NRI Secure SANS NewsBites 日本版

Vol.2 No.33 2007年8月20日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.33 2007年8月20日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2007 Autumn
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2007年11月5日~10日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!(10月29日まで)
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
ぜひ今からご計画を!

■■SANS NewsBites Vol.9 No.63-64(原版:2007年8月11日、8月15日)

◆米ブッシュ大統領 通信傍受権限を拡大する法を成立させる(2007.8.6)

米ジョージ.W.ブッシュ大統領は、米政府の通信傍受権限の範囲を拡大する法
に調印し成立させた。この新通信傍受法は、国際通話やメールなども対象に含
み、行使にあたって令状が必要ないという。突き詰めると、国家安全保障局
(NSA)プログラムを合法化していることになる。NSAプログラムでは、外国諜報
活動監視法(FISA:Foreign Intelligence Surveillance Act)の範囲外である
にもかかわらず、諜報局が令状のないまま監視活動を行っていた。通信傍受は、
NSAが諸外国の情報を入手したい場合に行われる可能性があるという。米検事
長と国家情報長官は、通信傍受を承認できるようになり、電気通信事業者に対
してリクエストへの協力を強制できるようにもなったようだ。
http://news.com.com/2102-1029_3-6200914.html?tag=st.util.print

【編集者メモ1】(Schultz)
賛否両論が分かれる法だ。私も含め、一個人である者はみな、米政府がプライ
バシーを嗅ぎ回り、それを侵害できる権限がまた1つ増えたことに懸念を抱い
ている。そもそも、米警察やNSAが、過去にプライバシー関連のインシデント
で、何度も権限を乱用していたことが発覚している。このような時期に、通信
傍受できる権限をさらに1つ追加付与するのは、非常に愚かなことのように思
える。
【編集者メモ2】(Paller)
同法の侵害性についての厳しい抗議メッセージを他国からもいただいている。
────────────────

◆Chertoff氏 Real ID法一歩も譲らず(2007.8.8)

米国土安全保障省(DHS)長官のMichael Chertoff氏によると、Real ID法の導入
に関して困難な課題があることはわかっているが、このプログラムには大きな
意味があるので、その導入を見送ることはできないという。いくつかの州はす
でにこのReal ID法を導入しない姿勢を明らかにしている。DHSは、同法の導入
にかかる費用を、総計およそ230億ドルと推算している。
http://www.govexec.com/story_page.cfm?articleid=37703&dcn=todaysnews
────────────────

◆「浅はかな」CAN-SPAM法裁判の原告が裁判費用の支払いを命じられる
  (2007.8.8)

スパマーに対する裁判で敗訴した男性が、被告の裁判費用11万1,440ドルを支
払うよう命じられた。法廷は、James Gordonの裁判を「浅はか」と称している。
Omni Innovations LLCの所有者であるGordonは、CAN-SPAM法とワシントン州法
のもと、Virtumundo Inc.を訴えていた。しかし、今年の5月、シアトルの米地
方裁判所はGordonの意図に反し、「同人やその他のスパム受信者らには連邦
CAN-SPAM法下で訴訟を起こす資格はないため、この法で定められている『悪影
響を被る』状態とは見なされない」と判断した。この法で定められている『悪
影響を被る』状態の条件を満たすには、ISPは帯域幅やネットワークの遅延、
職員に対する需要の増加、および新しい機材の必要性があったことなどを実証
しなければならない。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9029679&intsrc=hm_list
────────────────

◆米国防総省 モバイルデータの暗号化を義務付ける(2007.8.13)

米国防総省のCIO John Grimes氏は、モバイルデバイスに保存されている機密
情報全ての暗号化を義務付けるメモを発行した。ここで定義されているモバイ
ルデバイスには、ノートパソコン、PDA、USBメモリ、CDなどのリムーバブルメ
ディアがある。このメモによれば、全てのモバイルデバイスは、米国立標準技
術研究所(NIST)の連邦情報プロセス基準140-2(Federal Information
Processing Standard 140-2)に従って暗号化されなければならないという。国
防総省副CIOのDave Wennergren氏は、「このメモにより、職場外にあるデバイ
スやメディアに保存された国防総省の全情報の保護が確実化できるようになる」
と述べている。
http://www.fcw.com/article103467-08-13-07-Print

【編集者メモ】(Pescatore)
7月3日付のこのメモでは、「国防総省のデータが機密外であっても、その公表
が承認されておらず、それがPDAやUSBメモリなどのモバイルデバイスに保存さ
れている場合は、その情報を暗号化しなくてはならない」という。確かに、こ
のような暗号化が切望される状態にある。何と言っても、軍の機密情報であり
ながら機密外扱いであった情報が保存されたUSBメモリの詰まった箱が、軍基
地の近隣のクリーニング屋にあったという事件が何件か報告されているくらい
なのだから…
────────────────

◆米政府局 行政予算管理局のポリシー導入に苦戦(2007.8.13)

2006年に復員軍人援護局(VA)で起きたセキュリティ侵害事件を受けて、行政予
算管理局(OMB)は多数のポリシーを発行したが、米政府局の多くは、それらの
ポリシーに追いつくのに苦戦している。VAで発生したセキュリティ侵害インシ
デントでは、退役軍人265万人の個人情報が行方不明となった。政府局のほと
んどが最も難しい必須条件と考えているのは、機密情報データベースから抽出
したコンピュータで読み取り可能な抽出データ全てについてログを取り、その
検証を行うことである。OMBの最近のメモによれば、各政府局は、公共でアク
セス可能な情報システムから社会保険番号を排除するプラン、およびデータ侵
害発生時に連邦政府当局に通知を行う手順について、9月21日までに報告をし
なければならないことになっている。
http://www.fcw.com/article103460-08-13-07-Print

【編集者メモ】(Pescatore)
データセキュリティに関するOMBのガイドラインの多くは、米国政府の既存ポ
リシーを繰り返しているにすぎない。それ以外のポリシーは、いろいろな政府
局で発生したインシデントを受けて、強く切望されていたものだ。
────────────────

◆ドイツのアンチ・ハッカー法施行で懸念(2007.8.13)

ドイツは、話題のアンチハッキング法を施行した。同法は、分散DoSアタック
や、データへの未承認アクセスの行為を違法としているため、それらの行為を
行った者は最高で10年の懲役が科せられるおそれがある。また、犯罪に利用さ
れる可能性のあるセキュリティツールを所有、作成、もしくは販売する行為も
違法と見なしている。この新法を正しく解釈すると、セキュリティ専門家が自
分のシステムや顧客のシステムをテストする際にセキュリティツールを使用し
た場合も犯罪者扱いされてしまう、との声も多い。同法施行を受けて、セキュ
リティ研究者の中には、ドイツベースのWebサイトを閉鎖し、オランダなど他
国に移動した人もいるようだ。
http://www.securityfocus.com/print/brief/567
http://www.computerworld.com/action/article.do?command=printArticleBasic&articleId=9030404
http://www.theregister.co.uk/2007/08/13/german_anti-hacker_law/print.html

【編集者メモ1】(Pescatore)
この懸念は過去に何度も浮上しており、その多くは事実無根だった。法は、無
遠慮な手段と言えるが、違法行為には必ず法的措置が必要なのもまた事実。判
例法が条文化されれば、おおかた(少なくとも高頻度で)健全な考え方が行き渡
るだろう。
【編集者メモ2】(Ranum)
毎年、「あの法でもこの法でも、我々が使うツールは違法になってしまう」と
いうぐだぐだした苦情がセキュリティ研究者から発せられている。そんなの●
●喰らえだ!!!!! 地方検事や検察官に、Nessusをコピーして使用したセキュ
リティ専門家を追及しようと思う人などいない。言語道断である。実際のとこ
ろ、研究者が本当に心配しているのは、彼らの術策やエクスプロイト売買の責
任を追及されることではないか。
【編集者メモ3】(Grefer)
セキュリティツールやハッカーツールの所有を違法化することで、犯罪者に対
して銃規制と同様の影響があるか? 否。犯罪的な意図を十分に持っている者
ならば、銃であろうがハッキングツールであろうが、手段を選ばず入手するだ
ろう。その一方で、善良な人間は法や秩序を守るうえで形勢不利である。愚か
な法は簡単に成立してしまうものだが、それを排除するのは困難だ。
【編集者メモ4】(Northcutt)
ドイツには、厳格なプライバシー法があることを忘れずに。IPアドレスから、
侵害に関連している主を追跡するのはきわめて難しい。最も興味深いのは、「
研究者の中には、Webサイトを他国に移した者もいる」という一文だ。合法的
な研究者がそうしたというのなら、5年先の将来がどうなっているかわかるだ
ろう。東欧の開拓色が薄くなり、EU色が強くなるのだ。そして、EU諸国による
ハッキング行為は、インドネシアやレソトが中心となって繰り広げられる。
────────────────

◆英貴族院 サイバー犯罪に対する政府措置強化を求める(2007.8.10)

英貴族院科学技術委員会は、「個人にとってのインターネットセキュリティ」
と題された121ページの報告書において、インターネットは今や「犯罪者の遊
び場」だと述べた。この報告書では、政府、インターネットサービスプロバイ
ダ、ハードウェア・ソフトウェアのメーカーなどの産業界の利害関係者に対し、
より一層の責任と、サイバー犯罪対策にもっと積極的になるよう求めている。
前述のあらゆる利害関係者は、サイバー犯罪に対して「自由競争主義」的姿勢
である(報告書ではそのように言及されている)ため、エンドユーザーは、オ
ンライン犯罪者からの防御において取り残されてしまうはめに陥っており、緊
急を要する措置が必要である。貴族院委員会の推奨策の中には、広範囲におよ
ぶものや物議をかもすものがある。セキュリティ欠陥から生じた損害に対し、
ソフトウェア・ハードウェアメーカーに法的責任を求める策や、米国の法に類
似しているデータ侵害開示法が設ける策も、そのうちの1つである。
http://www.theregister.co.uk/2007/08/10/lords_net_security_report/print.html
http://news.bbc.co.uk/2/hi/technology/6938796.stm
http://www.govtech.com/gt/130148?topic=117671
http://www.scmagazine.com/uk/news/article/731106/government-slammed-e-crime-report/
この報告書をご覧になりたい方はこちら:
http://www.publications.parliament.uk/pa/ld200607/ldselect/ldsctech/165/165i.pdf

【編集者メモ】(Schultz)
英貴族院科学技術委員会は、最も妥当なアプローチをとっていると言えよう。
ISPにはもっとプレッシャーをかける必要がある。なぜなら、インターネット
セキュリティにおける連結の弱さの原因は、主にISPにあるのだから。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年8月14 Vol.6 No.33)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
Windows                     1
その他のMicrosoft製品              4
サードパーティWindowsアプリ           3 (#2, #4)
Linux                      5
HP-UX                      1
Aix                       1
クロスプラットフォーム             14 (#3)
Webアプリ…XSS                 8
Webアプリ…SQLインジェクション         9
Webアプリケーション              18
ネットワークデバイス              2 (#1)
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Cisco IOSを搭載しているCisco製品や、EMCのVMware Workstationが、今週最
大の重大問題だったといえる。しかし、Symantec Norton Security製品やHP
OpenView製品もそれに近いものがあった。つまり、中規模から大規模サイズの
コンピュータを使用している世界中の組織は、今週これらの脆弱性の修正に追
われることとなったわけだ。
────────────────

1.危険度【重大】:さまざまなCisco製品に複数の脆弱性

<影響のある製品>
Cisco IOSを搭載しているCisco製品
Cisco Unified Communications Manager

<現状>
複数のCisco製品に、リモートで実行可能な脆弱性が含まれていることが判明。
CiscoのInternetwork Operating System(IOS)を搭載するCisco製品において、
Next Hop Resolution Protocol(NHRP)リクエスト処理やSecure Copy(SCP)リク
エストの承認に、複数の脆弱性が確認された。NHRPリクエストが細工されると
前者の脆弱性が悪用されてしまい、脆弱なシステムを完全な制御下に置いて任
意のコードを実行することが可能になってしまう。この脆弱性によって、アタ
ッカーに正式なクレデンシャルが付与されるため、問題のシステムからいかな
るファイルをも(システム設定もしかり)ダウンロードできるように、またそ
のシステムへファイルをアップロードすることもできるようになってしまう。
また、音声サービスが有効なIODを運用しているシステムや、Cisco Unified
Communications Manager(UCM)システムにおいては、さまざまな音声関連のプ
ロトコルやリクエストの処理に欠陥がある。悪意あるSession Initiation
Protocol(SIP)リクエストによって、この脆弱性が悪用されると、アタッカー
は脆弱なシステムを完全な制御下に置き、任意のコードを実行できるようにな
る。特に、その他の音声関連のプロトコルに細工されたリクエストが発せられ
ると、DoS(サービス停止)状態に陥るおそれもある。これらの脆弱性のいく
つかには、技術的詳細や概念実証コードが公表されている。

<現状>
Ciscoはこの問題を認めており、更新もリリースしている。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20070808-IOS-voice.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20070808-scp.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20070808-nhrp.shtml
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/25238.c
IOS、SCP、NHRPおよびSIPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Session_Initiation_Protocol
http://en.wikipedia.org/wiki/Next_Hop_Resolution_Protocol
http://en.wikipedia.org/wiki/Secure_copy
http://en.wikipedia.org/wiki/Cisco_IOS
SecurityFocus BIDs
http://www.securityfocus.com/bid/25238
http://www.securityfocus.com/bid/25239
http://www.securityfocus.com/bid/25240
────────────────

2.危険度【重大】:VMware ActiveXコントロールにリモートでコマンドを実行
  できる複数の脆弱性

<影響のある製品>
VMware Workstationのバージョン 6.0、およびそれ以前のバージョンも脆弱な
可能性あり

<詳細>
Intel設計をベースにしたシステム用のハードウェア・バーチャル化システム
として広範囲で使用されているVMware Workstationは、"VIELIB.DLL"をインス
トールするようになっている。しかし、このライブラリは、脆弱なActiveXコ
ントロールをいくつかエクスポートしてしまう。これらのActiveXコントロー
ルは、コマンドを運用するいくつかのメソッドに向かうインプットを正しく認
証できない。そのため、これらのコントロールをインスタンス化するWebペー
ジがこれらのメソッドを使用した場合、現在のユーザー権限で任意のコードを
実行できるようになってしまう。これらの脆弱性には、概念実証コードと完全
な技術的詳細が好評されている。

<現状>
VMwareは、この問題を認めていないため、更新もリリースしていない。以下
のCLSID:
7B9C5422-39AA-4C21-BEEF-645E42EB4529、
0F748FDE-0597-443C-8596-71854C5EA20A
に"kill bit"機能を設定して影響を受けるコントロールを無効にすれば、これ
らの脆弱性の影響を軽減できる。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/25131.html
http://downloads.securityfocus.com/vulnerabilities/exploits/25118.html
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BIDs
http://www.securityfocus.com/bid/25118
http://www.securityfocus.com/bid/25131
────────────────

3.危険度【高】:HP OpenView製品に複数の脆弱性

<影響のある製品>
HP OpenView製品

<詳細>
企業管理および監視に使用されるHP OpenViewアプリケーションの中の共有コ
ンポーネントには、複数の脆弱性がある。リモート・インプットや、ロギング
情報を正しく処理できないため、バッファオーバーフローの脆弱性が生じる。
これらの脆弱性の悪用が実現すると、脆弱なコンポーネント権限(root権限や
SYSTEM権限の場合も多い)で任意のコードを実行できるようになってしまう。
これらの脆弱性の技術的詳細が、部分的ではあるが公表されている。

<現状>
HPはこの問題を認めており、更新もリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=574
HPのセキュリティアドバイザリ
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01115068
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01114156
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01114023
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01112038
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01111851
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01110627
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01110576
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01109617
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01109584
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01109171
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01106515
製品のホームページ
http://openview.hp.com/
SecurityFocus BID
http://www.securityfocus.com/bid/25255
────────────────

4.危険度【高】:さまざまなSymantec Norton製品のActiveXコントロールにバ
  ッファオーバーフローの脆弱性

<影響のある製品>
"NACOMUI.DLL" ActiveXコントロールを使用する製品
このコントロールを使用している製品としては、以下の製品などがある:
Symantec Norton Antivirus 2006
Symantec Norton Internet Security 2006
Symantec Norton System Works

<詳細>
さまざまなSymantec Norton製品にインストールされている"NACOMUI.DLL" ラ
イブラリは、バッファオーバーフロー脆弱性のあるActiveXコントロールを2つ
エクスポートしてしまう。悪意あるWebページがこれらのコントロールのどち
らかをインスタンス化すると、問題のバッファオーバーフローが引き起こされ、
現在のユーザー権限で任意のコードが実行されるおそれがある。この脆弱性の
技術的詳細が、部分的ではあるが公表されている。任意のActiveXコントロー
ルをターゲットにした再利用可能なエクスプロイトコードが広範囲に出回って
おり、このコードはこれらのコントロール用に手軽に改変できてしまうので、
注意が必要だ。

<現状>
Symantecはこの問題を認めており、更新をリリースしている。Microsoftの
kill bit機能を介して影響を受けるコントロールを無効にすれば、この脆弱性
の影響を軽減できる。

<参考>
Symantecのセキュリティアドバイザリ
http://www.symantec.com/avcenter/security/Content/2007.08.09.html
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2007-53/advisory
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/24983

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。