NRI Secure SANS NewsBites 日本版

Vol.2 No.19 2007年5月15日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.19 2007年5月15日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
      SANS Future Vision 2007 Tokyo  国内初開催!
    ~情報セキュリティの最新動向をキャッチアップする2日間~
   2007年7月17日(火)-18日(水) 会場:シェラトン都ホテル東京
    参加無料(事前登録制)  詳細はこちら↓↓↓
            http://www.event-information.jp/sans-fv/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.9 No.36-37(原版:2007年5月4日、5月8日)

■はじめに(Alan Paller:SANS Director of Research)

NewsBitesでは、セキュリティに関する連邦政府のリーダーシップに問題があ
ることを幾度となく指摘してきた。したがって、今週、セキュリティにおける
連邦政府のリーダーシップ効果を示す話題がいくつかあるのは、喜ばしいこと
だ。米国国立標準技術研究所(NIST)のRFIDセキュリティガイドラインはすば
らしいものであり、国土安全保障省(DHS)も、CIS設定のテストツールを全政
府局が利用できるようにした。このツールは即座に利用可能で費用対効果もよ
く、米国行政管理局(OMB)によるWindowsのセキュア設定の推進に役立つ。ま
た、エネルギー省はこのほど、研究・技術機関および協会のための資金支援プ
ログラムがあることを発表した。対象は、コントロールシステム用の最先端セ
キュリティ技術の開発に貢献できる組織である。
────────────────

◆フロリダ州 タッチスクリーンの投票システムを光学スキャナーに入れ替え
  (2007.5.3)

フロリダ州議会は、「タッチスクリーンの投票システムを光学スキャナーに入
れ替えることを義務付ける」法案を可決した。フロリダ州知事Charlie Crist
氏は、この法案の施行を喜ばしく思っているようだ。この法案によって、「フ
ロリダ州の投票者が、投票手順や選挙そのものに、より一層信頼をおけるよう
になる」と述べた。選挙支援委員会(Election Assistance Commission)は今
週はじめ、「フロリダ州に対し、新しいマシンの購入に、米国投票支援法(Help
America Vote Act)に則った連邦政府資金使用許可を出す」可能性があること
を示唆した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9018595&source=rss_topic17
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9018598&source=rss_topic17

【編集者メモ1】(Schultz)
フロリダ州政府よ、よくやった! Crist知事も素晴らしい仕事ぶりだ。電子
投票結果の整合性を確立するための大切な一歩である。
【編集者メモ2】(Pescatore)
コンピュータと投票を組み合わせてより優れた投票システムを生み出すか、そ
れとも単にコンピュータ上に投票UIを乗せるにとどめておくか。施行錯誤はな
されていることがわかってよかった。
────────────────

◆米国議会下院委員会 アンチ・スパイウェア法案を再度可決(2007.5.1-2)

米国議会下院分科委員会は、3月にインターネット・スパイウェア阻止法
(Internet Spyware Prevention Act)、通称I-Spy法を可決した。このI-Spy
法では、スパイウェアそのものは定義されていないものの、承認なしでコンピ
ュータにコードを挿入する行為を犯罪化していた。そして、「スパイウェアを
使用して個人を騙し、損害を与える目的で、もしくは保護されたコンピュータ
にダメージを与える目的で、個人情報を海外から受送信したり、セキュリティ
保護網を損傷したりする」行為も犯罪とみなしている。この措置によって、特
定のスパイウェア活動で有罪になった場合、最高で5年の懲役刑が科せられる
ようになる。次のステップは、この法案を下院議会で審議にかけることだ。こ
の法案はすでに二度下院で可決されているが、上院で否決された経緯がある。
http://news.com.com/2102-7348_3-6180708.html?tag=st.util.print
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9018521&source=rss_topic17
────────────────

◆米国議会下院分科会のレター サイバーセキュリティに関して国土安全保障
  省を問い詰める(2007.4.30-5.1)

米国議会下院国土安全保障委員会(US House Committee on Homeland Security)
が、国土安全保障省(DHS)のCIOのScott Charbo氏宛に書簡を寄せている。同委
員会はその中で、同省の情報セキュリティ慣行について厳しい質問をしている。
国務省と商務省のセキュリティ問題に関して4月に公聴会が開かれたことが引
き合いに出されており、国土安全保障省にも同じような問題があるのでは、と
の懸念が示されている。
http://computerworld.com/action/article.do?command=viewArticleBasic&articleId=9018399&intsrc=hm_list
http://homeland.house.gov/SiteDocuments/Charbo.pdf
────────────────

◆米国議会 データ侵害通知法案で走り回る(2007.5.7)

米国議会下院議員Tom Davis氏(バージニア州共和党)は、再度データ侵害があ
った組織は影響のある個人に即座に通知することを義務付ける法案を提案した。
この法案では、行政予算管理局(OMB)に、タイムリーな通知を支援する慣行令
やポリシー作成の役割を担わせることになっている。上院司法委員会はこのほ
ど、データセキュリティ侵害における通知義務付け法案を二件承認している。
http://www.scmagazine.com/us/news/article/655110/davis-reintroduces-federal-breach-reporting-act-house/
http://www.fcw.com/article102630-05-03-07-Web&printLayout

【編集者メモ】(Skoudis)
この法案が連邦政府レベルに上るまでにどうしてこれほどの時間がかかってし
まうのか、驚きを隠せない。現状、米国の州の半数以上が侵害通知に関する何
らかの州法を持つに至るまでに前進している。このような法が存在しない州で
の営業活動においても、民法や商法などが何らかの形で適用される可能性が高
い。したがって、侵害発生時は州法にかかわらず、法の専門チームと連携して
何をどう開示すべきか見極めなければならない。発生時に備えて事前に計画し、
意思決定者を定めておくべきだ。
────────────────

◆Royal Bank of Scotland Chip-and-PIN読み取り機を顧客に提供
  (2007.5.2-4)

Royal Bank of Scotland (RBS)は、オンライン・バンキングの利用者全てに、
自宅で使用できるchip-and-PIN読み取り機を提供するという。読み取り機から
は、バンクカードを使用するとワンタイムパスワードが生成され、それととも
に、「チャレンジ」コードが提供されるようになっている。顧客側に、この読
み取りデバイスの費用は発生しない。オンライン・バンキングサービスで残高
照会や支払いを行いたいだけのユーザーは、読み取り機なしで作業を続行でき
る。Barclay's Bankも、オンライン・バンキング利用者50万人にchip-and-PIN
読み取り機を提供すべく準備中である。
http://www.zdnet.co.uk/misc/print/0,1000000169,39286964-39001093c,00.htm
http://www.computerworlduk.com/technology/security-products/authentication/news/index.cfm?newsid=2843
http://www.computerweekly.com/Articles/2007/05/03/223620/rbs-to-issue-online-banking-customers-with-smartcard.htm

【編集者メモ1】(Schultz)
オンライン・バンキング行為におけるリスクがますます高まっているため、近
い将来、RBSやBarclays Bankの例が、国際的なバンキング・コミュニティの標
準的な実装になるだろう。
【編集者メモ2】(Northcutt)
Chip and PINは役に立つが、それはソリューションのほんの一部に過ぎないだ
ろう。暗証番号の手軽な記憶法をご覧になりたい方は、Bruce Schneierのブロ
グ記事へ:
http://www.schneier.com/blog/archives/2005/01/easytoremember_1.html
以下にchip and PINのセキュリティの侵害に関する非常に漠然としたストーリー
を紹介する:
http://hardware.slashdot.org/article.pl?sid=07/02/06/1646247y
新技術ということもあって、まだ疑わしき状態である。chip and PIN技術によ
って貧乏暮らしに至ることを示す研究はこちら:
http://news.scotsman.com/uk.cfm?id=423682007

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年5月7日配信 Vol.6 No.19)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
Windows 1
Microsoft Office 4
サードパーティのWindowsアプリ       11 (#1,#5)
Linux                    7
Solaris                   1
Unix                     3
Novell 1
クロスプラットフォーム           14 (#2)
Webアプリ…XSS               10
Webアプリ…SQLインジェクション       11
Webアプリケーション           25 (#4)
ネットワークデバイス            5 (#3)
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

お願い。@RISKやTop20に関する2つの質問にご回答いただければ幸いだ。

1.@RISKについて:
  あなたの所属組織では、@RISKを実際どのように役立てているか?
  どのようにすれば(何らかの情報の付加または削除、フォーマット変更など)、
  @RISKがより有益なものになるか?

2.インターネットセキュリティの脅威についての年間Top 20:
  一年ごと、半年ごと、四半期ごとの報告は必要か?
  Top20の現状のカテゴリー分けの問題点、または何か改善点があるか?(回
  答に際し用紙が必要であれば、apaller@sans.orgまでご連絡を)
  Top20の利用価値を高めるために、何かSANSにできることはないだろうか?
────────────────

1.危険度【重大】:NullSoft WinampのMP4ファイル解析にバッファオーバーフ
  ローの脆弱性

<影響のある製品>
NullSoft Winampのバージョン5.02から5.34

<詳細>
NullSoft Winampは、Microsoft Windowsメディヤプレーヤとして広範囲で使わ
れているが、これのMP4ファイル解析に欠陥がある。MP4 ファイル(別名:MPEG
-4 Part 14 ファイル)は、音楽や動画などデジタルメディアストリームの保存
に使用されている。しかし、MP4ファイルが細工されるとバッファオーバーフ
ローが引き起こされてしまい、それを悪用されると、現在のユーザー権限で任
意のコードが実行されてしまう。設定によっては、Winampがプロンプトなしに
自動的にMP4ファイルを開いてしまうので注意が必要だ。この脆弱性の完全な
技術的詳細と、作用するエクスプロイトが公表されている。

<現状>
NullSoftはこの問題を認めているものの、更新はリリースしていない。Winamp
の次のバージョンでこの脆弱性が修正されると述べている。

<参考>
Marsuによるエクスプロイト
http://downloads.securityfocus.com/vulnerabilities/exploits/23723.c
MP4によるWikipedia記事
http://en.wikipedia.org/wiki/MPEG-4_Part_14
製品のホームページ
http://www.winamp.com/
SecurityFocus BID
http://www.securityfocus.com/bid/23723
────────────────

2.危険度【高】:IBM Tivoli Provisioning Managerに複数の脆弱性

<影響のある製品>
OS Deployment 5.1までのバージョン用のIBM Tivoli Provisioning Manager

<詳細>
OS Deployment("Provisioning Manager")用のIBM Tivoli Provisioning Manager
は、企業全体のOS実装の管理に用いられる。Provisioning Managerには、Web
ベースのアプリケーションに向かうHTTP・HTTPSリクエストを処理するときに
生じる、バッファオーバーフローの脆弱性が複数ある。このインタフェースは、
デフォルトではTCP8080番および443番ポートで運用されている。しかし、リク
エスト内のいくつかの要素の長さが安全でないコードに引き渡される前に正し
くチェックされない。そのため、これらの要素のどれかが過剰に長い値になっ
ていると、スタックベースのバッファオーバーフローが発生する。報告されて
いる脆弱なフィールドには、HTTP URIパスや、HTTP"Host"、"Authorization"
ヘッダーなどがある。この脆弱性の完全な技術的詳細が公表されている。この
脆弱性を悪用するのに、認証は必要ない。企業の多くでは、TCP443番ポートが
インターネットに対して開かれているので注意が必要だ。

<現状>
IBMはこの問題を認めており、更新をリリースしている。ユーザーは、可能で
あればネットワーク境界でTCP8080番および443番ポートをブロックすること。

<参考>
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-07-05
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=498
製品ホームページ
http://www-306.ibm.com/software/tivoli/products/prov-mgr-os-deploy/
SecurityFocus BID
http://www.securityfocus.com/bid/23264
────────────────

3.危険度【高】:Aventail ConnectのVPN Clientにバッファオーバーフローの
  脆弱性

<影響のある製品>
Aventail Connect 4.1.2.13、またそれ以前のバージョンも脆弱な可能性あり

<詳細>
Aventail Connectは、Aventail VPNアプライアンスを使用するVPN ネットワー
クに接続するときに使用するクライアントである。しかし、Aventail Connect
のDomain Name System (DNS)リクエストの処理には、バッファオーバーフロー
の脆弱性がある。VPNクライアントは、ローカルシステムで動作している正規
のDNSクエリを妨害する。しかし、DNSクエリのホスト名が過剰に長いとバッフ
ァオーバーフローを引き起こしてしまう。このバッファオーバーフローの悪用
が実現すると、現在のユーザー権限で任意のコードが実行されてしまう。アタ
ッカーは、細工したWebページやメールを介して犠牲者にDNSクエリを機能させ、
この脆弱性を悪用する。DNSクエリは、全てのネットワークアプリケーション
で起動されるので、あらゆる悪用手法が利用可能である。この脆弱性の技術的
詳細と概念実証コードが公表されている。

<現状>
Aventailはこの問題を認めておらず、更新もリリースしていない。

<参考>
Thomas Polletによる掲示
http://archives.neohapsis.com/archives/fulldisclosure/2007-04/0737.html
ベンダーのホームページ
http://www.aventail.com/
SecurityFocus BID
http://www.securityfocus.com/bid/23717
────────────────

4.危険度【高】:WordPress用のプラグイン、WordTubeとwp-TableにPHPファイ
  ル・インクルージョンの脆弱性

<影響のある製品>
WordTube Plugin 1.43までのバージョン
wp-Table Plugin 1.43までのバージョン

<詳細>
WordTubeとwp-Tableは、広範囲で使用されているWordPressブロギング・スイ
ート用のプラグインである。WordTubeは、WordPressのブログ掲示に動画など
のメディアを組み込むときに使用される。wp-Tableは、WordPressのブログ掲
示にHTMLテーブルを作成するときに用いられる。しかし、これらのプラグイン
のHTTPリクエストが"wpPATH"パラメータを処理するときに、PHPファイル・イ
ンクリージョン脆弱性が生じる。細工された"wpPATH"パラメータの付いたリク
エストを送信すると、アプリケーションに任意のPHPコードを含ませることが
できるようになってしまう。そして、そのコードが、Webサーバ・プロセスの
権限で運用されるようになる。PHP "register_globals"パラメータが有効でな
い限り、脆弱にはならない。このパラメータは、最近のPHPバージョンではデ
フォルトで無効になっている。これらの脆弱性の作用するエクスプロイトが公
表されている。

<現状>
ベンダーはこの問題を認めており、更新もリリースしている。

<参考>
M. Hasran Addahroniによる掲示
http://www.securityfocus.com/archive/1/467363
http://www.securityfocus.com/archive/1/467362
WordTubeのホームページ
http://alexrabe.boelinger.com/?page_id=20
wpTableホームページ
http://alexrabe.boelinger.com/?page_id=3
WordPressホームページ
http://www.wordpress.org
SecurityFocus BID
http://www.securityfocus.com/bid/23737
────────────────

5.危険度【高】:IrfanViewのIFFファイル処理にバッファオーバーフローの脆
  弱性

<影響のある製品>
IrfanView 4.00までのバージョン

<詳細>
IrfanViewは、Microsoft Windows用の画像閲覧および変換アプリケーションと
して、広範囲で使用されている。しかし、IrfanViewのIFF(Interchange File
Format)ファイル処理には欠陥がある。IFFファイルが細工されると、IrfanView
にバッファオーバーフローが生じる。このバッファオーバーフローの悪用が実
現すると、アタッカーは現在のユーザー権限で任意のコードを実行できるよう
になってしまう。設定によっては、IrfanViewがプロンプトなしにIFFファイル
を自動的に開いてしまうので、注意が必要だ。この脆弱性の技術的詳細や作用
するエクスプロイトが公表されている。全てのIFFファイルがこの脆弱性を引
き起こすかどうかは、まだ定かではない。IFFは、当初Commodore Amiga用に開
発され、画像データなど任意のデータを扱うようになっていた。IFF画像は、
一般的にILBM(Inter-Leaved Bit Map)形式で保存される。現在、ILBMデータを
含むIFFファイルのみがこの脆弱性を引き起こすと考えられている。

<現状>
IrfanViewはこの問題を認めておらず、更新も認めていない。

<参考>
Marsuによる概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/23692.c
IFFについてのWikipediaの説明
http://en.wikipedia.org/wiki/Interchange_File_Format
ILBMについてのWikipediaの説明
http://en.wikipedia.org/wiki/ILBM
ベンダーのホームページ
http://www.irfanview.com/
SecurityFocus BID
http://www.securityfocus.com/bid/23692
────────────────

6.危険度【重大】: Apple QuickTimeのJavaにあるリモートのコード実行脆弱
  性にパッチ

<詳細>
The vulnerability in Apple's QuickTimeには、Javaが有効になったWebブラ
ウザにおいてリモートでコードを実行されてしまう脆弱性があったが、このほ
どAppleによってパッチがリリースされた。この脆弱性の技術的詳細が公表さ
れている。このパッチはAppleのソフトウェア更新機能を介して入手できる。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-023.html
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=305446
Matasano Chargenによるブログ記事
http://www.matasano.com/log/849/details-on-dinos-quicktime-advisory-with-code-snippet/
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=18#widely2

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してくだい。