NRI Secure SANS NewsBites 日本版

Vol.2 No.18 2007年5月8日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.18 2007年5月8日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

■■SANS NewsBites Vol.9 No.34-35(原版:2007年4月27日、5月1日)

■はじめに(Alan Paller:SANS Director of Research)

議会公聴会の第二回戦では、サイバーセキュリティにおける米国のリーダーシ
ップの無残な失敗が明らかになった。政府や軍関連業者のコンピュータから、
膨大な量の機密情報が盗み出されてしまっている。これが米国の現状だ。
本号最初のストーリーに記載されている証言をご一読のこと。

P.S.新しいアタック手法を駆使する犯罪者本人のほかに、その詳細を熟知して
いるのは、Internet Storm Center(isc.sans.org)の40人のハンドラーだけ。
一層高度化するアタックからのシステム防御を職務とされる方は、7月最終週
にワシントンDCで開催されるSANSFIRE 2007にぜひご参加を。Internet Storm
Centerのハンドラーが開催日の夜、参加者のためだけに無料でブリーフィング
を提供し、最新のハッカー技術がどのように作用するのか解明していく。
SANSFIREのコースリストはこちら:
http://www.sans.org/sansfire07/
────────────────

◆2度目の議会公聴会で連邦政府のサイバーセキュリティの不備が浮き彫りに
(2007.4.26)

水曜、数名の米国一流のサイバーセキュリティ専門家が、国土安全保障委員会
・新興の脅威およびサイバーセキュリティ分科委員会(Homeland Security
Committee's Emerging Threats and Cyber Security Subcommittee)に対し、
米国にはシステムを防御できる準備もできていなければ、サイバーアタックが
広範囲にダメージを与えた場合、そこから回復する能力もないと述べた。「諸
外国の諜報機関は、米国政府のネットワークに関して何かもくろむ際、うれし
泣きしているに違いない」と、James Lewis氏は言う。同氏は、戦略・国際研
究センター(Center for Strategic and International Studies)の技術およ
び公共政策プログラム(Technology and Public Policy Program)のディレク
ターである。そして、「米国政府のデータベースは、前代未聞の略奪に遭って
いる」と続けた。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9017860
http://blog.washingtonpost.com/securityfix/2007/04/nations_cyber_plan_outdated_la.html?nav=rss_blog
http://www.darkreading.com/document.asp?doc_id=122732&WT.svl=news2_1
────────────────

◆裁判でメールアドレス収集者の身元情報が求められる(2007.4.25)

世界各地の2万人を代表するUnspam Technologies LLCのサービス、プロジェク
トハニーポット(Project Honey Pot)が、電子メールアドレスを収集してス
パマーに渡していた者の身元を暴くために訴えを起こした。Unspamのアンチス
パムツールには、"スパムを誘いこむ落とし穴"のメールアドレスがあるページ
を作成するソフトウェアがある。このページに訪問者が来る度に、訪問者のIP
アドレスと訪問時刻が記録される。これらのアドレスは、迷惑メールを受け取
る合意をしたとみなされるようになっている。こうしてスパマーを誘い込み、
そこで収集された情報を使えば、アドレス情報を入手している人物とアドレス
リストを使用するスパマーの関係を特定できる。この裁判の原告側は、収集し
たIPアドレスと関連のあるISPから記録を召喚し、アドレス収集人の身元を確
認する目的で未確定の被告人を訴えているため、この裁判の被告人は「無名」
となっている。
http://www.washingtonpost.com/wp-dyn/content/article/2007/04/25/AR2007042503098_pf.html
────────────────

◆報告:データ侵害で事業が破綻してしまうことを恐れる(2007.4.27)

McAfeeはIT専門家1,400以上にアンケートを行った。すると、回答者の3分の1
が、大きなデータセキュリティ侵害があれば、自身の所属企業は破綻する可能
性があり、それを危惧していると答えた。昨年、自社のデータ損失を経験した
回答者は60%だったにもかかわらず、データセキュリティに費やした金額はIT
予算の0.5%に過ぎないとの結果が出ている。回答者の61%は、データ漏えいは
組織内の誰かによって引き起こされたと考えており、23%の人が、そういった
データ漏えいは悪用目的であると考えているようだ。
http://www.computing.co.uk/itweek/news/2188528/breaches-worry-firms
http://www.securecomputing.net.au/news/50577,mcafee-data-breach-will-cause-major-corporate-collapse.aspx
────────────────

◆欧州議会 知的財産法違反を犯罪化する法案を承認(2007.4.26)

欧州議会は、営利目的で著作権を侵害するいかなる行為をも犯罪化する法案を
承認した。単純な著作権違反未遂も、犯罪行為とみなされる。ただし、ダウン
ロードされたコンテンツの個人使用の場合、その方法によっては例外措置も認
められる。コンテンツが、個人の娯楽、研究、調査のために使用された場合は、
起訴される理由はない。この法の目的は、欧州連合(EU)国すべての知的財産法
を"統一"させることにある。しかし、違反の懲罰は各国によって定められるた
め、それぞれ違いが生じるだろう。
http://www.nordichardware.com/news,6197.html
────────────────

◆ドイツのインターネットスパイ活動 審理中の法的判断を一時停止
  (2007.4.27)

ドイツ諜報局は、インターネットを使用して、容疑者を2年間監視してきた。
ドイツの内務大臣Wolfgang Schuble氏はこの行為に賛同しているが、現在審理
中の法的判決に一時停止期間を設けたため、政策方針に異議を唱える形となっ
た。議員の中からは、この諜報行為はドイツ憲法第13条に違反しているとの声
もある。Schuble氏は第13条を改正し、有意義と考えられる諜報行為を許可し
ようと試みている。議会参加監視団によると、この諜報行為によって感知でき
るのは、トロイの木馬プログラムやその他のスパイウェアから自分のコンピュ
ータを守る術を知らない人だけだという。
http://www.dw-world.de/dw/article/0,2144,2459853,00.html

【編集者メモ1】(Schultz)
このようなニュースは、今後数年間、ますますよく耳にするようになるのでは
ないだろうか。多くの国で、テロ対策の名の下にプライバシー保護論がつぶさ
れてきた。そしてどの国の政府も、プライバシーの必要性とテロ対策の間の良
きバランスを見いだせていない。したがって、今回のような動きは次第に復活
していくだろう。
【編集者メモ2】(Liston)
「この諜報行為によって感知できるのは、トロイの木馬プログラムやその他の
スパイウェアから自分のコンピュータを守る術を知らない人だけ」か、もしく
は、我々の言うAOLコールセンターかのどちらかだ。
────────────────

◆オーストラリアの法案 ID情報窃盗犯に厳罰措置(2007.4.24)

オーストラリアで提案されている法案では、個人情報を盗んだ罪で有罪となっ
た者には、最高で5年の懲役が科せられる。また、個人情報が詐欺行為に使用
された人に対し、信用履歴を回復できるよう裁判所から証明書を受領すること
を推奨している。この法案は、検事官・法務官常任委員会(SCAG: Standing
Committee of Attorneys-General)によって作成されたもので、6月12日まで一
般の意見を募るため公表されている。この法案によって警察は、ID情報窃盗犯
罪発覚前に、窃盗犯を起訴できる上、新たに3種類の犯罪行為が定義される:窃
盗や詐欺に発展しうるID犯罪、個人の身元情報をオンラインで販売する罪、虚
偽のID文書を作成するための機材を所有している罪である。さらにこの法案で
は、IDデータを、生体認証データ、文書による身分証明書、財務情報と定義し
ている。
http://www.australianit.news.com.au/common/print/0,7208,21608702%5E15319%5E%5Enbv%5E15306,00.html

【編集者メモ1】(Schmidt)
この法案が可決されれば、サイバー犯罪者自身に犯罪行為の責任を持たせられ
るしっかりした基盤ができるため、犠牲者への影響を最小限にとどめる取り組
みがより活発になる。もちろん、法的にはまだ障壁はあると思うが、他国が見
習うべきモデル法となるだろう。
【編集者メモ2】(Honan)
この法案を提案したオーストラリア政府に称賛を。このような法律があれば、
ますます広がるID窃盗のような流行の疫病に対抗できるようになる。犯罪者よ
り犠牲者を重んじることができるようになるだけでなく、警察に有利な状況を
取り戻すことができよう。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年4月30日配信 Vol.6 No.18)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ      13
Linux                   2
Solaris                  1
Unix                    3(#3)
Mac OS                  1 (#5)
クロスプラットフォーム          15 (#1,#2,#4)
Webアプリ…XSS             3
Webアプリ…SQLインジェクション     5
Webアプリケーション          46
ネットワークデバイス           6
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

CA BrightStor ARCserveは、今週もまたペナルティボックスにある。CAのバッ
クアップ製品にある脆弱性は数が多いのが悩みの種である。CAソフトウェア使
用企業の多くがバックアップ製品にパッチを適用していないばかりか、さらに
多くの企業が脆弱性の存在自体を知らない。バックアップには最も機密性の高
い情報を保存しがちであるにもかかわらず。

情報セキュリティのキャリア・モデル募集:
セキュリティ分野で、技術やスキルを駆使してたくさんの成果を挙げ、組織内
で昇進していった人物をご存じなら、簡単なメモ程度でよいので、その人物に
関する事柄をapaller@sans.orgまで送信してください。
今までに5つのプレスから、情報セキュリティ分野のキャリアで成功する方法
に関する記事やインタビューの掲載要望をいただいている。セキュリティ分野
のスキルが貧弱なために解雇された人は、より高度な技術を持つ人の成功談を
求めているという。我ら編集者の中でも、同様の話題を耳にしたようだ。なお、
本件に関して寄せられた情報を無断で公開することは一切ない。
────────────────

1.危険度【重大】:Computer Associates BrightStor ARCserveに複数のバッフ
  ァオーバーフロー脆弱性

<影響のある製品>
Computer Associates BrightStor ARCserve Backupのバージョン9.01、r11、
r11.1、r11.5、r11.5 SP2
Computer Associates Enterprise Backupのバージョンr10.5
Computer Associates Server Protection Suite r2
Computer Associates Business Protection Suite r2

<詳細>
Computer Associates BrightStor ARCserve BackupのSun RPCリクエスト処理
に、複数のバッファオーバーフロー脆弱性がある。Sun RPCは、インターネッ
トを基準としたremote procedure call(RPC)機能である。アタッカーは、RPC
リクエストを、細工された文字列を含むシステムに送信し、脆弱性のうち1つ
を実現させる。このバッファオーバーフローを悪用すると、脆弱なプロセス権
限で任意のコードを実行できるようになってしまう。影響のあるプロセスは任
意のTCPポートで動作する。ポートは、Sun RPCの"portmap"機能で特定可能だ。

<現状>
Computer Associatesはこの問題を認めており、更新をリリースしている。

<参考>
Computer Associatesのアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-04/0456.html
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-022.html
Sun RPCについてのWikipediaの説明
http://en.wikipedia.org/wiki/ONC_RPC
SecurityFocus BID
http://www.securityfocus.com/bid/23635
────────────────

2.危険度【高】:QuickTime Javaにリモートでコードを実行される脆弱性

<影響のある製品>
Mac用およびWindows用QuickTime

<詳細>
広範囲で使用されているマルチメディアプレーヤのQuickTimeプレーヤは、独
自のJavaライブラリをインストールするようになっている。QuickTimeによっ
てインストールされるJavaライブラリには、WindowsかMacのシステムに任意の
コード実行のために利用されてしまう脆弱性がある。このユーザーが、Javaが
有効になっているWebブラウザで悪意あるWebページを閲覧すると、悪用に至る。
ただし、Apple iPodを使用する設定になるようにインストールされていなけれ
ば悪用不可能。QuickTimeがインストールされている可能性のあるユーザーは
星の数ほど存在する上、ほとんどのWebブラウザはデフォルトでJavaが有効に
なっているので注意が必要だ。すなわち、この欠陥が悪用されると多くのシス
テムが侵害される恐れが生じる。この脆弱性は、CanSecWestセキュリティ集会
において、完全にパッチが適用されたMac OS Xシステムに対し、0-dayのアタ
ックで実現することが実証された。この脆弱性の技術的詳細は公表されていな
い。ブログやその他の掲示によれば、研究者らはこの欠陥の仕組みを暴くのに
取り組んでいるという。

<現状>
Appleに対し、この脆弱性の詳細情報が提供された。回避策は、Webブラウザの
Javaサポートを無効にすることである。

<参考>
ZDNetの記事
http://blogs.zdnet.com/security/?p=177
ZDNetのブログ記事
http://blogs.zdnet.com/security/?p=174
SecurityFocus BID
http://www.securityfocus.com/bid/23608
────────────────

3.危険度【高】:AsteriskのSIP処理に複数の脆弱性

<影響のある製品>
Asterisk 1.2.18までのバージョン
Asterisk 1.4.3までのバージョン

<詳細>
オープンソースVoice-over-IP(VoIP)電話技術プラットフォームとして広範囲
で使用されているAsteriskには、複数の脆弱性がある:

(a)SDPパラメータの"T38FaxRateManagement"と"T38FaxUdpEC"の処理に、スタ
ックベースのバッファオーバーフローが2つある。これらのパラメータのうち1
つを含むSDPパケットが細工されると、バッファオーバーフローが生じる。こ
れらのオーバーフローのうちどれかの悪用が実現されると、Asteriskのプロセ
ス権限で任意のコードが実行されてしまう。ただし、AsteriskシステムのT38
ファックス機能が有効になっていなければ、脆弱ではない。

(b)Asteriskは、リモートのSIPエンドポイントから来る特定の不正形式のレス
ポンスを正しく処理できない。悪意あるエンドポイントが、不正形式のUDPレ
スポンスを送信するとAsteriskプロセスは死んでしまい、その後の電話技術サ
ービスが阻止されてしまう。Asteriskはオープンソースであるため、これらの
脆弱性の技術的詳細は、ソースコードを分析すれば入手できる。また、これら
の脆弱性の中には、概念実証コードや技術的詳細が公表されているものもある。

<現状>
Asteriskはこの問題を認めており、更新をリリースしている。

<参考>
Asteriskのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-04/0443.html
http://archives.neohapsis.com/archives/bugtraq/2007-04/0442.html
http://www.securityfocus.com/archive/1/466911
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/23648-1.txt
http://downloads.securityfocus.com/vulnerabilities/exploits/23648-2.txt
Asteriskのホームページ
http://www.asterisk.org
SecurityFocus BIDs
http://www.securityfocus.com/bid/23649
http://www.securityfocus.com/bid/23648
http://www.securityfocus.com/bid/23093
────────────────

4.危険度【高】:3proxyにバッファオーバーフローの脆弱性

<影響のある製品>
3proxy 0.5.3hまでのバージョン

<詳細>
3proxyは、クロスプラットフォームのWebプロキシとして広範囲で使用されて
おり、さまざまなプラットフォームとOSをサポートしている。3proxyは、特定
の過剰に長いリクエストを正確に処理できない。プロキシに細工されたリクエ
ストが送信されると、バッファオーバーフローの脆弱性が引き起こされ、
3proxyのプロセス権限で任意のコードが実行されてしまう。3proxyはオープン
ソースであるため、ソースコードを解析すれば、この脆弱性の技術的詳細を入
手できる。

<現状>
3proxyはこの問題を認識しており、更新をリリースしている。

<参考>
Vladimir Dubrovinによる掲示
http://archives.neohapsis.com/archives/bugtraq/2007-04/0394.html
3proxy Change Log
http://3proxy.ru/0.5.3i/Changelog.txt
3proxyのホームページ
http://3proxy.ru
SecurityFocus BID
http://www.securityfocus.com/bid/23545
────────────────

5.詳細情報:Apple Mac OS XのRPCランタイム・ライブラリにインテジャーオー
  バーフローの脆弱性

<詳細>
先週のAppleセキュリティ更新(Update 2007-004)でパッチが配信された脆弱性
の技術的詳細が公表された。0x80000000よりも大きな値のレングス指定子を
含むように細工されたリクエストをRPCサービスに送信するとインテジャーオ
ーバーフロー脆弱性を引き起こし、影響のあるプロセス権限で任意のコードを
実行できるようになってしまう。RPCサービスは、必要な場合は自動的に始動
してしまうので注意が必要だ。

<参考>
Mu Securityのアドバイザリ
http://labs.musecurity.com/advisories/MU-200704-01.txt
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=305391
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=17#widely3

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してくだい。