NRI Secure SANS NewsBites 日本版

Vol.2 No.46 2007年11月20日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.46 2007年11月20日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

───────────────────────────────────
★無料 『事業継続セミナー』 開催★  http://www.idg.co.jp/expo/bcm
┃Business Continuity Management 2007
┃               -- 2007.11.30.Fri@東京ミッドタウン
┃ 迫る国際標準化(ISO)-「事業継続」と「IT継続」-
┃●Keynote>>世界におけるBCIの取組み、英国規格そして国際標準化への軌跡
┃      英国BCI Technical Services Director Lyndon Bird 氏
┃●session>>大手各社が一堂に勢揃い!!驚愕の20セッション!!
┗事前仮登録実施中!今すぐ!! http://www.idg.co.jp/expo/bcm ━━━━━
───────────────────────────────────

■■SANS NewsBites Vol.9 No.89-90(原版:2007年11月9日、11月13日)

◆ホワイトハウス サイバーセキュリティ予算1億5400万ドルを申請
  (2007.11.6)

ブッシュ政権は、新しいサイバープログラムのために1億5400万ドルを申請し
た。そのうち1億1500万ドルは、US-CERTを介してアインシュタインプログラム
設立の促進に費やされる。アインシュタインプログラムでは、マルウェアの存
在を示す通信パターンがないかどうか、参加政府13局のネットワークのゲート
ウェイを監視する。残りの3900万ドルは、FBIによる連邦ネットワーク侵入捜
査を高度化すべく、司法省にあてがわれる。この資金によって、諜報分析の向
上が図られ、捜査や分析技術のためのツールが提供される。
http://www.fcw.com/online/news/150721-1.html?type=pf
────────────────

◆Yahoo!の役員 ユーザー情報を中国に提供していたことで非難される
  (2007.11.6-7)

米国下院議会外務委員会は、Yahoo!の役員らが中国の政府関係者にユーザー情
報を提供していたという情報を伝えていなかったことを激しく非難した。記者
のShi Taoは、中国当局がYahoo!から提供された情報によって身元を特定した
ため、投獄されてしまった。Yahoo!のMichael Callahanは当初、下院審議会に
対して中国当局がなぜその情報を欲しがっていたのかわからなかったと述べて
いた。しかしその後、Yahoo!が所持していた文書に、「国家機密を違法に提供
した疑いがある」との理由で身元情報が求められたことが記載されていたとわ
かった。審議会は、Yahoo!を「弁明の余地のない過失」を犯しただけでなく、
「欺瞞的」であると糾弾した。
http://news.bbc.co.uk/2/hi/technology/7081458.stm
http://www.vnunet.com/vnunet/news/2202927/congress-savages-yahoo-china
────────────────

◆国家情報長官局 FISMAへの法遵守を行動的プロセスにする方向へ
  (2007.11.12)

米国家情報長官局 (ODNI:The Office of the Director of National
Intelligence)は、連邦情報セキュリティ管理法(FISMA)遵守を行動プロセスに
していくために具体的な一歩を踏み出した。FISMA導入業務は、政府コンピュー
タシステムをサイバーアタックやその他の危険から防御可能な効果的な対策を
とるはずが、単なる紙面上の事務をこなすだけという現状になっていたため、
批判の声が高まりつつあった。ODNI職員らは、リアルタイムの脆弱性検査やビ
ジネス手順の変更、ネットワーク安全化のための追加ツールの検索、システム
開発者や管理者、プログラムマネージャによりよい教育やトレーニングを提供
することに注力するという。司法省および環境保護庁は、FISMA認定認可プロ
セス自動化ツールをすでに作成済みで、行政予算管理局のビジネス・イニシア
チブ情報システムセキュリティラインを通じて、他の政府局に提供している。
http://www.fcw.com/print/13_40/policy/150753-1.html?type=pf

【編集者メモ1】(Schultz)
これは、非常に重要な進展になりうる。実際のセキュリティリスク対処により
沿った形でFISMA遵守が行われれば、大きな第一歩になろう。
【編集者メモ2】 (Paller)
ODNIのリーダーシップは大変重要である。司法省と環境保護庁がFISMA遵守業
務を自動化したことによって、現行の著しく欠陥のあるCISOらのやり方に対し、
賢い存続戦略を立てたことになる。そして、ODNIは実際に意味のある事柄を測
定できるように、プロセス全体を修正する方向に向かっている。OMB(米行政
予算管理局)やNIST(米国国立標準技術研究所)は、積極的にODNIの取り組みを
支援しているため、連邦情報セキュリティは迅速かつ根本的に改善されるだろ
う。しかし一方で、NISTのマネージャらが「ODNIの取り組みを支援するが、
800-53に設けたコントロールも全て重要だ。したがって、政府局がODNIと同じ
取り組みを行えば、皆に同じことをさせよう。」などと言い出せば、失敗に帰
することになる。言い換えれば、読まれもしない報告書を書くことに、セキュ
リティ予算のうち5億ドルを無駄に捨てることになるのだ。ただでさえセキュ
リティ予算は不足しているというのに。
────────────────

◆米運輸省の運輸情報データベース送信 暗号化されておらず(2007.11.12)

運輸省監査官の報告書によると、同省では米国ドライバー登録簿データベース
の情報を保護するための安全措置が十分にとられていないという。データベー
スには、米国内で道路交通法関連の違反で起訴されたドライバーの氏名および
生年月日などが含まれている。データベース内の記録そのものは暗号化されて
いたが、外部ネットワークに送信するデータは平文のままだ。運輸省関係者は、
ネットワークを有する組織に対してデータの暗号化を義務付ける「相互接続セ
キュリティ契約」の原案をレビューしている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=307313&source=rss_topic17
────────────────

◆警察官 暗号化されていないHushmailメッセージを入手(2007.11.7-8)

Hushmailのスタッフでさえも、Hushmailサービスで送信された通信にはアクセ
スできないと宣伝している。しかし、米国の警察官らはドラッグの密売ケース
の証拠として使用する目的で、同メールのプレーンテキストのコピーを入手す
ることを成しえてしまった。Hush Communications社自体は、裁判所命令に従
わなければならない、かつ特定のアカウントが要求されたときのみ、暗号化さ
れていないメッセージの内容や付随情報を提供すると述べている。新製品が以
前の同社製品より若干セキュリティが劣ったため、問題のプレーンテキストメー
ルが入手できてしまったと考えられる。
http://www.theregister.co.uk/2007/11/08/hushmail_court_orders/print.html
http://blog.wired.com/27bstroke6/2007/11/encrypted-e-mai.html

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年11月13日 Vol.6 No.46)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              2
サードパーティWindowsアプリ           3 (#4)
Linux                     12
Solaris                     1
Unix                      2
クロスプラットフォーム             19 (#1, #2, #3)
Webアプリ…XSS                 10
Webアプリ…SQLインジェクション         10
Webアプリケーション              37
ネットワークデバイス              2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週の最も重大な脆弱性:Apple QuickTime

AppleのQuickTimeに新しく発見されたこの脆弱性は、QuickTimeがiTunesとと
もにMacやWindowsに自動的にインストールされてしまうため、巨大かつ肥沃な
アタック対象の存在を犯罪者らに提示してしまう。このクラス(個人用PCや、
オフィス用PCにたびたび発見される)の脆弱性は、現在、犯罪者やスパイがボッ
トネットを構築したり、政府やその他の機密サイトにターゲテッドアタックを
仕掛ける温床となっている。
────────────────

1.危険度【重大】:Apple QuickTimeに複数の脆弱性

<影響のある製品>
Apple QuickTime 7.3までのバージョン

<詳細>
QuickTimeは、Apple Mac OS XおよびMicrosoft Windows用のストリーミングメ
ディアフレームワークである。しかし、QuickTimeにはさまざまなファイル形
式処理に複数の脆弱性がある。QuickTime Containerファイルに保存された
PICTファイルやQuickTime VRファイル、もしくはその他のメディアファイルが
細工されると、脆弱性のどれかを引き起こす。どれかひとつでも悪用が実現す
れば、現在のユーザー権限で任意のコードを実行できるようになってしまう。
ほとんどの設定では、QuickTimeが問題のファイルを自動的に開くようになっ
ているので注意が必要だ。QuickTimeメディアがWebページに組み込まれている
場合があるので、それによってアタッカーはWebページを介してエクスプロイ
トを実行できるようになってしまう。これらの脆弱性の技術的詳細のいくつか
がリリースされている。Mac OS X版とMicrosoft Windows版両方のQuickTimeが
影響を受けるので注意すること。また、QuickTimeはMicrosoft Windows版
iTunesの一部としてもインストールされている。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-065.html
http://zerodayinitiative.com/advisories/ZDI-07-066.html
http://zerodayinitiative.com/advisories/ZDI-07-067.html
http://zerodayinitiative.com/advisories/ZDI-07-068.html
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=620
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=306896
QuickTimeのホームページ
http://www.apple.com/quicktime/
SecurityFocus BIDs
http://www.securityfocus.com/bid/26339
http://www.securityfocus.com/bid/26338
http://www.securityfocus.com/bid/26342
http://www.securityfocus.com/bid/26341
http://www.securityfocus.com/bid/26345
http://www.securityfocus.com/bid/26340
http://www.securityfocus.com/bid/26344
────────────────

2.危険度【高】:Oracle PITRIG_DROPMETADATAのバッファオーバーフローの脆
  弱性

<影響のある製品>
Oracle Database Serverのバージョン10g

<詳細>
Oracle Database Serverには、データベースパッケージ内のPITRIG_DROPMETA
DATA手順へのcall処理に欠陥がある。この手順に過剰に長い引数を引き渡すと
バッファオーバーフロー脆弱性が引き起こされ、データベースサーバの権限で
任意にコードを実行できるようになってしまう。この脆弱性の悪用には認証が
必要だが、データベースに接続しているアプリケーションにあるSQLインジェ
クション脆弱性を悪用すれば、その認証が得られる可能性もある。この脆弱性
の概念実証コードや技術手詳細のいくつかが公表されている。

<現状>
Oracleはこの問題を認めているが、更新はリリースしていない。Oracleによれ
ば、今後の重大なパッチ更新でパッチがリリースされる見込みだという。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=622
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/oracle_26374
SecurityFocus BID
http://www.securityfocus.com/bid/26374
────────────────

3.危険度【高】:OpenBaseに複数の脆弱性
<影響のある製品>
OpenBase 10.0.5までのバージョン

<現状>
OpenBaseは、関係型データベースエンジンとして広範囲で使用されているが、
このデータベースには複数の脆弱性がある。コマンド・インジェクション脆弱
性はデータベースに保存された手順のいくつかに存在しており、バッファオー
バーフローはSQLクエリ解析にある。これらの脆弱性の悪用が実現すると、デー
タベースサーバのプロセス(SYSTEMやルートの場合が多い)で任意のコードを
実行できるようになってしまう。脆弱性を悪用するには承認が必要だが、デー
タベースに接続しているアプリケーションにあるSQLイエンジェクション脆弱
性を悪用すれば、認証を得られる可能性がある。アドバイザリに、これらの脆
弱性の概念実証コードと技術的詳細が公表されている。

<現状>
OpenBaseはこの問題を認めており、更新をリリースしている。

<参考>
Netragardのアドバイザリ(概念実証コードも含む)
http://www.netragard.com/pdfs/research/NETRAGARD-20070313-OPENBASE.txt
OpenBaseのホームページ
http://store.openbase.com/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/26347
────────────────

4.危険度【高】:AOL AmpX ActiveXコントロールに複数の脆弱性

<影響のある製品>
AOL AmpX ActiveXコントロール

<詳細>
AOL AmpX ActiveXコントロールは、AOLが配信しているリアルタイム・オーデ
ィオストリーミング用のActiveXコントロールである。このコントロールは、
AOL Radioに使用されており、Webページにストリーミングオーディオを組み込
むときに用いられる。しかし、このコントロールには複数のバッファオーバー
フロー脆弱性がある。このコントロールをインスタンス化するWebページが細
工されると、バッファオーバーフローのうちいずれかが悪用され、現在のユー
ザー権限で任意のコードが実行されてしまう。この脆弱性の技術的詳細のいく
つかが公表されている。

<現状>
AOLはこの問題を認めており、更新をリリースしている。Microsoftの"kill
bit"機能をCLSID" B49C4597-8721-4789-9250-315DFBD9F525"に設定して問題の
コントロールを無効にすれば、これらの脆弱性の影響を軽減できる。しかし、
これを行うと通常の機能に影響が出るおそれもあるので注意。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=623
AOL Radioのパッチ (バイナリファイルのリンク)
http://radaol-prod-web-rr.streamops.aol.com/mediaplugin/unagi_patch.exe
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
AOL Radioのホームページ
http://music.aol.com/radioguide/bb/
SecurityFocus BID
http://www.securityfocus.com/bid/26396

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。