NRI Secure SANS NewsBites 日本版

Vol.2 No.2:2007年1月27日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.2 2007年1月27日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃The Trusted Source for Computer Security Training
┃ SANS Tokyo 2007 Spring
┃ ~~~~~~~~~~~~~~~~~~~~~~~~~~
┃     2007年2月19日~24日 開催決定!

┃  ■SANS認定インストラクターの高いスキル、豊富な実例■
┃  ■講師と受講者相互によるディスカッション形式の講義■
┃  ■参考書と呼ぶにふさわしい詳細な解説付きの研修教材■
┃  ■国内はもちろん世界でも比類のない充実のプログラム■

┃ ┏━━━━━━━━━━━━━━━━━━━━
┃ ┃早期割引き申込み受付中!(2月12日まで)
┃ ┃詳細はこちら
┃ ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
http://sans-japan.jp/SJ/tokyo2007_spring/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━AD━━

渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今から計画を!
────────────────

■■SANS NewsBites Vol.9 No.2、No.3 (原版:2007年1月6日、10日配信)

◆セキュリティ侵害の影響で国家核安全保障庁主任を解任
  (2007.1.4)

米国エネルギー省長官は、今月、国家核安全保障庁(the National Nuclear
Security Administration)主任のLinton Brooks氏に対して辞職を求めた。長
官は、「Brooksの指揮下にあるNNSAは、十分にセキュリティ上の問題を正すこ
とがまだできていないため、NNSAには今こそ新しいリーダーが必要だと判断し
た」と述べている。Brooksは、セキュリティ侵害が報告された昨年6月に、減
給処分に科されている。
http://www.cbsnews.com/stories/2007/01/04/politics/main2332032.shtml

【編集者メモ】 (Paller)
米国政府局はセキュリティ侵害の報告をしっかり行ってこなかった。さらには、
US CERTを、侵害のパターンや警告を発する能力がないと攻め立てて槍玉にあ
げ、結果的に米国をリスクにさらしていた。
────────────────

◆国防総省 ハッカー熱を間近に
  (2007.1.4)

米国国防総省によると、還太平洋アジアの国々などは、米国の防衛技術を盗も
うとやっきになっているようだ。Defence Security Service
Counterintelligence Office(国防保安対諜報活動事務局)によると、防衛の
請負業者や他の関連の情報源から米国当局に報告された疑わしい外国からのコ
ンタクトは、年間でなんと43%増を記録。米国国防産業を諸外国のスパイ活動
から守る任務を担当する政府局の機密外報告によると、スパイらは偽の事業取
引の申入れや、ハッカーを用いてレーザーやセンサー、ミサイル、その他のシ
ステムなどの高度な技術を盗みだそうと活動していたという。この報告は、
2005年9月に終了した会計年度について書かれたもので、完全な統計が掲載さ
れているものとしては最新である。
http://www.first.org/newsroom/globalsecurity/
────────────────

◆判事 投票マシンのソースコードへのアクセス許可申請を却下
 (2007.1.7)

米国民主党下院議員候補のChristine Jennings氏は、昨年11月に行われた選挙
に使用された電子投票マシンのソースコードの調査申請を提出していたが、フ
ロリダ州判事はその申請を却下した。サラソータ郡の選挙管理関係者に対する
裁判では、票のカウント方法が論点となっていた。第13下院選挙区選挙では、
Jennings氏は369票差で落選している。 Jennings氏は、自身の得票数が多かっ
た地域でこの裁判を起こした。判事は、マシンのソースコードは企業秘密であ
ることを理由に、この申請を却下した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9006988&taxonomyId=17&intsrc=kc_top

【編集者メモ1】 (Pescatore)
投票マシンを実際に使用する前に、必須要件としてオープンソースコードを再
確認するのであれば、それは一般的に見てもよいアイデアだろう。しかし、選
挙後に候補者がそれにこだわる理由はわからない。
【編集者メモ2】 (Schultz)
これは電子投票に関する、新たなかつ重要な判決である。投票結果の整合性の
確認と、電子投票マシンのベンダーの企業秘密の保護とでは、どちらがより重
要なのだろうか? この判事は、後者をより重要と判断した。しかし、控訴の
可能性が高いことを踏まえると、この判事が最終結論を出すわけではなさそう
だ。
【編集者メモ3】(Northcutt)
ソースコードへのアクセスは、この問題の主な論点ではない。なぜなら、それ
だけでは何も証明できない可能性が高いからだ。何かがにおう。Jennings氏は、
全24万票のうち369票差で落選した。つまり、この選挙はかなりの接戦だった。
さらに、サラソータ郡では、他の選挙では投票した1万8,000人が、なぜか下院
議員選挙の投票は行わないというおかしな事態が起きている。
http://www.cnn.com/2006/POLITICS/12/20/vote.contest/index.html
開票に全く人の手が加わらない選挙で使用される投票マシンには、厳しい基準
を設ける必要がある。スキャン・マシンについて懸念しているわけではない。
ただ、この問題を耳にすればするほど神経質になるだけだ。
参考記事はこちら:
http://www.blackboxvoting.org
Bruce Schneierのブログ
http://www.schneier.com/blog/archives/2004/11/the_problem_wit.html
【編集者メモ4】(Honan)
いったいいつから、企業秘密を口実に民主主義を貫く必要性が出てきたのだろ
う? 言うまでもなく、ソースコードへアクセスできるようにすることと、ソー
スコードが圧縮されて自分のシステムにインストールされているかを検証する
ことは、全く別の行為だ。この問題に興味のある方は、下のサイトをご覧にな
れば、オーストラリアの電子投票システムに使用されているソースコードを閲
覧することができる。
http://www.elections.act.gov.au/Elecvote.html
────────────────

◆民事訴訟法の改正で企業にはより多くのデジタルデータの維持が義務付けられる
  (2007.1.4)

連邦民事訴訟法の改正ルールが、2006年12月1日に有効となった。この改正ルー
ルによって、裁判の証拠開示段階で、組織が法廷で提出を求められる電子情報
の種類の幅が広がった。新たに加わったデジタル情報としては、ボイスメール
システム、フラッシュドライブ、IMアーカイブなどがある。つまり、法的裁判
の必要性が生じた場合に組織が提示しなくてはならないデータが増えたことに
なる。連邦民事訴訟法ルール34の「証言録取および証拠提出」の第5節には、
「組織は、他の組織、もしくはその組織の代表者から要請があれば、指定の文
書や電子情報の調査・複写・整合性検査・標本提出に応じなければならない
(読み取り可能なメディアに保存された文書、描画、グラフ、表、写真、音声
記録、画像、その他のデータ、データの編集物も含む)」とある。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9007162&taxonomyId=17&intsrc=kc_top
http://www.law.cornell.edu/rules/frcp/Rule34.htm

【編集者メモ】 (Honan)
電子形式の情報の豊かさに対する認識が法律家の間で高まるにつれて、
e-discovery(電子形式の証拠提出)が、 関係組織にとっての重要課題になり
つつある。特に、そういった情報の管理を担当する者にとってはそうだ。ポリ
シーに関しても、e-discoveryの要請が実際に出てからよりも、まだ時間があ
る今のうちに、そのプロセスや手順を作成した方がよい。またその際は、PDA
やペンドライブなど、個人用電子デバイスの取扱い方法にも触れるべきだ。大
前提のアドバイスとして、社内での個人用携帯デバイスの使用は禁ればよい。
────────────────

◆Cisco アドバイザリにCVSSスコア
  (2007.1.4)

Cisco製品セキュリティインシデント対応チーム (PSIRT)は、同社のセキュリ
ティアドバイザリに、重度スコアを併記する計画だ。 Ciscoによると、このス
コア併記システムによって、ユーザーは、特定の環境におけるパッチ管理を行
う際に、優先度をつけて対応できるようになるという。この重度スコアは、
Common Vulnerability Scoring System (CVSS)に準じて算出される。Ciscoは、
今後、アドバイザリの脆弱性にはすべて、暫定的なCVSSスコアを併記する。
http://www.vnunet.com/vnunet/news/2171804/cisco-signs-security-reporting
http://www.huliq.com/4622/cisco-adds-severity-scores-to-psirt-security-advisories

【編集者メモ】 (Schultz)
PSIRTは正しいことを行った。PSIRTが作成する重度スコアは、正しいレスポン
スや、セキュリティアドバイザリへの対応の緊急度を見極める際に、大いに役
立つだろう。
────────────────

◆AIB 顧客企業にセキュリティデバイス
  (2007.1.5)

AIB (アイルランドの主要銀行・保険会社) は、アイルランドと英国のオンラ
インバンキングの顧客企業に、英数字のデジパス(取引署名デバイス)550機
の提供を開始した。これによって、 虚偽取引からの保護が促進できる。AIBは、
このようなデバイスを使用する銀行としては、世界初の銀行となる。このデバ
イスによって、顧客は、ワンタイムパスコードと電子署名機能、ホスト認証を
得ることができるようになるため、銀行取引のセキュリティはより一層強化さ
れる。
http://www.siliconrepublic.com/news/news.nv?storyid=single7574
────────────────

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2007年1月9日配信 Vol.6 No.2)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

■はじめに(Alan Paller: SANS Director of Research)

今週は、Adobe Acrobat Readerが大きな問題になっている。なぜならInternet
ExplorerやFirefoxにおいて、ブラウザ・プラグインが広範囲で使用されてい
るからだ。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                   件数(#はPart1掲載番号)
======================================================================
Windows                    1
サードパーティのWindowsアプリ         7 (#4)
Linux                     3
クロスプラットフォーム           4 (#1, #3, #5)
Apple                        (#2)
Webアプリ…クロスサイトスクリプティング    2
Webアプリ…SQLインジェクション          6
Webアプリケーション               11
ハードウェア                   1
======================================================================

1. 危険度【高】:Adobe Acrobat Readerのブラウザ・プラグインに複数の脆弱性

<影響のある製品>
Adobe Acrobatブラウザ・プラグインのバージョン7およびそれ以前のバージョン

<詳細>
Adobe Acrobatブラウザ・プラグインは、Webブラウザ内のPortable Document
Format (PDF) 文書を読み取るときに用いられる。しかし、Adobe Acrobatブラ
ウザ・プラグインのPDFファイルを指し示すURLには複数の脆弱性がある。アタッ
カーは、PDF文書を指し示すURLの中に、細工した"open parameter"を含ませれ
ば、これらの脆弱性の悪用を実現できる。
"open parameter"は、追加パラメータをAdobe Readerに引き渡すときに使用さ
れるもので、リンクの"fragment"部分に位置している。リンクのこの部分は、
#マークの後に明記されている。
(1)javaスクリプトのURLをさまざまなopen parameterに引き渡せば、アタッカー
はPDFをホストしている任意のWebサイトの中で、javaスクリプトを実行で
きるようになってしまう。つまり、この欠陥を悪用すれば、PDFファイルを
ホストしているWebサイトのクッキーとユーザー証明書を盗むことができる。
この欠陥は、Mozillaブラウザにだけ影響があるようだ。
(2)URLをいろいろなopen parameterに引き渡せば、アタッカーはWebブラウザ
を使用して、任意のリソースにリクエストを送信できるようになってしま
う。この脆弱性によって、MozillaブラウザやMicrosoft Internet
ExplorerなどほとんどのWebブラウザが影響を受ける。たとえば、アタッカー
がユーザーに、"http://example.com/evil.pdf#http://example.net/"のリ
ンクをクリックさせ、"example.net"にリクエストを送信することができる。
(3)特別なパラメータのあるjavaスクリプトを介して"document.write"を呼び
出せば、メモリ崩壊脆弱性が引き起こされる。この脆弱性は、Mozillaブラ
ウザに影響を及ぼし、リモートのコード実行(未確認ではあるが)を目的
とした悪用が可能だ。

<現状>
Adobeはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、影響のあるソフトウェアを使用していた。両社
とも、次期定例メンテナンススケジュールに合わせて、パッチを適用する見込
みだ。

<参考>
Wisecのセキュリティアドバイザリ
http://www.wisec.it/vulns.php?page=9
Slashdotのディスカッション
http://it.slashdot.org/article.pl?sid=07/01/03/2050206
pdpによる掲示
http://www.webappsec.org/lists/websecurity/archive/2007-01/msg00005.html
GNUCITIZENのブログ記事
http://www.gnucitizen.org/blog/danger-danger-danger/
Open Parameterに関するAdobe文書
http://partners.adobe.com/public/developer/en/acrobat/PDFOpenParameters.pdf
Subverting Ajax
http://www.wisec.it/Download/Projects/1158-Subverting_Ajax.pdf
URIスキームに関するWikipediaの記事(URI構文も含む)
http://en.wikipedia.org/wiki/URI_scheme
Adobeホームページ
http://www.adobe.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/21858
http://www.securityfocus.com/bid/21910
────────────────

2. 危険度【中】:Apple iPhoto Photocastのフォーマットストリングに脆弱性

<影響のある製品>
Apple iPhotoのバージョン6.0.5およびそれ以前のバージョン

<詳細>
Apple iPhotoは、写真管理用アプリケーションとしてAppleコンピュータのほ
とんどにインストールされており、広範囲で使用されている。しかし、Apple
iPhotoにはフォーマットストリングの脆弱性がある。細工されたphotocastフィー
ド(RSSを介してアクセスできる写真の一連)によって、この脆弱性が悪用され
ると、現在のユーザーの権限で任意のコードが実行されてしまう。この脆弱性
の概念実証コードや技術的詳細がすでに公表されている。一般的な設定のほと
んどでは、ユーザーが悪意のあるphotocastに登録していなければ、脆弱には
なることはない。この脆弱性は、"Month of Apple Bugs"プロジェクトで発見
された。このプロジェクトは、Apple製品のバグを発見すべく立ち上がったも
のだ。

<現状>
Appleは、この問題を認識していないため、更新もリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Month of Apple Bugsのアドバイザリ
http://projects.info-pull.com/moab/MOAB-04-01-2007.html
概念実証コード
http://www.securityfocus.com/data/vulnerabilities/exploits/MOAB-04-01-2007.rb
RSSに関するWikipediaの説明
http://en.wikipedia.org/wiki/Really_Simply_Syndication
iPhotoのホームページ
http://www.apple.com/ilife/iphoto/
SecurityFocus BID
http://www.securityfocus.com/bid/21871
────────────────

3. 危険度【中】:Business Objects Crystal Reports XI Professionalにスタックオーバーフローの脆弱性

<影響のある製品>
Business Objects Crystal Reports XI Professionalおよびそれ以前のバージョン

<詳細>
Crystal Reportsは、企業用報告システムとして広範囲で使用されている。し
かし、Crystal Reportの"report"(RPT) ファイル処理には、スタックベースの
オーバーフローの脆弱性がある。細工されたreportファイルによって、この脆
弱性が悪用されると、Crystal Reportsのプロセス権限で任意のコードが実行
されてしまう。Crystal Reportsの設定の中には、プロンプトなしでも自動的
にreportファイルを開くようになっているものもあるようだ。この脆弱性の技
術的詳細がリリースされている。

<現状>
Business Objectsはこの問題を認識していないため、更新もリリースしていな
い。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用している。
同社は、ベンダーから発行される追加情報とパッチを待ち望んでいる。

<参考>
LSsecのセキュリティアドバイザリ(PDFファイル)
http://www.lssec.com/advisories/LS-20061102.pdf
Business Objectsのホームページ
http://businessobjects.com/
SecurityFocus BID
http://www.securityfocus.com/bid/21261
────────────────

4. 危険度【中】:PowerArchiverのISOにバッファオーバーフローの脆弱性

<影響のある製品>
PowerArchiverのバージョン9.64.02およびそれ以前のバージョン

<詳細>
PowerArchiverは、Microsoft Windows用アーカイブアプリケーションとして広
範囲で使用されている。しかし、PowerArchiverのISO画像ファイル(CDやDVD
画像の送信によく使われる)解析には、バッファオーバーフローの脆弱性があ
る。ISO画像ファイルを、無駄に長いファイル名を持つように細工すると、そ
のファイルによってバッファオーバーフローが悪用され、現在のユーザーの権
限で任意のコードが実行されてしまう。この脆弱性の技術的詳細と、複数の概
念実証コードがリリースされている。

<現状>
PowerArchiverはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
vuln.sg脆弱性報告書(概念実証コードも含む)
http://vuln.sg/powarc964-en.html
ISO画像についてのWikipediaの説明
http://en.wikipedia.org/wiki/ISO_image
SecurityFocus BID
http://www.securityfocus.com/bid/21867
────────────────

5. 危険度【中】:OpenOffice.org/StarOfficeに複数のWMF解析の脆弱性

<影響のある製品>
OpenOffice.org 2.1.0までのバージョン
StarOfficeのバージョン6、7、および 8

<詳細>
OpenOffice.org (オープンソースのオフィススイート) とStarOffice (同じコー
ドをベースにした商用オフィススイート)のWindows Media Playerファイルの
解析には、複数の脆弱性がある。細工されたWindows Mediaファイルによって、
これらの脆弱性が悪用されると、現在のユーザーの権限で任意のコードを実行
できる。デフォルト設定では、これらのアプリケーションによってWindows
Mediaファイルは開かれないようになっている。これらの脆弱性の技術的詳細
が、部分的ではあるが公表されている。 OpenOffice.orgはオープンソースで
あるため、公表されていない追加情報は、ソースコードを分析すれば入手でき
る。

<現状>
OpenOffice.orgとStarOfficeはこの問題を認識しており、更新もリリースして
いる。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
NGSSoftwareによる掲示
http://archives.neohapsis.com/archives/vulnwatch/2007-q1/0002.html
David Litchfieldによる掲示
http://archives.neohapsis.com/archives/bugtraq/2007-01/0125.html
Jua-Matti Laurioによる掲示
http://archives.neohapsis.com/archives/fulldisclosure/2007-01/0077.html
Red Hatのセキュリティアドバイザリhttps://rhn.redhat.com/errata/RHSA-2007-0001.html
SecuriTeamのブログ記事
http://blogs.securiteam.com/?p=785
SecurityFocus BID
http://www.securityfocus.com/bid/21861