NRI Secure SANS NewsBites 日本版

Vol.1 No.4:2006年9月4日発行

**********************************************************************
           NRI Secure Security Information
          (SANS NewsBites、@RISKサマリー版)
                            2006年9月4日発行
**********************************************************************

このメールマガジンは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。


■■SANS NewsBites Vol.8 No.67-68(原版:2006年8月25日、31日発行)

■ はじめに:Alan Paller(SANS Director of Research)

今週の冒頭記事では、米軍職員の発言を紹介している。この職員は、大きな損
害を被りかねない連続的なサイバーアタックが、中国から仕掛けられていると
述べた(こうしたアタックは、以前は「Titan Rainアタック」と称されていた)。
これらのアタックは、他の米国政府局と軍のシステム委託業者の防御を打ち破っ
ている。カナダとヨーロッパの政府のシステムも同様に侵害されている。これ
らのアタックによって、大量の機密データが盗まれ、同時に重要なコンピュー
タにバックドアが残されることとなった。

我々は、国土安全保障省(DHS)に対し、SCADAおよび分散コントロールシステム
のセキュリティが脆弱であるためにリスクにさらされている産業はどの分野な
のかを問い合わせた。我々が得た答えは、想像以上に驚ろくべきものだった。
以下が米国政府(実際の出所は米国国立標準技術研究所:NIST)から提供さ
れた、脆弱度の高いシステムが使用されている産業リストである。(1)電気、
(2)水道、(3) 石油・ガス(パイプラインも含む)、(4)化学、(5)製薬、(6)パル
プ製紙、(7)食品・飲料、(8)各種製造業産業(自動車, 宇宙関連、耐久製品関
連など)である。我々は、これらの産業において急速に拡大するコントロール
システムの脅威に対処すべく取組みを行っている。
────────────────

◆中国の部隊、米国陸軍のコンピュータを侵害

米国空軍戦争統制部の情報サービス主任のWilliam Lord少尉は、最近の空軍IT
スタッフ集会で、中国が10テラバイトから20テラバイト相当の情報をNIPRNet
(米国司法省の機密外ネットワーク)からダウンロードしていたことを告げた。
彼は、この事態を国家全体にとっての脅威だと述べると同時に、中国は、認証
証明書を獲得し、承認ユーザーを装ってネットワークに入りこもうとしている
と説明した。近年、中国人民解放軍は、情報戦争を利用して、国益の支援や促
進を図る意向を報じている。
http://www.gcn.com/print/25_25/41716-1.html
────────────────

◆米国軍、ノートパソコンの暗号化を図る(2006.8.26)

米国軍は、復員軍人援護局(VA)にならって、ノートパソコンのデータを暗号化
するプログラムをテストしている。米国軍のSteven Boutelle中将によると、
軍職員に対し、ノートパソコンなどモバイルデバイスを使用する場合はその理
由を必ず提出するように義務付ける意向だ。全てのデバイスが、「モバイル」
と「非モバイル」のどちらかにラベルで分類され、モバイルデバイスのデータ
が暗号化されていない場合は、そのデバイスを安全な区域から持ち出さないよ
うに指導するということだ。
http://www.gcn.com/online/vol1_no1/41759-1.html?topic=security

【編集者メモ】(Schultz)
米国軍(およびVA)のプランはたいへん理にかなっているものであり、ノート
パソコンの紛失・盗難によるデータ侵害問題を抱えている他の組織にとっての
よいお手本となるだろう。
────────────────

◆プライバシー情報の侵害で、数百人の労働者に懲罰(2006.8.23)

Centrelinkのスタッフ19人が解雇、92人が辞職、300人以上が減給処分となっ
た。問題のスタッフらは、友人や隣人の記録をのぞき見するなど、プライバシー
侵害行為をはたらいていたようだ。Centrelinkは、オーストラリアの福祉サー
ビス省下の政府局である。2年間の捜査によって、Centrelink職員が2004年か
ら福祉情報記録に不適正なアクセスを行っていたケース800件が明らかになっ
た。およそ600人のスタッフが不適正な情報検索行為に及んでいた模様。昨年、
職員には警告が2回発せられており、現在は、記録への不適正なアクセスに関
する捜査が展開されている。
http://australianit.news.com.au/articles/0,7204,20224186%5E15306%5E%5Enbv%5E,00.html
http://www.centrelink.gov.au/

【編集者メモ】 (Schultz)
情報セキュリティルールの設置、およびそれの十分な管理ができていないため
に、組織がその責任を追及されるケースがまたもや浮上した。
────────────────

◆欧州議会、欧州における金融取引データを求める米国の権利について議論
  (2006.8.25)

欧州議会にて先週、ベルギーのSwift社のケースを調査する目的で議論がくり
広げられた。同社は、米国財務省テロ組織財務資源捜査部門から、国際的な金
融取引データの提供を求める数々の要望書を受け取っていた。このケースは、
国際的ビジネス、および国際法に関連したテストケースになるだろう。議会は、
欧州データ保護法によって却下されたリクエストの数々を吟味する見込みであ
る。しかし、セキュリティ関連事項は、議会の担当範囲ではない。
http://www.theregister.com/2006/08/25/eu_vs_us_snooping/print.html

【編集者メモ】(Honan)
この問題は、重要以上に重要である。結果次第では、欧州連合国内の米国企業
が、欧州住民の個人データを取り扱う際に大きな変化が現れるだろう。
────────────────

◆Cisco、ファイヤウォール製品の欠陥について警告 (2006.8.25)

Cisco Systems Inc.からの警告によると、複数のファイヤウォール製品に(意
図的ではない)パスワード変更に関する脆弱性があるという。この脆弱性を悪
用されると、ユーザーの操作なしにパスワードが変更されてしまう。また、デ
バイスのスタートアップ設定のパスワードが変更された後、デバイスをリロー
ドすることができるため、未承認のユーザーであっても、そのデバイスへのア
クセスを獲得できるようになってしまう。さらに、承認ユーザーはそのデバイ
スに入れなくなってしまうため、デバイスを管理できなくなってしまう。この
欠陥は、Cisco PIX 500シリーズ・セキュリティアプライアンス、Cisco ASA
5500 シリーズ・アダプティブセキュリティアプライアンス、および、Cisco
Catalyst 6500スイッチ用ファイヤウォールサービスモデル(FWSM)、Cisco
7600シリーズのルータで影響のあるバージョンのソフトウェアを運用している
もの、に影響を及ぼす。Ciscoは、この脆弱性に対処できるソフトウェアをリ
リースした。Ciscoからの2つ目の警告では、FTPファイル管理が有効になって
いるCisco VPN 3000シリーズ・コンセントレータにある2つの欠陥について説
明されている。これらの欠陥を悪用されると、FTPコマンドを実行されたり、
ファイルを削除されたりする。 これを受けてCiscoは、これら2つの欠陥に対
処できる無料ソフトウェアをリリースした。また、回避策も公表している。
http://www.eweek.com/print_article2/0,1217,a=187089,00.asp
http://www.cisco.com/en/US/products/products_security_advisory09186a00807183b0.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080718330.shtml

【編集者メモ】 (Boeckman)
ユーザーの安全性を促進するソフトウェアにセキュリティ上の欠陥があるのは、
今や当たり前のこととなった。ベンダーには責任がないということに慣れてし
まったものの、セキュリティソフトウェアのベンダーに関しては、他のベンダー
とは違う法的基準が適用されるべきだ。

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert Vol.5 No.34
  (原版:2006年8月29日配信)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。

<今週のコメント>
Internet Explorerの脆弱性がまた新たに2つ確認された。それらのうち1つは、
Microsoftのホットフィックスによって発生したものだ。もう1つは、広範囲で
悪用されている他の欠陥に似ている。また、今週新たにWebアプリケーション
の脆弱性が60個以上発見された。つまり、Webアプリケーションには年間2,500
個もの脆弱性が発見されていることになる。
────────────────

◆危険度【高】:Microsoft Internet Explorerの圧縮ページにリモートのバッ
  ファオーバーフロー脆弱性

<影響のある製品>
MS06-042ホットフィックスを適用したWindows 2000
MS06-042ホットフィックスを適用したWindows XP SP1

<詳細>
Microsoft Internet Explorerには、リモートで悪用可能なバッファオーバー
フローの脆弱性がある。細工されたWebページによってバッファオーバーフロー
が悪用され、最終的に現在のユーザーの権限でコードを実行されるおそれある。
この欠陥は、MS06-042ホットフィックスのリリースにより生じた。したがって、
このホットフィックスを適用していないシステムは脆弱ではない。この脆弱性
の技術的詳細もすでに公表されているようだ。Windows XP SP2は対象外である。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが対策を講じている。ある1社では、すでにパッチの適
用を推進しているが、他の企業は、次期メンテナンススケジュールに合わせて
適用する見込みだ。

<参考>
Microsoft知識ベースの記事
http://support.microsoft.com/kb/923762/en-us
SANS担当者日誌の関連記事
http://isc.sans.org/diary.php?storyid=1588
以前、@RISKに掲載された関連記事(MS06-042について)
http://www.sans.org/newsletters/risk/display.php?v=5&i=32#widely2
SecurityFocus BID
http://www.securityfocus.com/bid/19667
────────────────

◆危険度【高】: Microsoft Internet ExplorerのCOMオブジェクト実装に複
  数の脆弱性

<影響のある製品>
Windows 2000

<詳細>
Microsoft Internet Explorerには、ヒープメモリ崩壊の脆弱性がある。この
脆弱性は、特定のCOMオブジェクトをActiveXコントロールとしてインスタンス
化しているときに引き起こされる。細工されたWebページが、これらのCOMオブ
ジェクトをインスタンス化し、メモリ崩壊を引き起こす。そして、任意のコー
ドがクライアントシステムに実行されるおそれもある。これらの欠陥を悪用す
るエクスプロイトコードが公表されていることに注意。また、この欠陥に類似
した欠陥が過去に広範囲で悪用されたケースがある。

<現状>
Microsoftはまだこの事実を認識しておらず、更新もリリースしていない。ユー
ザーは、Microsoftの"kill bit"機能を介して、これらの脆弱性の影響を軽減
できる。その際はCLSIDを以下のように設定されたい:
"{3BC4F3A3-652A-11D1-B4D4-00C04FC2DB8D}"、
"{4682C82A-B2FF-11D0-95A8-00A0C92B77A9}"、
"{8E71888A-423F-11D2-876E-00A0C9082467}"、
"{606EF130-9852-11D3-97C6-0060084856D4}"、
"{F849164D-9863-11D3-97C6-0060084856D4}"。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のすべてが、ベンダーからの詳細情報を待ち望んでいる状態に
ある。数社は、次期メンテナンススケジュールに合わせてパッチを適用する見
込みだ。

<参考>
XSecセキュリティアドバイザリ
http://www.xsec.org/index.php?module=Releases&act=view&type=1&id=16
Microsoft 知識ベースの関連記事 ("kill bit"機能についての説明)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/19572
http://www.securityfocus.com/bid/19340
────────────────

◆危険度【高】: Asteriskに複数のリモートの脆弱性

<影響のある製品>
Asteriskのバージョン1.0.0 - 1.2.10

<詳細>
AsteriskはオープンソースのVoice-over-IP (VoIP)サーバとして広範囲で使用
されている。 しかし、このサーバには、リモートで悪用可能な脆弱性がある。
1つ目の脆弱性は、正確に"AUEP"(Audit Endpoint)MGCPレスポンスメッセージ
をプロセスできないために引き起こされ、Asteriskプロセスの権限でリモート
からコードを実行されるおそれがある。2つ目の脆弱性は、"Record()"機能の
ファイル名を構築するときに、ユーザーが提供した変数の長さを検証できない
ために発生する。ユーザーがコントロールできる変数が、この機能へのパス
(path)の構築に用いられなければ、悪用行為は実現できない。これらの脆弱性
の技術的詳細がすでに公表されている。

<現状>
Asteriskはこれらを認識しており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在使用されていないか、限定的な使用に
とどまっているため、どの委員会所属企業でも正式にサポートしていない。し
たがって、対策の必要はないと判断している。

<参考>
Muセキュリティアドバイザリ
http://archives.neohapsis.com/archives/fulldisclosure/2006-08/0617.html
Asteriskホームページ
http://www.asterisk.org/
SecurityFocus BID
http://www.securityfocus.com/bid/19683
────────────────

◆危険度【重大】:Alt-N MDaemonにリモートからのバッファオーバーフロー
  の脆弱性

<影響のある製品>
Alt-N MDaemon 9.05 以前のバージョン

<詳細>
Alt-N MDaemonは、Microsoft Windowsのメールサーバソリューションとして広
範囲で使用されている。しかし、これにはリモートで悪用可能なヒープオーバー
フローの脆弱性がある。細工された"USER" コマンド、もしくは、"APOP"コマ
ンドを脆弱なサーバに送信すれば、アタッカーはこのヒープオーバーフロー
を悪用してMDaemonプロセス(もしくは"SYSTEM")権限で任意のコードを実行
できるようになってしまう。アタッカーは、この脆弱性を悪用する際に認証さ
れる必要はない。

<現状>
Alt-Nはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在使用されていないか、限定的な使用に
とどまっているため、どの委員会所属企業でも正式にサポートしていない。し
たがって、対策の必要はないと判断している。

<参考>
INFIGO セキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-08/0419.html
Alt-N のホームページ
http://www.altn.com
SecurityFocus BID
http://www.securityfocus.com/bid/19651
────────────────

◆危険度【高】: Novell Identity Managerにリモートコマンドインジェクショ
  ンの脆弱性

<影響のある製品>
Novell Identity Managerのバージョン 3.0.x

<詳細>
Novell Identity Managerは、包括的な企業アイデンティティ管理ソリューショ
ンである。しかし、これにはリモートで悪用可能なコマンドインジェクション
の脆弱性がある。ユーザーのプロフィール情報を正確にサニタイズできないた
めに、アタッカーは、任意のUnixコマンドを、Identity Managerが運用してい
るshellスクリプトに挿入できるようになってしまう。デフォルト設定では、
Identity Managerはルート権限で動作している。アタッカーが悪用を実現する
には、認証アクセスが必要であり、自身のプロフィール情報を改変できる能力
がなくてはならない。この脆弱性の概念実証コードと技術的詳細がすでに公表
されている。

<現状>
Novellはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在使用されていないか、限定的な使用に
とどまっているため、どの委員会所属企業でも正式にサポートしていない。し
たがって、対策の必要はないと判断している。

<参考>
Novellの技術的詳細文書
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974299.htm
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/novell_idm_poc.txt

Novell のホームページ
http://www.novell.com
SecurityFocus BID
http://www.securityfocus.com/bid/19688
────────────────

◆ 危険度【高】:Apple Xsanにリモートのバッファオーバーフローの脆弱性

<影響のある製品>
Apple Xsan 1.3 以前のバージョン

<詳細>
AppleのXsanは、企業用の保存管理ソリューションである。 しかし、これには、
リモートで悪用可能なバッファオーバーフローの脆弱性がある。 細工したリ
クエストをXsanシステムに送信すると、書き込み権限のある認証されたアタッ
カーであれば、このバッファオーバーフローを悪用し、ルート権限で任意のコー
ドを実行できる。

<現状>
Appleはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在使用されていないか、限定的な使用に
とどまっているため、どの委員会所属企業でも正式にサポートしていない。し
たがって、対策の必要はないと判断している。

Appleセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=304188
SecurityFocus BID
http://www.securityfocus.com/bid/19579