NRI Secure SANS NewsBites 日本版

Vol.2 No.10 2007年3月12日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.10 2007年3月12日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。 世界中でこの1週間に起こった
セキュリティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、
資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。

■■SANS NewsBites Vol.9 No.16-17 (原版:2007年3月2、7日)

■はじめに(Alan Paller: SANS Director of Research)

今年か来年に、ノートパソコンを暗号化しようとお考えですか? 最初に行う
べきことは、間違いなくこのプロセスを踏んだ他の組織の人と話をすることでしょう。
効果的にそれを行いたいならば、4月にサンノゼで開かれる"Laptop Encryption
Summit"に来られるのが一番です。最近ノートパソコンの暗号化を行った20社
以上の企業(FMC、Allstate、GWUなど)が、上手くいったこと、いかなかったこと、
また、実際に導入する前に誰かに教えておいてほしかった重要事項について
語ってくれます。
詳細はこちら:
http://www.sans.org/encryptionsummit07/

また、"Log Management Summt"も同時開催します。ユーザー企業20社
(Cleveland Clinic、JP Morgan、HSBC、Genesis Healthcareなど)が、ログ管
理システムを導入するうえで学んだよき教訓について紹介してくれます。
詳細はこちら:
http://www.sans.org/logmgtsummit07/
────────────────

◆全米レコード協会 公正使用法案に反対 (2007.2.28-3.1)

全米レコード協会 (RIAA)は、デジタル・ミレニアム著作権法 (DMCA)による制
限を緩和する法案に反対の意を唱えている。 RIAAによると、今回提案された
法案では、楽曲や映画を購入した人が、個人使用目的でバックアップ用のコピー
を作ることを許可しており、事実上ハッキング行為を合法化することになると主張。
この法案によって、消費者はCDやDVDのデジタルコピーを作っても、著作権所有者に
深刻な影響がない場合は、それらのコピーにかかっている制限を回避できるようになる。
http://www.technewsworld.com/story/56037.html#
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=197700216
http://www.infoworld.com/article/07/02/28/HNriaaopposesfairuse_1.html

【編集者メモ】 (Schultz)
この法案に対するRIAAの反応は過剰だと思う。個人使用およびバックアップの
ためにコピーを作成することが、合法的なハッキング行為であるとは考えにくい。
しかしながら、DMCAの条項を緩和すれば、メディアの違法コピーが作成さ
れる可能性は増えることは確かだ。
────────────────

◆テキサス州検事の主張 社会保険番号の開示は違法行為 (2007.3.5)

テキサス州のGreg Abbot検事は、先月、社会保険番号(SSN)を公的文書に開示
掲載する行為は、州法および連邦法に違反していると裁定した。違反者は、
罰金や懲役に科せられる可能性がある。テキサス州Fort Bend地方検事が、公的
文書で社会保険番号(SSN)を開示していたというFort Bend郡の管理方法に疑問
を抱いたため、この裁定に至った。郡と同郡の事務官は、情報を開示してしまっ
たため、彼らに刑事責任や民事責任がふりかかるのではないかと懸念を示したところ、
州議会は「現存の連邦法や州法をよそに、今後も郡や同郡の事務官が
情報を開示できる方法を模索していく」と述べた。 同州検事は裁定によって、
文書を開示する前に社会保険番号の部分を編集することを義務付けた。同郡の
事務官は、この裁定に不服で、このような情報を排除するのには、時間やお金
がかかると主張。Fort Bend郡のある事務官によると、彼らは「公的記録の収
納庫のような役割しかもっておらず、公的記録を閲覧したり、コピーしたり、
購入したりできる権利も持ってない。また、文書に挿入すべきもの、すべきで
ないものについて指示することもできない。文書の中身も読むことができない。
だから、そこに社会保険番号があるかどうかもわからない」という。プライバシー
提唱者らは、他州が同じ状況下において、個人情報保護のために大きな前進を
遂げてきたのを目の当たりにしている。そのため、郡がリストのブローカーに
編集なしで文書を売り渡し、利益を得ているのではないかと言う者もいるようだ。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=
9012221&source=rss_topic17
────────────────

◆米国行政予算管理局の報告:FISMAへの法遵守に若干の前進(2007.3.2-5)

米国行政予算管理局(OMB)の2006年度報告によると、政府局は、連邦情報
セキュリティマネジメント法(FISMA)による基準を満たすために、若干の前進が見ら
れるという。政府局は、IT投資総額630億ドルを取り付ける目的で、55億ドルを費やした。
しかし、検査された25の政府局のうち、「セキュリティ手順の有効性を監視できている」
という項目で「優」をつけられた政府局は2局だけだった。
同じ項目で8の政府部門が「劣」になっている。
http://www.gcn.com/online/vol1no1/43255-1.html?topic=security&CMP=OTC-RSS
http://www.fcw.com/article97807-03-02-07-Web&printLayout
http://www.whitehouse.gov/omb/inforeg/reports/2006_fisma_report.pdf
────────────────

◆英国のRFID搭載パスポート 封筒内でも読み取り可能(2007.3.5)

Daily Mailは、インターネットで利用できる装置を使って、RFID搭載パスポート
から情報を読み取れるデバイスを作ることに成功した。Mailは、封筒を開ける
ことなく、封筒に入れられた新しいパスポートの情報をダウンロードし、
4時間以内に偽パスポートを作成した。RFIDチップには、パスポートの写真入り
ページの電子コピーや、写真画像の電子データ、他の2つのファイルが改ざん
されていないかどうかを確かめるデバイスが含まれている。これらのファイル
にアクセスするためには、キー(写真入りページのマシンで読み取り可能な部
分にある印字の最後の1行)をコンピュータに入力しなくてはならない。
このコード(キー)には事実上いつも、パスポート所有者の生年月日と使用期限日
が含まれているため、Mailは、比較的簡単にこのコード(キー)を特定することができた。
さらに、幾度もアクセスに失敗したにもかかわらず、ロックアウトされなかったという。
http://www.thisislondon.co.uk/news/article-23387681-details/'Safest+ever'+passport+is+not+fit+for+purpose/article.do

【編集者メモ1】 (Pescatore)
パスワードがテレタイプ端末に入力され、ロール紙に印刷されていたその昔、
テレタイプマシンは、そのパスワードを隠すために、その上からXという文字
をタイプしていた。そして、賢い人は、インクの上から懐中電灯で照らせば、
パスワードを読み取ることができることを発見した。機密情報を物理的に保護
することは重要な課題である。もう1つおもしろい記事があった。その記事によると、
小売店に置かれたVISTAの箱を通して、VISTAのアクティベーションコードを、
デジタルカメラで撮影することができたという。あれまあ…
【編集者メモ2】(Schultz)
このようなことがいつか必ず起こると何度言っても、それは無視される。
そして、最初から正しく構築するのではなく、実際に起きてしまってから安全性の
確立に乗り出す羽目に陥る。鉛の箱(スーパーマンにとって透視不可能な物質)
にクリプトナイト(スーパーマンの母星の残骸物質)を入れるように、
パスポートもそれと同じく保存しなくてならないのかもしれない。
【編集者メモ3】(Northcutt)
とてもよい記事だ。私もできれば時間をかけて読みたいものだ。
記事のサマリー:
「パスポートは、特別マークが付いた封筒に入れられて、配達される。配達人も、
配達時にID証明を求めないため、簡素なアタック方法でも十分効果がある。
個人情報をキー(192ビット)で保護するだけで十分だ。しかし、そのキーの
データ自体が、生年月日に関連しており、RFIDに対して幾度もアタックを仕掛け、
50回目のトライでもロックアウトされないとなると…」
私が前頭葉切断手術を受けていなければ、もっと皮肉たっぷりになれただろうに。
ここにもおもしろい記事がある:
http://www.guardian.co.uk/idcards/story/0,,1950226,00.html
【編集者メモ4】(Liston)
RFID技術によって、新しいアタック手法が生まれた。しかし、他の技術において
すでに失敗したような同じ過ちを繰り返しながら、その安全化を図ろうとしているなんて…。
────────────────

◆アンチウィルステスト: MicrosoftのOneCare最下位に(2007.3.5)

評判の高いテスト会社であるAV-Comparatives.orgは、さまざまなアンチウィルス
ツールの効果を比較し、それを四半期ごとに報告している。最近の報告では、
テストした主な製品17個のうちMicrosoftのOneCareが最下位となった。
http://www.eweek.com/article2/0,1759,2100646,00.asp?kc=EWRSS03129TX1K0000614
テスト結果はこちら:
http://www.av-comparatives.org

【編集者メモ】(Paller)
Microsoftを、アンチウィルスやエンドユーザー保護商品の対象外にしてはならない。
Windows 1.0は失敗だったし、Windows 2.0もあまりよいものではなかった。
にもかかわらず、Windows 3.0の市場占有率は、90%になったではないか。
────────────────

◆PCIデータセキュリティ基準 厳しさに欠ける (2007.3.1)

コラムニストのEvan Schuman氏は、 TJXの大規模なデータセキュリティ侵害は、
MastercardやVISAがPCI基準の遵守に厳しさを徹底できなかったことが、部分的な
要因となっていると語った。 Schuman氏は「このニュースで本当にわかったことは、
小売業に関していうと、現在のPCIがいかに不適切かということだ」 と述べている。
http://www.eweek.com/article2/0,1759,2099689,00.asp?kc=EWRSS03129TX1K0000614

*********************************************************************

■■@RISK:The Consensus Security Vulnerability Alert
 (原版:2007年3月6日配信 Vol.6 No.10)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリストアップ
した脆弱性のサマリー情報です。SANS Instituteと3Comの TippingPointチーム主導
の下に作成され、12社のセキュリティ管理者で構成される「セキュリティマネージャ委員会」
の具体的アクションも掲載されています。
組織のシステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー             件数(#は本稿掲載番号)
======================================================================
Windows                      1
Microsoft Office                4
その他のMicrosoft製品             4
サードパーティのWindowsアプリ       8(#5)
Mac OS                     2
Linux                        3
Unix                       2
クロスプラットフォーム             15(#2, #4)
Webアプリ…XSS               9
Webアプリ…SQLインジェクション     5
Webアプリケーション             37(#1)
ネットワークデバイス            2(#3)
======================================================================

■はじめに(Alan Paller: SANS Director of Research)

Apache Tomcat Application Server、WordPress (ブログのアプリケーション)
Cisco Catalyst Switches' Network Analysis Modules、EMC NetWorker
Management Consoleの全てに、今週、新たな脆弱性が報告された。WordPress
の脆弱性 (悪意のあるバックドアが、ソースコードに挿入される) は、特に目を引く。
────────────────

1.危険度【重大】:Apache Tomcat JK Web Server Connectorにスタックベー
スのオーバーフローの脆弱性

<影響のある製品>
Apache Tomcat JK Web Server Connector 1.2.19
Apache Tomcat JK Web Server Connector 1.2.20
Apache Tomcat 4.1.34
Apache Tomcat 5.5.20

<詳細>
Apache Tomcatは、アプリケーションサーバとして、広範囲で使用されている。
しかし、これには、スタックオーバーフローの脆弱性がある。過剰に長いURL
(4095バイト以上) によって、この脆弱性が悪用されると、サーバプロセス
の権限で任意のコードが実行されてしまう。この欠陥は、Apache TomcatのJK
Web Server Connectorのコンポーネントでの、危険なメモリコピーが原因で発生する。
一部のTomcatの中には、この脆弱なバージョンのコンポーネントが含まれている。
Tomcatはオープンソースであるため、この脆弱性の技術的詳細は、ソースコードを
分析すれば入手できる。

<現状>
Apacheはこの脆弱性を認めており、更新もリリースしている。

<参考>
Zero-Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-008.html
Apacheのセキュリティアドバイザリ
http://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html
http://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html
Apache Tomcatのホームページ
http://tomcat.apache.org/
SecurityFocus BID
http://www.securityfocus.com/bid/22791
────────────────

2.危険度【重大】:ブログソフトのWordPressにバックドアの脆弱性

<影響のある製品>
2007年2月25日から3月2日までにダウンロードされたWordPress 2.1.1

<詳細>
WordPressは、ブログアプリケーションとして、広範囲で使用されている。
しかし、これには、リモートからアクセスできるバックドアがある。このバック
ドアの実態は、アプリケーションに挿入された悪意のあるコードで、これによって、
アタッカーは、自分で定義した方法でアクセスし、アプリケーションを乗っ取ることが
できるようになってしまう。2007年2月25日、WordPressのバージョン2.1.1のソース
コードが改変され、バックドアを含むようになった。HTTPリ
クエストの変数が"ix" もしくは"iz"と名付けれれる形で細工されると、Webサー
バープロセスの権限で、リモートでコードを実行されてしまうおそれがある。
この脆弱性の技術的詳細は、すでに公表されており、活発に悪用されている可能性がある。

<現状>
WordPressはこの問題を認めており、更新をリリースしている。

<参考>
WordPressのブログ記事
http://wordpress.org/development/2007/03/upgrade-212/
ifsecure@gmail.comによる記事
http://www.securityfocus.com/archive/1/461794
「バックドア」についてのWikipediaの説明
http://en.wikipedia.org/wiki/Backdoor
Ken Thompson著"信頼を信頼したら…"
(旧型UNIXにおける仮想バックドアの概要を説明している有名なコンピューター
セキュリティのテキスト)
http://www.acm.org/classics/sep95/
SecurityFocus BID
http://www.securityfocus.com/bid/22797
────────────────

3.危険度【高】: Cisco CatalystのNetwork Access Moduleに脆弱性

<影響のある製品>
Network Analysis ModuleがインストールされているCisco Catalyst 6000、
6500、Cisco 7600シリーズ

<詳細>
Cisco Catalystスイッチ用のNetwork Analysis Module(NAM) は、パフォーマンス
の監視およびトラブルシューティングの目的で、通信統計をリアルタイムで分析
するために設計されたものだ。NAMは、SNMP経由でCisco Catalystスイッチと通信
している。NAMモジュールのIPアドレスから来たSNMPメッセージになりすませば、
アタッカーは、Catalystスイッチの制御を完全に奪えるようになってしまう。
なりすましのSNMPリクエストを作成する方法は、今のところリリースされていない。

<現状>
Ciscoは、影響のある製品に対し、脆弱性の影響を軽減できるソフトウェアを
リリースした。一時的な回避策として、Catalystスイッチを宛先とするSNMP
メッセージをブロックするとよい。ネットワーク境界で、ingress/egressフィルタ
リングを正しく設定すれば、インターネットからのアタックを阻止できる。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20070228-nam.shtml
NAMの詳細情報
http://www.cisco.com/en/US/products/hw/switches/ps708/products_module_configuration_guide_
chapter09186a0080394e09.html
SecurityFocus BID
まだ公表されておらず
────────────────

4.危険度【高】: EMC NetWorkerのマネジメント・コンソールに認証回避の脆
弱性

<影響のある製品>
EMC Legato NetWorker のバージョン 7.3.2

<詳細>
EMC NetWorkerのバックアップソリューションは、異機種環境でのデータ保護
・管理を集中的に行う。管理コンソールは、NetWorkerバックアップサーバに
接続しているが、この接続の認証機能は脆弱である。そのため、アタッカーは、
NetWork管理コンソールになりすまして、管理者権限でバックアップサーバに
接続できるようになってしまう。この脆弱性に関する追加情報は、今のところ
公表されていない。以前、RPCの呼び出しのための"AUTH_UNIX"認証機能でも
同様の報告がされているので、注意が必要だ。

<現状>
この問題は、NetWorker用の"Jumbo Update 1 Build 386"にて修正されている。
一般的な回避策としては、TCP2638番ポートおよび UDP2638番ポートを、
ネットワーク境界でブロックし、インターネットから管理コンソールへのアクセスを
ブロックするとよい。

<参考>
EMCのアドバイザリ
ftp://ftp.legato.com/pub/NetWorker/Updates/732JumboUpdate1/README%20732%20
Jumbo%20Update%201.txt

製品ページ
http://www.legato.com/products/networker/networker.htm
過去にあった脆弱な認証
http://www.sans.org/newsletters/risk/display.php?v=4&i=33#widely2
SecurityFocus BID
http://www.securityfocus.com/bid/22789
────────────────

5.危険度【中】: MailEnableのAPPENDにバッファオーバーフロー

<影響のある製品>
MailEnable Professionalのバージョン2.32 - 2.37、およびその前のバージョ
ン群も該当する可能性あり。

<詳細>
MailEnableは、 Microsoft Windows用の電子メールスイートである。しかし、
その中でのAPPEND IMAPコマンドの処理のおいて、バッファオーバーフローの
脆弱性がある。細工したAPPENDコマンドを送信すれば、認証されたアタッカー
はみな、このバッファオーバーフロー脆弱性を悪用し、MailEnableプロセスの
権限で任意のコードを実行できるようになってしまう。この脆弱性の作用する
エクスプロイトが、公表されている。

<現状>
MailEnableはこの問題を認識しておらず、更新もリリースしていない。

<参考>
mu-b@digit-labs.orgによるエクスプロイト
http://downloads.securityfocus.com/vulnerabilities/exploits/22792.pl
RFC 3502 (APPENDコマンドの概要を説明)
http://www.ietf.org/rfc/rfc3502.txt
MailEnableのホームページ
http://www.mailenable.com/
SecurityFocus BID
http://www.securityfocus.com/bid/22792
────────────────

6. SolarisにTelnetワーム

<詳細>
@RISKのバックナンバーに掲載されたSolarisのTelnetの脆弱性が、ワームによっ
て活発にアタックされている。このワームは、x86系および SPARC系システム
両方をアタックできる。このワームは、脆弱なシステムを侵害し、"lp" ユーザーか、
もしくは"adm"ユーザーとして、あらゆるコマンドを実行する。
そして他のシステムを感染していく。ユーザーは可能な限り、telnetを無効にする
ことが望ましい。Sunは、"イノキュレーション(予防接種)"スクリプトをリリースした。
このスクリプトは、感染したシステムのワームを除去し、telnetサービスを無効にして
再感染を防止するものだ。

<参考>
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=7#widely1
Arbor Networksのセキュリティ関連ブログ記事
http://asert.arbornetworks.com/2007/02/solaris-telnet-scanning-possible-worm/
Sunのセキュリティ統括チームによる掲載("イノキュレーション"スクリプトに
ついての説明も含む)
http://blogs.sun.com/security/entry/solaris_in_telnetd_worm_seen

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、
info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。