NRI Secure SANS NewsBites 日本版

Vol.2 No.35 2007年9月3日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.2 No.35 2007年9月3日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2007 Autumn
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2007年11月5日~10日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!(10月29日まで)
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
ぜひ今からご計画を!

■■SANS NewsBites Vol.9 No.67-68(原版:2007年8月25日、8月29日)

◆調査:モバイルワーカー セキュリティはIT部門にまかせっきり
  (2007.8.21-23)

Cisco Systemsと全米サイバーセキュリティ同盟(National Cyber Security
Alliance)が共同で行った調査によると、無線利用モバイルワーカーのほとん
どが、セキュリティをIT部門の仕事と心得ているようだ。回答者の44%が、正
体不明か、もしくは疑わしい送信者からのメールや添付ファイルを開くと答え
ており、3分の1の人が未認証のワイヤレス接続を使用するという。調査の対象
となった700人のモバイルワーカーのうちの多くは、セキュリティ問題および
ベストプラクティスを考えることもたまにあると答えたが、4分の1以上は、そ
のような問題について、ほとんど考えたことがないと答えている。彼らは、業
務をこなすのに忙しいため、セキュリティはIT部門が対処すべきだと述べてい
る。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=201801429
http://www.theregister.co.uk/2007/08/23/mobile_security_survey/print.html

【編集者メモ1】(Skoudis)
非常に残念だ。内在するテクノロジーがいくら完璧でも、ユーザーが何もわか
っていなければ、その効果は薄れてしまう。もったいない。ユーザーの認識を
高める道のりは苦しいものになりそうだ。
【編集者メモ2】(Schultz)
従来のコンピュータシステムを使用するユーザーに対して同じような調査を行
い、同じ質問をしたとしても、似たような結果になったことだろう。残念なこ
とに、ここ数年、ユーザーにセキュリティのトレーニングや認識が浸透してい
るとはあまり言えない。
【編集者メモ3】(Pescatore)
この調査に、「セキュリティベンダーとセキュリティベンダーが働きかけてい
る組織によって行われた調査である」という免責文言を付けたとしても、この
調査の結果は真実を適度に反映できている。人間は希望を持って生きる種であ
り、痛い結末を迎えるまでそうあり続けるだろう。ユーザーはたいてい何かを
クリックしたり、ダウンロードしたりすれば、何かいいことが起きると期待す
るものだ。それは、スロットマシンをやったり、宝くじを買ったりすると、何
かいいことが起きると期待する感じに似ている。自宅のPCは、職場で管理され
ているPCに比べると、セキュリティの観点からは悲惨なものである。しかし、
これら2種類のPCを使用しているのは同じ人間だ。違いといえば、ITセキュリ
ティがきちんと施されているか否かである。
【編集者メモ4】(Ullrich)
どうしてユーザーが、IT部門にセキュリティをまかせていてはならないのか?
我々(IT/セキュリティ専門家ら)が、オフィスの人間にセキュリティを気にか
けてもらおうなど、それはあてにしすぎというものだろう。まあ、せめてPCを
放置したまま席を外さないようにはしてほしいが、それ以外は我々の仕事だ!
────────────────

◆調査:ネットワークの暗号化 広範囲で使用されておらず(2007.8.21-23)

ITディレクターおよびその他のセキュリティ専門家ら1,200人に対して調査を
行ったところ、英国企業の34%が、暗号化している社内のネットワーク通信は
全体の4分の1以下だと答えている。ネットワーク通信の保護をまったく行って
いない組織件数は、2006年の6%から1%減で5%だった。暗号化やその他のセ
キュリティ対策をネットワーク通信に施している組織の総数は、実際のところ
昨年より少なくなった。
http://www.vnunet.com/vnunet/news/2197101/unencrypted-networks-data
────────────────

◆Monster.comのユーザー フィッシングと脅迫のターゲットに
  (2007.8.21-23)

サイバー窃盗犯が、盗んだクレデンシャルを用いてMonster.com(仕事検索サ
イト)の雇用主セクションにアクセスしていた。同セクションに入りこみ、こ
のサイトのユーザーの個人情報を何十万件も盗み出したという。盗まれた情報
は、氏名、住所、メールアドレスなどで、リモートのサーバにアップロードさ
れていた。Monster.comは、このサーバをなんとかシャットダウンすることが
できたようだ。Monster.comのユーザーは、口座情報を入力させようと誘い込
むフィッシングメールを受け取っていたという。これらのメールには受信者の
個人情報も記載されており、メールがより正当なものであるかのように見せか
けられていた。メールには、受信者に"Monster Job Seeker Tool"をダウンロー
ドするようすすめる文が掲載されていたが、実際のところ、そのツールはファ
イルを暗号化し、その暗号を解くかわりに金銭を要求するという脅迫メッセー
ジを残すプログラムだった。盗まれた情報のあったサーバには、160万件の記
録があったが、中には、同一人物に関する記録の重複や、単なる複製も含まれ
ていたという。
インターネットストームセンター:
http://isc.sans.org/diary.html?storyid=3295および
http://isc.sans.org/diary.html?storyid=3303
http://news.bbc.co.uk/2/hi/technology/6956349.stm
http://www.washingtonpost.com/wp-dyn/content/article/2007/08/22/AR2007082202625_pf.html
http://www.infoworld.com/archives/emailPrint.jsp?R=printThis&A=/article/07/08/23/Monster-shuts-down-rogue-server_1.html
【編集者メモ】(Honan)
犠牲者の中には、職場のPCからMonsterのWebサイトにアクセスしていた人も多
いだろう。したがって、個人の情報だけでなく、企業のログイン情報も漏えい
したかもしれない。
────────────────

◆米公正取引委員会 スパムの裏に潜む企業を対象に訴状(2007.8.27)

裁判官が、Sili Neutraceuticals社とそのオーナーのBrian McDaidに対し、ハ
ーブの減量錠剤広告を掲載したスパムメッセージをやめるよう一時差し止め命
令を発行した。この命令は、米公正取引委員会(FTC:Federal Trade Commission )
の申し立てを受けて下された。FTCは、スパム送信を有償で依頼している企業
に対して苦情を申し立てており、このFTCの行動は歓迎されている。他のケー
スでは、迷惑広告メールを送信している企業自体が訴えの対象になっているこ
とがほとんどだった。本件の公聴会は8月27日に予定されており、判事はFTCの
調査が完了するまでの間、同社の資産を凍結するか否か判断を下す見込みだ。
http://www.securecomputing.net.au/news/90644,ftc-files-complaint-against-weightloss-pill-spammer.aspx
────────────────

◆判事 データ侵害事件に関する団体訴訟を棄却(2007.8.23-27)

米連邦控訴裁判所は、Old National Bancorpに対する集団訴訟を棄却した。判
事によれば、Old National Bancorpで発生した侵害事件でデータを侵害された
人々が、同侵害事件と直接結びけられるような損失が所有口座で発生した根拠
を提示できなかったため、また、彼ら自身やそれ以外の人々が、この侵害事件
の犠牲になったという事実を主張できなかったため、この判定に至ったという。
インディアナ州法下で損害賠償訴訟を起こすには、実際に損害が発生していな
くてはならず、予想される損害をもとに訴訟を起こすことはできないのである。
http://arstechnica.com/news.ars/post/20070827-identity-theft-alone-not-enough-for-class-action-lawsuit.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9032778&pageNumber=1
http://blog.wired.com/27bstroke6/2007/08/federal-court-s.html
http://blog.wired.com/27bstroke6/files/5W1FFXPR.pdf
【編集者メモ】(Pescatore)
なんというおかしな考え方だ。実際に損害が発生していなければ、訴訟が起こ
せない?
集団訴訟がセキュリティ関連の支出を後押しする一般的な方法だということは
わかるが、情報漏えい事件によって生じる費用は高く見積もられすぎるきらい
があり、セキュリティマネージャ(やベンダーのマーケティング担当者)をも
あわてふためかせる事態となりがちである。このような誇張は避けた方がよか
ろう……。
────────────────

◆米政府 セキュリティ投資の投資利益率(ROI)を実証する尺度が必要
  (2007.8.27)

米国防省関係者によると、国防省情報保証ログラム(Information Assurance
Program)のために十分な資金を確保するのは難しいという。政府ネットワーク
へのアタックがますます頻発しているにもかかわらず、情報セキュリティ用の
資金を申請する者は、その金額によってどれだけの投資利益が得られるかを実
証するよう追い詰められているようだ。元国防ネットワークおよび国防情報統
合補佐官のLinton Wells氏は、情報保証プログラムの価値を実証できるのは危
機発生時だけであるため、同プログラムのROI(投資回収率)を実証できる尺
度を作成する必要性を認識している。
http://www.fcw.com/article103584-08-27-07-Print&printLayout
【編集者メモ】(Northcutt)
セキュリティの管理責任者が口にする問題の中で最大かつ唯一の問題は、「上
層部のマネージャからどのように資金をひき出すか」であるように思われる。
個人的には、多額の資金を得たからと言って、多くの問題が軽減されるとは思
わない。資金の使い方を誤ってしまう場合がしばしばあるからだ。政府に対す
る販売事業を行っている方には、この記事は見逃せない。たとえ重要人物の氏
名だけを知っておくためだけだとしても必読だ。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年8月28日 Vol.6 No.35)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
サードパーティWindowsアプリ           9 (#1,#5)
Mac OS                     2
Linux                      5
Solaris                     2
Unix                      1
Novell                     1
クロスプラットフォーム             19(#2,#3,#4)
Webアプリ…XSS                 6
Webアプリ…SQLインジェクション         6
Webアプリケーション              10
ネットワークデバイス              5
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

セキュリティとバックアップ製品(トレンドマイクロとLegato)に、今週重大な
脆弱性が複数発見された。しかし実際とのところ、バックアップおよびセキュ
リティ製品の脆弱性の数は、他の製品より多かったわけではない(そのように
見えてしまうが)。どちらかというと、これらの製品は、高い権限での運用に
偏在するものでありながら、多くの組織が定期的な更新を行うことができてい
ないため、ターゲットになったきらいがある。特にバックアップ製品の場合、
そこには組織の重要資産があるわけだ。連邦政府局やその他の組織で、バック
アップ製品にある脆弱性を悪用した侵入事件が発生していることも判明した。
────────────────

1.危険度【重大】:トレンドマイクロのさまざまな製品に複数の脆弱性

<影響のある製品>
トレンドマイクロServerProtect
トレンドマイクロAntiSpyware

<詳細>
トレンドマイクロServerProtectおよびトレンドマイクロAntiSpywareは、それ
ぞれ、アンチスパイウェアおよびアンチウィルスソリューションとして広範囲
で使用されているが、複数の脆弱性がある。ServerProtect製品は、Microsoft
のRPC機能を介して、複数のRemote Procedure Call(RPC)インタフェースをエ
クスポートするが、それぞれのインタフェースにはバッファオーバーフローア
タックに脆弱な機能がいくつかある。また、アンチスパイウェア製品のファイ
ル名処理(ファイル名が長い場合)にもバッファオーバーフローの脆弱性があ
る。脆弱なRPC機能を呼び出したり、長いファイル名のファイルを作成(例え
ば、細工したファイルをメールに添付したりオープンネットワークの共有を通
じて)したりすれば、これらの脆弱性のどれかを引き起こせるようになってし
まう。脆弱性のうちどれかひとつでも悪用が実現すれば、脆弱なプロセス権限
(SYSTEM権限の場合が多い)で、任意のコードを実行できるようになってしま
う。これらの脆弱性の技術的詳細が、部分的に公表されている。

<現状>
トレンドマイクロはこの問題を認めており、更新をリリースしている。可能で
あれば、TCP5168番ポートおよび3628番ポートへのアクセスをネットワーク境
界でブロックすれば、このRPC脆弱性の影響を軽減できる。

<参考>
iDefenseのアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=587
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=588
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=586
トレンドマイクロのセキュリティアドバイザリ
http://www.trendmicro.com/ftp/documentation/readme/spnt_558_win_en_securitypatch4_readme.txt
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1035845
トレンドマイクロのホームページ
http://www.trendmicro.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/25396
http://www.securityfocus.com/bid/25395
────────────────

2.危険度【重大】:EMC Legato Networkerのリモート実行サービスにバッファ
  オーバーフローの脆弱性

<影響のある製品>
EMC Legato Networkerのバージョン7.x.x

<詳細>
EMC Legato Networkerは企業用バックアップソリューションとして広範囲で使
用されている。しかし、EMC Legato NetworkerのSun RPC(ONC-RPCとも呼ばれ
る)リクエスト処理には、バッファオーバーフローの脆弱性がある。この製品
は、これらのRemote Procedure Call(RPC)インタフェースを介して、複数のプ
ロシージャをエクスポートする。"NSREXECD.EXE"プロセスによってエクスポー
トされるサービスコールが細工されると、バッファオーバーフローが引き起こ
される。脆弱性のうちどれかひとつでも悪用が実現すれば、脆弱なプロセス権
限で、任意のコードを実行できるようになってしまう。これらの脆弱性の技術
的詳細が、部分的に公表されている。

<現状>
EMCはこの問題を認めており、更新をリリースしている。影響を受けるサービ
スは、任意のポートで動作できるので注意が必要だ。動作しているポート番号
は、TCP111番ポート上のstandard portmapperサービスを通じてretrieveでき
る。問題のポートへのアクセスをネットワーク境界でブロックすれば、この脆
弱性の影響が軽減できる。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-049.html
ONC-RPC についてのWikipediaの説明
http://en.wikipedia.org/wiki/Open_Network_Computing_Remote_Procedure_Call
ベンダーのホームページ
http://www.emc.com/
SecurityFocus BID
http://www.securityfocus.com/bid/25375
────────────────

3.危険度【高】:モトローラTimbuktuに複数の脆弱性

<影響のある製品>
モトローラTimbuktu 8.6.5までのバージョン

<詳細>
モトローラTimbuktuは、いろいろなOS仕様のリモート・デスクトップアクセス
・アプリケーションで、VNCやMicrosoftリモートデスクトップに類似している。
しかし、この製品の"send"リクエストには、ディレクトリ・トラバーサル脆弱
性があり、任意のファイルの書き込みが行われてしまうおそれがある。また、
アプリケーションやログインのリクエスト処理にも、バッファオーバーフロー
の脆弱性がいくつかある。このバッファオーバーフロー脆弱性を悪用するのに
認証は必要ない。ゲストアカウントからのアクセスであっても、デフォルト設
定のままでも、このディレクトリ・トラバーサル脆弱性を悪用するには十分で
ある。いずれにしても、これらの脆弱性の悪用が実現すれば、SYSTEMもしくは
ルート権限で任意のコードを実行できるようになってしまう。これらの脆弱性
の技術的詳細が、部分的ではあるが公表されている。

<現状>
モトローラは、この問題を認めており、更新をリリースしている。

<参考>
iDefenseアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=589
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=590
製品のホームページ
http://netopia.com/software/products/tb2/
SecurityFocus BID
今のところリリースされておらず
────────────────

4.危険度【高】:Real Networks Helix DNAサーバのRTSPにバッファオーバー
  フローの脆弱性

<影響のある製品>
Real Networks Helix DNAサーバ11.1.4 までのバージョン

<詳細>
Helix DNAサーバは、オープンソースストリーミングメディア・サーバである。
Helix DNAサーバのReal Time Streaming Protocol(RTSP)リクエスト処理には、
バッファオーバーフローの脆弱性がある。リクエストが、複数の"Require"ヘ
ッダを含む形に細工されると、このバッファオーバーフロー脆弱性が引き起こ
される。そして、脆弱なプロセス権限で任意のコードを実行できるようになっ
てしまう。Helix DNAサーバは、いろいろなプラットフォームで運用されてお
り、Linuxのさまざまなディストリビューションに同梱されている。Helix DN
Aサーバには、他のReal Networks製品と同じコードがいくつかある。そのため、
他にも脆弱な製品が存在する可能性がある。この脆弱性の技術的詳細が、アド
バイザリに公表されている。また、ソースコードを分析して詳細を入手するこ
とも可能だ。

<現状>
Real Networksはこの問題を認めており、更新をリリースしている。

<参考>
Muのセキュリティアドバイザリ
http://labs.musecurity.com/wp-content/uploads/2007/08/mu-200708-01.txt
RTSPについてのWikipediaの記事
http://en.wikipedia.org/wiki/RTSP
製品のホームページ
http://www.realnetworks.com/products/media_delivery.html
SecurityFocus BID
http://www.securityfocus.com/bid/25440

5.危険度【高】:eCentrex VoIP ClientのActiveXコントロールにバッファオ
  ーバーフローの脆弱性

<影響のある製品>
eCentrex VoIP Client ActiveXコントロール2.0.1までのバージョン

<詳細>
eCentrexはVoice-over-IP(VoIP)ソリューション開発で有名な企業である。e-
Centrex製品のいくつかには、eCentrex VoIPクライアントのActiveXコントロ
ールがインストールされているが、このコントロールの"ReInit"メソッドには、
バッファオーバーフローの脆弱性がある。このコントロールをインスタンス化
するWebページが細工されると、このバッファオーバーフローを引き起こし、
現在のユーザー権限で任意のコードが実行されるようになってしまう。この脆
弱性の技術的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。Microsoft
の"kill bit"機能を"BD80D375-5439-4D80-B128-DDA5FDC3AE6C"に設定して問題
のコントロールを無効にすれば、これらの脆弱性の影響を軽減できる。しかし、
そうすると通常の機能に影響を及ぼす可能性があるので注意が必要だ。

<参考>
Secuniaのアドバイザリ
http://secunia.com/advisories/26525/
概念実証コード
http://milw0rm.com/exploits/4299
Microsoft知識ベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/25383
────────────────

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。