NRI Secure SANS NewsBites 日本版

Vol.2 No.11 2007年3月20日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.11 2007年3月20日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考
情報としてお役立てください。

■■SANS NewsBites Vol.9 No.16-17 (原版:2007年3月9、14日)

■はじめに(Alan Paller: SANS Director of Research)

今週、ついに、待ちに待った、暗号化機能付きハードドライブがリリースされました。
これによってノートパソコンの暗号化が楽になります。
同時に、BitLocker内蔵のWindows Vistaがもうすぐ登場します。
これらのツールがどこに位置するべきか、また、暗号化ソリューションをどのように
統合すべきか、これらのテーマを深く理解されたいなら、4月にサンノゼで開催される
Mobile Encryption Summitにご参加ください。
http://www.sans.org/info/4536
────────────────

◆米国復員軍人援護局のCIO USBドライブの使用を制限する(2007.3.7)

米国復員軍人援護局(VA)のCIO、Robert Howard氏は、VA内でのUSBドライブの
使用に制限を設けた。同省の職員は、CIOオフィスが直接支給したドライブのみ
(最高で1Gか2Gサイズ)の使用に限られることとなる。さらに、職員はドライブを
支給される前に、ドライブの必要性を申請しなくてはならない。Howard 氏は、
同局を悩ませているデータセキュリティを強化するための第一歩として、
この制限措置に踏み切った。同氏はまた、同局内を行き交うメッセージから暗号化
されていないものを排除する計画で、副CIOに位置づけられる5人を「情報
セキュリティ」担当長官、「戦略プラニンング」担当長官など個々の機能を担う
長官に昇格することを、行政予算管理局に提案した。
http://www.gcn.com/online/vol1_no1/43266-1.html?topic=security

【編集者メモ1】(Ullrich)
USBデバイスなしに現代のオフィスに入室することは、もはや不可能に近い。
詳細は、Microsoftの記事にて:
http://support.microsoft.com/default.aspx?scid=kb;en-us;555324
【編集者メモ2】(複数人)
iPodや他のメディアプレーヤー機器も、音楽を再生できるUSBドライブに値する
のではないだろうか。ポリシーによって、これらの使用は禁じられているのだろうか。
オートメーション化されたツールで、皆が規則に遵守しているかどうかを検証しない
限り、このようなポリシーが守られるわけもない。
また、非効率的で紛らわしいことも確かだ。
コンピュータセキュリティのポリシーの趣旨は、それを信ずるだけでなく、検証され
なくては意味がない。自動的に検証されることがなければ、それは遵守されること
もないだろう。
────────────────

◆監査官の監査で 米国農務省の侵害情報に間違い発覚 (2007.3.6)

米国農務省(USDA) 監査官の監査によれば、USDAは、7月に行われたデータ
セキュリティ侵害に関する議会の調査で、誤った情報を提供していたという。
USDAの当初の回答では、2003年以来、紛失したり、盗まれたりしたノートパソコンは
8台だった。監査官の監査によって、2005年10月から2006年5月にかけてだけで、
少なくとも17台のコンピュータの紛失が報告されている。
また、USDAは、行方不明のコンピュータに個人情報が保存されていたその個人
に対して通知を行ってはいない。影響を受けた個人には、農家や牧場主、
小規模経営者、農務省の職員などがいる。しかし、監査官オフィスの広報は、
影響を受けている個人の人数は明らかにしなかった。この調査は、2,650万人の
退役・現役軍人の情報が保存されたVAのハードウェアが行方不明になったために
行われた。今回の監査で、記録管理や指導力の欠如によって、これらの矛盾が
発生していることが明らかになった。
http://www.bloomberg.com/apps/news?pid=20601103&sid=awa4IPR4aeM8&refer=us

【編集者メモ1】(Schultz)
VAは、情報セキュリティに関して、遅いペースではあるが、確実に改善に向かっている。
しかし、この組織には、今後痛みを味わいながら教訓を学んでいく必要性があるだろう。
現在のVAのアプローチは、セキュリティ関連の新しいポリシーや手順(よい効果を大いに
もたらすものではあるものの、本当の問題の根源は排除できないもの)を設置することを
目的しているため心配である。本当に解決すべきは。上層管理部の統制や監視機能で
あるというのに……。
【編集者メモ2】(Honan)
USDAが、監査官の監査で明らかになった事実をしっかりと受け止めることを願うばかりだ。
セキュリティインシデントを正確に記録して分析しない限り、同じようなインシデントの
再発阻止における大事な教訓を学べるわけもない。
素晴らしいインシデント管理とは、行った間違いから学び、二度と同じことが
起きないように適切なコントロールを導入することだ。このVAのストーリーに
も同様のことが言えよう。
────────────────

◆スウェーデンの通信傍受法 非難の的に (2007.3.7)

スウェーデンで提案されている法案では、国境を越えるインターネット通信や通話を、
裁判所命令なしに傍受できる権限を国家防衛無線機関 (FRA) に与えている。
現在の法では、FRAは軍の無線通信であれば監視してよいとされている。また、
警察も犯罪が絡んでいると考えられる場合であれば、通信を監視し、
裁判所命令を取り付けることも可能となっている。今回の法案では、FRAにデータ
マイニングソフトウェアの使用を許可しており、よって、特定のキーワードを含む通信を
捜し出せる。スウェーデン国内の通信に関しては、この法の対象にはならない。
この法案が可決されれば、7月1日に発効となる。
http://news.bbc.co.uk/2/hi/europe/6431863.stm
http://www.thelocal.se/6619/20070307/
http://www.iht.com/articles/ap/2007/03/08/europe/EU-GEN-Sweden-E-mail-Spying.php
────────────────

◆Microsoft 今月は「セキュリティ更新なし」:重大な脆弱性にパッチは発
行されず(2007.3.8)

Microsoftの事前通知によれば、今月はセキュリティ更新は発行しないという。
現在、Microsoft製品の中には、パッチが出ていない脆弱性は少なくとも9つある。
Microsoftによると、同社はこれらの脆弱性を調査中であり、修正プログラムが
十分にテストできた段階でそれをリリースする見込みだという。
Microsoftは通常、毎月第2火曜日にセキュリティ警告をリリースしていた。
Microsoftが更新を通常どおりリリースしなかった月は、最近では2003年の1月である。
3月13日にセキュリティ警告は発行されないものの、Microsoftは、Windows悪質
ソフトウェア排除ツール(Windows Malicious Software Removal Tool)の更新バージョン、
およびセキュリティ関連ではないが優先度の高い更新をいくつかリリースする見込みだ。
Internet Storm Centerの記事:
http://isc.sans.org/diary.html?storyid=2379
http://isc.sans.org/diary.html?storyid=1940
http://blogs.zdnet.com/security/?p=117
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=197801353
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId
=9012582&source=rss_topic17
http://www.microsoft.com/technet/security/bulletin/advance.mspx

【ゲスト編集者メモ】 (Storm Centerのハンドラー、Swa Frantzen)
脆弱性のうち5つに関しては、Microsoftはすでにパッチは作成しない意向を
示した(今月に限ったことではないが)。うまくいけば、サービスパックで修正
されるかもしれないが、それについても保証はない。CVE-2007-0870にある、
間違いなく最悪の脆弱性(Microsoftでさえそれを認めている)は、リモートで
コードを実行し、ターゲットを絞ったアタックで悪用される。2月9日に報告されてから、
Internet Storm Centerは、少なくとも、この脆弱性に対してだけはパッチが出ることを
望んできた。しかしどういうわけか、Microsoftは的を絞ったアタック(Targeted Attack)
で悪用される脆弱性は、修正の緊急度が低いものとみなしてしまっているようだ。
的を絞ったアタックというのは、アタックされる側にとっては、防御が一番困難な
ものである。なぜなら、アタック対象の組織自身がマルウェアを先に特定し、
ウィルス対策ベンダーにそのサンプルを提供しない限り、対処が困難であるためだ。
機密データを取り扱っている企業は、Officeの添付ファイルを、現段階ですでに
フィルタリングできていると願いたい。
【編集者メモ】(Liston)
彼らはパッチをリリースしようとは思っていた。きっと、どのようにして
Vistaにそれを反映させるか、その答えが見つからなかったのだろう。
────────────────

◆米国証券取引委員会 株価操作目的で宣伝を行った企業を取引停止に  (2007.3.8)

米国証券取引委員会 (SEC) は、株価操作目的で電子メールを使用していた
35社を取引停止処分にした。この処分の対象となった企業は10日間上場されず、
取引は停止される。また、これはSEC1934年法の報告義務の対象にはならない。
この措置は、SECによる"Operation Spamalot"の一環である。SECは、株価を
一時的に上昇させる目的で問題の企業の株を宣伝するスパムメッセージが、
毎週 1億件送信されていたと述べている。
http://www.sec.gov/news/press/2007/2007-34.htm
http://www.networkworld.com/news/2007/030807-sec-shuts-down-trading-for.html?fsrc=rss-security
http://www.usatoday.com/tech/techinvestor/corporatenews/2007-03-08-cyber-scam_N.htm
http://www.scmagazine.com/us/news/article/642688/sec-halts-trading-35-stocks-pump-and-dump-scams/

【編集者メモ】(Ullrich)
この処分を下すことによって、SECは、株価操作行為をただ傍観しているだけではない、
というメッセージを世に伝えることができただろう。一株当たりの上げ幅は比較的
少なかっただろうが、スパムの大部分は株価操作に貢献している。
詐欺行為の金銭的な誘因を減らすには、それにかかわるスパムを減らさなければ
ならない、それには長い時間がかかるだろう。怖いのは、このような株価操作で、
実際に上昇効果が現れてしまうということだ。
────────────────

◆テキサス郡事務官 法案でデータプライバシー法の免除対象に (2007.3.12)

テキサス州下院議会(Texas House of Representatives)は、先週、「通常の職務慣例の
一環で公的文書に社会保険番号を開示した郡事務官の刑事・民事責任を免除する」
緊急法案を可決した。この法案は、今後同州上院議会にて論議され、そこで3分の2の
賛成票が得られれば法として可決される。この法案は、テキサス州のGreg Abbot検事
による「公的文書に社会保険番号を開示する行為は州・連邦法に違反している」という
裁定を受けて提出された。また、Abbot検事は、テキサス郡事務官は、この文書が
公表された場合、社会保険番号開示行為で刑事責任を追及され、違反者は懲役
および罰金刑に科せられる可能性を示した。
この裁定によって、事務官は、社会保険番号がないかどうか、各公的文書をチェックし、
あった場合はその文書から公表する前に社会保険番号排除するように義務付けられた。
その義務自体と、違法行為を行ってしまった可能性を恐れた事務官は、州議会に
助けを求めていた。今回の法案では、社会保険番号は、今後、郡政府に保管される
公的記録には掲載しないことを義務付けており、テキサス州民が、現存する文書から
社会保険番号を取り除くようにリクエストできるようにしている。しかし、どの文書から
どの情報を取り除くべきか、特定・判断するのは、あくまでそのリクエストを出す個人
に委ねられている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId
=285672&source=rss_topic17

【編集者メモ】 (Kreitner)
郡の事務官でなければ、誰が公的記録に社会保険番号が掲載されていないことを確認し、
その責任を担うことができるのだろうか。その法が施行するうえで、責任を伴わない法など、
何の意味もない。
────────────────

◆オンラインで株価を操作していた男3人 起訴される (2007.3.12)

他人のオンライン証券口座に侵入し、特定の株の株価を人為的に上昇させる株価操作行為
をはたらいた疑いで、インド人の男3人が、連邦政府に摘発された。
「ハッキングと株価操作」の行為は、オンライン証券会社9社の顧客60人の口座で行われたようだ。
容疑者らは、自身の口座で株を購入し、ハッキングした口座を使って株価を上げてから、
持っていた株を売って利益を得ていた。米国証券取引委員会(SEC)は、これらの3人を
個別に訴える民事訴訟を起こした。うち2人は香港で逮捕されたものの、残る1人は
依然手配中である。
http://www.beatricedailysun.com/articles/2007/03/12/ap-state-ne/d8nqp5g00.txt
http://www.theregister.co.uk/2007/03/12/more_pump_and_dump_charges/print.html
────────────────

◆米国 株価操作のケースで300万ドル凍結 (2007.3.8-12)

連邦判事は、ラトビア銀行名義の証券取引口座にある300万ドルを凍結するように求める
SECのリクエストを許諾した。この資金は、ロシア、ラトビア、リトアニア、英国バージン
アイランドのサイバー窃盗団に関連していると考えられている。詐欺犯らは、株価を
操作して、たった1年で73万ドル以上の利益を得ている。捜査機関によれば、これらの
侵入者はオンライン証券取引口座に侵入し、被害者の顧客が所有していた株を売り、
そこで得た資金で、以前に買っておいた株の株価を操作したと思われる。
つまり、人為的に株価を上昇させたところで、持っていた株を売っていた。
http://www.scmagazine.com/us/news/article/643126/sec-3-million-latvian-bank-frozen-part-
hacking-pump-and-dump-trial/
http://www.washingtonpost.com/wp-dyn/content/article/2007/03/07/AR2007030702240_pf.html

【編集者メモ】 (Northcutt)
このような株価操作アタックはさほど新しくはないものの、恐ろしいことに変わりはない。
多くの人間が、退職後の資金として株式資産に頼っているからだ。
そして、オンライン証券会社にこのようなサイバー犯罪による損失の責任は一切ない。
────────────────

◆暗号化が組み込まれたハードドライブ デビュー(2007.3.12)

Seagateは、暗号化機能を内蔵したハードドライブが今後数か月の間に、ノートパソコンに
起用されデビューすると発表した。そのノートパソコンには、認証なしに、ディスクやブート
アップからデータが読み取れないようするチップを搭載している。
http://www.washingtonpost.com/wp-dyn/content/article/2007/03/12/AR2007031200093_pf.html

【編集者メモ】 (Kreitner)
人間の注意散漫な行為によって情報が開示されてしまうおそれを減らせる、素晴らしい技術の適用だ。

*********************************************************************

■■@RISK:The Consensus Security Vulnerability Alert
(原版:2007年3月13日配信 Vol.6 No.11)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリストアップした
脆弱性のサマリー情報です。SANS Instituteと3ComのTippingPointチーム主導の下に
作成され、12社のセキュリティ管理者で構成される「セキュリティマネージャ委員会」の
具体的アクションも掲載されています。組織のシステムを保護するために有益で的確な
ガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー               件数(#は本稿掲載番号)
======================================================================
Windows                      1
サードパーティのWindowsアプリ        4 (#4)
Mac OS                      4
Linux                       4
BSD                        1
Solaris                      1
Unix                        5
Novell                       1
クロスプラットフォーム            31 (#1, #2, #3)
Webアプリ…XSS                5
Webアプリ…SQLインジェクション      6
Webアプリケーション              24
ネットワークデバイス              1
======================================================================

■はじめに(Alan Paller: SANS Director of Research)

WindowsおよびMac/OS用 Apple QuickTimeは、アタッカーに新しいアタック手法を提供
してしまった。なぜなら、これは一度インストールされると、ユーザーの許可なしに、
Webページ内のQuickTimeコンテンツ(悪質であろうがなかろうが)を開いてしまうからだ。
NovellのNetMailにも、ルート侵害脆弱性が新たに発見された。
────────────────

1.危険度【重大】: Apple QuickTimeに複数の脆弱性

<影響のある製品>
Apple QuickTime 7.1.5までのバージョン

<詳細>
AppleのストリーミングメディアフレームワークであるApple QuickTimeは、さまざまな
ファイル形式の処理において、複数の脆弱性がある。細工された画像・動画ファイルによって、
これらの脆弱性が悪用されると、QuickTimeユーザーの権限で任意のコードが実行されてしまう。
QuickTime プレーヤーがインストールされている場合、Webページ内のQuickTimeコンテンツは、
デフォルトで開くようになっているので、悪意のあるWebページが、この脆弱性を悪用できる
ようになってしまう。これらの脆弱性の技術的詳細が、一部公表されている。これらの問題は、
Microsoft WindowsおよびMac OS X用 QuickTimeどちらのバージョンにも影響を及ぼす。

<現状>
Appleはこれを認識しており、更新もリリースしている。この更新版は、Appleのソフトウェア
更新機能によって、自動的にリリースされている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、影響のあるソフトウェアを使用していた。そのうち1社は、
すでに更新を適用している。もう1社は、デフォルトでインストールしているわけではなく、
自動更新システムにより、このソフトウェアをユーザー自身でインストールしたとしても
更新されるだろうとのことだ。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=61798
http://docs.info.apple.com/article.html?artnum=305149
Zero Dayのイニシアチブアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-010.html
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=486
Nevis Labsのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/461999
Piotr Baniaのアドバイザリ
http://www.piotrbania.com/all/adv/quicktime-heap-adv-7.1.txt
QuickTimeプログラマー文書(さまざまなQuickTime のファイル形式およびスト
リーム形式についての技術的詳細を含む)
http://developer.apple.com/quicktime/
製品のホームページ
http://www.apple.com/quicktime/
SecurityFocus BIDs
http://www.securityfocus.com/bid/22844
────────────────

2.危険度【高】: Novell NetmailのWebAdminにバッファオーバーフローの脆弱性

<影響のある製品>
Novell NetMailのバージョン 3.5.2および、それ以前のバージョン

<詳細>
メールソリューションとして、広く使われているNovell Netmailは、このWebベースの管理
インタフェースにおいて、スタックベースのバッファオーバーフロー脆弱性が存在する。
このオーバーフローは、過剰に長いユーザー名(213バイト以上)によって引き起こされ、
悪用が実現すると、Web管理プロセス権限で任意のコードが実行されてしまう。
Webインタフェースは、TCP89番ポートで運用されており、デフォルトで有効となっている
ので注意が必要だ。この脆弱性の技術的詳細は公表されている。ユーザーは、
可能であれば、ネットワーク境界でTCP89番ポートへのアクセスをブロックすることをお勧めする。

<現状>
Novell はこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業においては、該当するソフトウェアや設定が、稼動していない、
一般的に使われている状況ではない、もしくは会社として正式にサポートしているもの
ではないなどの理由で、対応は不要としている。

<参考>
Novellのアドバイザリと更新
http://download.novell.com/Download?buildid=sMYRODW09pw
Zero Dayのイニシアチブアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-009.html
製品ホームページ
http://www.novell.com/products/netmail
SecurityFocus BID
http://www.securityfocus.com/bid/22857
────────────────

3.危険度【中】: AsteriskのSIP Channel HandlerにDoS脆弱性

<影響のある製品>
Asterisk 1.2.16 までのバージョンとバージョン 1.4.1

<詳細>
オープンソースのVoice-over-IP (VoIP)として、広範囲で使用されているAsteriskには、
DoSの脆弱性がある。Session Initiation Protocol (SIP)リクエストを細工し、それを脆弱な
Asteriskサーバに送信すると、DoSが引き起こされる。
その悪用が実現すれば、電話システムが機能停止に陥り、他の電話システムも不安定になる。
この脆弱性に作用するエクスプロイトや技術的詳細が公表されている。

<現状>
Asteriskはこの問題を認めており、更新をリリースしている。

<参考>
Asteriskリリース発表
http://asterisk.org/node/48319
http://asterisk.org/node/48320
Mu Securityのアドバイザリ
http://labs.musecurity.com/advisories/MU-200703-01.txt
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/Asterisk-sip-DoS_rexp.c
Asteriskのホームページ
http://www.asterisk.org
SecurityFocus BID
http://www.securityfocus.com/bid/22838
────────────────

4.危険度【中】:Ipswitch Collaboration SuiteとIMailに複数のActiveXコンポーネントの脆弱性

<影響のある製品>
PremiumバージョンおよびPlusバージョンを含むIpswitch IMail 2006、
Ipswitch Collaboration Suite Standard 2006

<詳細>
Microsoft Windowsのグループウェアおよびメール製品として広範囲で使用されている
Ipswitch Collaboration SuiteとIpswitch IMailには、複数の脆弱性がある。
これらの脆弱性は、ソフトウェアが使用する3つのActiveXコンポーネント"IMAILAPILib.IMailServer"、"IMAILAPILib.IMailLDAPService"および
"IMAILAPILib.IMailUserCollection")にある。これらのコンポーネントをインスタンス化する
悪意のあるWebページによってバッファオーバーフローが悪用されると、現在のユーザーの
権限で任意のコードが実行されてしまう。
これらのコンポーネントは、mailサーバかcollaborationサーバを運用しているシステムに
インストールされている可能性が高い。これらの脆弱性の技術的詳細が、部分的に公表
されている。また、ActiveXコンポーネントの再利用可能なエクスプロイトトコードもあるので
注意が必要だ。

<現状>
Ipswitchはこの問題を認めており、更新もリリースしている。ユーザーは、以下の CLSID:
"302397C2-8501-11D4-8D29-00010245C51E"、
"302397D6-8501-11D4-8D29-00010245C51E"、
"889558D4-CE9A-4A1B-B88A-AF7774A80E25"
にMicrosoftの"kill bit"機能を設定して脆弱なコントロールを無効にすれば、
これらの脆弱性の影響を軽減できる。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業においては、該当するソフトウェアや設定が、稼動していない、
一般的に使われている状況ではない、もしくは会社として正式にサポートしているもの
ではないなどの理由で、対応は不要としている。


<参考>
Ipswitchのナレッジベース記事
http://support.ipswitch.com/kb/IM-20070305-JH01.htm
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=487
Microsoftのナレッジベース記事 ("kill bit"の詳細を説明)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/22852

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報を希望された
方を中心に配信しています。