NRI Secure SANS NewsBites 日本版

Vol.2 No.23 2007年6月11日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.23 2007年6月11日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
       SANS Future Vision 2007 Tokyo 国内初開催!
    ~情報セキュリティの最新動向をキャッチアップする2日間~
    2007年7月17日(火)-18日(水) 会場:シェラトン都ホテル東京

  ■ Keynote、SANSセッション、スポンサーセッション(参加無料)■
   ■ SANSトレーニング(2日間コース)が特別価格にて受講可能! ■

     参加受付け開始(事前登録制) 詳細はこちら↓↓↓
       http://www.event-information.jp/sans-fv/

   ※希望セッションが満員になる前に!!お早めにご登録ください!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.9 No.44 (原版:2007年6月6日)

■はじめに(Alan Paller:SANS Director of Research)

読者協力のお願い:
SANSでは、セキュリティ専門職および監査人の方々の給与の推移についての調
査を1999年から実施していますが、2007年度給与アンケート(3~6分程度)にご
回答いただける方には、本調査結果のサマリー(どの分野の給与が最も増加、
もしくは減少したか、およびその理由)を進呈いたします。ご協力いただける
方はこちらへ:
http://www.surveymethods.com/EndUser.aspx?F7D3BFA2FFB4A7
────────────────

◆米国政府のセキュリティ 復員軍人援護局(VA)での侵害事件から1年を経
  た今もなお改善されず(2007.6.4)

米国退役軍人2650万人の個人情報が保存されたノートパソコンが盗難に遭って
から1年が過ぎたにもかかわらず、連邦政府のデータセキュリティは改善して
いないとの調査結果がある。この調査は、連邦政府職員258人を対象に行われ
た。回答者の41%は仕事でノートパソコンを使用している。うち48%は、VAの
ノートパソコン盗難事件を受けてトレーニングを受講したという。回答者の
16%は、盗難事件があったにもかかわらず、所属政府局で何も対策が行われた
様子がないと答えている。また、連邦政府職員の58%は正式に在宅で仕事をす
ることになっていないにもかかわらず、その多くが安全性の低い自宅のコンピュー
タを職務に使用しているという。そのような正式な在宅ワーカーでない者のう
ち41%が自宅から政府のシステムにログオンしているようだ。
http://www.informationweek.com/management/showArticle.jhtml?articleID=199901028&;cid=RSSfeed_TechWeb
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=government&articleId=9023098&taxonomyId=13&intsrc=kc_top

【編集者メモ1】(Kreitner)
政府局の高官は、今まさに情報資産を委ねる職場にもっと厳しいポリシーを導
入するべきである。たとえば、あてがわれたノートパソコンに対する責任者を
具体的に指定するとよい。基準の設定、パッチ、暗号化ポリシーに違反したり、
ノートパソコンを紛失したりした場合は、解雇処分、もしくは最低でも大幅に
降格させるなど、懲戒処分を明確にするべきだ。政府局のリーダー自らが毅然
とした態度で具体的に思考できるコミットメントを実践し、自身の責務の一環
として情報資産のセキュリティを強化していかなければ、物事は改善されない
だろう。
【編集者メモ2】(Schultz)
この調査結果は別段驚くようなことでもない。米国政府職員自身がセキュリテ
ィに関連する行動(もしくはセキュリティを損なう行動)の責任を問われるよ
うにならない限り、彼らのセキュリティ慣行は不完全なままだろう。
────────────────

◆カリフォルニア州 新しいデータセキュリティおよび侵害通知法を視野に
  (2007.5.31)

カリフォルニア州議会は、クレジットカードやデビットカード決済を処理する
組織団体全てに対し、データセキュリティや侵害通知に関する特定の必須条件
を義務付ける法案を検討中である。店舗は、カード検証値や個人ID番号などの
認証データの保存を禁じられる。また、カードデータを送信する場合は、高度
に暗号化しなければならないほか、侵害を受けた組織は、顧客への侵害通知や
カードの再発行にかかった費用などを、金融機関に払い戻さなくてはならない。
金融機関は、セキュリティ侵害が起きた店舗や侵害されたデータなどの詳細情
報を開示してよいことになっている。現在この法案は委員会で審議中である。
承認されれば、6月8日に下院議会で法案通過可否の投票が行われる。その後上
院で可決され、州知事が調印すれば、法律制定に至る。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9022358&taxonomyId=17&intsrc=kc_top

【編集者メモ】(Schultz)
ミネソタ州は、同じような法案をすでに可決している。この法案が米国で最も
人口の多い州であるカリフォルニア州で可決されれば、米国議会で同様の法を
可決する動きが生まれ、それを止めることはできないほどになるだろう。
────────────────

◆"スパム王"逮捕される(2007.5.30-31)

捜査員の間でスパム王として知られているRobert Alan Solowayが、5月30日に
ワシントン州シアトルで逮捕された。連邦起訴状には郵便詐欺、通信不正行為、
電子メール関連の詐欺、悪質な身元詐称、資金洗浄など、35におよぶさまざま
な容疑が記されている。Solowayは先週出廷し、全ての容疑を否認した。同裁
判は8月6日に始まる。同人はNewport Internet Marketing Corporationを所有
しており、「中身とは関係ないヘッダーでメッセージを送信する同報メールサ
ービスを、ボットネットやプロキシコンピュータのネットワークを中継して提
供した」疑いがある。全ての容疑で有罪となった場合、最高で5年の懲役、も
しくは25万ドルの罰金が科せられる。
http://www.theregister.co.uk/2007/05/31/spam_king_arrested/print.html
http://news.bbc.co.uk/2/hi/technology/6707333.stm
http://seattlepi.nwsource.com/local/318094_soloway01.html
http://news.zdnet.co.uk/security/0,1000000189,39287329,00.htm?r=3
http://www.usdoj.gov/usao/waw/press/2007/may/soloway.html

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年6月4日配信 Vol.6 No.23)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
Windows                 2
サードパーティのWindowsアプリ      16(#2,#4,#5)
Mac OS                  2
Linux                  3
HP-UX                  1
Solaris                 2
Novell                  1
クロスプラットフォーム         24(#1,#3)
Webアプリ…XSS             11
Webアプリ…SQLインジェクション      9
Webアプリケーション           25
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週は、Apple Quicktime、ブリティッシュテレコムと他のサードパーティの
active-Xコントロール、F-Secureのファイルハンドラーに危険度【高】の脆弱
性が発見されたが、全体的には落ち着いた一週間だった。
────────────────

1.危険度【高】:Apple QuickTimeに複数の脆弱性

<影響のある製品>
Apple Mac OS Xおよび Microsoft Windows用Apple QuickTime7.1.6以前のバー
ジョン

<詳細>
Apple Quicktimeは、Appleのクロスプラットフォームのストリーミングメディ
アレイヤーである。しかし、Apple QuicktimeのSun Java Runtime Environment
とのやり取りには欠陥がある。Javaオブジェクト用のQuickTimeをインスタン
ス化するWebページが細工されると、この脆弱性が悪用される。メモリが崩壊
し、現在のユーザー権限で任意のコードを実行できるようになってしまう。悪
用するにあたり、設定によっては悪意あるWebページを閲覧する以外に、ユー
ザーが何か操作する必要がない。QuickTimeは、Mac OS Xにデフォルトでイン
ストールされているほか、Windows用iTunesの一部としてもインストールされ
ているので注意が必要だ。この脆弱性は以前@RISKに掲載された脆弱性とは別
のものである。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のほとんどが、何らかの対策を講じている。ほとんどの拠点で、
Quicktimeユーザーの自動更新機能が有効になっていた。そうでない拠点では、
時期定例システムメンテナンススケジュールに合わせて更新を推進する見込み
である。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=305531
SecurityFocus BID
http://www.securityfocus.com/bid/24221
────────────────

2.危険度【高】:複数のActiveX Controlsにさまざまな脆弱性

<影響のある製品>
British Telecommunications Business Connect Webhelper ActiveX Control
British Telecommunications Consumer Webhelper ActiveX Control
Media Technology Group CDPass ActiveX Control
EDraw Office Viewer ActiveX Control
Zenturi ProgramChecker ActiveX Control

<詳細>
以下のActiveXコントロールには、リモートでコードを実行されるおそれのあ
る脆弱性がある。:
(a) British Telecommunications Business Connect / Consumer Webhelper
ActiveXコントロール
(b) Media Technology Group CDPass ActiveXコントロール
(c) EDraw Office Viewer ActiveXコントロール
(d) Zenturi ProgramChecker ActiveXコントロール
これらのコントロールのどれかをインスタンス化するWebページを細工すると、
脆弱性が悪用され、現在のユーザー権限で任意のコードが実行されてしまう。
任意のActiveXコントロールをねらう再利用可能なエクスプロイトコードが広
範囲にリリースされており、これらのコントロールに使えるように手軽に改造
できるので注意が必要だ。

<現状>
ユーザーは、これらの脆弱性の更新状況をベンダーに確かめること。Microsoft
の"kill bit"機能を介して問題のコントロールを無効にすれば、脆弱性の影響
を軽減できる。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Secuniaのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/secunia/2007-q2/0761.html
http://archives.neohapsis.com/archives/secunia/2007-q2/0760.html
http://archives.neohapsis.com/archives/secunia/2007-q2/0764.html
http://archives.neohapsis.com/archives/secunia/2007-q2/0758.html
Microsoft知識ベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BIDs
http://www.securityfocus.com/bid/24216
http://www.securityfocus.com/bid/24219
http://www.securityfocus.com/bid/24220
http://www.securityfocus.com/bid/24230
http://www.securityfocus.com/bid/24229
http://www.securityfocus.com/bid/24217
────────────────

3.危険度【高】:複数のF-Secure製品のLHAアーカイブ処理にバッファオーバー
  フローの脆弱性

<影響のある製品>
Microsoft WindowsおよびLinux用 F-Secureアンチウィルス製品

<詳細>
Microsoft WindowsおよびLinux用のF-Secureアンチウィルスエンジンをベース
にしたさまざまな製品のLHAアーカイブ処理に欠陥がある。LHAは、ZIPやRARに
似たアーカイブ形式として広範囲で使用されている。LHAアーカイブファイル
が細工されるとこの欠陥が引き起こされ、バッファオーバーフローを悪用して、
スキャンプロセス権限で任意のコードを実行できるようになってしまう。脆弱
なエンジンを使用している製品の中には、大量の通信(メールを含む)をスキ
ャンしているものがあるため、細工されたメールが脆弱なサーバを通過してし
まう。それだけでもこの脆弱性が引き起こされる。多くの場合、問題のソフト
ウェアは昇格された権限(ルートかSYSTEM)で運用される。

<現状>
F-Secureは、この問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
F-Secureのセキュリティ警告
http://www.f-secure.com/security/fsc-2007-1.shtml
LHA についてのWikipediaの説明
http://en.wikipedia.org/wiki/LHA_%28file_format%29
SecurityFocus BID
http://www.securityfocus.com/bid/24235
────────────────

4.危険度【高】:Avira Antivir Antivirusに複数の脆弱性

<影響のある製品>
7.4.24以前のバージョンのAvira Antivirアンチウィルスエンジンを使用して
いるアプリケーション
報告されているアプリケーションは以下の通り:
Avira Antivir Workstation Professional
Avira Antivir Personal Edition Premium
Avira Antivir Personal Edition Classic

<詳細>
アンチウィルスエンジンとして広範囲で使用されているAvira Antivirアンチ
ウィルスエンジンには、複数の脆弱性がある:
(a) LZHフォーマットのアーカイブの解析処理に欠陥があるたため、脆弱なプ
ロセス権限で任意のコードが実行されるおそれがある。LZHはZIPやRARに類似
したアーカイブ形式であり、LHAアーカイブ形式に関係している。
(b) UPXで圧縮された実行可能ファイルやtarアーカイブの処理に欠陥があるた
め、サービス停止状態(DoS)が引き起こされるおそれがある。アンチウィルス
エンジンは、メールサーバやその他のサーバで動作するため、細工されたメー
ルが送信され、脆弱なシステムを通過するだけで問題のある状態を悪用できて
しまう。

<現状>
Aviraはこの問題を認めており、更新をリリースしている

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
n.runsのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/469805
http://archives.neohapsis.com/archives/bugtraq/2007-05/0412.html
http://www.securityfocus.com/archive/1/470042
LHAについてのWikipediaの説明
http://en.wikipedia.org/wiki/LHA_%28file_format%29
ベンダーのホームページ
http://www.avira.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/24187
http://www.securityfocus.com/bid/24239
────────────────

5.危険度【高】:Avast! AntivirusのSISファイル解析にインテジャーオーバー
  フローの脆弱性

<影響のある製品>
Avast! Antivirus 4.7.700 以前のバージョン

<詳細>
Avast! Antivirusはアンチウィルスエンジンとして広範囲で使用されている。
この製品のSymbian Installation Source(SIS)ファイル処理には、インテジャ
ーオーバーフローの脆弱性がある。このファイル形式は、SymbianのOSを使用
するモバイルサービスのアプリケーションパックに用いられている。SISファ
イルが細工されると問題の脆弱性が引き起こされ、脆弱なプロセス権限で任意
のコードが実行されてしまう。問題のソフトウェアは、ファイルの自動スキャ
ンにつながるようなモードで運用されているため、メールを脆弱なユーザーに
送信するだけで、この脆弱性を引き起こすことができてしまう。

<現状>
Avast!はこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
n.runsのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-05/0380.html
Avast! Changelog
http://www.avast.com/eng/adnm-management-client-revision-history.html
ベンダーのホームページ
http://www.avast.com
SecurityFocus BID
http://www.securityfocus.com/bid/24155

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。