NRI Secure SANS NewsBites 日本版

Vol.2 No.21 2007年5月29日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.21 2007年5月29日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
       SANS Future Vision 2007 Tokyo 国内初開催!
    ~情報セキュリティの最新動向をキャッチアップする2日間~
    2007年7月17日(火)-18日(水) 会場:シェラトン都ホテル東京
       参加無料(事前登録制) 詳細はこちら↓↓↓
       http://www.event-information.jp/sans-fv/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.9 No.40-41(原版:2007年5月18日、5月22日)

◆旅行者ビザ用のオンラインアプリケーション データセキュリティ上の懸念
  から一時停止に(2007.5.15-17)

英国外務機関は、ITシステムの欠陥判明に伴い、ビザ用のオンラインアプリケ
ーションを一時停止した。この欠陥によって、ビザ申請者が第三者の個人情報
を閲覧できてしまったという。漏えいデータは、住所、生年月日、パスポート
番号など。2006年4月に、インド入国ビザの申請者がこの問題を初めて報告した。
http://www.bostontoday.co.uk/viewarticle.aspx?articleid=2888216§ionid=4068
http://news.scotsman.com/uk.cfm?id=772752007
http://www.theinquirer.net/default.aspx?article=39627

【編集者メモ】(Honan)
この脆弱性が1年以上も存在し続けていたのは、まさに深刻な問題だ。当局が
セキュリティホールを無視して悪用を許し、正式なビザの獲得を可能にしてい
るとすれば、テロ犯罪者に対して、厳しい国境制御の下で政府発行旅券のチェ
ックを強化する意味はどこにあるのか?
────────────────

◆エストニアのWebサイト アタックされる(2007.5.10-17)

ここ3週間、エストニアのWebサイトがアタックを受けている。4月27日にエス
トニアがソビエト連邦時代の戦争記念像を首都タリンから除去したところ、暴
動や反対運動が発生した。ロシア民族が像の除去に反対を唱えたのだ。そのた
め、ロシアがこのアタックの背景にあるのではないかと考えられている。しか
し、今のところ実際に非難されているわけではない。分散DoSアタック(DDoS)
は、政府や新聞社、銀行、企業のWebサイト全体を経由して仕掛けられている
ようだ。NATOは、タリンにサイバーテロの専門家を派遣して、同国のサイバー
防御を促進している。
http://www.guardian.co.uk/russia/article/0,,2081438,00.html
http://www.economist.com/world/europe/displaystory.cfm?story_id=9163598

【編集者メモ1】(Liston)
このインシデントはいろいろな意味で難しい問題だ。ロシア政府の関与の有無
はともかく、分散DoSアタックの効果のほどを見れば、無関係の世論喚起者が
意図的に国際的インシデントとして深刻化させている可能性がうかがえる。こ
のタイプのサイバーアタックを迅速かつ正確に実行するのはほぼ不可能である
ため、「興味のある」第三者にアタックを利用させて、問題を国際レベルでか
き回すように誘導しているといったところだろう。
【編集者メモ2】(Ullrich)
2001年に偵察機が打ち落とされて米・中が対立していた間、中国のハッカーグ
ループは米国のWebサイトに損害を与え、米国のハッカーグループはそれに報
復した。それぞれ、単なる妨害行為以上のアタックだった。エストニアへのア
タックも何らかの愛国思想から実行された可能性があり、政府によってコント
ロールされたものであるとはかぎらないだろう。しかし、サイバー戦争の深刻
度が高まっているため、アタックの背景を見極める手段が必要になってきた。
【編集者メモ3】(Honan)
Arbor Networksの”Security to the Core”ブログに面白い記事がある。彼ら
の視点でアタックの概要がまとめられている。
http://asert.arbonetworks.com/2007/05/estonian-ddos-attacks-a-summary-to-date/.
また、TERENAにはエストニアに対するヨーロッパのCSIRTコミュニティによる
支援の様子が説明されている:
http://www.terena.org/news/fullstory.php?news_id=2103
────────────────

◆TJ Maxx/TK Maxxのセキュリティ侵害の被害額 830億ドルに達する可能性
  (2007.5.18)

英国TK Maxxや米国TJ Maxxのオーナー企業であるTJXは、本日収益報告書を発
行した。それによると、最近のインシデントにより顧客のクレジットカード情
報データ4500万人分が漏えいしたことで、同社には1200万ドルの回復費用が生
じたという。また、次の四半期も同様の回復費用が生じる見込みであるという。
カード1枚ごとに186ドルかかる計算である。Ponemon instituteの推算をもと
に第三機関が見積もった総被害額は、86億ドルにのぼる。
http://www.itnews.com.au/newsstory.aspx?CIaNID=52299

【編集者メモ】(Paller)
TJ Maxxの450万件の少ない被害額をその件数をかけて求めるなど、愚かな推算
だ。規模の経済(量産効果)理論に則り、損失額は実際のほんの一部にとどめ
られているというのに。
────────────────

◆DHS米国土安全保障省、セキュリティ白書を求める(2007.5.21)

米国土安全保障省(DHS)は、ボットネットやマルウェアに対する防御、ルーテ
ィングやプロセスコントロールのセキュリティ、内部脅威検知・管理など、い
ろいろなサイバーセキュリティのトピックに関する白書を求めている。さまざ
まな脅威に対処し、その影響を軽減する技術についての文書ということで、6
月27日まで募集している。最終原案は、9月17日を期日としている。
http://www.fcw.com/article102766-05-21-07-Web&printLayout
http://www.fbo.gov/spg/DHS/OCPO/DHS-OCPO/BAA07%2D09/Attachments.html

◆米国議会下院委員会 原子力規制委員会にアラバマ発電所のデータスパイク
  の詳しい調査を求める(2007.5.18)

米国議会下院国土安全保障委員会は、原子力規制委員会(NRC)に対し、2006年
8月に発生したデータスパイク(データの急増)について、より詳細な調査を
行うよう求めている。データスパイクにより、アラバマ州Brown's Ferry原子
力発電所では、発電所のリアクターを停止せざるを得ない事態に発展した。発
電所員は、NRC言うところの「データストーム(データの嵐)」が原因で水の
再循環ポンプ2台に不具合が生じたため、リアクターを停止したという。「デ
ータストーム」は、可変周波数ドライブ(VFD)コントローラが機能不全になっ
たために生じたようだ。発電所外部からの働きかけでこのようなインシデント
が引き起こされる可能性があるため、同委員会はさらに綿密な調査を要請して
いる。下部組織である、新興の脅威およびサイバーセキュリティと科学技術分
科会からの書簡には、「ネットワーク負荷超過の原因が説明できない限り、免
許所有者やNRCにとって、この事態が外部からの分散DoSアタックが原因ではな
いと納得できる理由はない」とある。また、「NRCがこのインシデントの特別
調査を渋っているとの現状に、大いに疑問を感じる」とも記されている。NRC
は6月14日までにこの書簡に返答しなくてはならない。
http://www.securityfocus.com/news/11465
http://www.scmagazine.com/us/news/article/658709/congressmen-want-explanation-possible-nuclear-power-plant-cybersecurity-incident/
http://homeland.house.gov/press/index.asp?ID=212

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年5月21日配信 Vol.6 No.21)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
Windows                 1
サードパーティのWindowsアプリ     21 (#2,#5)
Mac OS                 1 (#3)
Linux                 10
HP-UX                  2
Solaris                 1
Unix                  1
クロスプラットフォーム         22 (#1,#4)
Webアプリ…XSS             8
Webアプリ…SQLインジェクション     12
Webアプリケーション           2
ネットワークデバイス          2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Microsoftの競合他社にとっては、厳しい一週間だった。UNIX、LinuxやMac OS
Xのシステムとともに販売されているSambaに、重大なバッファオーバーフロー
の脆弱性があることがわかった。Symantecの製品 Norton Internet Security
とPersonal Firewallの両方、AppleのDarwinにも、バッファオーバーフローの
脆弱性が確認された。また、Java Development Kitにも画像処理の脆弱性が特
定された。
今週は、脆弱性が実に100個以上発見された。ほとんどは、アプリケーション
ソフトウェアに存在しているものであった。しかし、朗報もある。導入予定の
アプリケーションのセキュリティを改善したいなら、担当プログラマーに、8
月14日にワシントンDCで開催される、CとJavaの新しい安全なプログラミング
試験のパイロット・テストを受けるよう、声をかけていただきたい。受験定員
は100名。ここ数日以内の受験申込者には、Webcast経由で、試験範囲や試験勉
強用の資料などの情報を配信する。詳細はこちら:
http://www.sans.org/gssp07/
────────────────

1.危険度【重大】:Sambaに複数のリモートコード実行脆弱性

<影響のある製品>
Samba 3.0.25までのバージョン

<詳細>
Sambaは、Common Internet Filesystem (CIFS)およびServer Message Block
(SMB)プロトコルのオープンソース実装である。このプロトコルはMicrosoft
Windowsと他のOSの間の対話を促進するために設計されたものだ。Sambaは、
Mac OS XやさまざまなUnix、Unixに類似したシステム、LinuxなどのOSを搭載
したシステムにデフォルトで同梱されている。しかし、Sambaには以下の脆弱
性がある:

(a) Sambaは、Remote Procedure Call(RPC)インタフェースをWindowsシステム
などのクライアントにエクスポートする。これらのインタフェースのいくつか
に向かうMS-RPCが細工されると、メモリ崩壊バッファオーバーフローが引き起
こされる。その脆弱性が悪用されると、Sambaサーバに任意のコードが実行さ
れてしまう。実装の多くにおいて、Sambaはルート権限で運用されている。

(b) "username map script"オプションが、Samba設定(デフォルトでは無効)
で有効になっている場合に、アタッカーが細工したパスワード変更リクエスト
を送信すると、任意のshellコマンドを実行できるようになってしまう。

Sambaはオープンソースであるため、技術的詳細はソースコードを分析すれば
入手できる。Immunity's partner programのメンバー用に、作用するエクスプ
ロイトが公表されている。

<現状>
Sambaはこの問題を認めており、更新もリリースしている。回避策として、イ
ンターネットからtcp139番および445番ポートをブロックするとよい。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみ、今回対策を講じている。同社は、ベンダーが
パッチを発行するのを待ち望んでいるほか、時期定例システムメンテナンスス
ケジュールに合わせて問題に対処する意向である。

<参考>
Sambaのアドバイザリ
http://www.securityfocus.com/archive/1/468565
http://www.securityfocus.com/archive/1/468542
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-033.html
http://zerodayinitiative.com/advisories/ZDI-07-032.html
http://zerodayinitiative.com/advisories/ZDI-07-031.html
http://zerodayinitiative.com/advisories/ZDI-07-030.html
http://zerodayinitiative.com/advisories/ZDI-07-029.html
iDefenseのアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=534
Sambaのホームページ
http://www.samba.org
SecurityFocus BIDs
http://www.securityfocus.com/bid/23972
http://www.securityfocus.com/bid/23973
────────────────

2.危険度【高】:Symantec Norton Internet SecurityとPersonal Firewallの
  ActiveXコントロールに脆弱性

<影響のある製品>
Symantec Norton Internet Security 2004
Symantec Norton Personal Firewall 2004

<詳細>
Symantec Norton Internet SecurityおよびPersonal FirewallはあるActiveX
コントロールが同梱されて販売されている。しかし、このコントロールには、
バッファオーバーフローの脆弱性がある。このバッファオーバーフローは、
"Get"メソッドおよび"Set"メソッドに向かうパラメータが細工されると引き起
こされる。悪意あるWebページがこのコントロールをインスタンス化すると、
バッファオーバーフローを悪用して、現在のユーザー権限で任意のコードを実
行できるようになってしまう。

<現状>
Symantecはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Symantecのセキュリティアドバイザリ
http://www.symantec.com/avcenter/security/Content/2007.05.16.html
SecurityFocus BID
http://www.securityfocus.com/bid/23936
────────────────

3.危険度【高】:Apple Darwin Streaming Serveに複数のバッファオーバーフ
  ローの脆弱性

<影響のある製品>
Apple Darwin Streaming Server 5.5.5 以前のバージョン
Apple QuickTime Streaming Serverも脆弱な可能性あり

<詳細>
Real Time Streaming Protocol (RTSP)のストリーミングサーバであるApple
Darwin Streaming Serverには、バッファオーバーフローの脆弱性が複数ある。
細工された不正形式のコマンドやSETUPコマンドを送信すれば、これらのバッ
ファオーバーフローのうち1つを引き起こせるようになってしまう。バッファ
オーバーフローのうちどれか1つ悪用が実現すると、サーバプロセス権限(た
いていの場合はルート権限)で任意のコードを実行できるようになってしまう。
Apple Darwin Streaming Serverはオープンソースであるため、ソースコード
を分析すれば、技術的詳細を入手できる。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=305495
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=533
RTSPについて説明したWikipediaの記事
http://en.wikipedia.org/wiki/RTSP
製品のホームページ
http://developer.apple.com/opensource/server/streaming/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/23918
────────────────

4.危険度【高】:Sun Java Development Kitの画像処理に脆弱性

<影響のある製品>
Sun Java Development Kit 1.6_01-b06 以前のバージョン
Sun Java Development Kit 1.5_11-b03 以前のバージョン
Sun Java Runtime Environmentも影響を受けると考えられるが、まだ確証はな
い。

<詳細>
Sun Java Development Kitは、Sun Javaプラットフォームで運用できるアプリ
ケーション作成時に使用される。しかし、Sun Java Development KitのBMP画
像およびJPEG画像処理には複数の脆弱性がある。JPEG画像に細工されたICCカ
ラー修正データがあると、Javaバーチャルマシンにバッファオーバーフローが
引き起こされる。このバッファオーバーフローが悪用されると、脆弱なプロセ
ス権限で任意のコードを実行できるようになってしまう。また、BMP画像が細
工されると、サービス停止(DoS)状態に陥るおそれもある。

<現状>
Sunはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、この問題に対策を講じている。そのうち1社は、
次期メンテナンススケジュールに合わせてパッチを導入する見込みだ。もう1
社は、まだ問題を調査中である。同社は、このキットを使用する内部アプリケ
ーションはないと考えているものの、あらゆるサポートチームからの情報を待
ち望んでいる。

<参考>
Chris Evansによるアドバイザリ
http://scary.beasts.org/security/CESA-2006-004.html
ICC Color Correction Profilesについて説明したWikipediaの記事
http://en.wikipedia.org/wiki/ICC_Profile
Sun Javaのホームページ
http://java.sun.com
SecurityFocus BID
http://www.securityfocus.com/bid/24004
────────────────

5.危険度【高】:Centennial Discoveryの"xferwan.exe"にバッファオーバーフ
  ローの脆弱性

<影響のある製品>
Symantec Discoveryのバージョン6.5
Numara Asset Managerのバージョン8.0
Centennial UK Discovery 2006
この脆弱なコンポーネントを使用しているほかの製品も脆弱な可能性あり

<詳細>
Centennial Discovery製品は、組織全体で運用されているIT資産を追跡記録す
る。しかし、Centennial Discoveryの"CentennialIPTransferServerサービス
(xferwan.exe)"には、TCP通信の不正形式文字列によって引き起こされるバッ
ファオーバーフローの脆弱性がある。このサービスへのリクエストにある文字
列が細工されると、脆弱なプロセス権限で任意のコードを実行できるようにな
ってしまう。このプロセスは、通常SYSTEM権限で運用されている。Centennial
Discoveryは、Symantec DiscoveryやNumara Asset Managerなど、他の製品で
も使用されている。

<現状>
いくつかのベンダーはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Secuniaのアドバイザリ
http://secunia.com/secunia_research/2007-41/advisory/
http://secunia.com/secunia_research/2007-42/advisory/
http://secunia.com/secunia_research/2007-43/advisory/
ベンダーおよび製品のホームページ
http://www.symantec.com/enterprise/products/overview.jsp?pcid=1025&pvid=923_1
http://www.numarasoftware.com/AssetManager.asp
http://www.centennial-software.com/products/discovery/
SecurityFocus BID
http://www.securityfocus.com/bid/24002

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。