性がある。この脆弱性は、HTTPプロトコルを介して悪用可
能であるが、それ以外の技術的詳細は公表されていない。

<現状>
SAPはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼動していないか、ごく一部でしか使
用されていない、もしくは、どの委員会所属企業でも正式のサポートしていな
い。そのため、特に対策を講じる必要はないと報告している。

<参考>
CYBSECのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/fulldisclosure/2006-08/0278.html
SecurityFocus BID
http://www.securityfocus.com/bid/19470
────────────────

◆危険度【中】: Ruby-on-Rails にリモートの脆弱性

<影響のある製品>
Ruby-on-Railsのバージョン1.10 - 1.1.4

<詳細>
Ruby-on-Railsは、RubyベースのWebアプリケーション開発プラットフォームと
して広範囲で使用されている。しかし、これは、詳細不明な脆弱性があるよう
だ。この脆弱性に関してはRuby-on-Railsチームが「重大」扱いにしていると
いうこと以外の技術的詳細情報は、今のところ一切公表されていない。しかし、
Ruby-on-Railsは、オープンソースソフトウェアであるため、ソースコードを
分析すれば、技術的詳細の一部を入手することができる。

<現状>
Ruby-on-Railsはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
しかし、同社の情報技術部門はこのソフトウェアをサポートしていない。シス
テムのオーナーのほとんどが、Railsコミュニティで活動的であったため、ベ
ンダーの通知を受け取り、その後1-2日以内で更新を完了している。

<参考>
Ruby-on-Railsのブログ掲示
http://weblog.rubyonrails.com/2006/8/9/
rails-1-1-5-mandatory-security-patch-and-other-tidbits
Ruby-on-Railsを使用しているアプリケーション一覧
http://www.rubyonrails.com/applications
Ruby-on-Railsのホームページ
http://www.rubyonrails.com
SecurityFocus BID
http://www.securityfocus.com/bid/19454