NRI Secure SANS NewsBites 日本版

Vol.1 No.6:2006年9月15日発行

**********************************************************************
           NRI Secure Security Information
          (SANS NewsBites、@RISKサマリー版)
                           2006年9月15日発行
**********************************************************************

このメールマガジンは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。


■■SANS NewsBites Vol.8 No.71-72(原版:2006年9月2日、7日発行)

◆アイルランド銀行、フィッシング詐欺の犠牲者の損失を補填(2006.9.6)

アイルランド銀行(BOI: Bank of Ireland) はこのほど、詐欺被害者9人の損失
を補填することに同意した。被害者らは、フィッシングメールによって総額16
万ユーロを騙し取られていた。銀行側が当初、損失は補填しない意向を示した
ところ、この9人は銀行を訴えるとの姿勢を示した。 BOIが損失額を補填する
となると、ちまたのフィッシャーがさらにアタックを仕掛ける一方で、他の顧
客も、被害額を補填してくれると考えて油断するようになるのではないかと、
懸念する声もあがっている。銀行はオンラインバンキングに、より堅牢なセキュ
リティ対策の実装を検討している。 それらの対策の中には、アカウント情報
を保護するうえでの責任の一部を、顧客自身に担ってもらうという措置もある。
http://www.theregister.co.uk/2006/09/06/boi_refunds_phishing_victims/print.html

【編集者メモ1】 (Pescatore)
銀行の多くは、このようなアタックによって発生した顧客の損失を補填してき
た。身元詐称詐欺が発生するたびに、口座を他の金融機関に移してしまう顧客
の行動を何度も見てきたのだろう。
【編集者メモ2】(Ullrich)
押入れの中ではなく、銀行に預金する理由は、預金をより安全に保護できると
思うからだ(もちろん金利等の理由もあるが)。詐欺被害による財産的損失の
責任を銀行側に請け負ってもらうのは、銀行側が示している保護機能の裏づけ
として、最低限のことではないのだろうか。
【編集者メモ3】(Grefer)
このケースは悪い前例となるだろう。「競合他社を廃業に追い込むためにフィッ
シング攻撃を扇動する」という基本原則が、ここに出来上がってしまうからだ。
────────────────

◆トロイの木馬、Word 2000のzero-day欠陥を悪用(2006.9.5)

Microsoft Word 2000に、リモートでコードを実行されかねないzero-day欠陥
があると報告された。この欠陥は、あらゆるWindowsシステムで動作する
Microsoft Word 2000に影響を及ぼし、悪質なコードを含む文書を開いたとき
に悪用されるおそれがある。そのためユーザーは、信頼できないファイルを開
かないようにしなければならない。この脆弱性のエクスプロイトは、活発に活
動範囲を拡大しているようだ。トロイの木馬Mdropper.Qは、2つのマルウェア
を感染したコンピュータに植え付け、これらのマルウェア両方が、プロセスイ
ンジェクション機能を持つ別のトロイの木馬Backdoor.Femoにリンクされる。
このときに生じたバックドアによって、アタッカーはコンピュータのリモート
・コントロールを奪ってしまう。
http://news.com.com/2102-7349_3-6112265.html?tag=st.util.print
http://www.eweek.com/print_article2/0,1217,a=187891,00.asp
http://www.theregister.co.uk/2006/09/05/ms_office_trojan/print.html

【編集者メモ1】(Ullrich)
毎日がまさに0-dayだ。幸運にも、Microsoftはセキュリティパッチの面では絶
大な前進を遂げている。デジタルライツマネジメントスキームを回避する際に
使用されていたエクスプロイトは、先週、発生後3日以内にパッチがリリース
された。このスピード感が今後どうなるのか興味深い。
【編集者メモ2】(Boeckman)
インフラのセキュリティが、ユーザー自身の「信頼できる添付ファイルと信頼
できない添付ファイルを見分けられる」能力に依存しているというならば、そ
れはセキュリティとは言えない。
────────────────

◆スパマーの有罪判決、維持される(2006.9.6-7)

バージニア州上訴裁判所は、Jeremy Janesの有罪判決を維持した。同人は、
AOLの顧客および同社のサーバを迷惑メールでパンクさせた罪を問われていた。
Janesは2年前、バージニア州のアンチスパム州法に違反し、9年の懲役刑を言
い渡されている。しかし、このケースが上訴されている間は保釈金で自由の身
となっていた。同人の弁護士は、もう一度控訴を行う意思を示している。これ
に対してバージニア州の検察官は、保釈を取り消してJanesを刑務所に送還す
るよう求めている。弁護側は、電子メールはノースカロライナ州から送信され
ているため、バージニア州裁判所にこのケースの司法権はないと主張している。
しかし、AOLのサーバはバージニア州にある。弁護側はまた、アンチスパム法
は、言論の自由に反していると言及している。
http://www.timesdispatch.com/servlet/Satellite?pagename=RTD/MGArticle/RTD_BasicArticle&c=MGArticle&cid=1149190442757
http://www.washingtonpost.com/wp-dyn/content/article/2006/09/05/AR2006090501166_pf.html
以下は、3人の判事による討論会で出た意見だ。なぜ、このケースに言論の自
由があてはまらないかを説明している。
http://www.courts.state.va.us/opinions/opncavwp/1054054.pdf
米国自由人権協会(ACLU)が、この控訴に好意的な法廷助言書を提出している。

【編集者メモ1】(Schultz)
何度も言うが、アンチスパム法が言論の自由に反しているという弁護は、裁判
所では通用しない。弁護士も、とうにこのことは理解していて、違うアプロー
チを使うだろうと思っていたのだが・・・・・・。
────────────────

◆ITセキュリティ産業に変化:問題の兆し(2006.9)

企業が、SOX法やグラム・リーチ・ブライリー法(GLBA法)への遵守を完了して
いくとともに再編が進み、あまりスキルのないマネージャやコンサルタントは
解雇されていく。これら法への遵守が必須となった当初の数年は、そのおかげ
で数々の仕事が生まれ、ITマネージャやコンサルタントにも余裕のある予算が
与えられた。しかし、いったん「法遵守に必要なこと」が明確になっていくに
つれて、役員らは、高いコンサルタントや不必要な報告書作成に資金を投じる
のがいやになってきたのだ。そのため、予算の拡大スピードは減速し、セキュ
リティマネージャの中には、人事で降格される者も出てきた。また、特定のIT
組織の基準や前例によって、セキュリティを二の次にするようなリストラが促
進されるといった事態も発生。ついには、ITシステムのセキュリティの責任を
個人に負わせるような動きまで出てきた。つまり、セキュリティ侵害事件が発
生すると、場合によっては仕事を失う人もいるということだ。対照的に、政府
や政府の業務委託業者内でITセキュリティを管理する職務に就いている人は、
短期間で見れば解雇の心配はあまりない。このような事態が生じた大きな原因
は、連邦情報セキュリティ管理法(FISMA: Federal Information Security
Management Act)の導入にある。また、FISMA導入に伴い、政府のITシステムに
おける法遵守に関する膨大な量の報告書の作成を余儀なくさたれことも原因と
なっている。しかし、FISMAの効果について疑問が抱かれつつある今となって
は、民間においても政府機関においても、セキュリティマネージャは自らの職
務継続の可能性を高めるために、いくつかの戦略を持っているようだ。これら
の戦略については、Stephen Northcuttの記事に記載されている。
http://www.sans.edu/resources/ITSecurityIndustryChanges.pdf

【編集者メモ1】 (Schultz)
FISMAの価値には疑問だ。FISMAへの遵守は、不運にも、官僚的な書類作成の要
素が色濃く、ごまかし以外の何ものでもない。私は、セキュリティ慣習がひど
い、ある政府系研究所のことをよく知っている。この研究所では、政府局が運
営する拠点よりも、セキュリティ侵害事件が多く発生している。しかし、同研
究所は、FISMAに基づく最近の監査で高得点を得ている・・・・・・。
【編集者メモ2】(Pescatore)
顧客とビジネス情報を確実に保護する本当の鍵(これによって、ITマネージャ
は今の職を維持できるとこには違いない)は、所属組織内に友人のネットワー
クがあるかどうかだ。監査部門や経理部門、営業部門に、信頼できる人々の人
的なネットワークがあれば、実際の仕事(非公式な仕事である場合が多い)の
1つとして、しっかりセキュリティが守られているかどうかを知ることができ
る(こういった仕事は、監査人に明示されない場合も多々ある)。セキュリティ
が固まっているかどうかを確認できる非公式のネットワークへの参加は、ポリ
シーや手順、プロセスについての指摘(良くない部分を明確にする指摘ではな
い指摘)を行えるよりも、はるかに有益である。
────────────────

◆コロラド州、厳しいコンピュータセキュリティ法案を可決(2006.7.7)

コロラド州下院議会法案(Colorado House Bill 1157)によって、同州は正式に、
情報セキュリティ最高責任者(CISO:Chief Information Security Officer)
の役職を設けることにした。議会によると、この責任者の役職には、同州政府
局のセキュリティポリシーや手順、およびコンピュータにある州民情報など、
州内のサイバーセキュリティをコントロールできる権限が与えられるという。
州知事は、施政方針としてサイバーセキュリティを優先項目に掲げていた。
http://www.govtech.net/news/news.php?id=99769

【編集者メモ】 (Paller)
この法案には、もっと多くの事項が関連している。そして、この可決劇は、政
府が「サイバーセキュリティ」を優先項目に入れていくうえで、大きな前進と
なるだろう。ニューヨーク州のCISO、Will Pelgrinも、同様に知事レベルの権
限と視野を与えられている。
────────────────

◆クレジットカード会社、PCI基準を更新(2006.9.8)

American Express、Discover Financial Services、JCB、MasterCard
WorldwideおよびVisa Internationalの主要クレジットカード会社5社は、ペイ
メントカード産業セキュリティ基準委員会(Payment Card Industry
Security Standards Council)を結成し、ペイメントカードのセキュリティに
関する共通の枠組みを初めて作成した。5社の最優先事項は、現在のPCIデータ
セキュリティ基準を更新することである。この更新では、ルールの明確化や必
須条件の導入に関するガイドラインが提供される。具体的には、「定期的な」
などの曖昧な言い回しを「一年ごとに」「四半期」など、明確な言葉に差し替
えること。同委員会の目的は、PCIデータセキュリティ基準の広範囲にわたる
適用を促し、「支払いが行われるカード口座のセキュリティを強化する」こと
にある。
http://www.zdnet.co.uk/print/?TYPE=story&AT=39282935-39020645t-10000019c
https://www.pcisecuritystandards.org/about/faqs.htm#pcidss

【編集者メモ】 (Paller)
PCIには、内容の更新が確かに必要だった。よいことである。

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年9月8日配信)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

◆危険度【中】: ISC BIND にリモートのサービス停止(DoS)の脆弱性

<影響のある製品>
ISC BINDのバージョン9.3.xもしくは9.2.x

<詳細>
ISC BINDは、ドメインネームシステム(DNS)サーバとして広範囲で使用されて
いる。しかし、 これには、リモートで悪用可能なサービス停止(DoS)の脆弱性
がある。SIGや再帰的問い合わせ(クエリ)など、細工したDNSリクエストを送信
すると、アタッカーはサーバをクラッシュさせることができる。設定によって
は、サーバが自動的に再起動することもあるようだ。ISCは、9.2版が脆弱だと
は考えていないものの、一応パッチを発行した。

<現状>
ISCはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、この問題に対策を講じている。一方の企業は、
システムを9.3.2-P1に更新し、もう一方の企業は、影響を受けたシステムを多
数確認したため、今後数週間でパッチを適用する見込みだ。システムのいくつ
かは、Linuxのディストリビュータから配信されるパッチをロードしており、
一週間以内に更新が行われるようだ。

<参考>
ISCセキュリティアドバイザリ
http://www.isc.org/index.pl?/sw/bind/bind-security.php
SecurityFocus BID
http://www.securityfocus.com/bid/19859
────────────────

◆危険度【重大】:Ipswitch IMailにリモートのバッファオーバーフローの脆
  弱性

<影響のある製品>
Ipswitch Imail Server 2006

<詳細>
Ipswitch IMailは、Microsoft Windows用のメールサーバソルーションとして
広範囲で使用されている。しかし、これにはリモートで悪用可能なバッファオー
バーフローの脆弱性がある。SMTPサーバのコンポーネントに特別にフォーマッ
トされたリクエストを送信すれば、未認証のアタッカーでも、このバッファオー
バーフローを引き起こし、サーバソフトウェアの権限(SYSTEM権限の場合も多
々あり)で任意のコードを実行できるようになってしまう。この脆弱性の技術
的詳細はすでに公表されている。

<現状>
Ipswitchはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Zero Day イニシアチブ・アドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-06-028.html
Ipswitchのホームページ
http://www.ipswitch.com
SecurityFocus BID
http://www.securityfocus.com/bid/19885
────────────────

◆危険度【高】: Capi4HylaFaxにリモートのコマンド実行の脆弱性

<影響のある製品>
Capi4HylaFaxのバージョン1.x

<詳細>
Capi4HylaFaxは、CAPIとAVM Fritz!カードを介してファックス送受信ができる
ようにするモジュールだ。しかし、これにはリモートでコマンドを実行されか
ねない脆弱性がある。細工したfaxリクエストを脆弱なシステムに送信すれば、
アタッカーは、HylaFaxのプロセス(ルート権限の場合も多々ある)で任意の
コードを実行できるようになってしまう。

<現状>
ベンダーはこれを認識していないため、更新もリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Secuniaセキュリティアドバイザリ
http://archives.neohapsis.com/archives/secunia/2006-q3/0827.html
Capi4HylaFaxのホームページ
http://capi4linux.thepenguin.de/
SecurityFocus BID
http://www.securityfocus.com/bid/19801
────────────────

◆危険度【高】:複数の製品にPHPファイルインクルージョンの脆弱性

<影響のある製品>
Premod Shadowのバージョン2.xが入ったphpBB
TikiWikiのバージョン1.x
FlashChat 4.6.2のバージョン

<詳細>
以下のソフトウェアパックには、リモートでのPHPファイルインクルージョン
脆弱性がある。
・Shadow phpBB premod
・TikiWiki
・FlashChat
これらの欠陥は、リモートからアタッカーによって悪用されると、脆弱なソフ
トウェアパックをホストしているWebサーバに任意のPHPコードが実行されるお
それがある。掲示情報には、これらの欠陥を悪用できる悪質なHTTPリクエスト
の作成方法が記載されている。これらの脆弱性は、PHP"register_globals" オ
プションが有効になっていなければ発生しない。この"register_globals"オプ
ションは、PHPのバージョン4.2.0以降ではデフォルトで無効になっている。し
かし、多くの企業において、このオプションが有効になっているようである。
そのためユーザーは、可能であれば"register_globals"オプションを無効にし、
Webサーバソフトウェアを低権限で運用しておくとよい。また、FlashChat実装
を探しているbotもあるので注意されたい。

<現状>
phpBBは、これを認識していないため、更新もリリースしていない。
TikiWikiは、これを認識していないため、更新もリリースしていない。
FlashChatは、これを認識していないため、更新もリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Secuniaのアドバイザリ(phpBB)
http://archives.neohapsis.com/archives/secunia/2006-q3/0893.html
Secuniaのアドバイザリ(TikiWiki)
http://archives.neohapsis.com/archives/secunia/2006-q3/0840.html
SANS インターネットストームセンターの担当者日誌(TikiWiki)
http://www.incidents.org/diary.php?storyid=1672
NeXtMaNによる掲示 (FlashChat)
http://archives.neohapsis.com/archives/bugtraq/2006-09/0050.html
SANS インターネットストームセンターの担当者日誌(FlashChat)
http://www.incidents.org/diary.php?storyid=1670
phpBBのホームページ
http://www.phpbb.com
TikiWikiのホームページ
http://www.tikiwiki.org
FlashChatのホームページ
http://www.tufat.com/script2.htm
SecurityFocus BIDs
(flashChat)
http://www.securityfocus.com/bid/19846
(phpBB)
http://www.securityfocus.com/bid/19809
(phpBB)
http://www.securityfocus.com/bid/19888
(TikiWiki)
http://www.securityfocus.com/bid/19819
────────────────

◆危険度【中】:Retro64 CR64LoaderのActiveX コントロールにリモートの
  バッファオーバーフローの脆弱性

<影響のある製品>
Retro64 CR64LoaderのActiveXコンポーネント

<詳細>
Retro64ビデオゲーム製品の一部である、Retro64 CR64LoaderのActiveXコンポー
ネントには、リモートで悪用可能なバッファオーバーフローの脆弱性がある。
このコンポーネントをインスタンス化するようにWebページに細工を施せば、
そのWebページによってバッファオーバーフローが引き起こされる。そして、
結果として、現在のユーザーの権限で任意のコードが実行されてしまう可能性
もある。似たような欠陥を悪用できる再利用可能なエクスプロイトコードが公
表されていることに注意されたい。また、これと類似した欠陥が、過去に広範
囲で悪用されたこともある。

<現状>
ベンダーはこれを認識していないため、更新もリリースされていない。ユーザー
は、Microsoftの"kill bit"機能を解してActiveXコンポーネントを無効にする
CLSIDを"{288C5F13-7E52-4ADA-A32E-F5BF9D125F99}"に設定すれば、この脆弱
性の影響を軽減できる。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。委員会所属企
業のある1社によると、少なくとも2、3のシステムにこのActiveXコントロール
があることがわかったが、これによって影響を受けるユーザー層を特定できる
現実的な手段がないため、対策を講じるつもりはないという。

<参考>
Retro64のホームページ
http://www.retro64.com
Microsoft知識ベースの関連記事("kill bit"機能の概要を説明)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/19810