NRI Secure SANS NewsBites 日本版

Vol.1 No.9:2006年10月6日発行

**********************************************************************
           NRI Secure Security Information
          (SANS NewsBites、@RISKサマリー版)
                           No.9 2006年10月6日発行
**********************************************************************

このメールマガジンは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

■■SANS NewsBites Vol.8 No.77-78(原版:2006年9月30日、10月4日発行)

■はじめに:Alan Paller(SANS Director of Research)

先週ラスベガスにおいて、SCADAセキュリティサミットが開催された。SCADAの
セキュリティは、もはや理論上の問題ではない。このサミットでは、システム
オーナー初めて公の場で、水処理施設と電力供給システムで発生した実際のセ
キュリティ侵害事件について語った。いままさに、NERC(北米電力信頼度評議
会)およびFERC(米連邦エネルギー規制委員会)が現実の問題を修正できるよ
うにルールを改訂するときが来た。それができないならばできないと認め、一
線から身を引くべきだ。

米国国土安全保障省(DHS)からよいニュースが1つ。DHSは、ニューヨーク州の
Will Pelgrin氏主導の各州間のISAC(情報共有分析センター)およびアイダホ国
立研究所による共通調達仕様の開発を支援してきた。共通調達仕様によって、
SCADAやPCSのバイヤーがより安全なシステムを提供できるように、また、ベン
ダーがしなければならないことが明らかになる。SCADAセキュリティサミット
に参加した米国以外の国々からも、「調達ルールの改善・見直しを行い、ルー
ルが広域で適用されるように取り組む」という意思表明がなされた。
────────────────

◆米国下院議会 退役軍人の身分証明およびクレジットのセキュリティ法案を可決
  (2006.9.27)

米国下院議会は退役軍人の身元情報およびクレジットのセキュリティ2006年法
案を可決した。この法では、個人情報を管理する情報技術に関する実行能力を
連邦政府CIOに付与している。また、政府局は、機密情報にかかわる全てのセ
キュリティ侵害事件を公表するように義務付けられることになる。この法案は、
今後、上院で議論されることになる。
http://www.gcn.com/online/vol1_no1/42132-1.html?topic=security
────────────────

◆ニューヨーク州 身元情報盗難により厳しく (2006.9.26)

ニューヨーク州のGeorge E. Pataki知事は、ニューヨーク州民を身元詐称詐欺
の被害から守るための三法に署名し、同法を成立させた。1つ目の法は、消費
者通信記録プライバシー法で、本人の同意なしに消費者の通話記録を開示する
ことを禁じている。2つ目の法では、社会保険番号情報の用途を制限し、3つ目
の法では、コンピュータ犯罪にかかわる州法が強化されている。
http://www.state.ny.us/governor/press/06/0926061.html
────────────────

◆電力会社やパイプライン サイバーアタックに脆弱:
  政府・NERCのルールはあまり効果的ではない

アトランタ・ジャーナル・コンスティテューション(新聞名)は、重要インフ
ラに存在する大きな脆弱性を大々的に取り上げた。コントロールシステムに対
して成功したアタック複数件について詳述し、同様のシステムを運用している
多くの組織が、脆弱性の存在を認識していないことを強調した。また、それら
の組織を「限界を超えた、狂気の沙汰」と称している。さらに、NERC(北米電
力信頼度評議会)が開発した新しいサイバーセキュリティルールを、「あまり
にも曖昧なため、解釈の仕方が多岐にわたり、結果的にあまり効果はない」と
言及している。
http://www.statesman.com/news/content/news/stories/nation/10/02/2scada.html

【編集者メモ】 (Paller)
重要インフラ業界は、すでに恐喝アタックの第一波に直面している。ハッカー
がSCADAの脆弱性に侵入し、「ダメージを与えない」もしくは「脆弱性を暴露
しない」ことと引き換えに金銭を要求してくるのだ。これらのアタックは、来
年急激に広がっていくだろう。SCADAのセキュリティ専門家の誰に聞いても、
NERCが規定するルールへの遵守では、ハッカー・アタックに対するセキュリティ
強化に効果はあがらないという答えが返ってくる。NERCのルールは、システム
の安全性を確立する方法を知らない人によって作成されたセキュリティ規定の
悪しき例であろう。
────────────────

◆エネルギー省監査官の指摘:
  米連邦エネルギー規制委員会に残存するセキュリティ問題 (2006.9.29)

米国エネルギー省(DOE)監査官の報告書によると、米連邦エネルギー規制委員
会(FERC)はサイバーセキュリティの改善に前進こそ見られるものの、先の監査
で指摘された問題の中には、まだ対処されていないものもあるという。FERCは、
「最新バージョンのソフトウェアのみが使用されるように、また、ユーザーの
アクセス権限が最少レベルに抑えられるように設定管理手順を改善した」よう
だ。しかし、報告書には、「同政府局は、4つのシステムに関するセキュリティ
診断結果のレビューを正しく実行する、もしくは、十分にそれらを文書化する
ことができていない」ともある。FERCのThomas Herlihy長官は、「パスワード
が空白やデフォルトのまま、もしくは想定しやすいものであることは、大した
問題ではない」と答えているが、監査官はこれに眉をひそめている。読み取ら
れやすいパスワードで保護されているアカウントの数が少数であっても、それ
によって、政府局のコンピュータシステムは、マルウェアにさらされることに
なるのだ。
http://www.govexec.com/story_page.cfm?articleid=35155&printerfriendlyVers=1&
http://www.ig.energy.gov/documents/OAS-M-06-10.pdf

【編集者メモ1】 (Honan)
Thomas Herlihy長官が、この記事のように考えているのなら、FERC自体のセキュ
リティ環境が安全になるまで、相当長い時間がかかりそうだ。
【編集者メモ2】(Schultz)
Herlihy氏の反応から、FERCのセキュリティ問題の根底には「上層部にセキュ
リティ認識が欠けている」ことが原因として潜んでいることがわかった。さら
に、Herlihy氏は以下のコメントを残している。
「監査官の報告書では、FERCプログラムに物理的な弱点は見受けられなかった
とあり、委員会の認可認定プログラムを『優秀』と称している。政府局用の得
点表によると、我々は『A』評価ということになる。評価で落第したのは、エ
ネルギー省の方だ。監査官の報告書をより明確に検証してみよう。3,000以上
あるアカウントのうち、ガードが甘い、もしくは簡単に想像できるパスワード
は12件、規定である90日以内に削除されていなかったユーザーのアカウントは
20件のみだった。したがって、我々は、この事実をさらに裏付けるべく別の方
法で独自のセキュリティ診断を行った。一方で私は、監査官に対する受け答え
の中で、監査官の報告書の内容はバランスが悪いため、より深い内容にする必
要性を示した。我々は、コンピュータセキュリティを真剣に考えており、我々
のシステムが安全であったとしても、それ以上のものを常に求めている。我々
は、全ての脆弱性を取り除くべく邁進しているところだ。監査官の指摘内容を
認識するとともに、この素晴らしいプログラムを改善する取組みを継続し、サ
イバーセキュリティのリスク度をゼロになるべく近い状態にできるようにして
いく所存だ」
────────────────

◆コロラド州判事 投票マシンの認定プロセスを厳しく批判するも選挙での使用を許可
  (2006.9.27-10.2)

デンバー地区判事Lawrence Manzanaresは、コロラド州による電子投票マシン
認定方法を「ひどいもの」と称したにもかかわらず、11月7日の総選挙への使
用は禁止にしなかった。しかし、Mazanares判事は、今後選挙に使用するマシ
ンに対する新しい認定プロセスを開発するように命令を下した。また、今回、
来月の選挙で使用されるマシンは、再度、新しい認定プロセスで認定し直さな
くてはならない。
さらに、判事は同州に対し、新しいセキュリティ手順をすぐに開発・導入する
ように命じた。新しいルールには、マシンを輸送する人員の身元調査や、マシ
ンの保存場所のビデオによる監視なども含まれている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=266452&intsrc=news_ts_head
http://origin.denverpost.com/news/ci_4407782

【編集者メモ】 (Schmidt)
電子投票における脆弱性や欠陥テスト、および、低コストで導入が簡単なリス
ク軽減プロセスについて報告された内容を考えると、今になってもこの問題に
ついて、皆で議論していること自体がおかしい。我々がニューヨーク市ブレナ
ンセンターで作成した報告書をご覧になりたい方は、以下のサイトで入手でき
る。
http://www.brennancenter.org/programs/downloads/SecurityExecSum7-3.pdf

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年10月3日配信 Vol.5 No.39)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

<巻頭言>
Microsoftのzero-dayの脆弱性2つが、今週の脆弱性リストのトップを飾った。
1つ目はInternet Explorerにあり、2つ目はPowerPointにある。また、Appleの
OS XやOpenSSLにも、早急にパッチを適用しなければならない。
────────────────

◆危険度【重大】:IEのWebViewFolderIcon ActiveXコントロールに、
  リモートのコード実行の脆弱性
★より詳細な情報は「Secure/Info」に掲載★

<影響のある製品>
Windows 2000 SP4/XP SP1/XP SP2

<詳細>
以前@RISKで言及した、WebViewFolderアイコン・ActiveXコントロールにある
zero-day脆弱性が、ちまたで悪用され始めている。先週公表された問題のエク
スプロイトコードは、IEのユーザーが悪意のあるWebページを閲覧したときに、
そのコードを利用すればWindowsのシステムを侵害できるというものだった。

<現状>
Microsoftはこれを認識しているが、更新はリリースしていない。回避策とし
て、以下のUUIDにkillbitを設定するとよい:
"844F4806-E8A8-11d2-9652-00C04FC30871"
"E5DF9D10-3B52-11D1-83E8-00A0C90DC849"。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/926043.mspx
SANS Internet Storm CenterのHandler's Diaryでの議論
http://www.incidents.org/diary.php?storyid=1749
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=29#widely2
ZERTとDeterminaからのパッチ(サードパーティのパッチであり、Microsoftに
よってテストはされていない)
http://www.determina.com/security.research/
http://isotf.org/zert/
ActiveX Controlsにkillbitを設定する方法
http://support.microsoft.com/kb/240797
────────────────

◆危険度【高】:Microsoft PowerPointにリモートのコード実行の脆弱性

<影響のある製品>
Microsoft PowerPoint 2000/2002/2003
Mac用Microsoft PowerPoint 2004/v.X

<詳細>
Microsoft PowerPointには、リモートで悪用可能なコード実行の脆弱性がある。
細工されたPowerPointファイルが開かれると、現在のユーザーの権限で任意の
コードが実行されてしまう。この脆弱性の技術的詳細はすでに公表されており、
トロイの木馬もすでに検知されている。問題のトロイの木馬は現在、アンチウィ
ルスソフトウェアによって"Trojan.PPDropper.F"と認識されている。この問題
は、以前@RISKで公表された問題(下の参考URL参照)と関連性があると思われ
る。ホスト"mylostlove1.6600.org"に接続する変異型も確認されている。ユー
ザーは、ネットワークアクセスログを監視し、前述のホストに向けて頻繁にコ
ンタクトが試みられているかどうかを調べるとよい。

<現状>
Microsoftはこれを認識しているが、更新はリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、ベンダーからパッチがリリースされるのを待ち望ん
でいる状態にある。これらの企業は、次期定例更新スケジュールに合わせて、
もしくは自動更新機能を介してパッチを適用する見込みだ。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/925984.mspx
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=38&rss=Y#widely3
SANS Internet Storm CenterのHandler's Diaryにある関連記事
http://isc.sans.org/diary.php?storyid=1740
SecurityFocus BID
http://www.securityfocus.com/bid/20226
────────────────

◆危険度【高】:Apple Mac OS Xに複数の脆弱性

<影響のある製品>
Apple Mac OS X 10.4.7以前の脆弱性
Apple Mac OS X Server 10.4.7以前の脆弱性

<詳細>
Apple Mac OS Xには、リモートで悪用可能な脆弱性が複数ある。
(1)ネットワークフレームのレベルで、外部から提供されたデータを正しく検
  証できないために、AirPortワイヤレスネットワーキングサブシステムにさ
  まざまな欠陥が発生する。ワイヤレスの範囲内であればリモートのアタッ
  カーでも、これらの欠陥を悪用し、ルート権限で任意のコードを実行でき
  るようになってしまう。これらの欠陥は、アタッカーと同じ論理IPネット
  ワーク上に脆弱なマシンがなくても悪用されかねない。この問題は、以前
  @RISKに掲載された問題に関連がある可能性がある(下の参考URL参照)。
(2)匿名のSSL接続が正しく検証されないため、CFNetworkスイートを使用する
  アプリケーション(Safariなどを含む)が、悪意のあるサイトを信頼できる
  サイトとみなしてしまう場合がある。
(3)JPEG2000画像やPICT画像が細工されると、バッファオーバーフローが生じ、
  アタッカーによって現在のユーザー権限で任意のコードが実行されてしま
  う。
(4)Webページが細工されると、WebCoreレンダリングフレームワーク(Safari
  や他のHTML閲覧用アプリケーションで使用されている)にバッファオーバー
  フローが生じ、現在のユーザーの権限でリモートのコードが実行されてし
  まう可能性がある。

<現状>
Appleはこれを認識しており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ(AirPort)
http://docs.info.apple.com/article.html?artnum=304420
Appleのセキュリティアドバイザリ(その他について)
http://docs.info.apple.com/article.html?artnum=304460
@RISKのバックナンバーに掲載された関連記事(AirPort)
http://www.sans.org/newsletters/risk/display.php?v=5&i=31#vulnerabilities1
SecurityFocus BIDs
http://www.securityfocus.com/bid/20144
http://www.securityfocus.com/bid/20271
────────────────

◆危険度【高】:OpenSSL ASN.1 にリモートのバッファオーバーフローの脆弱性

<影響のある製品>
OpenSSL 0.9.8c以前のバージョン
OpenSSL 0.9.7k以前のバージョン

<詳細>
OpenSSL(Secure Sockets Layerのオープンソース実装)のASN.1エンコードデー
タ処理には、リモートで悪用可能なバッファオーバーフローの脆弱性がある。
OpenSSLは、UNIX、Linux、BSDおよびMac OS Xのシステムで、デフォルトでイ
ンストールされているさまざまなアプリケーションで使用されている。
OpenSSLを使用している脆弱なアプリケーションに細工したリクエストを送信
すれば、アタッカーは、バッファオーバーフローを引き起こすことができ、脆
弱なアプリケーションの権限で任意のコードを実行できるようになってしまう。
OpenSSLはオープンソースであるため、この脆弱性の技術的詳細は、ソースコー
ドを解析すれば簡単に入手できる。

<現状>
OpenSSLはこれを認識しており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、影響のあるソフトウェアを使用している。同社
は、この脆弱性によってどのような影響が生じるかを、現在調査している。

<参考>
OpenSSLのセキュリティアドバイザリ
http://www.openssl.org/news/secadv_20060928.txt
Secure Sockets Layerに関するWikipediaの説明
http://en.wikipedia.org/wiki/Secure_Sockets_Layer
ASN.1に関するWikipediaの説明
http://en.wikipedia.org/wiki/ASN.1
OpenSSLのホームページ
http://www.openssl.org
SecurityFocus BID
http://www.securityfocus.com/bid/20249
────────────────

◆危険度【中】: GNU gzip に複数のリモートの脆弱性

<影響のある製品>
GNU gzip 1.3.5以前のバージョン

<詳細>
GNUプロジェクトの人気圧縮ツールであるGNU gzipには、リモートで悪用可能
な脆弱性が複数含まれている。gzip圧縮ファイルが細工されると、これらの脆
弱性が生じ、現在のユーザー権限で任意のコードが実行されてしまう。gzipプ
ログラムは、Linux、BSDおよびMac OS XなどほとんどのUNIXシステムでインス
トールされている場合が多い。これらのシステムでは、通常、preferred圧縮
メソッドになっている。gzipはオープンソースであるため、この脆弱性の技術
的詳細は、ソースコードを解析すれば簡単に入手できる。

<現状>
FreeBSDなど、ベンダーの中には、OS配信も含めてgzipの問題のあるバージョ
ンにパッチをリリースしたところもある。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社のRed Hat Linuxシステムは、Up2Date(自動更新)で更新される見込みだ。
しかし、同社はこの脆弱性によって、他のOSプラットフォームにどのような影
響が生じるのかを現在調査している。

<参考>
Red Hatのセキュリティアドバイザリ
http://rhn.redhat.com/errata/RHSA-2006-0667.html
GNU gzipのホームページ
http://www.gnu.org/software/gzip/gzip.html
GNUプロジェクトのホームページ
http://www.gnu.org/
SecurityFocus BID
http://www.securityfocus.com/bid/20101
────────────────

◆危険度【中】:Mozilla Firefoxにリモートのコード実行脆弱性(未確認)

<影響のある製品>
Mozilla Firefoxのバージョン1.5.8、また、それ以前のバージョンも脆弱なお
それあり

<詳細>
Mozilla Firefoxに、リモートのコード実行の脆弱性(未確認)があると報告
された。JavaScriptを含むWebページを細工されると、現在のユーザーの権限
で任意のコードが実行されかねない。この脆弱性の技術的詳細がすでに公表さ
れている。

<現状>
Mozillaはこれを認識していないため、更新もリリースしていない。

<参考>
ZDNetの記事
http://news.zdnet.com/2100-1009-6121608.html
Mozilla Firefoxのホームページ
http://www.mozilla.com/firefox
SecurityFocus BID
http://www.securityfocus.com/bid/20282
────────────────

◆危険度【中】:HP Ignite-UX にリモートの未承認アクセスおよび権限昇格の脆弱性

<影響のある製品>
HP-UXのバージョンB.11.00、B.11.11、B.11.23用のHP Ignite-UX

<詳細>
HP Ignite-UXは、複数のHP-UX実装を管理するときに用いられる。しかし、こ
れにはリモートで悪用可能な認証回避および権限昇格の脆弱性がある。脆弱な
システムに細工したコマンドを送信すれば、アタッカーは管理者権限でログイ
ンし、システムの制御を完全に奪うことができる。この脆弱性の技術的詳細が
すでに公表されている。

<現状>
HPはこれを認識しており、更新をリリースしている。

<参考>
HPのセキュリティアドバイザリ
http://www.securityfocus.com/advisories/11256
SecurityFocus BID
http://www.securityfocus.com/bid/20269
────────────────