NRI Secure SANS NewsBites 日本版

Vol.2 No.37 2007年9月18日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.37 2007年9月18日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2007 Autumn
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2007年11月5日~10日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!(10月29日まで)
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
ぜひ今からご計画を!

■■SANS NewsBites Vol.9 No.71-72(原版:2007年9月8日、9月12日)

■■はじめに(Alan Paller:SANS Director of Research)

水曜日に驚くべきことがあった。連邦政府局のなかでも大規模な組織のCISOが、
Ed Skoudis(SANS認定インストラクター)によるSANSのハッキング防御のコー
スへの参加登録をしたのだ。
Edのコースでは、すでに8,000人以上の人々が学んでおり、受講者のほとんど
が「今までに参加したコースの中で最高のものだったので、最新情報を得るべ
くまた参加したい」と言っている。
今回、大規模政府局においてセキュリティの維持管理に数百万ドルの予算と責
任を担う上級セキュリティマネージャが、1週間もの時間を割いて、「どのよ
うにアタッカーが防御の網をくぐって侵入してくるのか」「そのようなアタッ
クをブロックするにはどうしたらよいか」を学ぶ決断を下したことは、驚きと
賞賛に値する。このCISOが下した決断は、セキュリティ分野が転換点に達して
いることの証とも言えよう。
どうして従来の防御策では上手くいかないのだろうか? その答えは、アタッ
カーがレベルアップしていること、また、セキュリティ専門家らに侵入検知や
侵入防御、再発防止のテクニカルなセキュリティスキルがないことにある。ワ
シントンの大手セキュリティコンサルティングファームのあるディレクターが、
同僚のコンサルタントに対してこう言っている。「我々のセキュリティコンサ
ルタントの中で、貧弱なスキルしか持たないのは80%であるのに対し、確かな
スキルがあるのは20%だ。この割合が今後2年で逆転しないかぎり、我々は倒
産するだろう」と。
Edのコースに参加する決断を下したCISOは、軟弱なセキュリティスキルを確か
なものに変えていくべく、この大きな転換の先駆者となってくれるだろう。
────────────────

◆ピアツーピアファイル共有で身元詐称詐欺:Kopiloff逮捕される(2007.9.6)

シアトル警察は、ファイル共有ソフトウェアを使用して身元詐称詐欺に使う情
報を収集していた容疑で、Gregory Thomas Kopiloffを逮捕した。Kopiloffは、
LimewireおよびSoulseek P2Pファイル共有プログラムを用いて、他のユーザー
のコンピュータを検索し、財務データを探索していたという。同人はその後、
それらの情報を使用してクレジットカード口座を開き、3万7,000ドル以上の品
物を購入し、安く再販していた。Kopiloffに対する罪状には、メール詐欺、保
護コンピュータへのアクセス、加重身元詐称詐欺がある。P2Pソフトウェアを
使用して意図的に身元詐称詐欺を行った人間が逮捕されたのは、今回が初めて
である。
http://www.forbes.com/feeds/ap/2007/09/06/ap4091243.html
────────────────

◆米下院議会 紙面監査証跡について投票(2007.9.5)

米下院議会は今週、電子投票マシンすべてに検証可能な紙面監査証跡を生成さ
せることを義務付ける法案について投票を行う。この、投票者の信頼とアクセ
シビリティ拡大のための法案(Voter Confidence and Increased
Accessibility Act)が成立すると、電子投票マシンに当該機能を付加すること
が2008年11月の選挙から義務付けられることになる。この法案によって、全選
挙区の選挙結果の3%に監査を余儀なくされる。また、マシンに無線技術が使
用されている、もしくはインターネットに接続されている場合、その電子投票
マシンの使用は禁じられる。この法案を成立させるには、上院でも可決されな
ければならない。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9034561&source=rss_topic17

【編集者メモ】(Schultz)
遅かれ早かれ、電子投票システムに紙面監査証跡を義務付ける法案は、米国で
成立するだろう。その間、電子投票システムメーカーなどの特別利益団体は、
猛烈な反対運動に出ることだろう。
────────────────

◆テキサス州住民 身元詐称詐欺発生前に信用報告書の凍結可能に(2007.9.4)

2007年9月1日土曜日をもって、テキサス州は住民が信用報告書を凍結できる35
番目の米州となった。以前は、実際に身元詐称詐欺の被害を受けてからでない
と、凍結願いを申請できなかった。クレジットの凍結は、詐欺警告よりも強い
保護になりうる。消費者ファイルのクレジットが凍結されれば、その本人がはっ
きりと「解凍」の意を示さないかぎり、誰も信用報告書を閲覧することができ
ない。詐欺警告では、消費者ファイルを閲覧している者に対し、「閲覧口座に
詐欺活動がなされている可能性があるので、その消費者にクレジットを発行す
る前に本人に連絡をとって確認する」ことを促す通知のことである。
http://www.dallasnews.com/sharedcontent/dws/bus/columnists/pyip/stories/DN-moneytalk_03bus.ART.State.Edition1.35aa55a.html

【編集者メモ】(Northcutt)
どうして凍結するのかを説明している記事と、どのように凍結するのかについ
ての記事はこちら:
http://www.associatedcontent.com/article/358623/freeze_your_credit_report_to_prevent.html
http://www.consumersunion.org/campaigns/learn_more/003484indiv.html
────────────────

◆米裁判所 愛国者法の傍受権限を取り消す(2007.9.6)

連邦地方裁判所は、裁判所命令なしで通信およびインターネット通信傍受を行
えるという司法省(DoJ)およびFBIの権限を奪う判決を下した。司法省とFBIは、
国家セキュリティレター(通信傍受通知)の受取人に対し、もはやその通知の
存在に対する口外禁止命令を課すことはできない。この決定内容の施行は、政
府に上訴できる猶予を与えるため、90日の間見送られる。
http://www.gcn.com/online/vol1_no1/44973-1.html?topic=security&CMP=OTC-RSS

【編集者メモ】(Schultz)
この決定で、警察に与えられた権限とプライバシー保護権限の間にある均衡に
変化が生じていることがうかがえる。
────────────────

◆他国の政府システムもアタックされる(2007.9.10)

6月に発生した米国防総省コンピュータシステムへのアタックには、中国人民
解放軍(China's People's Liberation Army)が関与していたと報告された。こ
の報告を受けて、他国でも、政府システムが外国のハッカーによって攻撃され
ていたことを名乗り出ている。ニュージーランドでは、アタッカーにオフィシャ
ルなWebサイトを侵害されて情報が盗まれ、スパイウェアをインストールされ
ていた。フランスでは、国のサービスに関連したWebサイトが侵害されていた。
また、ペンタゴンのコンピュータがアタックされたというニュースを報じた数
週間前に、ドイツの政府システムにも侵入されたようだ。
http://www.bangkokpost.com/breaking_news/breakingnews.php?id=121510
http://computerworld.co.nz/news.nsf/scrt/337662022F9A53F5CC25734F000A573B?opendocument&utm_source=
http://www.australianit.news.com.au/story/0,25197,22391592-15306,00.html

【編集者メモ1】(Skoudis)
「2003年、アタックが単なる趣味的活動から組織犯罪へと様相を変えたのと同
様に、国家のサイバーアタック活動が脅威として台頭してくるだろう」と数ヶ
月前にこのNewsBitesに書いた。長期的視野で十分に予算をあてられた国家的
な敵対者に対してどのように対応するか、いよいよ考えなければならなくなっ
た組織もあるようだ。教訓として、このような脅威の変遷が、防御策において
はどのような変化を意味するのかをお考えいただきたい。ここ数週間で、この
ような論議が(やっと!)公に浮上しているのはよいことだ。この点に問題が
あることを認め、単に臭いものにふたをするだけの対策はとっていないリーダー
も、少なくとも何人かはいるようだ。
【編集者メモ2】(Ullrich)
誰もが誰かしらにアタックしている。単純なことだ! ニュースを見ていれば、
例えば大きな国際的会合が迫っているときなど、政治的に都合のよい時期にな
ると、この手の疑惑が騒がれていることに気づくだろう。しかし、このような
侵入事件がニュースとして報道されているからといって、その事件自体が新し
い話題である、または他の事件に比べて現時点において取り立てて悪いもので
あるなどとは、概して言えないものだ。
────────────────

◆米国土安全保障省 データマイニングプログラムを廃止(2007.8.5-6)

米国土安全保障省(DHS)のADVISEデータマイニングプログラムが廃止された。
ADVISEはAnalysis(分析)、Dissemination(普及)、Visualization(視覚化)、
Insight(洞察)およびSemantic Enhancement(意味向上)の略であり、この
プログラムでは、データベースなど体系化された情報を1時間に10億件、また、
諜報レポートやメール、新しい記事などの体系化されていない情報を1時間に
10億件分析できるとされていた。しかし、DHSは実際の個人情報を使用したシ
ステムテストでプライバシーの影響検査に失敗したため、このプログラムは留
保されていた。DHS監査官オフィスからの6月の報告書によると、プログラム自
体にも欠陥があったという。DHS広報によると、ADVISEを再始動させる見込み
はないとのことだ。
http://www.theregister.co.uk/2007/09/06/advise_cancelled_data_mining/print.html
http://www.msnbc.msn.com/id/20604775/
http://news.com.com/8301-10784_3-9773243-7.html?tag=head&tag=nl.e757
http://www.dhs.gov/xoig/assets/mgmtrpts/OIG_07-56_Jun07.pdf
────────────────

◆Skypeにワーム感染拡大(2007.9.10)

Skypeのインスタントメッセンジャーで感染を拡大しているワームは、
Explorer.exeプロセスにコードを挿入し、マルウェアを強制的に運用させてし
まう。また、Windowsのホストファイルに偽エントリーを設け、セキュリティ
ソフトウェアによる更新情報の獲得を阻止してしまう。ウィルス対策企業の多
くは、新しいマルウェアを検知・除去するためのシグネチャの定義をすでに更
新したようだ。このワームは、感染したマシンにある連絡先情報に向けて自身
を送りこみ、感染を拡大していく。
Internet Storm Center:
http://isc.sans.org/diary.html?storyid=3363
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9035198&source=rss_topic17
http://blogs.zdnet.com/security/?p=502

【ゲスト編集者メモ】(Frantzen)
このマルウェアは、Skypeのようなチャット機能を通じて広がっていくもので、
リトアニアと強い関連性があるようだ。そのインタフェース上の言語選択肢は、
英語かリトアニア語になっている。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年9月11日 Vol.6 No.37)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              2
サードパーティWindowsアプリ           13
Linux                      4
Solaris                     1
Aix                       9
Apple                      1 (#2)
Unix                       1
クロスプラットフォーム             16 (#1, #3, #4)
Webアプリ…XSS                  4
Webアプリ…SQLインジェクション          7
Webアプリケーション               20
ネットワークデバイス               3
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

マサチューセッツ工科大学(MIT)の卒業生として、MITがKerberosを作成した
(私自身は関っていないが)ことに、わずかながらもプライドを持ってきた。
Kerberosは、多くの大規模組織で使用されている、本当にセキュリティを考え
た強力な認証システムである。したがって、今週Kerberosやその他の派生製品
の多く重大な欠陥が発見されたのには、本当にがっかりだ。また、Windowsと
Macの両方に影響を及ぼすiTunesの脆弱性も発見されている。
────────────────

1.危険度【重大】:MIT Kerberosに複数の脆弱性

<影響のある製品>
MIT Kerberos 1.6.3 および1.5.5までのバージョン

<詳細>
Kerberos認証プロトコルのMIT実装の"kadmind"管理デーモンに複数の脆弱性が
発見された。このデーモンは、Kerberosコントローラとして機能するサーバ上
で動作する。このサーバは、サービスを管理する際に使用されるSun RPC(別名
ONC RPC)インタフェースをエクスポートする。一つ目の脆弱性は、RPCSEC_GSS
認証情報処理にあり、未認証のユーザーであっても悪用可能だ。もうひとつの
脆弱性は、エクスポートされる特定の手順に向かう引数を正しく解析できない
ために引き起こされるもので、悪用するにしても認証が必要になる。これらの
脆弱性の悪用を実現すれば、脆弱なプロセス(たいていの場合root)権限で任
意のコードを実行できるようになってしまう。最初の脆弱性は、Kerberosに同
梱されているRPCライブラリにある。このライブラリを使用している他の製品
も脆弱なおそれがあるので注意。MIT Kerberos、もしくはそれをベースにした
製品は、いろいろなUnixシステムおよびUnixに類似システムにもデフォルトで
同梱されている。これらの脆弱性技術的詳細は、ソースコードを分析すれば入
手できる。

<現状>
MITはこの問題を認めており、更新をリリースしている。

<参考>
MITのアドバイザリ
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2007-006.txt
KerberosについてのWikipediaの説明
http://en.wikipedia.org/wiki/Kerberos_%28protocol%29
RPCについてのWikipediaの説明
http://en.wikipedia.org/wiki/Sun_RPC
Kerberosのホームページ
http://web.mit.edu/kerberos/www/index.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/25533
http://www.securityfocus.com/bid/25534
────────────────

2.危険度【高】:Apple iTunes 音楽ファイルにバッファオーバーフローの脆弱
  性

<影響のある製品>
Apple iTunes 7.4 までのバージョン

<詳細>
Apple iTunesのアルバムカバーアートの処理には、バッファオーバーフローの
脆弱性がある。これらの画像は、音楽ファイルに埋め込み可能なものであるた
め、iTunesはその曲のカバーアートを表示できるようになっている。しかし、
その楽曲ファイルが、悪意のあるカバーアートデータを含むように細工される
と、このバッファオーバーフローが引き起こされ、現在のユーザー権限で任意
のコードが実行されるおそれが生じる。Apple Mac OS X版、Microsoft
Windows版両方のiTunesが脆弱なので注意。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=306404
iTunesのホームページ
http://www.apple.com/itunes
SecurityFocus BID
http://www.securityfocus.com/bid/25567
────────────────

3.危険度【高】:Apache Struts/OpenSymphony WebWorkのOGNLにリモートのコ
  ード実行の脆弱性

<影響のある製品>
Apache Struts 2.0.9 までのバージョン
OpenSymphony WebWork 2.0.4 までのバージョン
OpenSymphony XWork 2.0.4 までのバージョン

<詳細>
Apache StrutsとOpenSymphony WebWorkは、インターネットアプリケーション
用にJavaベースの開発環境を提供するものだ。しかし、これらは不正形式のユー
ザーのフォーム入力を正しく処理できないため、任意のOpen Graph
Navigation Language (OGNL)コードを実行できるようになってしまう。OGNLは、
JavaBeansと、より手軽に相互作用できるようにするJava用の言語である。細
工したWebフォームを脆弱なシステムに提出すれば、サーバに脆弱なプロセス
権限で任意のOGNLコードを実行させることができてしまう。また、その代わり
に任意のJavaコード実行につながる場合もある。この脆弱性の技術的詳細はア
ドバイザリに公表されているが、ソースコードを分析しても入手可能だ。アド
バイザリには概念実証コードも掲載されている。

<現状>
ApacheとOpenSymphonyはこの問題を認めており、更新をリリースしている。

<参考>
Apacheのセキュリティアドバイザリ
http://struts.apache.org/2.x/docs/s2-001.html
OGNLについてのWikipediaの説明
http://en.wikipedia.org/wiki/OGNL
製品ホームページ
http://www.opensymphony.com/webwork/wikidocs/OGNL.html
http://struts.apache.org/
SecurityFocus BID
http://www.securityfocus.com/bid/25524
────────────────

4.危険度【高】:Lighttpd FastCGIにバッファオーバーフローの脆弱性

<影響のある製品>
Lighttpd 1.4.18 までのバージョン

<詳細>
Lighttpdは、オープンソースでクロスプラットフォームの、パフォーマンスの
高いWebサーバだ。しかし、Lighttpdが、FastCGIベースのアプリケーションと
相互作用するとき、過剰に長いHTTPヘッダーの処理にバッファオーバーフロー
が生じてしまう。FastCGIは、Webサーバの Common Gateway Interface(CGI)ア
プリケーションの高速化メソッドである。HTTPリクエストが、過剰に長いヘッ
ダーを含むように細工されると、この脆弱性が引き起こされ、脆弱なプロセス
権限での任意のコード実行が可能になってしまう。この脆弱性の技術的詳細と
概念実証コードが公表されている。

<現状>
Lighttpdはこの問題を認めており、更新をリリースしている。

<参考>
Lighttpdのセキュリティアドバイザリ
http://www.lighttpd.net/assets/2007/9/9/lighttpd_sa_2007_12.txt
SECWEBのセキュリティアドバイザリ
http://secweb.se/en/advisories/lighttpd-fastcgi-remote-vulnerability/
概念実証コード
http://secweb.se/files/lighttpd-fastcgi-remote-vulnerability.c
CGIについてのWikipediaの説明
http://en.wikipedia.org/wiki/Common_Gateway_Interface
製品ホームページ
http://www.lighttpd.net/
SecurityFocus BIDまだリリースされておらず

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。