NRI Secure SANS NewsBites 日本版

Vol.1 No.5:2006年9月8日発行

**********************************************************************
           NRI Secure Security Information
          (SANS NewsBites、@RISKサマリー版)
                            2006年9月8日発行
**********************************************************************

このメールマガジンは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。


■■SANS NewsBites Vol.8 No.69-70(原版:2006年9月2日、7日発行)

■はじめに:Alan Paller(SANS Director of Research)
米国国立標準技術研究所(NIST)が「使用したディスクドライブから機密デー
タを除去する」ための新しいガイドラインを発行した。このガイドラインは、
爽快なほどに気楽なものであるが、有益でもある。このガイドラインに関して
は、本NewsLetterでも紹介しているのでご一読を。

訂正:
先週号で、NISTの「SCADAおよびプロセスコントロールシステムの脆弱性に直
接影響を受ける産業」のリストを紹介した。読者の皆さまからのご指摘により、
NISTは大変重要な産業をリストに入れ忘れていたことが判明。以下が改正後の
リストになる。
(1)電力、(2)水道、(3)石油とガス(パイプラインも含む)、(4)化学、(5)製薬、
(6)パルプ製紙、(7)食品および飲料、(8)各種製造業(自動車、宇宙関連、耐久
製品など)、(9)航空、旅客鉄道、(10)鉱業、金属産業
────────────────

◆英国内務省の報告:IDおよびパスポートのデータベースへの侵害事件は外部
  から仕掛けられたものではない(2006.8.31)

英国内務省によると、IDおよびパスポートサービス・データベースへのセキュ
リティ侵害事件が5年間で5回発生しているが、それらの侵害は、外部からのも
のではなく、協力スタッフによるものだったという。それらのうち4件は、未
承認アクセスでスタッフがデータベースへアクセスしていたために発生した。
各侵害事件に責任があった職員は解雇されている。5件目のセキュリティ侵害
は、レガシーシステムに技術的な不具合が生じたために発生したようだ。 そ
のため、問題のシステムはすでにリプレースされている。データベース関連の
懸念は大きいが、英国のIDカードプロジェクトによって、生体認証データなど、
英国国民の機密情報を取り扱う巨大なデータベースが出来上がる。IDカードシ
ステムの反対者らは、昨年の春に英国労働厚生省で発生した侵害事件を指摘し
た。この侵害事件によって、公務員13,000人の個人情報が盗まれ、それらの情
報が虚偽の確定申告に悪用されることとなった。そのため、反対者らは、IDカー
ドのデータベースの方が、身元査証詐欺のために悪用されやすいのではないか
と懸念している。
http://www.zdnet.co.uk/print/?TYPE=story&AT=39282044-39020375t-10000025c

【編集者メモ】(Ullrich)
政府は、さらに多くの情報を集めようと思っているが、それらの情報を保護す
るための安全措置には取り組もうとしていないようだ。情報は単なる資産であ
るだけではない。すでに多くの企業が学んでいるように、その情報によって負
債や責任が生じる場合もあるのだ。
【編集者メモ】(Schultz)
私のこのニュースに対する解釈が間違っていなければ、英国政府は、内部者に
よる侵害事案だからたいしたことではないと考えているように思う。どうやら、
インサイダー・アタックによってもたらされるリスクのレベルが非常に高いこ
とを理解していないようだ。
────────────────

◆米国国立標準技術研究所(NIST) 使用済メディアのサニタイジングについ
  てのガイドラインを発行(2006.8.30)

米国国立標準技術研究所 (NIST) は、SP(Special Publications)800-88,
「メディアサニタイズのためのガイドライン」の原案を発行した。この原案で
は、磁気、光学、電気系メディアやその他のメディアのサニタイズ方法が記載
されている。NISTは、「このガイドラインは組織やシステムオーナーが、シス
テムのメディアにある情報のタイプをもとに、実践的にサニタイズ方法を判断
できるようにするためのものであるが、存在するすべてのタイプのメディアに
対して問題を解決する、もしくはできるものではない」とのことわりを記載し
ている。原案には、サニタイズ方法を決定するプロセスが記載されており、そ
れらのプロセスは、あらゆるメディア形式や情報のタイプに適用できるものだ
という。
http://www.fcw.com/article95849-08-30-06-Web&printLayout
http://csrc.nist.gov/publications/nistpubs/800-88/SP800-88_Aug2006.pdf

【編集者メモ】(Ullrich)
NISTの報告書には以下のような確認文言がある。「研究によって、今日のメディ
アのほとんどが、一回の上書きで、効率的にクリアされることがわかった」そ
うだ。大きなディスクシステムに何度も上書きを施すと時間がかかるので、こ
れを見てほっとした方もいることだろう。しかし、上書き処理では難しいケー
スがある。それは不具合のあるディスクだ。そういったディスクは上書き不能
であり、メーカーに返品して保証請求をしなければならなかった。企業側は、
この保証条件の交渉に成功し、不具合のあるディスクを送り返してもらう必要
はなくなったようだ。
【編集者メモ2】(Honan)
組織の多くでは、使用済メディアを正しく廃棄する方法を設置できていない。
よって、このガイドラインはITマネージャみんなが読むべきものである。 特
に安全な慣行を根づかせたい場合は、テープをバックアップに使用するのはや
めた方がよいだろう。なぜなら、これらの古いテープは、正確にサニタイズさ
れていないと、中の機密データが外部にさらされる危険性があるからだ。
────────────────

◆モバイルデバイスにはまだ古いデータが(2006.8.30-31)

携帯電話やPDAなどのモバイルデバイスの使用説明書によると、販売前や再販
前にデータを除去するだけでは、次に使用する人があなたの個人情報を閲覧で
きないという保証はないという。データは、携帯電話がリセットされていれば
抽出できるのだ。あるセキュリティソフトウェア会社が、eBayで売られていた
中古のsmartphoneとPDA合せて10台を購入したところ、個人の身元がわかるよ
うな情報が、ほぼ全てに見つかったそうだ。同社は、それらの電話をもとの所
有者に返送し、見つかった彼らの個人情報が入ったコンピュータを、社内ネッ
トワークから外すつもりだ。企業の中には、新型のデバイスに、より強力なデー
タ消去機能を設けているところもある。
http://www.theage.com.au/news/Technology/Software-Can-Resurrect-Cell-Phone-Info/2006/08/31/1156816976190.html
http://software.silicon.com/security/0,39024888,39161863,00.htm
http://www.vnunet.com/vnunet/news/2163176/pdas-sold-ebay-loaded-sensitive
────────────────

◆銀行がフロリダの運転免許所持者のデータを購入したため、5,000万ドルの
  の罰金(2006.8.29)

Fidelity Bank & Trustは、フロリダ州高速道路安全・車両局(Department of
Highway Safety and Motor Vehicles)から、656,000件の氏名や住所を購入し
ていたため、その行為に対して5,000万ドルの支払いを命じられた。同行は、
ダイレクトマーケティングキャンペーンで使用する目的で、それらのデータを
購入するに至ったという。しかし、この行為は、運転免許所持者のプライバシー
保護1994年法に違反している。この法律は「ストーカーやその他の犯罪者が、
被害者の居場所を特定するために車両登録記録を利用していたことがあるため、
それらのデータの流布を防ぐ」目的で設立された。2004年に米国地方裁判所は、
原告側が「損害賠償金を獲得したい場合は、実際の損害内容を明確にしなけれ
ばならない」と判事していたが、第11巡回控訴裁判所が、この下級裁判所の判
決を覆した形になった。
http://www.techweb.com/wire/192500110
http://www.accessreports.com/statutes/DPPA1.htm

【編集者メモ1】(Ranum)
ちょっと待った! この件でフロリダ車両局(MVA)には何のおとがめもないの
か?
【編集者メモ2】(Schultz)
Fidelity Bank & Trustはこの罰金処分に大いに値するが、個人情報を売り渡
したことでフロリダ州当局の人間が誰も処分を受けていないのはおかしいと思
う。
────────────────

◆カリフォルニアWi-Fiセキュリティ法案 知事オフィスへ(2006.9.4)

カリフォルニア州議会は、無線インターネット機器のメーカーに対し、無線信
号を受信できる全ての製品にセキュリティ警告を付けることを義務付ける法案
を可決した。この法案は現在、知事の調印を待つのみである、2007年10月1日
に有効となる。警告の形態は、箱に貼るステッカーや、ソフトウェアのセット
アップ時に通知をするなどさまざまだ。これらの警告には、ファイルやフォル
ダ、接続を安全にする情報も掲載される。 メーカーは、ユーザーがそのデバ
イスを使用する前にそのステッカーを外さなければ使用できないように、最
低1か所に警告を貼らなくてはならない。便乗および他人の無線接続を承諾な
しに使用することに関する米国法は、しっかりと煮詰まっていない。楽曲を違
法にダウンロードしていたカリフォルニア州女性の弁護士は、彼女の無線ネッ
トワークのセキュリティがしっかりしていなかったため、全米レコード協会
(RIAA)側から、実際にダウンロードしていた者が彼女かどうか確証はとれな
いと主張している。
http://www.theregister.co.uk/2006/09/04/wi-fi_warnings_legislated/print.html
http://www.australianit.news.com.au/articles/0,7204,20323715%5E15322%5E%5Enbv%5E,00.html

【編集者メモ】 (Grefer)
RIAAは、このケースの結びに「長期的に見て、ループホールが無線セキュリティ
の改善に役立つ」と述べていた。ということは、RIAAがこの法案通過運動に一
役買っていたと見なしてよいか?

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年9月8日配信)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

◆危険度【高】:SAP-DB/MySQL MaxDB WebDBMにリモートのバッファオーバー
  フロー脆弱性

<影響のある製品>
SAP-DB/MySQL MaxDB 7.6.00.33 以前のバージョン

<詳細>
SAP-DB/MaxDBは、オープンソースの企業用データベースサーバとして広く使用
されている。WebDBMコンポーネントは、Webインタフェース経由でデータベー
スを管理するときに使用されるが、それにはリモートで悪用可能なバッファオー
バーフローの脆弱性がある。長すぎるデータベース名を含むようにWebDBM
("wahttp")プロセスを細工すれば、未認証のアタッカーでも、このバッファオー
バーフローの脆弱性を悪用して、データベースサーバのプロセス権限で任意の
コードを実行できるようになってしまう。アタッカーがこの脆弱性を悪用する
には、WebDBM Webインタフェースにアクセスする必要がある。

<現状>
SAPとMySQLはこれを認識しており、更新もリリースしている。回避策としては、
WebDBMが使用しているTCPポート(一般的に、9999/tcp、もしくは85/tcp)をブ
ロックするとよい。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち、2社がこの問題を調査している。一方の企業は、担当
SAPエンジニアにこの情報を送信済みであるが、もう一方の企業は、リスクレ
ベルの調査を行っている。

<参考>
Symantecのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-08/0512.html
MaxDBのホームページ
http://www.mysql.com/maxdb
SecurityFocus BID
http://www.securityfocus.com/bid/19660
────────────────

◆危険度【中】: Microsoft Internet Explorer の"DirectAnimation" にリ
  モートのinteger overflowの脆弱性

<影響のある製品>
Microsoft Windows 2000 SP4
Microsoft Windows XP SP2
Microsoft Windows 2003 SP1
Windowsの他のバージョンも脆弱なおそれあり

<詳細>
Microsoft Internet Explorerには、ActiveXコンポーネントの
"DirectAnimation.PathControl"と相互作用するときに、リモートで悪用可能
なinteger overflowの脆弱性が生じる。ActiveXコントロールの"Spline"メソッ
ドへの引数を細工すれば、アタッカーはこの整数オーバーフローを引き起こす
ことができ、サービス停止状態(DoS)を生じさせることができる。リモートか
らのコード実行も可能だと考えられているが、まだその確認はとれていない。
この脆弱性の技術的詳細や、この欠陥を悪用するための再利用可能なエクスプ
ロイトコードも公表されている。これと類似する欠陥が、過去に広範囲で悪用
された経緯もある。

<現状>
Microsoftはこの脆弱性をまだ認識していないため、更新もリリースしていな
い。
ユーザーは、Microsoftの"kill bit"機能を
CLSID"D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}"に設定してこのコンポーネン
トを無効にすれば、この脆弱性の影響を軽減できる。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、ベンダーからのパッチや情報を待ち望んできる状態
にある。ある1社は、自社の設定にkill bitのセットがあるかどうか調査を行っ
ている。

<参考>
XSecのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-08/0502.html
Microsoftの関連記事("kill bit"機能の概要を説明)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/19738
────────────────

◆危険度【高】:複数の製品にファイルインクルージョンの脆弱性

<影響のある製品>
MiniBillのバージョン1.x
ModuleBased CMS のバージョンalfa 1
phpECard 2.1.4以前のバージョン
Jupiter CMS 1.1.5以前のバージョン
JetBox CMS 2.1以前のバージョン
e107の0.75以前のバージョン

<詳細>
以下のソフトウェアパックには、PHPリモートファイルインクルージョンの脆
弱性があるようだ。問題のソフトウェアパックは、MiniBill、ModuleBased
CMS、phpECard、Jupiter CMS、JetBox CMSおよびe107である。これらの欠陥が
リモートのアタッカーによって悪用されると、脆弱なソフトウェアパック
を運用しているWebサーバに任意のPHPコードを実行されるおそれがある。これ
らの欠陥を悪用できる悪質なHTTPリクエストを作成する方法が公表されている。
この脆弱性を生じさせるには、PHP"register_globals"オプションが有効になっ
ていなくてはならない。"register_globals"オプションは、PHP4.2.0以降のバー
ジョンでは、デフォルトで無効になっている。ユーザーは、この"register_globals"
オプションを可能であれば無効にして、Webサーバを低権限アカウントで運用
するとよい。

<現状>
MiniBillはこれを認識していないため、更新もリリースしていない。
ModuleBased CMSはこれを認識していないため、更新もリリースしていない。
phpECardはこれを認識していないため、更新もリリースしていない。
Jupiter CMSはこれを認識していないため、更新もリリースしていない。
JetBox CMSはこれを認識していないため、更新もリリースしていない。
e107はこれを認識していないため、更新もリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼動していないか、極めて限定的な使
用にとどまっている。また、どの委員会所属企業でも正式にサポートしていな
い。そのため、対策を講じる必要はないと報告されている。

<参考>
Secuniaのセキュリティアドバイザリ(MiniBill)
http://archives.neohapsis.com/archives/secunia/2006-q3/0785.html
MiniBillのホームページ
http://www.ultrize.com/minibill/
Amir Scorpinoによる掲示(ModuleBased CMS)
http://archives.neohapsis.com/archives/bugtraq/2006-08/0567.html
ModuleBased CMSのホームページ
http://www.sourceforge.net/projects/mbcms
Secuniaのアドバイザリ(phpECard)
http://archives.neohapsis.com/archives/secunia/2006-q3/0787.html
d3ngerによる掲示 (Jupiter CMS)
http://archives.neohapsis.com/archives/bugtraq/2006-08/0493.html
Jupiter CMSのホームページ
http://www.jupiterportal.com/
d3ngerによる掲示(JetBox CMS)
http://archives.neohapsis.com/archives/bugtraq/2006-08/0496.html
JetBox CMSのホームページ
http://jetbox.streamedge.com/
rgod による掲示(e107)
http://archives.neohapsis.com/archives/bugtraq/2006-08/0524.html
e107 のホームページ
http://www.e107.org
SecurityFocus BIDs
http://www.securityfocus.com/bid/19568
http://www.securityfocus.com/bid/19754
http://www.securityfocus.com/bid/19752
http://www.securityfocus.com/bid/19721
http://www.securityfocus.com/bid/19722
http://www.securityfocus.com/bid/19812
────────────────

◆危険度【高】:Compression Plusライブラリにリモートのバッファオーバー
  フローの脆弱性

<影響のある製品>
このライブラリをロードし、それをZOOアーカイブ処理に使用しているアプリ
ケーションは全て脆弱である。以下の製品は、問題のライブラリを使用してい
る。:
Compression Plus
Tumbleweed EMF
PowerDesk Pro
Drag and Zip
Power File

<詳細>
Compression Plusライブラリは、さまざまなデータ圧縮スキームを処理する際
に使用される人気の高いライブラリだ。しかし、同ライブラリには、リモート
で悪用可能なバッファオーバーフローの脆弱性がある。ZOOアーカイブファイ
ルを細工すれば、このバッファオーバーフローを引き起こし、このライブラリ
を使用しているアプリケーションの権限で任意のコードが実行できるようになっ
てしまう。この脆弱性の技術的詳細が、すでに公表されている。しかし、ZOO
はもはや、圧縮アルゴリズムとして広範囲で使用されていない。

<現状>
ベンダーはこれを認識しており、更新もリリースしている。各アプリケーショ
ンとも、このライブラリの脆弱なバージョンを使用し続ける可能性があること
に注意。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうちの1社が、影響のあるソフトウェアを使用していた。同
社は今、更新定義に関してアンチウィルスやIPS adminsのチェックを行ってい
る。

<参考>
MNINのセキュリティアドバイザリ
http://www.mnin.org/advisories/2006_cp5_tweed.pdf
Wikipediaによる、ZOO アーカイブ形式の説明
http://www.wikipedia.org/wiki/ZOO_(file_format)
Compression Plus Libraryのホームページ
http://www.becubed.com/support.htm
SecurityFocus BID
http://www.securityfocus.com/bid/10796