NRI Secure SANS NewsBites 日本版

Vol.2 No.36 2007年9月10日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.2 No.36 2007年9月10日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2007 Autumn
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2007年11月5日~10日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!(10月29日まで)
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
ぜひ今からご計画を!

■■SANS NewsBites Vol.9 No.69-70(原版:2007年8月31日、9月4日)

◆TorrentSpy社 米IPアドレスをブロック(2007.8.27-28)

TorrentSpy社はユーザーのプライバシーを侵害するよりも、米国発信のIPアド
レスをブロックする方を選択したようだ。米裁判所はTorrentSpyに対し、ユー
ザーの行動に関する情報の入ったサーバ・ログの引渡しを命じる判決を下した。
米国映画協会(MPAA)は、TorrentSpy社が米著作権法に違反してユーザーにデジ
タルコンテンツをダウンロードさせていたとして訴えを起こし、この判決が下っ
た。MPAAは、ユーザーのIPアドレスや彼らがダウンロードしたファイルのリス
トが入ったログを要求している。しかし、TorrentSpy社はこのリクエストに二
の足を踏んでいる。同社は、「サーバ・ログはシステムメモリを通過している
だけで、恒久的に記録されていない」こと、また、「こういったトランジット
データを保存すれば、TorrentSpyのプライバシーポリシーに違反してしまう」
ことを理由に、要求に応じない姿勢を示した。電子フロンティア財団(EFF)は、
この判決が、組織に対してその組織自身のプライバシーポリシーに反した行為
を行わせるような判決の前例になってしまうのではないか、との懸念をあらわ
にしている。また、判事はTorrentSpyのWebサーバのRAMにIPアドレスが存在し
ていたことから、それらが「情報として電子的に保存された」と誤って推測し
たようだ。組織などに対してこのようなデータの保持を義務付けることは、通
話の内容を記録させることと同じである。
http://www.theregister.co.uk/2007/08/28/torrentspy_shuts_doors_to_america/print.html
http://www.vnunet.com/vnunet/news/2197496/torrentspy-blocks-users
http://www.securityfocus.com/columnists/450

【編集者メモ】(Schultz)
「著作権保護」VS「プライバシーの保護」のどちらをとるか、という戦いが継
続される中、これはとても重要な判決になるだろう。TorrentSpy社はこの判決
に対し、米国が発信源のIPアドレスそのものを明確にブロックするという対応
をとったが、これではMPAAに類似する他国の団体が同様の訴訟を起こすまでの
間の、単なるその場しのぎ的措置になりかねない。
────────────────

◆Westpac Bank 詐欺の場合に顧客に責任を負わせないことが慣例に
  (2007.8.29)

ニュージーランドのWestpac Bank によれば、オンライン詐欺で損失が生じた
場合、それは顧客の責任ではないという。この発表は、「顧客のコンピュータ
のセキュリティが十分でない場合、オンライン詐欺で生じた損失は顧客の責任
だ」と述べているニュージーランド銀行協会(New Zealand Bankers'
Association )のプラクティスとは正反対の見解である。 このプラクティスに
よって、銀行側は、詐欺の苦情があった際、顧客のコンピュータの検査権が与
えられていた。Westpacによると、顧客のコンピュータを検査する意向はない
うえに、顧客がマルウェアに感染しているコンピュータであることを知りなが
ら使用したり、コンピュータをオンにしたまま席を外したり、パスワードを書
き留めたり、他人に教えたりしていない限り、損失は銀行側が補填すると述べ
ている。
http://www.nzherald.co.nz/section/story.cfm?c_id=5&objectid=10460455

【編集者メモ】(Schultz)
Westpac Bankよ、よくぞやった! 特に、顧客にかかるべき責任をほどほどに
示して線引きし、但し書きにしているところがよい。できれば、この銀行の決
定が、ニュージーランドの他銀行に雪だるま式効果を与えることを願いたい。
────────────────

◆自衛隊のデータ漏えい捜査で家宅捜索(2007.8.28)

日本政府と自衛隊幹部は、データ漏えい事件の証拠を押さえるため、海上自衛
隊 (JMSDF) の多数隊員の家宅捜索を行った。イージスミサイル防御システム
やその他の機密政府プロジェクトに関する情報が、今年3月以前に、政府コン
ピュータから漏えいされた模様。この漏えい事件は、まったく関係のない移民
関連の捜査中に発覚した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9033179&source=rss_topic17

【編集者メモ】(Northcutt)
この捜査で「自衛官学校も捜査対象になった」という報告も:
http://pcworld.about.com/od/privacysecurity1/Japan-military-school-raided-o.htm
Winnyファイル共有プログラムとなると、日本政府や海上自衛隊(JMSDF)は、い
とも簡単に自警できなくなるようだ。このような問題が発生したのは初めてで
はない。日本人もこの件にはかなりの懸念を示している。平和を望んでいなが
らも、生活が脅かされる可能性があるため、新型兵器に依存せざるをえないの
だ。下のイージスに関するユーチューブ動画を見れば、このシステムに関する
国民の考え方がよくわかる:
http://youtube.navi-gate.org/v/H9_tbmTnrjA/
────────────────

◆米の報告 6月に発生したペンタゴンのネットワークへのアタック発信源は
  中国 (2007.9.3)

米政府関係者は、今年6月に中国軍が米陸軍コンピュータにサイバーアタック
を仕掛けたことを認めた。国防長官Robert Gateのオフィスで使用されていた
コンピュータシステムの一部が、このアタック発生を受けてシャットダウンさ
れた。関係者は、中国人民解放軍(China's People's Liberation Army)が、こ
のアタックの裏に潜んでいることを示唆した。アタックの際にダウンロードさ
れたデータについての調査が、今も行われている。
http://www.ft.com/cms/s/0/9dba9ba2-5a3b-11dc-9bcd-0000779fd2ac.html

【編集者メモ】 (Ullrich)
残念なことに、中国が米政府システムにアタックを仕掛けていることも、シス
テム侵入に成功したことも、別に驚くには値しない。私は、こういったニュー
スが報道されるたびに、助けを求める悲痛な叫びを聞いているような気持ちに
なる。
────────────────

◆米 国家機密権限を行使してSWIFTの訴訟を中止させる可能性(2007.8.31)

米政府が、国家機密権限を行使して、ベルギーの国際バンキングコンソーシア
ム、SWIFTに対する訴訟の進展を阻止する可能性があるという証拠が出てきた。
国家機密権限が行使されるには、米国連邦検事長および諜報長官の両人が、こ
の裁判の進展によって国家の安全性が危ぶまれると認定しなくてはならない。
ブッシュ政権は、SWIFT訴訟にこの両人が関与してくるのは、対テロ戦争にとっ
て意味のあることだと述べている。SWIFTには米政府に対し、金融取引記録数
百万件を提供していた疑いがある。これについて、米国の顧客2人がSWIFTをプ
ライバシー侵害で訴えていた。
http://iht.com/articles/2007/08/31/america/swift.php
────────────────

◆ドイツ テロ容疑者に対するスパイウェア使用許可を求める
  (2007.8.30-9.3)

ドイツ政府は、テロ容疑者のコンピュータをトロイの木馬プログラムに感染さ
せようという計画を立てているが、市民の自由保護提唱者からの大きな非難を
浴びている。政府は、アンチ・テロ法の一部として、この戦略を承認するよう
求めている。容疑者に向けて、彼らのコンピュータに侵害を生じさせるメール
を送信して、政府が彼らの通信を監視できるようにしたいと考えているようだ。
ドイツの国務相Wolfgang Schaubleによれば、スパイウェアの使用は制限的に
行われるという。この計画の賛同者らは、トロイの木馬を含むメールは、各容
疑者用に特別に作成され、マルウェアは特別なデータの検索にしか使用されな
いと主張している。反対者らは、スパイウェアはそのように何かを特定して動
作させられるものではなく、政府が政府でない団体から発信されたように見せ
かけたメールを送信するのは許されないとして、引き下がらない。
http://www.theregister.co.uk/2007/09/03/german_trojan_plan/print.html
http://news.bbc.co.uk/2/hi/europe/6973018.stm
http://www.spiegel.de/international/germany/0,1518,502955,00.html
────────────────

◆ソニー USBドライブに厄介なソフトウェアがあることを認める(2007.9.3)

ソニーは、このほど、ソニー製USBドライブのいくつかに、セキュリティ上の
問題があることを認め、その詳細を公表した。問題のドライブには、隠れディ
レクトリをユーザーのコンピュータにインストールしてしまうソフトウェアが
あるという。このプログラムによって、アタッカーがコンピュータにアクセス
できるようになってしまうようだ。ソニーは、今後2週間以内に、修正プログ
ラムをリリースするという。影響のあるUSBドライブは、全モデル生産発売中
止となる。問題のソフトウェアは、「USBドライブ内の指紋検証機能に関係の
ある機密ファイルを隠す」目的で作成された。ソニーは、現在この問題を調査
中である。
http://news.bbc.co.uk/2/hi/technology/6975838.stm

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年9月4日 Vol.6 No.36)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1 (#3)
サードパーティWindowsアプリ           10 (#1, #2, #4)
Linux                      2
HP-UX                      1
Unix                       2
クロスプラットフォーム             23 (#5,#6)
Webアプリ…XSS                  7
Webアプリ…SQLインジェクション         10
Webアプリケーション               11
ネットワークデバイス               2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

@RISKにおける、Novell Netwareの掲載頻度が高くなってきている。Novell
Netwareは広範囲で使用されていないという前提は、もはや崩れてきている。
Netwareのレガシー実装を導入して役員スタッフをサポートし、産業スパイ活
動がやりやすい状態になっている組織があまりに多い。実際、MicrosoftのSMS
のような自動サービスを通じでパッチされていないシステムにアタックを仕掛
けるというトレンドが、全体として見られる。@RISK編集部は、手軽にパッチ
できないシステムを保護するための有効な手段に焦点を当てる新コーナーを考
えている。パッチされていないシステムやパッチできないシステムを保護する
システムまたはプロセスを実装した(もしくはそれを試みたり、処分したりし
た)経験のある方は、是非我々にご一報を。氏名と所属組織は絶対に漏えいし
ない。こちらまでどうぞ。apaller@sans.org

@RISKのこの新イニシアチブでお答えいただきたい質問はこちら:
(1)リスク軽減・防御の戦略についてどのようなレッスンがあれば、パッチ適
  用の重荷を軽減できるか? もしくは、どのようなレッスンが、パッチ不
  可な状況で役に立つか?
(2)所属組織が正式にサポートしていないソフトウェアに重大な脆弱性があっ
  た場合の対処法は?
(3)脆弱なアプリケーションやソフトウェアを運用しているシステムが、サポ
  ートされていない、もしくはスタンダードでない場合の対処法は?
────────────────

1.危険度【重大】:Novell NetWare Clientに複数の脆弱性

<影響のある製品>
Novell NetWare Client 4.91 Windows版SP4までのバージョン

<詳細>
Windows版Novell NetWare Clientは、システム上の Novell NetWareサービス
にアクセスを提供する際に使用される。しかし、このWindows版Novell
NetWare Client には、複数の脆弱性がある。このクライアントは、複数の
Remote Procedure Call (RPC)インタフェースをエクスポートする。これらの
インタフェースのいくつかに向かう値を正しく処理できないために、バッファ
オーバーフローの脆弱性が発生する。RPCリクエストが細工されると、これら
の脆弱性が悪用され、脆弱なプロセス権限で任意のコードを実行できるように
なってしまう。悪用する際に認証は必要ない。

<現状>
Novellはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaアドバイザリ
http://secunia.com/secunia_research/2007-57/advisory/
Novell更新情報
http://download.novell.com/Download?buildid=VOXNZb-6t_g~
SecurityFocus BID
http://www.securityfocus.com/bid/25474
────────────────

2.危険度【高】:Oracle JInitiator ActiveXコントロールに複数の脆弱性

<影響のある製品>
Oracle JInitiator ActiveXコントロール1.1.8.16 までのバージョン

<詳細>
Oracle JInitiator ActiveXコントロールを使えば、Microsoft Internet
Explorerで、Oracle Developer Serverアプリケーションを実行できるように
なる。しかし、このコントロールには、複数のバッファオーバーフローの脆弱
性がある。悪意あるWebページがこのコントロールをインスタンス化すると、
これらの脆弱性が悪用され、現在のユーザー権限で任意のコードが実行される
ようになってしまう。

<現状>
Oracleはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能をCLSID"9b935470-ad4a-11d5-b63e-00c04faedb18"
に設定して問題のコントロールを無効にすれば、これらの脆弱性の影響を軽減
できる。 このコントロールを無効にしてしまうと、通常のアプリケーション
機能に影響を受ける可能性もあるので注意が必要。

<参考>
US-CERTアドバイザリ
http://www.kb.cert.org/vuls/id/474433
Microsoft知識ベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品ホームページ
http://www.oracle.com/technology/software/products/developer/htdocs/jinit.htm
SecurityFocus BID
http://www.securityfocus.com/bid/25473
────────────────

3.危険度【高】:Microsoft MSN Messenger のビデオカンファレンシングにバ
  ッファオーバーフローの脆弱性

<影響のある製品>
Microsoft MSN Messengerのバージョン7.x

<詳細>
Microsoft MSN Messengerは、広範囲で使用されているMicrosoft のインスタ
ントメッセージアプリケーションである。しかし、MSN Messenger のビデオカ
ンファレンシング処理には、バッファオーバーフローの脆弱性がある。ビデオ
カンファレンス内のビデオストリームが細工されると、この脆弱性が引き起こ
され、現在のユーザー権限で任意のコードが実行される。悪用を実現するには、
まずユーザーが、アタッカーからのビデオカンファレンシングの招待を受け入
れる必要がある。この脆弱性の概念実証コードが公表されている。

<現状>
Microsoftはこの問題を認めていない。 Microsoft Windows Live Messengerの
バージョン8.1は、脆弱でないことが確認された。

<参考>
Secuniaのアドバイザリ
http://secunia.com/advisories/26570/
概念実証コード
http://milw0rm.com/exploits/4334
製品のホームページ
http://get.live.com/messenger/overview
SecurityFocus BID
まだリリースされておらず
────────────────

4.危険度【高】:ACTi Network Video RecorderのActiveXコントロールに複数
  の脆弱性

<影響のある製品>
ACTi Network Video Controller 2.0 SP2までのバージョン

<詳細>
ACTi Network Video Recorderを使えば、監視目的でビデオを録画することが
できるようになる。 しかし、このアプリケーションによってインストールさ
れるActiveXコントロールには、複数の脆弱性がある。このコントロールの
"SetText"メソッドにバッファオーバーフローの脆弱性がある一方で、
"DeleteXMLFile"や"SaveXMLFile"メソッドは、任意のファイルの削除や上書き
を許可してしまう欠陥がある。悪意あるWebページがこれらのコントロールを
インスタンス化すると、現在のユーザー権限で任意のコードを実行したり、フ
ァイルを改ざんしたりできるようになってしまう。これらの脆弱性に、複数の
概念実証コードが公表されている。

<現状>
ACTiはこの問題を認めていないため、更新もリリースしていない。影響を受け
るActiveコントロールを無効にすれば、これらの脆弱性を軽減できる。

<参考>
概念実証コード
http://milw0rm.com/exploits/4322
http://milw0rm.com/exploits/4324
http://milw0rm.com/exploits/4323
製品のホームページ
http://www.acti.com/productsV2/Product_Category.Asp?strCatalog_ID=57803431-9E23-45A9-A1D8-81F13AC9D55F&strCategory_ID=%7B4B47C232-65E6-44D9-8F71-27AFF8AF883
SecurityFocus BID
http://www.securityfocus.com/bid/25465
────────────────

5.危険度【高】: Alpha Centauri SIDVaultのLDAPに複数のバッファオーバー
  フローの脆弱性

<影響のある製品>
Alpha Centauri SIDVault 2.0fまでのバージョン

<詳細>
Alpha Centauri SIDVaultは、 Microsoft WindowsやLinuxシステム用の
Lightweight Directory Access Protocol (LDAP)サーバとして広範囲で使用さ
れている。しかし、このサーバは、リクエストのいくつかのタイプの処理を正
確にできないため、複数のバッファオーバーフロー脆弱性を引き起こしてしま
う。アタッカーが、これらの脆弱性のどれかの悪用を実現できれば、脆弱なプ
ロセス(ルートやSYSTEMの場合が多い)の権限で任意のコードが実行できるよう
になってしまう。複数の概念実証コードが公表されている。

<現状>
Alpha Centauriはこの問題を認めており、更新をリリースしている。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/25460.txt
http://downloads.securityfocus.com/vulnerabilities/exploits/25460RootExploit.py
Joxean Koretによる啓示
http://www.securityfocus.com/archive/1/477821
製品のホームページ
http://www.alphacentauri.co.nz/sidvault/index.htm
SecurityFocus BID
http://www.securityfocus.com/bid/25460
────────────────

6.危険度【高】:Hexamail POP3 Serverにバッファオーバーフローの脆弱性

<影響のある製品>
Hexamail Server 3.0.0.001までのバージョン

<詳細>
Hexamailは、商業用クロスプラットフォームメールソリューションとして広範
囲で使用されている。Hexamail には、POP3統合メールサーバintegrated POP3
mail serverがあるが、このサーバは 認証中に過剰に長いユーザー名の処理を
正しく行えない。そのため、ユーザー名が細工されると、サーバ内にバッファ
オーバーフローを引き起こし、脆弱なプロセス(SYSTEMの場合が多い)権限で任
意のコードを実行できるようになってしまう。この脆弱性の概念実証コードが
公表されている。

<現状>
Hexamailはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/25496.php
製品ホームページ
http://www.hexamail.com/hexamailserver/
SecurityFocus BID
http://www.securityfocus.com/bid/25496

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。