NRI Secure SANS NewsBites 日本版

Vol.2 No.45 2007年11月12日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.45 2007年11月12日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

───────────────────────────────────
★無料 『事業継続セミナー』 開催★  http://www.idg.co.jp/expo/bcm
┃Business Continuity Management 2007
┃               -- 2007.11.30.Fri@東京ミッドタウン
┃ 迫る国際標準化(ISO)-「事業継続」と「IT継続」-
┃●Keynote>>世界におけるBCIの取組み、英国規格そして国際標準化への軌跡
┃      英国BCI Technical Services Director Lyndon Bird 氏
┃●session>>大手各社が一堂に勢揃い!!驚愕の20セッション!!
┗事前仮登録実施中!今すぐ!! http://www.idg.co.jp/expo/bcm ━━━━━
───────────────────────────────────

■■SANS NewsBites Vol.9 No.86-87(原版:2007年11月3日、11月7日)

■はじめに(Alan Paller:SANS Director of Research)

情報セキュリティ関連の大企業勤務の方でe-discoveryについて聞いたことの
ない方がいたとしても、もうすぐ耳にする機会があるはずだ。e-discoveryは
新しい法的必須条件で、企業はすでに数100万ドル単位で罰金を支払いつつあ
る。この罰金は、企業のIT人員が弁護士のe-discovery需要に適切に対応しな
かったために生じたものだ。12月11日から18日にかけてワシントンDCで開催さ
れるCDIにて、米国内のe-discoveryにおけるトップスペシャリスト2人による2
時間のミニコースを開催することになった。CDI参加者は、このミニコースへ
の参加が無料である。CDIでは、ハッカーエクスプロイトからワイヤレス、フォ
レンジック、侵入検知、Windowsセキュリティ、CISSPテスト対策コース、セキュ
リティエッセンシャルまで、人気のある実践的なコースが開かれる。
詳細はこちら:http://www.sans.org/info/14231
────────────────

◆マサチューセッツ州検事総長 対サイバー犯罪プランを公表(2007.10.31)

マサチューセッツ州検事総長事務局は、マサチューセッツ州対サイバー犯罪戦
略プランを公表した。このプランは、警察職員のアンケートや警察官とのミー
ティングから収集した情報をもとに作成された。このプランの6大優先事項は、
「警察官のトレーニング」「サイバー犯罪阻止・情報共有活動のサポートおよ
び向上」「共通作業手順と基準の作成および振興」「州全体のデジタルフォレ
ンジック証拠保全必須条件の検査」「対サイバー犯罪プログラムの資金確保」
「管轄・実体法の改正」となっている。
http://www.gcn.com/cgi-bin/udt/im.display.printable?client.id=gcn_daily&story.id=45318
http://www.mass.gov/Cago/docs/press/2007_10_25_cyber_crime_plan_attachment1.pdf

【編集者メモ】(Shpantzer)
私が以前警察のデジタルフォレンジックについての調査を行ったところ、最も
大きな問題として、警察の昇進システムが警察官をさまざまな任務に異動させ
てキャリアを積ませるようになっており、長期間かかる業務への特化が難しい
ことが明らかになった。例えば、強盗事件捜査に携わるデジタルフォレンジッ
ク専門家が3年ごとに変わるとなると、その警察官がコンピュータ犯罪に関し
て証言を行っても、高い信用性は維持できない。
────────────────

◆消費者団体 「追跡するな」リストを求める(2007.11.1-2)

消費者保護およびプライバシー団体は、「電話するな」リストと同様に「追跡
するな」リストの作成を提案した。このリストがあれば、個人は、その企業が
自分のネットサーフィンログを追跡してもよいかどうか判断できるようになる。
このプランによって、ユーザーのコンピュータにクッキーを設置する広告業者
は、関連サーバを全て連邦取引委員会(FTC)に登録するよう義務付けられる。
インターネットで事業を行う企業は、消費者に合った広告を打つ目的で、ユー
ザーが訪問するサイトを把握したいと考えている。双方向広告局(Interactive
Advertising Bureau)のRandall Rothenberg主任は、産業革新の妨げになると
してこの提案に批判的であり、自主規制を支持している。この件については、
11月1日に始まる2日間のFTC公共フォーラムで議論される。FTC委員のJon
Leibowitz氏によると、同局はオンライン広告に対する規制を施行する見込み
だという。木曜日のフォーラムでLeibowitz氏は、「人は自分のコンピュータ
を統制できる状態にあるべきだ。現在あるような“聞かざる言わざる”的なオ
ンライントラッキングやプロファイリングには、終止符を打たなければならな
い」と述べた。
http://www.washingtonpost.com/wp-dyn/content/article/2007/10/31/AR2007103101000_pf.html
http://www.sfgate.com/cgi-bin/article.cgi?file=/c/a/2007/11/01/BUL2T462K.DTL&type=business
http://news.bbc.co.uk/2/hi/technology/7072653.stm
http://www.nytimes.com/2007/11/02/technology/001cnd-ftc.html?ei=5088&en=f562c58488150ad5&ex=135165600

【編集者メモ】(Pescatore)
インターネットにおいて「電話するな」リストをまねるという概念は当然のこ
とである。しかし、広告業者に政府局への登録を義務付ける行為はいかがなも
のか。世界の他の地域には、「オプトイン」を使うアプローチを導入している
ところもある。業界はこれらを検討し、自主規制のアプローチを提案すべきで
あるが、それも延び延びになっている状態だ。考えるまでもないほど簡単なこ
となのだ。無料のWebコンテンツを見続けられるなら、ほとんどの人が「オプ
トイン」するという意向を示しているのだから。彼らが「オプトイン」しない
というのなら、代金が発生する。これは、必要不可欠な取引だろう。
【編集者メモ】(Schultz)
Leibowitzは100%正しい。誰かが他人のコンピュータに同意なしに何かプログ
ラムを挿入する行為は、どう考えても許されざることである。スパイウェアに
対する法案は、より以前に米国で可決されるべきだったのだ。
────────────────

◆FTC スパイウェア提供者に罰金を科す権限を求める(2007.10.30)

米連邦取引委員会(FTC)は、スパイウェア提供者に罰金を科す権限を求めてい
る。現在、FTCには、スパイウェア提供によって得た利益と犠牲者への損害賠
償金のみを回収できるようになっている。罰金のおそれなくして、スパイウェ
ア販売者が活動をやめる可能性はあまりない。米下院議会で対スパイ法(Spy
Act)が可決されたが、現在上院議会で立ち往生している。同法が可決されれば、
スパイウェアを消費者のコンピュータに設置した企業に民事制裁金を科す権限
がFTCに与えられる。
http://www.theregister.co.uk/2007/10/30/ftc_spyware_sanctions/print.html
http://www.pcworld.com/article/id,139072-c,proposedlaws/article.html
────────────────

◆米国の重要なインフラ より厳格なサイバーセキュリティプラン必要
  (2007.11.1)

米下院の2つの審議会での証言で、政府説明責任局(GAO)の情報技術およびコミュ
ニケーション官のDavid Powner氏は、米国の重要なインフラには、サイバーア
タックを防御するための全面的なプランが欠けていると述べた。Powner氏によ
ると、17個の重要なインフラ部門のうち、全面的なサイバーセキュリティプラ
ンに必要な30個の要素が全て含まれている部門はひとつもなかったという。現
在、米国の重要なインフラの85%が民営となっている。
http://www.fcw.com/online/news/150679-1.html?type=pf

【編集者メモ】(Ullrich)
政府局はまだ、サイバーセキュリティを把握するのに四苦八苦している。問題
として、彼らがサイバーセキュリティを「終末論」ととらえていることがあげ
られる。しかし、本当の脅威は、日常的な侵入が小規模であれ、行われている
ことにある。これらの侵入が発生しており、ときおり検知、報告されているの
だ。現在あるこの脅威をガイドにすれば、サイバーセキュリティプランをより
「売り込み」やすくなり、実際に導入されれば、大規模なアタックへ対抗でき
るようになるだろう。
────────────────

◆EU 航空機の旅客情報収集を提案(2007.11.1-4)

欧州委員会(European Commission)は、ヨーロッパに乗り入れる航空会社に対
し、全てのEU国のセキュリティ局に搭乗客の情報提供を義務付けるよう提案し
た。EU加盟国は、氏名やクレジットカード番号、旅程表などのデータを使用し
て、その旅客のテロリスクを査定する。このデータは13年保管され、犯罪捜査
や諜報業務に必要と判断されれば、それ以上の期間保管される可能性がある。
米国は、すでに乗り入れるフライトの旅客情報を収集している。しかしこの提
案は、大西洋をはさんだ両側の国々の抵抗を受けている。米国のプライバシー
提唱者らは、テロリスクの査定を目的にした旅客情報の分析に懸念を抱いてい
る。米国には、政府の要注意リストに乗っていない旅客に対し、リスクを割り
当てる算法を行うことを禁止する規則がある。EUでは、EUと米国両方の旅客情
報に関する同様の協定に反対している者らは、EUにそのようなプログラムを設
けると、その協定への批判自体が台無しになると主張。また、インターネット
でテロ訓練、テロ要員の募集、テロを鼓舞することを犯罪化する法案も懸案さ
れている。
http://www.washingtonpost.com/wp-dyn/content/article/2007/11/03/AR2007110300956_pf.html
http://www.heise.de/english/newsticker/news/98335

【編集者メモ】(Schultz)
このような提案を聞くと、私はひやひやしてしまう。なぜなら、おおむね収集
したデータの保持や、それらのデータを安全に保管するにあたって、具体的な
必須条件を設けることなくデータをアーカイブすることが求められているから
だ。政府(特に米国政府)は、データセキュリティとなると、よい成果は上げら
れていないのが現状。前述のような必須条件を設けない限り、事態は改善され
ないだろう。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年11月6日 Vol.6 No.45)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティWindowsアプリ          10 (#1, #3)
Mac OS                     1
Linux                     4
Solaris                     2
Aix                      7
Novell                     1
クロスプラットフォーム           19 (#2, #4)
Webアプリ…XSS                 5
Webアプリ…SQLインジェクション         5
Webアプリケーション              23
ネットワークデバイス              1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Novell、Firefox、McAfeeおよびSonicWallのユーザーは皆、今週更新を適用す
べし。今週のリストを見ると、従来のWindowsやUNIX OSのサービス以外に見つ
かった重要な脆弱性の数が増加していることがわかる。今週影響を受けている
ベンダーの多くに自動更新サービスがあるものの、ユーザーに、Webサイトの
チェックにより脆弱性の有無を判断してパッチを当てるよう求めているベンダー
(バックアップ製品のベンダーなど)がまだ数多くいることに驚くことだろう。
────────────────

1.危険度【高】:Novell Client Trustにバッファオーバーフローの脆弱性

<影響のある製品>
Novell Client Trust

<詳細>
Novell Client Trustは、Novellのクライアント認証機能で、さまざまな
Novell製品で利用されている。しかし、このサービスへのリクエストが細工さ
れると、文字列コピー中にバッファオーバーフローの脆弱性が生じる。この脆
弱性の悪用が実現すると、脆弱なプロセス権限で任意のコードを実行できるよ
うになってしまう。この脆弱性の技術的詳細のいくつかが公表されている。こ
の製品はさまざまなNovell製品に使用されているので注意が必要だ。現在、
Novell BorderManagerは脆弱であることが確認されている。

<現状>
Novellはこの問題を認めており、更新をリリースしている。
可能であれば、UDP3024番ポートおよび7978ポートへのアクセスをネットワー
ク境界でブロックすると、この脆弱性の影響を軽減できる。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-064.html
Novellの更新情報
http://download.novell.com/Download?buildid=AuOWp2Xsvmc~
SecurityFocus BID
http://www.securityfocus.com/bid/26285
────────────────

2.危険度【高】:McAfee E-Business Serverの管理インタフェースにインテジ
  ャーオーバーフローの脆弱性

<影響のある製品>
McAfee E-Business Server 8.5.3までのバージョン

<詳細>
McAfee E-Business Serverは、企業用暗号化およびデータ共有アプリケーショ
ンである。この製品においては、認証パケット処理に欠陥がある。認証パケッ
トが細工されると、インテジャーオーバーフローの脆弱性が引き起こされる。
この脆弱性の悪用が実現すると、脆弱なプロセス権限で任意のコードを実行で
きるようになってしまう。Microsoft Windows版では、この脆弱性の影響は受
けないようだ。

<現状>
McAfeeはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2007-69/advisory/
製品のホームページ
http://www.mcafee.com/us/enterprise/products/encryption/ebusiness_server.html
SecurityFocus BID
http://www.securityfocus.com/bid/26269
────────────────

3.危険度【高】:SonicWALL VPN ClientのActiveXコントロールに複数の脆弱性

<影響のある製品>
SonicWALL VPN Client 2.5までのバージョン

<詳細>
SonicWALL VPN クライアントは、SonicWALL VPN サーバへの接続に用いられて
おり、ActiveXコンポーネントをひとつインストールするようになっている。
しかし、このコンポーネントには、エクスポートされる各種メソッドに複数の
脆弱性がある。バッファオーバーフローの脆弱性があるメソッドもあれば、任
意のファイル削除の脆弱性があるメソッドもある。悪意あるWebページがこの
コントロールをインスタンス化し、これらの脆弱性のどれかが悪用されると、
現在のユーザー権限で任意のコードが実行されたり、任意のファイルが削除さ
れたりするおそれが生じる。これらの脆弱性のいくつかに、概念実証コードや
技術的詳細がリリースされている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。
Microsoftの"kill bit"機能をCLSID"6EEFD7B1-B26C-440D-B55A-1EC677189F30"
に設定して問題のコントロールを無効にすれば、これら脆弱性の影響を軽減で
きる。

<参考>
Bernhard Muellerによる掲示
http://www.sec-consult.com/303.html
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/26288-NeLaunchCtrl.html
http://milw0rm.com/exploits/4594
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.sonicwall.com/
SecurityFocus BID
http://www.securityfocus.com/bid/26288
────────────────

4.危険度【高】:Mozilla Firefoxに任意の実行脆弱性

<影響のある製品>
Mozilla Firefox 2.0.0.8までバージョン

<詳細>
Mozilla FirefoxのJavaScript処理には脆弱性がある。Webページが細工される
とドメイン制限が回避されるため、ロードされた場所とは違うセキュリティド
メインで、任意のJavaScriptを実行できるようになってしまう。そのため、現
在のユーザー権限でユーザーインタフェースを改ざんしたり、任意のコードを
実行できるようになったりするおそれがある。この脆弱性のいくつかの技術的
詳細と概念実証コードがリリースされている。また、ソースコードを分析すれ
ば技術的詳細が入手できる。ThunderbirdやSeaMonkeyなど、その他のMozilla
製品も影響を受ける可能性がある。

<現状>
Mozillaはこの問題を認めており、更新をリリースしている。

<参考>
The Hacker Webzineによる掲示
http://www.0x000000.com/index.php?i=465
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/26283.html
SecurityFocus BID
http://www.securityfocus.com/bid/26283

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。