NRI Secure SANS NewsBites 日本版

Vol.1 No.8:2006年9月29日発行

**********************************************************************
           NRI Secure Security Information
          (SANS NewsBites、@RISKサマリー版)
                           2006年9月29日発行
**********************************************************************

このメールマガジンは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

■■SANS NewsBites Vol.8 No.75-76(原版:2006年9月23日、28日発行)

◆Apple、問題のワイヤレス欠陥にパッチを発行 (2006.9.21)

Appleは、Appleノートブックコンピュータにあるワイヤレス機能にセキュリティ
上の欠陥があることを認め、その欠陥に関するアドバイザリを発行した。内蔵
ワイヤレスデバイスのドライバに脆弱性が存在するというもの。この欠陥は、
サードパーティのワイヤレスカードが悪用される手法と同じ手法で悪用される
おそれがある。
http://blog.washingtonpost.com/securityfix
アドバイザリ:
http://docs.info.apple.com/article.html?artnum=304420
────────────────

◆下院司法委員会、問題の通信傍受法案を承認(2006.9.21)

下院司法委員会は、テロ攻撃発生後3か月間に限り、米政府が裁判所命令なし
で国民のネットワークコミュニケーションを傍受できる法案を承認した。また、
電子的近代化監視法(Electronic Modernization Surveillance Act)におい
て、米国対外諜報監視裁判所(US Foreign Intelligence Surveillance Court)
から通信傍受令状獲得に必要な情報項目を減らす。これにより、政府はあらゆ
る電子通信に対する通信傍受を行えるようになる。この法案は、下院本会議に
て、今月末には採決にかけられる見込みだ。
http://www.computerworld.jp/news/trd/49569.html (日本語)
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9003513&intsrc=news_ts_head

【編集者メモ】 (Northcutt)
通信傍受の権限が乱用されなければ、この法案自体に問題はない。愛国者法
(Patriot Act)の導入を覚えておいでか?
詳細はこちら:
http://www.dailytexanonline.com/media/storage/paper410/news/2003/09/14/StateLocal/Critics.Cite.Patriot.Act.Abuse.And.Misuse-465391.shtml?norewrite200609211851&;sourcedomain=www.dailytexanonline.com
http://www.cbsnews.com/stories/2003/07/21/attack/main564189.shtml
http://www.reviewjournal.com/lvrj_home/2003/Nov-05-Wed-2003/news/22521283.html
────────────────

◆ボットネットのワーム、AOLのインスタントメッセンジャーで広がる
  (2006.9.16)

Win32.Pipelineと称されるワームが、AOL Instant Messengerを介して感染を
拡大している。アナリストによるとこのワームは、感染したコンピュータでボッ
トネットを組成しようとしているらしい。コンピュータへの感染は、ユーザー
がJPEG画像に扮した実行ファイルをダウンロードすると実現する。いったんコ
ンピュータにそのプログラムがインストールされると、それがあらゆるホスト
コンピュータに働きかけ、感染したマシンにマルウェアをダウンロードしてし
まう。
http://www.vnunet.com/vnunet/news/2164531/experts-warn-aol-botnet-threat
http://www.australianit.news.com.au/articles/0,7204,20445029%5E15306%5E%5Enbv%5E,00.html

【編集者メモ】 (Pescatore)
これらのIMワームは、電子メールフィッシングの歴史でいえば5年前の状態に
あるといっていいだろう。つまり、ワーム自体はそう頻繁には発生しないため、
利用者は潜在的な機能を信頼しきってしまい、結果として詐欺アタックにひっ
かかってしまう。インバウンドの電子メールや、発信アドレス情報を信じてい
る状態なのだ。特に、友人リストに入っているIMスクリーンネームとなると、
ガードは随分と低くなる。電子メールによるフィッシング詐欺は広範囲でかつ
大規模に行われているため、現在ではほとんどの人が怪しいメールには懐疑的
だ。しかし、まだまだ標的を狭い範囲にとどめているIMアタックは、大規模な
DoSアタックを引き起こすわけでもなく、探知範囲外で活動を続けている。非
常に多くの企業が、未だにIMを事業目的で使用していない(つもり)と言い張っ
ており、それが続く限り、企業がこれらのアタックから身を守ろうとすること
もないだろうし、その必要性も見いだせないままでいるだろう。
────────────────

◆メリーランド州政府、11月の選挙は紙面投票で(2006.9.21)

先週メリーランド州選挙で電子投票システムに数々の問題が発生したため、メ
リーランド州知事Robert L. Ehrlich氏は同州に対し、11月の総選挙では、紙
面投票を行うように要請している。州選挙管理委員会長Linda H. Lamone氏は、
この計画を「狂気の沙汰」と称し、同氏の部下らは、次期選挙までにはこれら
の問題を解決する意向を示している。先週の選挙で問題が発生した原因は、メ
リーランド州行政地区ほぼ全てにおいて、人的ミスがあったからだという。選
挙職員が、投票マシンの操作に必要なカードを配布し忘れたことが発端らしい。
投票データの電子送信に問題があり、それによって投票結果の統計にも遅延が
生じた。そのため選挙職員は、先週の予備選挙の投票用紙をまだ開票している
状態にあるという。メモリカードの中には、選挙から何日も経過しているにも
かかわらず、まだ投票マシンの中に入ったままのものもある。さらに、電子投
票名簿は、40人の投票者をチェックしただけでクラッシュし、中には、同じ行
政地区内の他の名簿に情報を送信することさえできなかった名簿もある。言い
換えると、選挙登録人である一個人が、二度以上投票することができていた可
能性も否めないのだ。
(以下のサイトをご覧になるには、無料登録が必要)
http://www.washingtonpost.com/wp-dyn/content/article/2006/09/20/AR2006092001356_pf.html

【編集者メモ】(Schultz)
ジョンホプキンズ大学のAvi Rubin博士が、この電子投票の悲惨な結果につい
てどうコメントするのか見ものである。彼が執筆した電子投票についての著書
「Brave New Ballot」を一読されることを強くお勧めしたい。
────────────────

◆2001年以来、米国商務省のノートパソコン1,000台以上が行方不明
  (2006.9.22)

米国商務省によると、2001年以来、1,137台のノートパソコンが盗難されるか、
もしくは行方不明の状態になっているという。行方不明のコンピュータのうち、
249台には個人情報が保存されていた。その中には、パスワードで保護されて
いるコンピュータや、データが完全に暗号化されているものもあった。また、
国税調査局から行方不明となったノートパソコンは672台で、そのうち246台に
個人情報が保存されていた。そのほか米国海洋大気圏局から行方不明となった
ノートパソコンのうちの3台にも個人情報が格納されていた。商務省長官
Carlos M. Gutierrezは、このデータセキュリティ侵害で、およそ6,200家庭が
影響を受けると推算している。当局は、議会の要請と公的な取調べを受けて調
査を行った。下院政府改革委員長Tom Davis (バージニア州共和党)は、全ての
政府局に対し、セキュリティ侵害事件全件について報告をあげるように要請し
ている。Davisは、データ侵害事件発生時に各政府局が従うべきポリシーの設
置義務を行政予算管理局に負わせる法案を提案している。
http://www.govexec.com/story_page.cfm?articleid=35081&printerfriendlyVers=1&
http://www.washingtonpost.com/wp-dyn/content/article/2006/09/21/AR2006092101602_pf.html
http://www.fcw.com/article96204-09-22-06-Web&printLayout
http://www.gcn.com/online/vol1_no1/42094-1.html?topic=security
http://www.gcn.com/online/vol1_no1/42081-1.html?topic=security

【編集者メモ1】(Pescatore)
報告に関する政府の規制はすでに存在しており、プライバシーに関わるような
情報を誤用した政府責任者には、プライバシー保護法で懲罰を科せられる。し
かし、アプローチとしては、この必須条件を政府予算法案全てに盛り込む方が
より効果的だ。予算法案において、コンピュータの調達・システム開発時に、
厳しい認証機能やデータ保護技術を組み入れることを義務付ければよい。
【編集者メモ2】(Paller)
米国商務省のノートパソコンが損失した事件は、その他の政府局で発生した事
件に比べると、いささか見劣りする。財務省の一部門でなくなったコンピュー
タの台数は、より短い期間で商務省の5倍にのぼる。議会は、より一層の報告
を求めている。FISMAによる報告行為に生産性がない(というよりは、その妨
げになる)ことがわかっているからだ。ノートパソコンを紛失した財務省の政
府局が、セキュリティ予算の75%を費やして、請負業者にFISMAの報告作成を
依頼するはめに陥っている。こんなことをする代わりに、FISMA報告書にかかっ
た費用よりも少ない費用でノートパソコンにデータ保護機能を導入しようと思
えば、それができたはずである。まさにJohn Pescatoreの言うとおりだ。今こ
そが、議会に連邦調達仕様(Federal procurement specifications)を使用して、
セキュリティを改善するときだ。
────────────────

◆ドイツ、サイバー犯罪刑法の更新を思案(2006.9.21-22)

ドイツ政府は、コンピュータへの侵入を犯罪化し、違反者には最高で10年の懲
役を科す法案を思案中だ。この原案では、懲罰に値する違法行為を「コンピュー
タシステムに侵入し、保護されているはずのデータにアクセスすること」と定
義している。つまり、この法案では、実際にデータ窃盗を行わなくても懲罰の
対象になるのだ。さらに、「違法行為を営む目的でハッカーツールを意図的に
作成、流布、購入する集団も、この法で裁かれる」とある。法案にある「ハッ
キング用ツール」の開発や使用を禁ずる同節によって、管理者やセキュリティ
コンサルタントが合法的なテストを行う妨げになるのではないかという懸念の
声もあがっている。ドイツには、ITシステムのアタックに関する法がすでに存
在しているが、企業や政府がアタックされない限り、起訴することはできない
ようになっている。したがって今回の法案が可決されると、事実上、現在ある
「法の抜け穴を埋める」ことができる。
http://www.theregister.co.uk/2006/09/22/german_hacking_law_update/print.html
http://www.infoworld.com/archives/emailPrint.jsp?R=printThis&A=/article/06/09/21/HNhackingacrime_1.html
────────────────

◆家庭のPCユーザーを標的にする組織犯罪が激増(2006.9.25)

Symantecが半期ごとに行っているインターネット脅威調査報告によると、家庭
のコンピュータユーザーが、サイバー犯罪者らにとってかっこうの標的と化し
ているようだ。報告では、2006年上期のフィッシングメールの件数が、前期比
に比べて81%増を記録。調査対象の家庭ユーザーのうち、アンチウィルスソフ
トウェアは現在最新の状態になっていると答えたのは、46.3%のみにとどまっ
た。また、インターネットアタックの発信元を有する国として、首位をかざっ
たのは米国であった。これは、ブラウザの欠陥数が増加するとともに、ブロー
ドバンド接続で侵害されるコンピュータが多数あることが原因だと考えられる。
http://news.bbc.co.uk/2/hi/technology/5377334.stm
http://news.com.com/2102-7349_3-6118920.html?tag=st.util.print
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9003578&intsrc=news_ts_head
http://ca.news.yahoo.com/s/25092006/2/ztechnology-highlights-symantec-s-10th-internet-security-threat-report.html

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年9月26日配信 Vol.5 No.38)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

◆危険度【重大】: Microsoft Internet ExplorerのVMLにバッファオーバーフローの
  脆弱性(0day)
★より詳細な情報は「Secure/Info」に掲載★

<影響のある製品>
Microsoft Internet Explorerのバージョン6、また、それ以前のバージョンにも
脆弱性のおそれあり

<詳細>
Microsoft Internet ExplorerのVML (Vector Markup Language)データ解析処
理には、リモートで悪用可能なバッファオーバーフローがある。VMLは、ベク
トルグラフィックス画像を定義するときに用いるXMLベースの言語である。細
工したHTML文書(Webページに掲示されているもの、もしくは電子メールに含ま
れているもの) によって、このバッファオーバーフローが悪用されると、現在
のユーザーの権限で任意のコードが実行されてしまう。この脆弱性に対する複
数のエクスプロイトがすでに公表されており、そのうち少なくとも1つのトロ
イの木馬(暫定的に"Trojan.Vimalov"と称されている)が活動しているようだ。
ユーザーは、"VGX.DLL"ライブラリを登録から外せば、この脆弱性の影響力を
軽減することができる。しかし、この対策をとると、通常のVML用途の妨げに
なることに注意されたい。

<現状>
Microsoftはこれを認識しているが、更新はリリースしていない。
【9月27日に修正プログラムリリース:MS06-055】

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業は、ベンダーからパッチがリリースされるのを待ち望ん
でいる状態にある。これら企業は、次期定例更新スケジュールに合わせて、も
しくは、自動更新機能を介してパッチを適用する見込みだ。

<参考>
Microsoftセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/925568.mspx
SANS担当者日誌の関連記事
http://www.incidents.org/diary.php?storyid=1727&isc=61e243bd348e5a31bf9097e6f2965ab9
Symantec からのTrojan.Vmalov情報
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-091914-1801-99&tabid=1
Matthew Murphyによる掲示(影響軽減戦略について)
http://blogs.securiteam.com/index.php/archives/624
ベンダーの利幅ルールについてのWikipediaの説明
http://en.wikipedia.org/wiki/Vector_Markup_Language
概念実証型
http://downloads.securityfocus.com/vulnerabilities/exploits/20096.html
http://downloads.securityfocus.com/vulnerabilities/exploits/vml.c
http://downloads.securityfocus.com/vulnerabilities/exploits/20096.pl
ZERTからの非公式パッチ (Microsoftはテストしていない)
http://isotf.org/zert/
SecurityFocus BID
http://www.securityfocus.com/bid/20096
────────────────

◆危険度【高】: Mozillaスイートに複数の脆弱性

<影響のある製品>
Mozilla Firefox 1.5.0.7以前のバージョン
Mozilla Thunderbird 1.5.0.7以前のバージョン
Mozilla SeaMonkey 1.0.5以前のバージョン

<詳細>
Mozilla foundationは、Firefox、Thunderbird、および、SeaMonkeyにある脆
弱性について、セキュリティアドバイザリをリリースした。これらの脆弱性は、
リモートのコード実行やクロスサイトスクリプティングアタック、スプーフィ
ングアタックに悪用されるおそれがある。「リモートのコード実行」の欠陥以
外の脆弱性のうちのいくつかについては、技術的詳細がすでに公表されている。
これらの製品はオープンソースなので、ソースコードを分析すればさらに詳細
な情報を入手することができる。以下の<参考>に示したセキュリティアドバ
イザリに、概念実証コードが含まれている。

<現状>
Mozillaはこれを認識しており、更新もリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2006/mfsa2006-64.html
http://www.mozilla.org/security/announce/2006/mfsa2006-63.html
http://www.mozilla.org/security/announce/2006/mfsa2006-62.html
http://www.mozilla.org/security/announce/2006/mfsa2006-61.html
http://www.mozilla.org/security/announce/2006/mfsa2006-58.html
http://www.mozilla.org/security/announce/2006/mfsa2006-57.html
SecurityFocus BID
http://www.securityfocus.com/bid/20042
────────────────

◆危険度【中】: Microsoft PowerPointにリモートでコードを実行される脆弱性
★より詳細な情報は「Secure/Info」に掲載★

<影響のある製品>
Microsoft PowerPoint 2000、また、他のバージョンも脆弱なおそれあり

<詳細>
Microsoft PowerPointの脆弱性を悪用するトロイの木馬が出回っている。現在、
トロイの木馬はPowerPoint中国語版を標的にしているようだ。今のところ、他
の言語版が脆弱かどうかは不明である。この脆弱性が、新手の0-dayなのかど
うか、もしくはMicrosoftセキュリティ警告MS06-012で修正された脆弱性と関
連性があるのかどうかについても定かではない。アンチウィルスベンダーの中
には、このトロイの木馬を"Trojan.PPDropper.E"と分類したところもある。

<現状>
Microsoftからはまだパッチがリリースされていない。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業は、ベンダーからパッチがリリースされるのを待ち望ん
でいる状態にある。これら企業は、次期定例更新スケジュールに合わせて、も
しくは、自動更新機能を介してパッチを適用する見込みだ。

<参考>
Microsoft Security Advisory(日本語)
http://www.microsoft.com/japan/technet/security/advisory/925984.mspx
SANSインターネットストームセンター・担当者日誌の関連記事
http://www.incidents.org/diary.php?storyid=1717
Microsoftセキュリティ警告MS06-012
http://www.microsoft.com/technet/security/Bulletin/MS06-012.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/20059
────────────────

◆危険度【高】: Ipswitch WS_FTPに、複数のリモート・バッファオーバーフロー
  脆弱性

<影響のある製品>
Ipswitch WS_FTP Serverのバージョン5.08 (1つ目の脆弱性)、バージョン5.05
(残りの脆弱性)

<詳細>
Ipswitch WS_FTPは、Microsoft Windows用のFTPサーバとして広範囲で使用さ
れている。しかし、これには、リモートで悪用可能なバッファオーバーフロー
の脆弱性が複数含まれている。
(1)FTP PASVコマンドに対するユーザーからのレスポンスを正しく検証できな
  いために、固定サイズのバッファにオーバーフローが起きる。
(2)拡張したXMD5、XSHA1、XCRCコマンドへのユーザーの入力が正しく検証でき
  ないために、固定サイズのバッファにオーバーフローが起きる。

これらのコマンドを使用して細工したリクエストを送信すれば、未承認のアタッ
カー(匿名ユーザー、もしくはftpユーザーが考えられる)でも、これらのバッ
ファオーバーフローを悪用して、FTPサーバのプロセス権限(システム権限の場
合が多い)で任意のコードを実行できるようになってしまう。技術的詳細と、
これらの脆弱性のうち少なくとも1つのエクスプロイトコードが公表されてい
る。

<現状>
Ipswitchはこれを認識しており、更新もリリースしている。

<参考>
Ipswitchホットフィックス
http://ipswitch.com/support/ws_ftp-server/releases/wr505hf1.asp
h07による概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/ws_ftp-5.0.8-PASV-rce.c
SecurityFocus BIDs
http://www.securityfocus.com/bid/20121
http://www.securityfocus.com/bid/20076
────────────────

◆危険度【中】: Cisco IPSに複数の脆弱性

<影響のある製品>
Cisco IDS 4.1(5c)以前のバージョン
Cisco IPS 5.0(6p1)以前のバージョン、および、5.1(2)

<詳細>
Cisco IPS(Intrusion Prevention System)には、リモートで悪用可能な脆弱性
が複数存在している:
(1)細工したSSLリクエストを脆弱なシステムのWeb管理インターフェースに送
  信すると、アタッカーは、"mainApp"管理プロセスをクラッシュできるよう
  になる。 このプロセスは、自動的に再起動されないため、サービス停止
  (DoS)状態が引き起こされる。この脆弱性の悪用に成功した場合、システム
  管理機能が(Web、もしくはコマンドラインインターフェース経由で)阻止さ
  れる。また、リモート監視システム(SNMPトラップなど)へのアラート報告
  が停止し、Ciscoデバイスの自動再設定機能も阻止されてしまう。
(2)Cisco IPSデバイスによって監視されているネットワークセグメントを通過
  する通信を寸断することによって、アタッカーは、デバイスによる通信検
  査を回避することができるようになる。つまり、この通信は、改変されず
  に引き渡されるため、悪質な通信も検知されないままネットワークを通過
  するおそれがある。

<現状>
Ciscoはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20060920-ips.shtml
SecurityFocus BIDs
http://www.securityfocus.com/bid/20124
http://www.securityfocus.com/bid/20127
────────────────

◆危険度【中】: DOCSIS未対応のCisco IOS にSNMP Community String関連の
  脆弱性
★より詳細な情報は「Secure/Info」に掲載★

<影響のある製品>
Cisco IAD Integrated Access Deviceの2430、2431、2432モデル
Cisco VG224 Analog Phone Gateway
Cisco MWR Mobile Wireless Edge Routerの1900、1941モデル

<詳細>
Ciscoデバイスのいくつかに、リモートで悪用可能な設定エラーがある。これ
らのOSソフトウェアは、DOCSIS(Data Over Cable Service Interface
Specification)基準をサポートできるように正しく設定されておらず、これを
埋め合わせるために、読み書き権限をハードコードされたSNMP community
stringが、別途SNMP設定に含まれている。この文字列("cable-docsis")は、
削除および無効にすることはできない。アタッカーは、このcommunity
stringを使用すれば、デバイスの設定を任意に改変することができるようになっ
てしまう。そのため、影響のあるシステムは、制御を完全に奪われるおそれが
ある。

<現状>
Ciscoはこれを認識しており、更新もリリースしている。回避策としては、
SNMPプロセス全体を無効にするか、SNMPアクセスコントロールリストを設定す
る、などの方法がある。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は現在、設定を確認しており、必要ある場合は、時期定例更新スケジュー
ルに合わせてパッチを適用する見込みだ。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20060920-docsis.shtml
DOCSISに関するWikipedia の説明
http://en.wikipedia.org/wiki/DOCSIS
SecurityFocus BID
http://www.securityfocus.com/bid/20125
────────────────