NRI Secure SANS NewsBites 日本版

Vol.2 No.30 2007年8月2日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.30 2007年8月2日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

■■SANS NewsBites Vol.9 No.57-58(原版:2007年7月21日、7月25日)

■はじめに(Alan Paller:SANS Director of Research)

アプリケーションセキュリティおよびSCADAセキュリティにおける前進:

1. VISAは、PCI基準のアプリケーションセキュリティの必須条件の内容を明確
化することに合意した。Morgan StanleyやCisco、LexisNexis、Oracle、Honey
-well、Sovereign Bank、Depository Trust、Polk、SA、Ounce、SpiDynamics、
TippingPointおよびFBIのアプリケーションセキュリティ先駆者らが、4週間後
にワシントンに集結し、安全なアプリケーション開発プログラムを確立するう
えで彼らが学んだ教訓を共有する。外注したアプリケーション開発を安全に管
理する方法から、チームを統制する方法、開発者を従事させる方法、正しいツ
ールの選び方までをカバーする。PCI基準に何らかの関係がある方、もしくは
アプリケーションのセキュリティプログラムを構築している方にとって、この
アプリケーションセキュリティサミット(Application Security Summit)は、
数ヶ月の研究を節約できる機会となるだろう。そして、他のプログラムに悪影
響を及ぼすような失敗の落とし穴の回避方法もわかる。
日程情報と参加登録はこちら: http://www.sans.org/appsummit07
このサミットの参加企業には、サミット前日に行われるJavaとCの安全なソフ
トウェア認定試験(Secure Software Certification Examinations)の無料チケ
ットが進呈される。

2. 各州間の情報分析センター(ISAC)、国土安全保障省(DHS)およびアイダホ国
立研究所(INL)は今週、「コントロールシステム用のサイバーセキュリティ
調達ルールガイド(Cyber Security Procurement Language for Control Sys-tems)
を更新した」ことを共同発表した。
掲載サイト:http://www.msisac.org/scada/
ユーティリティ、およびその他のコントロールシステムのバイヤーの中には、
この調達ルールをすでに採用しているところもある。彼らや、コントロールシ
ステムのベンダーらが、2008年1月ニューオリンズで開催される2008 Control
Systems(SCADA) Security Summitで、このルールについての経験を参加者に語
る。サミットへの招待状ご希望の方は、apaller@sans.orgまで。
────────────────

◆元FBIアナリスト、機密文書窃盗で実刑判決(2007.7.18)

元米国海兵Leandro Aragoncilloが、フィリピン政府を崩壊させようとしてい
た人間に機密情報を漏洩したため、連邦刑務所に10年の懲役の実刑判決を受け
た。Aragoncilloは、部長2人の配下におかれたFBI諜報アナリストだった。同
人は、FBIの自動ケースサポートコンピュータシステム(Automated Case
Support computer system)にアクセスできる機密情報取扱許可を持っていたた
め、これを利用してフィリピンに関する文書にアクセスしていたとされており、
国家機密のセキュリティ文書をフィリピン関係者に渡していたことを認めた。
この裁判で、政府コンピュータの不正使用など、4つの容疑について罪を認め
ている。同人には4万ドルの罰金も科される。
http://newark.fbi.gov/dojpressrel/2007/nk071807.htm
http://www.cbsnews.com/stories/2007/07/18/national/main3070806.shtml
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=201200012
このケースの経緯:
http://cicentre.com/Documents/DOC_Aragoncillo_Timeline.html

【編集者メモ】(Shpantzer)
一緒に働いている仲間は信じたいと思うものだ。そのため、インサイダーによ
る脅威は、対策困難な問題である。米国家防諜執行部(NCIX:US National
Counterintelligence Executive)のディレクターはこのほど、民間セクター
に関するシンポジウムでインサイダーによる脅威を指摘し、民間セクターでの
対諜報対策の発展ぶりや、その機密情報の取り扱い方について触れた。
http://www.ncix.gov/publications/speeches/WELCOMING_REMARKS.pdf
────────────────

◆FBI スパイウェアを使って爆弾脅迫の影に潜む学生を特定(2007.7.18)

FBIは、リモートインストールしたスパイウェアを使って、爆弾脅迫の容疑者
に関する情報を収集した。裁判所命令を得て、コンピュータおよびインターネ
ットプロトコル検証装置(CIPAV:Computer and Internet Protocol Address
Verifier)を容疑者のMySpaceアカウントにインストールし、このスパイウェア
で容疑者のコンピュータに関する情報やアクセスログを入手。最終的に、高校
生が逮捕され、爆弾脅迫およびその他の違法行為で少年院に三ヶ月収容される
ことになった。FBIエージェントの供述書によれば、VIPAVの詳細は機密となっ
ている。インスタントメッセージを介してスパイウェアがインストールされた
可能性が高いが、実際のインストール方法は定かでない。これまでは、容疑者
のコンピュータにキーストロークロガーをインストールする際、警察は物理的
に当該コンピュータにアクセスしなければならなかった。
http://news.com.com/8301-10784_3-9746451-7.html?part=rss&subj=news&tag=2547-1_3-0-20
http://www.wired.com/politics/law/news/2007/07/fbi_spyware?currentPage=all
http://blog.wired.com/27bstroke6/2007/07/fbi-spyware-how.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9027418&source=rss_topic17

【編集者メモ1】(Schultz)
このような形で、警察がスパイウェアを利用したり、新しい高度なインストー
ル方法を用いたりすることは避けられないだろう。一方、このような理由での
スパウェア使用の合法性を問題視する声も高まっているため、この問題が絡ん
だ裁判も今後増えてくるだろう。
【編集者メモ2】(Boeckman)
Ubuntu Live CDを終了すれば、この種のスパイウェアに騙されることはなく、
操作も簡単だ。取るに足らないことであるため、この件が「間抜けな犯罪者の
検挙」で終わってしまう可能性もある。MySpaceを使用して爆弾脅迫をするよ
うな者が、この「間抜けな犯罪者」に分類されることは間違いない。
────────────────

◆iPhoneの脆弱性で アタッカー制御を奪う(2007.7.23)

ある3人組が、iPhoneに「デバイスの制御を奪うために悪用できる」欠陥を発
見し、この欠陥についてApple Computerに問い合わせた。彼らは、この欠陥に
対処できるパッチをリリースすることを推奨し、そして「この電話には堅牢な
セキュリティ対策があるものの、一度ホールを見つけてしまえば、完全に制御
を奪うことができる」ことを告げた。3人のうち1人は、8月に開かれるとある
カンファレンスで、この脆弱性についての追加情報を公表する見込み。アタッ
カーが一度デバイスの制御を奪えば、その電話で通話したり、保存されたデー
タにアクセスしたり、盗聴装置として使用したりできるようになる。この欠陥
は、悪意あるサイトか、もしくはman-in-the-middleアタックにおいて悪用さ
れるが、ユーザー自身が悪意ある無線アクセスポイントに行かなくてはならな
い。この3人は、全てのプロセスが管理者権限で運用できることも確認してい
る。つまり、アタッカーがアプリケーションのどれを侵害しても、デバイスへ
の完全なアクセスを獲得できる。
http://www.nytimes.com/2007/07/23/technology/23iphone.html?_r=1&oref=slogin&pagewanted=print
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9027560&source=rss_topic17

【編集者メモ】(Pescatore)
この記事からは、企業側の懸念は感じられないかもしれない。しかしながら、
iPhoneを社内のメールシステムに接続すること自体、非常に簡単だ。社員が
「禁止」ポリシーを無視してiPhoneを密かに使用してしまう状態に発展しかね
ない。全ての未熟なソフトウェア同様、今後多くの脆弱性が見つかるだろう。
Appleは企業向けのサポート機能を提供し、脆弱性管理やデータ保護の提供範
囲に、iPhoneも含む必要がある。
────────────────

◆標準Windowsデスクトップ設定のイメージ 来月上旬発表(2007.7.16-23)

米政府局用のWindows標準設定のテストイメージが、8月上旬に発表される。こ
れはもともと、行政予算管理局が3ヶ月以上前の4月20日を期日としていたもの
だ。米国立標準技術研究所(NIST)は、バーチャルPCとバーチャル・セキュリテ
ィ設定をリリースする。これにより、各政府局は、所属システム内で問題なく
運用可能な環境の下、アプリケーションをテストできる。しかし、Windows デ
スクトップイメージの発表に遅れが生じたため、2008年2月に予定された各政
府局の導入期日には間に合わない可能性が高い。
http://www.gcn.com/print/26_18/44694-1.html?topic=security&CMP=OTC-RSS
http://www.fcw.com/article103221-07-16-07-Print&printLayout
────────────────

◆米司法省 高度なID情報窃盗に対する法を提案 (2007.7.20)

米司法省(DoJ)は、議会に「Enforcement and Restitution Act of 2007」と題
した新たなID盗難対策法案を提案した。この法案では、現存のID情報窃盗法お
よび加重ID情報窃盗法の適用範囲を拡大し、組織や個人からデータを盗んだ者
を起訴できるようにしている。ID情報が盗まれたことによって生じた問題の解
決に時間と費用をかけた者に対する賠償金についても言及している。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=201200149

【編集者メモ】(Schultz)
この法案は、身元詐称詐欺との戦いにおいて非常に重要な意味を持つ。しかし
ながら、公共の福利に影響を与えうるこのような問題について、ここ数年来、
米国議会が幾度となく行ってきた投票の結果を振り返れば、この法案が可決さ
れることは期待できない。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年7月24日配信 Vol.6 No.30)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品            1
サードパーティWindowsアプリ         5(#1,#4)
Mac OS                    1
Linux                    5
クロスプラットフォーム           19(#2,#3)
Webアプリ…XSS                3
Webアプリ…SQLインジェクション       18
Webアプリケーション             13
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週の最も重大な新脆弱性は、OracleとTrillian(AIM、ICQ、MSN、Yahoo
MessengerおよびIRCをサポートするインスタントメッセージ・クライアント)
に発見された。Trillianの欠陥には概念実証コードがリリースされたが、Tri-
llianの販売企業であるCerulian Labsは、この欠陥の存在をまだ認めていな
い。Oracleの欠陥には、リモートのコード実行脆弱性、SQLインジェクション、
クロスサイトスクリプティング、情報開示脆弱性などがある。Computer Asso-
ciateのセキュリティツールやバックアップツール、Firefoxにも、新たに脆
弱性が複数発見された。

Oracleが今週発表した欠陥は、Microsoft以外のソフトウェア企業の中では最
も多かったものの、Oracleは安全なプログラミングツール(特に、自社のプロ
グラマーの安全なプログラミングスキル)の改善に邁進しているようだ。安全
なコーディングプログラム(secure coding programs)を導入している150社以
上の企業が3週間後にワシントンに集結する。アプリケーションセキュリティ
サミット(Application Security Summit)の日程情報と参加登録はこちら:
http://www.sans.org/appsummit07
────────────────

1.危険度【重大】:Cerulean Studios TrillianのURI処理に脆弱性

<影響のある製品>
Cerulean Studios Trillian 3.1.6.0以前のバージョン

<詳細>
Cerulean Studios Trillianは、Microsoft Windows用のマルチプロトコル・イ
ンスタントメッセージ・クライアントとして広範囲で使用されている。しかし、
Cerulean Studios TrillianのURI処理には、複数の欠陥がある。Trillianは、
aim:"や"aim:"を含むURIなど、複数のURIスキームに自身をハンドラーとして
登録して、AOLインスタントメッセンジャー・セッションを起動するのに使用
される。このスキームを使って過剰に長くなるようにURIが細工され、Trilli-
anにそれが引き渡されると、コマンド実行脆弱性やバッファオーバーフロー
脆弱性が引き起こされる。どちらの場合にしても、Webページやメールが細工
されると、現在のユーザー権限で任意のコードが実行されてしまう事態に発展
しうる。設定によっては、リンクがクリックされた際にTrillianがURI処理を
呼び出しているという通知がユーザーに発せられない場合もある。これらの脆
弱性の部分的な技術的詳細、および概念実証コードが公表されている。

<現状>
Cerulean Studiosはこの問題を認めておらず、更新もまだリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Nate Mcfetersによる掲示
http://www.xs-sniper.com/nmcfeters/Cross-App-Scripting-2.html
製品のホームページ
http://www.ceruleanstudios.com/
SecurityFocus BID
http://www.securityfocus.com/bid/24927
────────────────

2.危険度【重大】:Oracle製品に複数の脆弱性

<影響のある製品>
複数のOracle製品(以下を含む):
Oracle Enterprise Search
Oracle PeopleSoft Enterprise PeopleTools
Oracle PeopleSoft Enterprise Human Capital Management
Oracle PeopleSoft Customer Relationship Manager
Oracle Databaseのバージョン9iおよび10g
Oracle eBusiness Suite
Oracle Application Server

<詳細>
Oracleは、2007年7月期の重大なパッチ更新をリリースした。この更新で対処
された欠陥には、リモートのコード実行脆弱性、SQLインジェクション脆弱性、
クロスサイトスクリプティング、情報開示脆弱性などがある。これらの脆弱性
の悪用が実現すれば、データベースユーザー権限で、任意のコードやSQLクエ
リを実行できるようになってしまう。インターネットに直結しているWebサー
バか、もしくは他の公共で利用できるシステムでSQLインジェクションアタッ
クを仕掛けられると、認証が与えられる可能性もある。

<現状>
Oracleはこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが回帰テストを行っているか、影響の範囲を特定する検
査やレビューを行っているところ。ほとんどの企業は、四半期ごとに行われる
Oracle更新プロセスに合わせて、これらの欠陥に対処する見込み。

<参考>
Oracleの重大なパッチ更新
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2007.html
Red Databaseセキュリティチームのアドバイザリ
http://www.securityfocus.com/archive/1/473997
http://www.securityfocus.com/archive/1/474002
http://www.securityfocus.com/archive/1/474000
Team SHATTERのセキュリティアラート
http://www.securityfocus.com/archive/1/474047
Impervaのセキュリティアドバイザリ
http://www.imperva.com/application_defense_center/papers/oracle-ebs-07172007.html
SecurityFocus BID
http://www.securityfocus.com/bid/24887
────────────────

3.危険度【高】:Mozilla製品に複数の脆弱性

<影響のある製品>
Mozillaスイートをベースにした製品(以下を含む):
Mozilla Firefox versions 2.0.0.5以前のバージョン
Mozilla Thunderbird 2.0.0.5以前のバージョン
Mozilla Seamonkeyも脆弱であると考えられているが、今のところ、確認はと
れていない。

<詳細>
Mozilla FirefoxのWebブラウザには、複数の脆弱性がある。JavaScriptスクリ
プト(もしくは、ほかのDOMスクリプティングメソッド)処理に欠陥があり、こ
の欠陥によって、悪意あるWebページが現在のユーザー権限で任意のコードを
実行、もしくはクロスサイトスクリプティングを実行できるようになってしま
う。Mozilla Thunderbirdメールクライアントも、メールメッセージのJava
Scriptスクリプトを実行するように設定されると脆弱になるようだ。これは、
Thunderbirdのデフォルト設定ではない。影響を受ける製品はオープンソース
であるため、これらの脆弱性の技術的詳細はソースコードを分析すれば入手で
きる。

<現状>
Mozillaはこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のほとんどが、Firefoxを正式にサポートしていない。しかし
ながら、企業内のFirefoxユーザーは増加の一途をたどっている。ユーザーの
ほとんどは、自動更新機能を有効にしているようだ。ユーザーへは、確実に更
新が行われているかどうか確認するため、この問題について通知される見込み。

<参考>
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2007/mfsa2007-25.html
http://www.mozilla.org/security/announce/2007/mfsa2007-21.html
http://www.mozilla.org/security/announce/2007/mfsa2007-19.html
http://www.mozilla.org/security/announce/2007/mfsa2007-18.html
SecurityFocus BID
http://www.securityfocus.com/bid/24946
────────────────

4.危険度【高】:Computer Associatesのアラート通知サーバに複数のバッファ
  オーバーフロー脆弱性

<影響のある製品>
企業用 CA Threat Manager
企業用 CA Anti-Virus
CA Protection Suites
BrightStor ARCserve Backupのバージョンr11.5
BrightStor ARCserve Backupのバージョンr11.1
Windows 用BrightStor ARCserve Backupのバージョンr11
BrightStor Enterprise Backupのバージョンr10.5
BrightStor ARCserve Backupのバージョン9.01
Windows用BrightStor ARCserve Clientのエージェント

<詳細>
Computer Associatesのアラート通知サーバは、複数のComputer Associatesの
製品に含まれており、イベントの通知を受け入れるときに使われる。このサー
バは、MS-RPCインタフェースをエクスポートする。このインタフェースを介し
て外部に晒されている複数の手順に、バッファオーバーフローが生じる。これ
らの手順に向かうリクエストが細工されると、バッファオーバーフローのうち
のどれかが悪用されてしまう。この悪用が実現すると、脆弱なプロセス(たい
ていの場合SYSTEM)権限で任意のコードを実行できるようになってしまう。Win
-dows 2000システムでは、これらの脆弱性の悪用に認証は一切必要ないので注
意が必要だ。ほかのWindowsシステムでは認証が必要である。

<現状>
Computer Associatesはこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は最良の対策を打ち出すべく、影響について現在調査を行っている。

<参考>
Computer Associatesのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/474154
iDefenseのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/473984
SecurityFocus BID
http://www.securityfocus.com/bid/24947

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。