NRI Secure SANS NewsBites 日本版

Vol.2 No.38-39 2007年10月1日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                  Vol.2 No.38-39 2007年10月1日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2007 Autumn
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2007年11月5日~10日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!(10月29日まで)
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!

┃ SANSのトレーニングは、内閣官房情報セキュリティセンターの「人材
┃ 育成・資格制度体系化専門委員会」報告書でも、「訓練・実習型の教
┃ 育プログラム」として取り上げられています。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
ぜひ今からご計画を!

■■SANS NewsBites Vol.9 No.73-74(原版:2007年9月15日、9月19日)

■■はじめに(Alan Paller:SANS Director of Research)

この3ヶ月間、ソフトウェアおよびサービスベンダー35社以上が、データ漏え
い保護(DLP: Data Leakage Protection)プロバイダとして名乗りを上げ、プロ
モーション活動を始めている。製品に何の変更も加えずにただそう語っている
企業もあれば、最低限ではあるものの、製品にDLPに役立つような変更を加え
た企業もある。これらのベンダーは、データ漏えい保護分野における購入ニー
ズが大幅に急増し、データ暗号化のニーズが継続的にあることを受けてこのよ
うな動きに転じたようだ。どちらかの分野に投資しようとお考えの方は、ツー
ルを実際に使用した経験のある他のユーザーの話(効果的なものとそうでない
もの、失敗談、学んだ教訓など)が参考になる。私はこのようなユーザーの多
くに話を伺っているが、興味深い話が聞ける。彼らの話を聞いておけば、DLP
や暗号化を導入するときに陥りやすい失敗を予め避けることができるだろう。
オーランドのディズニー地区で12月3日から4日にかけてミーティングが開催さ
れる。どちらの分野の方に参加されたとしても、それぞれのミーティングのセッ
ションを混合したり、マッチしたりして参加することができる。
***データ漏えいおよびインサイダーの脅威阻止サミットでのWhatWorks
http://www.sans.org/leakage07_summit/
***モバイル暗号化サミットでのWhatWorks
http://www.sans.org/encryption07_summit/

本ニュースレターの中に、米国土安全保障省(DHS)の侵入検知業務契約に契約
不履行があった可能性について語られている話がある。このケースは政府局に
おける基本的な失敗をあらわしており、注目に値する。DHSだけではない。節
操のない請負業者は、政府の目が節穴であるのをいいことに、実際はシステム
の安全化が組織的に整備されていないにもかかわらず、巨額の代金を請求して
いる。業者らは、受注した業務内容自体に欠陥があることを知っていても、
「連邦政府の顧客がリクエストしたことを遂行しているだけだ」と言い放つ。
受注した取り組み自体が虚弱なものであり、国家のシステムや機密の保護に必
要なことが成し遂げられないとわかっていながら受注するような業者は恥を知
るべきだ。このような行動にやっと歯止めがかかるだろう。Bennie Thompson
議長とJames Langevin議長(下院議会国土安全保障委員会議長と新興の脅威・
サイバーセキュリティ・科学技術分科委員会議長)は、相当な時間を費やして、
欠陥の特定・修正に取り組んでいる。この2人は、サイバーセキュリティの有
効性を考える全ての人間による感謝に値する。
────────────────

◆司法省のモバイルワーカー 自身のPCおよびPDA使用禁止(2007.9.13)

データセキュリティへの懸念から、米司法省職員は、自身のコンピュータやPDA
を使用して同局のメールやファイルにアクセスできないこととなった。テレワー
ク勤務の者も、これからは同省から付与されたノートパソコンやドッキングス
テーション、ブラックベリー(米のPDA)を使用しなければならない。そうすれ
ば、これらのデバイスに関して正しく監視がなされ、暗号化も整えられるから
だ。
http://www.fcw.com/article103746-09-13-07-Web&printLayout

【編集者メモ1】(Kreitner)
なぜこのようなポリシーが常識でないのかと考えたくなるくらい、常識的なポ
リシーだ。司法省が「接続するなら遵守せよ」をモットーとして、ユーザーが
省内ネットワークに接続する前に、リモートデバイスの設定ステータスを同時
にチェックするようにしてほしいものだ。
【編集者メモ2】(Pescatore)
これは、一見賢明な決定のように思える。しかし、多くの企業に、管理されて
いないデバイスの使用を許可できるセキュリティソリューションはない。した
がって、個人所有のデバイスに対して「使用禁止」と言い続けるだけで済むな
どとはとうてい思えない。これではまるで、インターネットや無線LANに対し
ても「使用禁止」と言っているようなものである。管理されていないデバイス
(ネットワークアクセスコントロールを併用した小型軽量クライアントから仮
想環境まで)からのリモートアクセスを許可できるセキュリティアプローチも
あるのだ。ほとんどの企業が、ビジネス需要や労働力の変化にともなって、こ
のようなアプローチを支援してく必要性を認めている。また、Outlook Web
AccessやGoToMyPCやその他諸々のメカニズムによって、社員らが、自分のデバ
イスを使用できる道を獲得してきたことを忘れずに。それでも「使用禁止」と
言うのなら、前述のメカニズムを特定し、阻止できるように投資しなければな
らなくなるだろう。
────────────────

◆Bank of America オンラインバンキングにセキュリティ層をもう一層追加
  (2007.9.11)

今週、Bank of America(BofA)はオンラインバンキングの顧客用にセキュリテ
ィ機能を追加したサービスをリリースする。これは、SafePassというオプショ
ンサービスで、銀行取引を認証するときに用いる6桁の暗証番号を、顧客の携
帯電話に向けて送信するものだ。この暗証番号は一度しか使えないもので、使
用期限は10分間である。BofAの顧客は、さまざまな取引においてSafePass認証
を付けるかどうか選択できる。SafePassは、今週からほとんどの顧客のために
提供がスタートする。しかし、カリフォルニア州や米国北西部では、あと数ヶ
月待たなければこのサービスは受けられないようだ。
http://www.pcworld.com/printable/article/id,137057/printable.html#

【編集者メモ1】(Pescatore)
携帯電話を認証トークン代わりに使用する方法は、米国外でもうまく機能して
いる。こういった諸外国では、赤ん坊は携帯電話を手にしながらに生まれ、携
帯電話番号が名刺やActive Directoryにも記載されているくらいだ。米国の携
帯電話システムはまだ中途半端なため、携帯を使う認証アプローチはまだあま
りにも利用が少ない。でも、30歳以下の人を見れば、携帯でメールを送ってい
る姿がよく見られるだろう。
【編集者メモ2】(Ullrich)
すばらしいアイデアであり、トライする価値がある。数年前、中国に行った時
に同じようなシステムを使って、China Telecom WiFiアクセスポイントにアク
セスしたことがある。この発表をする前のBofAは、欠陥のある1.5要素認証を
行っていたにすぎない。
────────────────

◆カリフォルニア州侵害責任法 知事の調印待つのみ(2007.9.12)

現在、カリフォルニア州住民のための新しいデータ侵害法成立の行方は、州知
事の調印にかかっている。AB 779こと消費者データ保護法(Consumer Data
Protection Act)では、データセキュリティ侵害が起きた際、銀行や信用組合
で消費者への侵害通知を行ったり、新しいカードを再発行した際に生じた費用
を、小売業者に負担させるようになっている。侵害を受けた組織も、漏えいさ
れたデータの種類を公表しなければならず、特定の財務取引データを保管しな
いようにしなければならない。セキュリティガイドラインを守っていたという
証拠を提示できれば、法の適用範囲から除外される。シュワルツェネッガー州
知事は、この法に調印する見込みだ。カリフォルニア州のプライバシー法は、
米国の他州に"波及効果"を及ぼすものとして知られている。
http://www.scmagazineus.com/California-a-signature-away-from-passing-consumer-protection-data-breach-law/article/35643/

【編集者メモ】(Schultz)
この法案が成立すれば、カリフォルニア州の小売業者の顧客は大きな勝利を得
ることになろう。小売業者はデータセキュリティ侵害の責任を負わされるだけ
でなく、もはや、より高度なセキュリティを設置するほかに実質的にチョイス
はない。
────────────────

◆円滑な侵害後処理 「顧客第一」がモットー(2007.9.10-11)

ボストンカレッジ(BC)のコンピュータポリシーおよびセキュリティのディレ
クターであるDavid Escalante氏は、同カレッジがデータセキュリティ侵害を
どのように管理したか説明した。この管理方法下では、卒業生10万人分の個人
情報が侵害された事件でさえ、影響を受けた人々との関係を悪化させることは
なかったのだ。侵害発見から2週間以内に、同カレッジのさまざまな部門(法
務部や広報など)からインシデントレスポンスチームを集め、影響を受ける可
能性のある10万人の卒業生に通知レターを送付した。同氏は、「インシデント
が発生した旨を、影響を受ける可能性のある人々に率直に伝え、謝罪する」こ
とが大事だという。また、BCは懸念を抱いている卒業生に、電話で問い合わせ
に答えられるよう、専門のホットラインも設置。レスポンスチームは、この侵
害事件をプレスに発表しないと決めたものの、卒業生からリクエストがあれば、
警察の報告書を閲覧できるようにした。代わりに広報部門がプレスからの問い
合わせに応じたという。これとは対照的に、TJXはクレジットカードやデビッ
トカード数百万件のデータ漏えいに至ったシステム侵害事件について、情報を
率直に伝えていなかった。
http://www.infoworld.com/archives/emailPrint.jsp?R=printThis&A=/article/07/09/11/dos-and-donts-for-dealing-with-data-breaches_1.html
http://www.networkworld.com/news/2007/091007-boston-college-data-breach-recover.html

【編集者メモ1】(Schultz)
このインシデントに対するボストンカレッジのレスポンスは完璧ではなかった
ものの、通常のケースよりもずっとよい。そのため、このボストンカレッジの
行動は、今後何年もこのようなインシデントへの対処法モデルとして規範にな
るだろう。
【編集者メモ2】(Honan)
BCの事前準備の中でひとつよかったのは、侵害が起きる前から警察と関係を築
いていたということ。侵害が起きた際に何が求められるのかを事前に知ること
ができるので、実際に侵害が発生した場合によりよい対処ができる。
────────────────

◆アメリトレード 1年間も侵害を知っていた?(2007.9.14-17)

オンラインブローカーTDアメリトレード・ホールディングは、データセキュリ
ティ侵害で630万件以上の口座が侵害されていたことを認めた。このデータベー
スには、顧客氏名と住所、口座番号、社会保険番号、生年月日などがあった。
アタッカーは、TDアメリトレードのネットワークにインストールしたバックド
アプログラムを通じて、データベースにアクセスしていたという。TDアメリト
レードによると、同社はすでに、不正コードを除去したとのこと。この侵入事
件は、顧客からスパムの苦情が報告されたため、株式関連のスパム捜査を行っ
たところで発見されるに至った。同オンラインブローカーに対する集団訴訟が
起きており、原告側の弁護士は、同社はこのデータセキュリティ問題を顧客に
通知する一年前から把握していたと主張している。また、訴訟によると、内部
調査が行われている最中であるにもかかわらず、脆弱なデータベースに顧客デー
タを入力し続けていたという。
http://www.theregister.co.uk/2007/09/15/ameritrade_database_burgled/print.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9036639&source=rss_topic17
http://www.amtd.com/newsroom/releasedetail.cfm?ReleaseID=264044
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=201807006
────────────────

◆シマンテックの報告:マルウェア 営利主義に(2007.9.17-18)

コンピュータにダメージを与えたり、ユーザーに不都合を招いたりすることを
目的としていたサイバー犯罪者らは、目的が営利主義に移行しているようだ。
シマンテックの最近のインターネットセキュリティの脅威レポート(Internet
Security Threat Report)によると、彼らは、商業努力をするようになってき
ているという。マルウェア供給者の中には、製品のパフォーマンスを保証した
り、その製品が最新の状態を維持できるように更新を提供したりしているとこ
ろもあるようだ。このレポートによると、フィッシャーはソーシャルネットワー
キングサイトを通じて個人情報を集め、それをもとに対象を絞ったメールを送
信し、価値あるデータを獲得できる偽サイトにメールの受信者を誘致している
という。盗まれた銀行口座の情報は、オンラインで1件400ドルで売買されてい
る。株価操作スキームと画像ベースのスパム発生の頻度は減少しているようだ。
http://www.technewsworld.com/story/59374.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9036819&source=NLT_SEC&nlid=38
http://www.itnews.com.au/News/61398,fraudsters-go-all-out-for-social-networkers.aspx

【編集者メモ1】(Northcutt)
そうなのだ。保守契約や、プレミアムバージョンへの更新も今や可能なのだ。
【編集者メモ2】(Schultz)
シマンテックの報告内容を見ると、営利目的のアタックがあたかも新しいトレ
ンドのように書かれている。しかし実際のところ、これまでの数年間を見ても、
営利目的のアタックはいたるところで見られていたのだ。
────────────────

◆欧州裁判所 マイクロソフトに対する独占禁止の判決を維持(2007.9.17)

マイクロソフトは、欧州連合アンチトラスト判決に対する控訴裁判で敗訴した。
同社には、専売乱用で有罪判決が出ていた。欧州第一審裁判所で、下級裁判所
の判決内容のほとんどがそのまま維持されたため、今後マイクロソフトは自社
のコードを競合他社と共有して相互運用性の向上に努め、Media Player無しの
Windowsのバージョンも販売提供しなくてはならない。しかし、この裁判でも、
下級裁判所の判決の一部は覆された。これが覆されなければ、マイクロソフト
は監視受託人を雇い、この判決に遵守しているかどうかを監視させなければな
らなかったほか、6億1,300万ドルの罰金を支払わなければならないところだっ
た。マイクロソフトの総合弁護士Brad Smith氏によると、同社はこの判決をさ
らに上訴するかどうか、まだ検討中だという。
http://www.usatoday.com/money/industries/technology/2007-09-17-eu-microsoft_N.htm?csp=34
http://news.bbc.co.uk/2/hi/business/6998272.stm
http://www.eweek.com/article2/0,1895,2183898,00.asp
http://www.eweek.com/article2/0,1759,2184008,00.asp?kc=EWRSS03119TX1K0000594
────────────────

◆米行政予算管理局・国立標準技術研究所・国家安全保障局・国防省
  政府局用共通Windows連邦デスクトップ設定を正式化(2007.9.21)

セキュリティが組み込まれた製品を購入する際に適用する米政府ポリシーを正
式化するために、連邦政府高官および企業役員ら700人が、米国立標準技術研
究所(NIST)に集結した。ホワイトハウスのサイバー専門家Karen Evans、国家
安全保障局(NSA)の脆弱性担当長官Tony Sager、ガートナーのセキュリティ部
長John Pescatore、NISTのITLディレクターCita Furlani、国家諜報セキュリ
ティ事務官Sherrill Nicelyおよび国防省の上級サイバー戦略家Michelle
Iverson、MicrosoftのChase Carpenterほか、商用ツールベンダー15社以上が、
新連邦デスクトップコア設定(FDCC: Federal Desktop Core Configuration)や
S-CAP(Securityコンテンツ自動化手順)イニシアチブの効果測定、ガイダンス
など、共同でツールを提供する。
http://www.gcn.com/online/vol1_no1/45074-1.html
で、全文書を閲覧できる。

【編集者メモ】(Paller)
Apple、Intel、CA、HPなどの民間企業は、今後の製品については、(システム
管理プラットフォームを介して)脆弱性検知是正自動化の新S-CAP規準をサポー
トする見込みだ。大手セキュリティ企業はいずれも、S-CAP規準遵守に動いて
いる(中には、「すでに遵守している」と誇張する企業も数社あるようだが)。
フォーチュン100企業(およびアジア1国、欧州2政府)も、FDCCの迅速なパッ
チ適用、および大幅なコスト節約戦略の仕上げ段階に入っているという。FDCC
とSCAPは米国政府が今までに打ち出した実行手本例の中で最もすばらしいもの
であり、大規模組織はそのことに注目している。
────────────────

◆コネチカット州 州データのテープ盗難でアクセンチュアを起訴する見込み
  (2007.9.19-20)

コネチカット州政府局の銀行口座データのバックアップテープが、今年オハイ
オ州で盗まれたため、同州は管理責任のあった企業に対して民事訴訟を起こす
見込みだ。コネチカット州検事総長Richard Blumenthalによると、アクセンチュ
アは、問題のデータをまるで「裏紙」のように扱っていたという。同社は、
2002年からコネチカット州の人事データおよび財務データのオートメーション
化を遂行する契約を締結していた。同様のシステムをセットアップするため、
アクセンチュアの社員が、コネチカット州のデータが保存されたテープをオハ
イオ州に持参していた模様。この訴訟では、過失および州財産の不正使用、契
約違反が問われる。
http://www.bizjournals.com/masshightech/stories/2007/09/17/daily30.html?t=printable
http://www.stamfordadvocate.com/news/local/state/hc-19174003.apds.m0122.bc-ct--datasep19,0,4112604.story?coll=hc-headlines-local-wire
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=201807932

【編集者メモ】(Northcutt)
これは重要なニュースだ。このような事件のための判例が必要である。こういっ
た訴訟はスムーズに終わってほしいものだ。企業らによるデータ保護促進の戒
めとなるだろう。
────────────────

◆FBI 米国土安全保障省への侵入検知に失敗した同省の請負業者を捜査
  (2007.9.24)

FBIは、ユニシスが国土安全保障省のコンピュータシステムへのサイバーアタ
ックを検知できなかったとし、捜査している。この捜査は、米下院議会国土安
全保障委員会からのレターに「2005年度から2006年度にかけて、DHSのコンピュー
タシステムには、受け入れがたいほど多数のサイバーセキュリティインシデン
トが発生している」と言及されたことを受け、始動を促された。同委員会は、
ユニシスによってDHSに設置された侵入保護デバイスが正しくインストールさ
れていなかったと見ている。しかし、ユニシスはこの疑いに異議を唱え、発生
したサイバーセキュリティインシデントについては報告を行っていると主張。
同委員会議長Bennie Thompson(ミズーリ州民主党)および新興の脅威とサイバー
セキュリティ、科学技術分科委員会議長のJames R.Langevin(ロードアイラン
ド州民主党)も、DHS監査官Richard Skinnerに調査を依頼している。
http://www.washingtonpost.com/wp-dyn/content/article/2007/09/23/AR2007092301471_pf.html
http://www.cio.com/article/140500/FBI_Investigates_Unisys_Over_US_Government_Hack
http://www.govexec.com/story_page.cfm?articleid=38112&dcn=todaysnews
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=202101028

【編集者メモ1】(Ullrich)
アタックからネットワークを完璧に守ることを保証できる者など誰もいない。
しかし、今回のことからセキュリティサービスのレベルに関する契約内容に関
して、意味のある論議が繰り広げられる可能性もある。したがって、このケー
スはある意味興味深い。
【編集者メモ2】(Hinan)
セキュリティシステムの管理と導入をサードパーティにアウトソースしたから
と言って、それらのシステムに関する責任がそのまま彼らにアウトソースされ
るわけではない。自組織にチェック機能やバランス業務を正しく導入し、依頼
プロバイダが、必要レベルのサービスを実際に提供できているかどうか確認す
る必要があるのだ。この調査結果が、外注セキュリティプロバイダの守備範囲
にどのような影響を及ぼすのか、見ものである。
【編集者メモ3】(Ranum)
政府局は「外注先に責任を負わせろ」という態度を示している。しかしその一
方で、実際に何をどうすべきかを突き止めるかわりに外注先に過剰に依存し、
政府局はすっかり技術を持たざる組織と化してしまった。DHSが名目上「米国
のサイバーセキュリティの取り組みにおけるリーダー」視されていること自体、
この喜劇をまったく面白くないものにしている。
【編集者メモ4】(Schultz)
このような出来事が、時間とともに増えてくるのは予想できたことだ。セキュ
リティサービスプロバイダは、提供するサービスがもたらす結果に責任を負わ
せられることが今後ますます増えるだろう。
────────────────

◆企業の現状 中古ドライブを一掃する措置をまだ十分にとれず(2007.9.21)

これまで2年間に、機密情報が残っていた中古ハードドライブの割合は、あま
り変わっていない。BT Groupの統計によれば、中古ハードドライブの37%に、
以前のユーザーの機密情報が含まれているという。BT Groupはオンラインオー
クションで購入した中古ハードドライブ350台を対象に調査を行った。これら
のディスクの19%には以前使われていた組織を特定するのに十分なほどのデー
タが残っており、65%に個人情報が認められたという。この報告はまだ公表さ
れていないものの、中古ドライブはあまり信頼できるものではないようだ。英
国で購入された133台のディスクの内、44%はうまく動作しなかったという。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9038221&source=rss_topic17

【編集者メモ】(Ullriuch)
データを一掃するには時間がかかる。企業も、使用後のディスクを中古として
再販するより、破壊してしまった方が楽である。再販にはリスクが伴い、見返
りとなる利益はリスクに見合わない微々たるものなのだから。
────────────────

◆サイバーアタックの件数減少の一方で重大性は増大(2007.9.21)

Computing Technology Industry Association(CompTIA)の調査によると、この
1年でサイバーアタックのインシデント件数は若干減少したものの、アタック
自体の重大性は増しているという。調査に回答した1,070の組織の内、66%は
この12ヶ月間にセキュリティ侵害の報告をあげていない。去年報告のなかった
割合は61.8%で、一昨年は42%だった。しかし、アタックを受けた組織は、そ
のアタックの重大度を0から10までの点数範囲で平均4.8点を与えた。これの去
年の平均点は2.6点であった。セキュリティ侵害で生じるコストの中で最も比
重が大きかったのは、職員の生産性とサーバやネットワークの休止時間だった。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=202100132
サマリー:
http://www.comptia.org/sections/research/research%20docs/securitysummary407.pdf

【編集者メモ1】(Ullrich)
最近のマルウェアは、除去や検知が一層難しくなってきている。システムがい
ったん感染すると、マルウェアオートメーションと検知対抗措置のせいでダメー
ジがすぐにエスカレートしてしまう。アタックの報告件数が減ったという調査
結果は、「アタックの検知vs実際のアタック減少」をはかりにかける難しさを
大いに反映していると言えよう。
【編集者メモ2】(Northcutt)
これらの結果自体、状況を正しく反映しているものとは言い難い。DHSと協力
している組織の好適例であるというだけで、アタック検知の意欲と能力を失っ
ているのだから。
【編集者メモ3】(Ranum)
この記事の数字は無意味で欺瞞的なので、引用すべきではない。今CompTIAの
サイト(この調査を作成しているサイト)をチェックしてみたが、基本的に誰で
もログインして入力できるWebベースの調査票を使っていただけだったようだ。
このような調査方法には、方法論上ひどい欠陥が2つある。1つ目の最も重要な
欠陥は、これは自己選択のサンプルであるため、見方が偏るということ。この
調査に違う方法がとられないかぎり(その場合どのような方法を使ったかを説
明すべきだが)、実際に「サイバーアタック」を測定したのではなく、「サイ
バーアタックに関する調査票に入力できるほどひまな人は誰か」を突き止める
ことができたにすぎないのだ。2つ目は、調査の回答者が回答に必要な適切な
情報を持っていたかどうか不明であることだ。つまるところ、ひまな12歳児が、
ボタンをランダムに押し続けただけというのが関の山であろう。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年9月18日 Vol.6 No.38)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              6 (#1, #2)
サードパーティWindowsアプリ           11 (#4, #6, #7, #8)
Linux                      3
Unix                       1
クロスプラットフォーム             11 (#3)
Webアプリ…XSS                  7
Webアプリ…SQLインジェクション          9
Webアプリケーション               24 (#5)
ネットワークデバイス               1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週は、広範囲で使用されているパック製品に重大な脆弱性はなかった。

その一方で、大規模組織において、尋常でない頻度でデータ漏えいが発生して
いる。まだ広範囲に行き渡るようなデータ漏えい保護対策を導入していないか、
もしくは、徹底的な暗号化プログラムを施していない方は、12月2日から3日に
かけてデータ漏えいおよびモバイル暗号化サミットがオーランドで開かれるの
で要チェック。サミットでは、先駆的ユーザーが、これらの重要な技術を実装
するうえで学んだ教訓を提供する。また、ここでは、技術調達候補となるベン
ダーのリストも入手できる。
***データ漏えいおよびインサイダーの脅威阻止サミットにおけるWhatWorks
http://www.sans.org/leakage07_summit/
***モバイル暗号化サミットにおけるWhat Works
http://www.sans.org/encryption07_summit/
────────────────

1.危険度【高】:Microsoft Agentにメモリ崩壊の脆弱性(MS07-051)

<影響のある製品>
Microsoft Windows 2000

<詳細>
Microsoft Agentは、カスタムメイドのソフトウェアアシスタントを使えるよ
うにするMicrosoftのテクノロジーである。このソフトウェアシスタントは、
アプリケーションの使い方や他のサービスの使い方を小さなアニメキャラクター
が指導するというもので、ActiveXコントロールとして利用できるようになっ
ている。しかし、Microsoft Agentに引き渡される特定のURLの処理に欠陥があ
るため、メモリ崩壊脆弱性が引き起こされてしまう。このコントロールをイン
スタンス化するWebページが細工されると、この脆弱性が悪用され、現在のユー
ザー権限で任意のコードを実行されてしまうおそれが生じる。この脆弱性の概
念実証コードがリリースされている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-051.mspx
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=592
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/25566-PoC.html
SecurityFocus BID
http://www.securityfocus.com/bid/25566
────────────────

2.危険度【高】:Microsoft MSNおよびWindows Live Messengerにメモリ崩壊脆
  弱性(MS07-054)

<影響のある製品>
Microsoft MSN Messenger 7.0.0820 までのバージョン
Microsoft Windows Live Messenger 8.1までのバージョン

<詳細>
Microsoft Windows Live Messengerは、以前Microsoft MSN Messengerとして
知られていたもので、Microsoftのインスタントメッセージアプリケーション
である。このアプリケーションを使えば、ライブでビデオ会議ができるように
なる。しかし、細工されたビデオデータを正しく処理できないため、メモリ崩
壊脆弱性が引き起こされる。この脆弱性の悪用が実現すると、現在のユーザー
権限で任意のコードが実行されるおそれが生じる。ユーザーは、はじめにアタッ
カーからのビデオチャットのセッションへの招待に応じなければ、脆弱になら
ない。この脆弱性の概念実証コードがリリースされているほか、@RISKのバッ
クナンバーにもこの脆弱性が記載されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS07-054.mspx
以前 @RISKに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=36#widely3
概念実証コード
http://milw0rm.com/exploits/4334
SecurityFocus BID
http://www.securityfocus.com/bid/25461
────────────────

3.危険度【高】:Apple Quicktimeにスクリプトインジェクション脆弱性

<影響のある製品>
Apple QuickTime 7.2.0までのバージョン

<詳細>
Apple QuickTimeは、Appleのストリーミングメディアのフレームワークである。
QuickTimeメディアリンクファイルは、さまざまなメディアストリームや
QuickTimeのほかのパラメータを定義するときに用いられるXMLファイルである。
しかし、JavaScriptかMozilla Chrome情報が含まれているメディアリンクファ
イルが細工されると、脆弱性が引き起こされ、Webブラウザで閲覧されたとき
に任意のスクリプト実行につながってしまう。このようなファイルをホストし
ている悪意あるWebサイトによってこの脆弱性が悪用されると、現在のユーザー
権限で任意のコードが実行されてしまう。設定によっては、悪意あるコンテン
ツは、ユーザーにプロンプトすることなしに開かれてしまう可能性があるので
要注意。この脆弱性は、MozillaベースのWebブラウザ(Firefoxなど)、
Microsoft Internet ExplorerおよびApple Safariで悪用可能だと考えられて
いる。この脆弱性の概念実証コードがリリースされている。Appleアプリケー
ションの中には、iTunesやSafariのほか、QuikTimeもインストールしてしまう
ものがあるので注意が必要だ。Mac OS XおよびMicrosoft Windowsプラットフォー
ムの両方が脆弱だと考えられている。

<現状>
Appleはこの問題を認めていないため、更新もリリースしていない。

<参考>
GNUCITIZENの掲示
http://www.gnucitizen.org/blog/0day-quicktime-pwns-firefox
概念実証コード
http://milw0rm.com/exploits/4399
QuickTime Home Page
http://www.apple.com/quicktime
SecurityFocus BID
http://www.securityfocus.com/bid/20138
────────────────

4.危険度【高】:複数のHP製品のActiveXコントロールにバッファオーバーフロ
  ーの脆弱性

<影響のある製品>
HP HPQUTIL.DLL ActiveXコンポーネント
このDLLがインストールされている製品として知られているのは以下を含む:
HP Photo & Image Gallery
HP All-in-One Series

<詳細>
さまざまなHP製品に、HPQUTIL.DLLライブラリがインストールされており、こ
のライブラリは、いろいろなActive Xコントロールをエクスポートする。これ
らのコントロールのひとつには、"ListFiles"メソッド処理にバッファオーバー
フロー脆弱性が含まれている。そのため、このコントロールをインスタンス化
するWebページが細工されると、このバッファオーバーフローが引き起こされ、
現在のユーザー権限で任意のコードが実行されるおそれが生じる。この脆弱性
の概念実証コードがリリースされている。

<現状>
HPはこの問題を認めていないため、更新もリリースしていない。
ユーザーは、Microsoftの"kill bit"機能を"F3F381A3-4795-41FF-8190-7AA2A8
102F85"に設定して問題のコントロールを無効にすれば、これらの脆弱性の影
響を軽減できる。

<参考>
GOODFELLASのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/479442
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/25673.html
Microsoft知識ベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/25673
────────────────

5.危険度【重大】:ewire Payment Clientにリモートのコマンド実行脆弱性

<影響のある製品>
ewrite Payment Client 1.70までのバージョン

<詳細>
ewire Payment Clientは、デンマークのewire資金決済会社のためのリモート
の決済クライアントである。ewireを通じてアカウントの支払を行いたいベン
ダーは、自分のシステムにこのクライアントをインストールすることになって
いる。このクライアントにはPHPバージョンとWindowsベースのCOMバージョン
の2つのバージョンがある。PHPバージョンの"paymentinfo"パラメータ処理に
は、リモートのコマンド実行脆弱性がある。この脆弱性の悪用が実現すると、
Webサーバのプロセス権限で任意のコードを実行できるようになってしまう。
この脆弱性の概念実証コードと技術的詳細がリリースされている。脆弱なPHP
バージョンは、Microsoft Windows、LinuxおよびFreeBSDプラットフォーム用
のものもあるので注意が必要。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
Fortnetセキュリティアドバイザリ(概念実証コード)
http://www.fortconsult.net/images/pdf/advisory_feb2007.pdf
ベンダーのホームページ
http://www.ewire.dk/
SecurityFocus BID
http://www.securityfocus.com/bid/25683
────────────────

6.危険度【高】:Callisto Photo Parade PlayerのActiveXコントロールにバッ
  ファオーバーフローの脆弱性

<影響のある製品>
Callisto Photo Parade Player

<詳細>
Callisto Photo Parade Playerは、スライドショーおよび写真共有アプリケー
ションとして広範囲で使用されており、カスタムのActiveXコントロールを使
用している。しかし、このコントロールの"FileVersionOf"プロパティには、
バッファオーバーフローがある。このコントロールをインスタンス化するWeb
ページが細工されると、このバッファオーバーフローが悪用され、現在のユー
ザー権限で任意のコードが実行されるおそれが生じる。この脆弱性の技術的詳
細がリリースされている。

<現状>
Callistoはこの問題を認めており、更新をリリースしている。
ユーザーは、Microsoftの"kill bit"機能を"0115A685-ED24-4F7B-A08E-3BD15D
84E668"に設定して問題のコントロールを無効にすれば、これらの脆弱性の影
響を軽減できる。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/26789/
US-CERTの脆弱性メモ
http://www.kb.cert.org/vuls/id/171449
Microsoft知識ベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/25654
────────────────

7.危険度【高】:PhotoChannel Networks Photo Upload PluginのActiveXコン
トロールにバッファオーバーフローの脆弱性

<影響のある製品>
PhotoChannel Networks Photo Upload PluginのActiveXコントロール2.0.0.10
までのバージョン

<詳細>
PhotoChannel Networks Photo Upload Pluginは、ActiveXコントロールがサー
バに写真をアップロードするときに使用される。このコントロールは、ウォル
マートやKマート、Eckard Pharmacyなど、さまざまな小売業者や写真業者に向
けて販売され、使用されている。しかし、このコントロールにはバッファオー
バーフローの脆弱性が含まれており、問題のコントロールをインスタンス化す
るWebページに悪用されるおそれがある。この脆弱性の悪用が実現すると、現
在のユーザー権限で任意のコードを実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
US-CERTの脆弱性メモ
http://www.kb.cert.org/vuls/id/854769
製品のホームページ
http://www.photochannel.com/products/photo/photo_retailers.htm
SecurityFocus BID
まだリリースされておらず
────────────────

8.危険度【高】:GlobalLinkの"glitemflat.dll"ActiveXコントロールにバッフ
ァオーバーフローの脆弱性

<影響のある製品>
GlobalLinkのglitemflat.dll ActiveXコントロール 2.7.0.8までのバージョン

<詳細>
GlobalLinkの"glitemflat.dll"ActiveXコントロールの"SetClientInfo"メソッ
ドにはバッファオーバーフローの脆弱性がある。このコントロールをインスタ
ンス化するWebページを細工すれば、このバッファオーバーフローを悪用して、
現在のユーザー権限で任意のコードを実行できるようになってしまう。この脆
弱性の概念実証コードがリリースされている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
ユーザーは、Microsoftの"kill bit"機能を"7D1425D4-E2FC-4A52-BDA9-B9DCAC
5EF574"に設定して問題のコントロールを無効にすれば、これらの脆弱性の影
響を軽減できる。

<参考>
概念実証コード
http://www.milw0rm.com/exploits/4372
Microsoft知識ベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/25586


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年9月25日 Vol.6 No.39)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品             3
サードパーティWindowsアプリ          17 (#1, #4, #5)
Linux                     4
HP-UX                     1
BSD                      1
Apple                     1
クロスプラットフォーム            16 (#2, #3)
Webアプリ…XSS               7
Webアプリ…SQLインジェクション       8
Webアプリケーション            24
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

またバックアップ製品が、「重大な脆弱性あり」のリストに載ってしまった。
しかも、またCAのARCServeである。多くの人が、バックアップソフトウェアは
自動的にパッチが適用されると思っているところに大きな問題があるのだ。実
際は自動的にそんなことはされない。ARCServeユーザーは、迅速に対応するこ
と。
────────────────

1.危険度【重大】:ノートパソコンおよびデスクトップ用CA ARCServe Backup
  に複数の脆弱性

<影響のある製品>
ノートパソコンおよびデスクトップ用CA ARCServe Backup

<詳細>
ノートパソコンおよびデスクトップ用のCA ARCServe Backupは、バックアップ
ソリューションとして広範囲で使用されている。しかし、この製品には認証回
避の脆弱性のほか、複数のバッファオーバーフローの脆弱性がある。バッファ
オーバーフローの脆弱性を悪用するには認証が必要だが、認証回避脆弱性には
その名の通り認証が必要ない。そのため、この全ての脆弱性は、未認証のアタッ
カーでも悪用可能であり、どの脆弱性が悪用されたとしても、SYSTEM権限で任
意のコードが実行されてしまうおそれがある。これらの脆弱性の技術的詳細が
公表されている。

<現状>
CAはこの問題を認めており、更新をリリースしている。ユーザーは、TCP1900
番ポートおよび7978ポートへのアクセスをネットワーク境界でブロックすれば、
この脆弱性の影響を部分的に軽減できる。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=598
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=599
CAのセキュリティ通知
http://supportconnectw.ca.com/public/sams/lifeguard/infodocs/caarcservebld-securitynotice.asp
SecurityFocus BID
http://www.securityfocus.com/bid/24348
────────────────

2.危険度【高】:IBM Tivoli Storage Managerに複数の脆弱性

<影響のある製品>
IBM Tivoli Storage ManagerおよびStorage Manager Express Clientsの5.1
から5.4までのバージョン

<詳細>
IBM Tivoli Storage Managerは、IBMの企業用保存管理ソリューションである。
しかし、このアプリケーションのクライアントコンポーネントには、複数の脆
弱性がある。まず、Client Acceptor Daemon(CAD)にある欠陥は、バッファオー
バーフロー脆弱性を引き起こすおそれがある。このバッファオーバーフローの
悪用が実現すると、脆弱なプロセス権限で任意のコードを実行できるようになっ
てしまう。また、スケジューリングコンポーネントにある詳細不明の欠陥は、
情報を開示してしまうおそれがあり、さらにその他の脆弱性につながる可能性
もある。このバッファオーバーフローの脆弱性の技術的詳細が公表されている。

<現状>
IBMはこの問題を認めており、更新をリリースしている。

<参考>
IBM のセキュリティアドバイザリ
http://www-1.ibm.com/support/docview.wss?uid=swg21268775
Zero Day イニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-054.html
SecurityFocus BID
http://www.securityfocus.com/bid/25743
────────────────

3.危険度【高】:OpenOffice.orgのTIFF 画像解析にインテジャーオーバーフロ
  ーの脆弱性

<影響のある製品>
OpenOffice.org 2.3までのバージョン

<詳細>
OpenOffice.orgは、クロスプラットフォームのオープンソースのオフィススイ
ートとして広範囲で使用されている。OpenOffice.orgは、特定の不正形式の
Tagged Image File Format(TIFF)画像ファイルを正しく処理できない。そのた
め、TIFF画像が細工されると、インテジャーオーバーフローが生じるおそれが
ある。このオーバーフローの悪用が実現すると、現在のユーザー権限で任意の
コードが実行されてしまう可能性がある。この脆弱性は、他の文書に組み込ま
れている画像ファイルによって悪用されるおそれがあるので注意が必要。この
ような文書は、ユーザーに事前にプロンプトすることなしにOpenOffice.orgに
よって開かれてしまう。OpenOffice.orgは、Unix、Unixに類似したシステム、
LinuxなどのOSにおいてデフォルトでインストールされているほか、Microsoft
Windowsのシステムにもおおむねインストールされている。この脆弱性の技術
的詳細は、ソースコードを解析すれば入手できる。

<現状>
OpenOffice.orgはこの問題を認めており、更新をリリースしている。

<参考>
OpenOffice.orgのセキュリティアドバイザリ
http://www.openoffice.org/security/cves/CVE-2007-2834.html
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=593
製品ホームページ
http://www.openoffice.org
SecurityFocus BID
http://www.securityfocus.com/bid/25690
────────────────

4.危険度【高】:Sun JavaのWeb Start ActiveXコントロールにバッファオーバ
  ーフローの脆弱性

<影響のある製品>
Sun Java Runtime Environment 1.6.0までのバージョン

<詳細>
Sun Java Web Startは、Webを介してJavaベースのアプリケーションを販売(配
信)するメソッドであり、このWeb Startを使用するための機能が、Sun Java
Runtime Environmentに含まれている。Microsoft Windowsのこれらの機能には
ActiveXコントロールが付いている。しかし、このActiveXコントロールの
"dnsResolve"メソッドには、バッファオーバーフローの脆弱性がある。そのた
め、このコントロールをインスタンス化するWebページが細工されると、この
脆弱性が悪用され、現在のユーザー権限で任意のコードが実行されてしまうお
それが生じる。Sun Java Runtime Environmentは、たいへん多くの頻度で
Microsoft Windowsのシステムにインストールされている。この脆弱性の概念
実証コードが公表されている。

<現状>
Sunはこの問題を認めていないため、更新もリリースしていない。
ユーザーは、Microsoftの"kill bit"機能をCLSID "5852F5ED-8BF4-11D4-A245-
0080C6F74284"に設定して問題のコントロールを無効にすれば、これらの脆弱
性の影響を部分的に軽減できる。しかし、これによって、通常のアプリケーショ
ン機能に影響が生じる可能性もあるので注意が必要だ。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/25734.html
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://java.sun.com/products/javawebstart/
SecurityFocus BID
http://www.securityfocus.com/bid/25734
────────────────

5.危険度【高】:Ipswitch IMailのSMTPにバッファオーバーフローの脆弱性

<影響のある製品>
Ipswitch IMail Server バージョン8.01から8.11

<詳細>
Ipswitch IMailは、Microsoft Windows用のメールサーバとして広範囲で使用
されているが、これのSimple Mail Transport Protocol (SMTP)モジュールに
は、バッファオーバーフローの脆弱性がある。この脆弱なサーバを通過するメー
ルが、このバッファオーバーフローを悪用すると、脆弱なプロセス(SYSTEMの
場合が多い)の権限で任意のコードが実行されてしまうおそれが生じる。この
脆弱性の概念実証コードと技術的詳細が公表されている。

<現状>
Ipswitchはこの問題を認めており、更新をリリースしている。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/25762.c
製品のホームページ
http://www.ipswitch.com/products/imail/index.asp
SecurityFocus BID
http://www.securityfocus.com/bid/25762

=======

ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。