NRI Secure SANS NewsBites 日本版

Vol.2 No.13 2007年4月2日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.13 2007年4月2日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のある
ニュースソースとして活用されています。組織のセキュリティ管理に関する参考
情報としてお役立てください。

■■SANS NewsBites Vol.9 No.24-25 (原版:2007年3月23、29日)

■はじめに(Alan Paller: SANS Director of Research)

更新情報:ホワイトハウスの安全な設定要請に関する速報

ホワイトハウスは、 昨夜(3月22日)に2回目のメモを掲載した。このメモによると、
全ての連邦政府局は、Windows VistaやXPのシステムを導入する場合、
安全な設定を使わなければならない。この最新のメモは、米国政府のトップエ
グゼクティブの一人である OMB(行政予算管理局)副長官、Clay Johnson氏が
書いたもので、ホワイトハウスのWebサイトに掲載されている。
http://www.whitehouse.gov/omb/memoranda/fy2007/m07-11.pdf
連邦政府CIO Karen Evans氏が掲示した、最初のメモはこちら:
http://cio.gov/documents/Windows_Common_Security_Configurations.doc

このイニシアチブは重要だ。なぜなら、これによって、インセンティブ(米国
政府はIT購入に毎年650億ドルが費やしている)や信頼(設定について合意して
生まれた信頼)が提供され、どのベンダーも、販売するソフトウェアがこの安全な
設定上できちんと動作することを確認しなければならなくなる。
したがって、安全な設定を施行するうえでの痛みを緩和し、迅速なパッチ適用が
行えるようになるだろう。

4月11日、連邦政府CIOや上級官僚らは、空軍やOMB、国家安全保障局(NSA)の
担当者から、この新たな要請の利用法や、 575,000台のコンピュータを使用して
行われた実証実験で得られた教訓について、ブリーフィングを受ける。
このイニシアチブによって、Windowsソフトウェアが起動するすべてのメディアと
それを提供する大規模バイヤーに影響が及ぶことを踏まえ、このブリーフィングの
概要を、セキュリティコミュニティ全体と共有できるように許可を求めるつもりだ。
────────────────

◆米国政府説明責任局談 国土安全保障省はサイバーセキュリティに遅れをとっている (2007.3.21)

米国政府説明責任局(GAO)によると、国土安全保障省(DHS)は同省のサイバー
セキュリティ上の責任を果たすための25の推奨事項をまだ導入していない。
今回の報告では、民間セクターのインフラ保護についてまとめられている。
対象のインフラには、エネルギー、金融サービス、交通、食糧、IT、水道など、
米国で最も重要な17のセクターが含まれている。これらのセクターは、期限内に
保護プランを施行したものの、それらのプラン内容の質はセクターによって
さまざまだったという。これに対し、民間セクターの各参加者(政府業務スタッフや
ロビーストなど重要インフラ企業の代表者ら)は、DHSの重要インフラ施設や
業務上の現実に対する理解とリーダーシップが不足しており、プランに脆弱性や
弱点に関する機密情報が含まれた場合、DHSがそれを漏えいしてしまうのでは
ないかという不安が遂行の妨げになったと述べている。
http://fcw.com/article97992-03-21-07-Web
────────────────

◆米国統合戦略司令官 米国によるサイバー攻撃力強化を望む(2007.3.21)

米国統合戦略(Stratcom)司令官、James Cartwright(Major General)は、3月21日、
国家軍事委員会(House Armed Services Committee) に対し、米国のサイバー
攻撃能力を強化する必要があると訴えた。彼は、他国やテロリストは仕切りの後ろ
に身を隠して潜んでおり、その仕切りを越えてこちらから侵入して行かなければ
ならないと主張した。
http://www.fcw.com/article98016-03-22-07-Web
────────────────

◆新しいVistaのガイドライン より緊密な政府との連携を示す (2007.3.19)

Windows Vistaのセキュリティガイドラインには、新しいOSシステムの高度な
セキュリティのための設定に関するチェックリストがある。Microsoftによって
発表されたこのガイドラインは、Microsoftと国家安全保障局(NSA)、米国
国立標準技術研究所(NIST)、国防情報システム局との連携によって生まれた。
このガイドラインには、企業用に、ホームユーザーより高度なレベルのセキュ
リティが設定されている。現時点では、ベンダーの中に、Microsoftが提供する
「より安全なSSLF設定」などの設定によって、ユーザーの利便性やアプリケー
ションの相互運用性が損なわれると主張するところもあるようだ。
ガイドラインはこちら:
http://www.microsoft.com/downloads/details.aspx?FamilyId=A3D1BBED-7F35-4E72-BFB5-B84A526C1565&displaylang=en
────────────────

◆プログラマーに安全なプログラミングスキルの格付け(2007.3.27)

米国、インド、日本、ドイツの企業・組織の共同体がSANS Instituteに加わり、
ともにアプリケーションプログラマーための一連のセキュリティテストをリリース
する。このテストによって、プログラマーは、自分のセキュリティスキルで
抜け落ちている部分を確認できる。また、雇用側やソフトウェアのバイヤーも、
アプリケーションを作成する人間が、ありがちなセキュリティ問題を避ける方法を
把握しているかどうか、その確信を持てるようになる。最初のテストは
2007年8月14日に行われる。一方、サンプル版テストやテストの計画詳細は、
すでにこちらに掲示されている: www.sans-ssi.org.
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9014307
http://blog.washingtonpost.com/securityfix/2007/03/post_4.html
http://www.computerweekly.com/Articles/2007/03/26/222670/certification-plan-aims-to-close-the-door-on-hackers.htm#ContentContinues
────────────────

◆フロリダ州議会議員候補 疑わしい投票マシンへのアクセス権を求む  (2007.3.24-26)

2006年11月に行われたフロリダ州議会選挙は、「1万8,000票が記録されていな
かった」ために米国中が注目した選挙だ。369票の差で議席を失ったChristine
Jennings氏は、この選挙に異議を唱えており、フロリダ州第一地方控訴裁判所
によって選挙に使用されたマシンに投票マシン技術の専門家がアクセスできる
権限を許可するか否か、その結論を待っている。裁判所がアクセス権を許可し
なかった場合は、議会運営タスクフォース委員会がアクセスを許可するように
命令を下すことも考えられる。フロリダ州選挙管理委員が、先夏、特定の投票
マシンに問題があることを警告していたが、その問題は11月7日の選挙当日前
に修正されることはなかったようだ。
http://www.sun-herald.com/Newsstory.cfm?pubdate=032407&story=tp5ew8.htm&folder
=NewsArchive2
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId
=286847&intsrc=news_ts_head
────────────────

◆アイルランド情報コミッショナー 生態認証を取り入れた学校に警告  (2007.3.23)

アイルランド情報コミッショナー事務局は、生徒の指紋認証を導入したと噂さ
れる学校に対し、厳しい取締りを実行した。学校側は、指紋認証プログラムの
設置を支えるに値するしっかりとした理由の必要性を求められた。
また、情報コミッショナー事務局は、それらの学校が一線を越えたと判断した場合、
事務局の権限でその認証システムを排除するという。通知を受け取った7つの学校
のうち5つは、生態認証技術の導入を考えていたところだったという。
しかし、残る2つはまだ何の反応も示していない。情報コミッショナー事務局は、
データ保護1998年法および2003年法に遵守する学校側の責任について理解を
深めてもらうべく、学校内における生態認証についてのガイダンスを発行した。
学校における認証プログラムはケースバイケースで査定され、全ての実装には
プライバシーへの影響についてのステイトメントが必要とされている。通知には、
「未成年から指紋情報を収集する際は、保護者の同意が必要であるほか、生徒
全員に対し、懲罰、サービスへのアクセス権が制限されるなどの措置が下ることなく、
認証プログラムをオプトアプトできる選択肢が与えられていなくてはならない」と書かれている。
http://www.theregister.co.uk/2007/03/23/irish_kiddyprinting/print.html
http://www.dataprotection.ie/viewprint.asp?DocID=409&m=f

【編集者メモ1】 (Schultz)
出欠記録のために生徒の指紋情報を収集するのは、かなり行き過ぎだと思う。
このニュースや、似たようなニュースをよく耳にするこの頃だ。これによって、
一般的な生態認証の導入に歯止めがかかってしまわないように願うばかりだ。
【編集者メモ2】(Honan):
欧州人権会議の第8条によると、プライバシーに関する個人の権利は保護される
べきだという。アイルランドデータ保護コミッショナーがこのように働いてくれている
のは、喜ばしいことだ。彼らは、今回の行動で、いかなる技術を導入しても、
それには個人の権利とプライバシーにかかわってくるため、その意味を考える
必要があるという明確なメッセージを伝えることができた。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年3月27日配信 Vol.6 No.13)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されています。
組織のシステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー               件数(#は本稿掲載番号)
======================================================================
Windows                      1
サードパーティのWindowsアプリ       9(#2,#3)
Mac OS                       1
Linux                        4
Unix                         1
クロスプラットフォーム             24 (#1)
Webアプリ…XSS                 3
Webアプリ…SQLインジェクション      14
Webアプリケーション              22
ネットワークデバイス              4
======================================================================

■はじめに(Alan Paller: SANS Director of Research)

今週の重大な脆弱性リストに主要な製品はなかった。比較的リラックスできる
一週間になるかもしれないが、この機会に、社内のプログラマーに、以下にある
安全なプログラミングスキルをテストさせてみてはいかがか?
テストの無料サンプルはこちら
www.sans-ssi.org
────────────────

1.危険度【重大】: Helix DNA ServerのDESCRIBEにヒープオーバーフローの脆弱性

<影響のある製品>
Helix DNA Server 11.1.3までのバージョン

<詳細>
Helix DNA Serverは、Realのコードをベースにしたオープンソースのメディア
ストリーミングサーバだ。このサーバには、"DESCRIBE"コマンド内に過剰に長い
"LoadTestPassword"ヘッダーを送信すると引き起こされる、ヒープベースの
オーバーフローがある。この脆弱性の悪用に成功すると、アタッカーは、通常
root権限かSYSTEM権限で起動されているHelix Serverプロセスの起動権限で
任意のコードを実行できるようになってしまう。この脆弱性の技術的詳細や作用
するエクスプロイトが、公表されている。

<現状>
Helixはこの問題を認めており、更新をリリースしている。

<参考>
Evgeny Legerovによる掲示 (技術的詳細とエクスプロイトを含む)
http://gleg.net/helix.txt
arivastava@helixcommunity.orgによる掲示
http://lists.helixcommunity.org/pipermail/server-cvs/2007-January/003783.html
Helixのホームページ
http://www.helixcommunity.org/
Real Networksのホームページ
http://www.real.com
SecurityFocus BID
http://www.securityfocus.com/bid/23068
────────────────

2.危険度【重大】: Atrium MERCUR Messagingに複数の脆弱性

<影響のある製品>
Atrium Software MERCUR Messaging 2005 Standard/Lite/Enterprise

<詳細>
Microsoft Windows用のメール及びメッセージングスイートであるAtrium
MERCUR Messagingには、以下のような複数の脆弱性がある。
(1)細工したSUBSCRIBEコマンドをIMAPサーバに送信すれば、認証されたアタッ
カーであれば、スタックベースのバッファオーバーフローを悪用して、サーバ
のプロセス権限で、任意のコードが実行できるようになってしまう。
攻撃を行うためのエクスプロイトコードや技術的詳細が、公表されている。
この欠陥の悪用を実現するには、認証されていなくてはならない。
(2)細工したNTLM認証リクエストが、IMAPサーバに送信すれると、スタックベー
スのバッファオーバーフローが発生し、サーバプロセスの権限で、任意のコー
ドが実行されるおそれがある。この脆弱性を悪用する上では、認証は必要ない
ので、注意が必要だ。この脆弱性の概念実証コードが公表されており、
また、Immunity's partners programのメンバー用に、実際のエクスプロイトコード
も公表されている。

<現状>
Atriumはこの問題を認めていないため、更新もリリースしていない。

<参考>
Immunity Partnerのページ
http://www.immunitysec.com/partners-index.shtml
エクスプロイトと概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/23050.py
http://downloads.securityfocus.com/vulnerabilities/exploits/23058.pl
SecurityFocus BIDs
http://www.securityfocus.com/bid/23058
http://www.securityfocus.com/bid/23050
Atriumのホームページ
http://www.atrium-software.com/
────────────────

3.危険度【高】: InterActual IASystemInfo.DLL ActiveXコントロールにバッファオーバーフローの脆弱性

<影響のある製品>
InterActual IASystemInfo.DLL ActiveXコントロール
以下の製品を含め、脆弱なコントロールを使用している製品:
Roxio CinePlayerのバージョン3.2
InterActual Player 2.60.12.0717

<詳細>
よく使われるマルチメディアアプリケーションにインストールされている
IASystemInfo.DLL ActiveXコントロールには、バッファオーバーフローの脆弱
性がある。悪意のあるWebページが、このコントロールをインスタンス化し、
260バイト以上の"ApplicationType"引数を引き渡すと、このバッファオーバー
フローが発生し、現在のユーザーの権限で任意のコードが実行されてしまう。
任意のActiveXコントロールに再利用可能なエクスプロイトコードがあり、
それはこのコントロール用に簡単に応用できるので、注意が必要だ。この
コントロールの技術的詳細が公表されている。

<現状>
InterActualはこの問題を認めていないため、更新もリリースしていない。
ユーザーは、以下のCLSIDを修正し、Microsoftの”kill bit”機能で制御を無効に
することで、この脆弱性の影響を緩和することができる。
"B727C210-2022-11D4-B2C6-0050DA1BD906"、
"B727C212-2022-11D4-B2C6-0050DA1BD906"、
"B727C217-2022-11D4-B2C6-0050DA1BD906"、
"B727C219-2022-11D4-B2C6-0050DA1BD906"、
"B727C21B-2022-11D4-B2C6-0050DA1BD906"、
"B727C21D-2022-11D4-B2C6-0050DA1BD906"、
"B727C220-2022-11D4-B2C6-0050DA1BD906"、
"B727C222-2022-11D4-B2C6-0050DA1BD906"

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2007-37/advisory/
Microsoftナレッジベースの記事("kill bit"機能を説明)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.roxio.com
http://player.interactual.com/default.asp?code=AP
SecurityFocus BID
http://www.securityfocus.com/bid/23071

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望
する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。