NRI Secure SANS NewsBites 日本版

Vol.2 No.4 2007年1月29日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.4 2007年1月29日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃ The Trusted Source for Computer Security Training
┃ SANS Tokyo 2007 Spring
┃ ~~~~~~~~~~~~~~~~~~~~~~
┃      2007年2月19日~24日 開催!

┃  ■SANS認定インストラクターの高いスキル、豊富な実例■
┃  ■講師と受講者相互によるディスカッション形式の講義■
┃  ■参考書と呼ぶにふさわしい詳細な解説付きの研修教材■
┃  ■国内はもちろん世界でも比類のない充実のプログラム■

┃ ┏━━━━━━━━━━━━━━━━━━━━
┃ ┃早期割引き申込み受付中!(2月12日まで)
┃ ┃ 詳細はこちら
┃ ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
http://sans-japan.jp/SJ/tokyo2007_spring/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━AD━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今から計画を!
────────────────

■■SANS NewsBites Vol.9 No.6-7 (原版:2007年1月20、24日)

■はじめに(Alan Paller: SANS director of research)

よいニュースを2つ。前回のニュースで、オーストラリアの銀行が、オンライ
ンバンキングでの損失を消費者に負わせようとの働きかけを行っていることを
お伝えしたが、銀行協会はこの報道事実を撤回している。これにより、この問
題の実際の重大度が明らかになった。銀行が、負債(損失)を消費者に移行する
方法を模索していなければ、このようなニュースが流れることはなかったはず
だ。この事実が素早く撤回されたということは、銀行は自ら損失を被るしかな
いことを理解したといえる。現在生じている損失は、年間で400%増を記録し
ており、総計だと、少なくとも年間で2億5,000万ドル増にのぼる。ここでのよ
いニュースとは、 銀行が効果的なセキュリティ対策を導入しなければならな
くなるということだ。
2つ目のよいニュースは、ニューヨーク州のイノキュレーション(予防接種)
プロジェクトについてである。人の行動パターンを変えたいのならば、彼らに
痛みを感じさせる必要があることを、ニューヨーク州は実演してくれた。あな
たも、このニューヨーク州の行動を模範にすれば、同様の成果を期待できよう。
────────────────

◆米国Can-Spam法による初の有罪判決 (2007.1.17)

Jeffrey Brett Goodinは、米国Can-Spam法で初の有罪判決を受ける人間となる。
Goodinは、AOLユーザーを騙してクレジットカード番号を入手するフィッ
シング詐欺を行っていた。 同人は、通信上の不正行為、クレジットカードの
不正使用、AOL商標の乱用、証人脅迫未遂に問われている。Goodinに対する判
決は6月11日に言い渡される。 同人には、最高で101年の懲役が科される可能
性がある。
http://www.zdnet.co.uk/misc/print/0,1000000169,39285508-39001093c,00.htm
────────────────

◆キーストローク・ロガーとフィッシングアタックが増加(2007.1.15-16)

McAfeeからの白書によると、2004年1月から2006年5月にかけて、キーストロー
クロギングのマルウェアが250%増を記録したという。また、アンチフィッシ
ング作業グループ(APWG)によると、同期間のフィッシングアタックは、100
%増だった。英国内務省は、過去3年間の身元査証詐欺による損失額が1,630億
ポンド (320億ドル) だと発表。 以下のサイトの文書には、機密情報保護の秘
訣も掲載されている。
http://www.vnunet.com/computing/news/2172647/id-fraud-taking-toll
http://www.mcafee.com/us/about/press/corporate/2007/20070115_182020_r.html
http://www.mcafee.com/us/local_content/white_papers/wp_id_theft_en.pdf

【編集者メモ1】(Boeckman)
キーロガーが増殖してしまったことにより、クライアント側の認証目的でソフ
トウェアが証明書を発行することに意味があるのかわからなくなってきた。他
人のコンピュータを使用して何か重要なことをする場合には、ブータブルなOS
のコピーを念のために携帯しておくとよいだろう。
【編集者メモ2】(Grefer)
APWGの数値だけでは誤解を招きやすい。 APWG貢献者があまりに多いために、
スパムフィルタが掘削されてしまい、結果として、スパムのうち実際はフィッ
シング未遂に終わったものの割合は取り除かれてしまう。したがって、APWGが
出した「100%増」は、実際のところフィルタにかけられていない新手のフィッ
シングアタックが倍増したことを示していることになる。スパムフィルタを使
用している人間にとって、このことはさほど重要ではないかもしれないが、ま
だ禁酒していない人間には、そうする動機になりえよう。
────────────────

◆オーストラリアの銀行 消費者に責任を負わせるように働きかけておらず
(2007.1.17)

オーストラリア銀行協会(ABA:Australian Banking Association)は、先のメ
ディアの報道を否定している。先の報道では、オーストラリアの銀行がオース
トラリア証券投資委員会(ASIC:Australian Securities and Investment
Commission) に働きかけ、インターネット詐欺による損失を銀行から消費者に
移行し、銀行側の負担をなくそうとしていたとされていた。 しかし、ABAによ
ると、同協会はASICに働きかけはしておらず、また、インターネット詐欺の責
任を消費者に移す考えさえも支持していないという。ASICは最近、特にインター
ネット詐欺による損失の責任問題において、電子債権決済の行動規範(Electronic
Funds Transfer Code of Conduct)を、レビュー目的で提出するよう求めた。
ASICは、ABAメンバーがこの問題に関して働きかけてきた覚えはないと述べて
おり、ABAの主張を裏付けている。
http://www.computerworld.com.au/index.php/id;755873229;fp;16;fpid;1
────────────────

◆イタリア法廷:営利目的でなければ、楽曲・映画・ソフトウェアのダウンロー
ドはOKとの判決(2007.1.27)

イタリアの法廷はこのほど、営利目的でなければ、ダウンロード行為を許可す
る判決を下した。 この判決によって、1994年にP2Pネットワークを設置したた
めに有罪となった元学生2人に対する有罪判決が覆されることとなる。アナリ
ストによると、ダウンロード行為はもはや違法ではないが、この判決によって、
著作権侵害までもが合法になるわけではないという。
http://www.msnbc.msn.com/id/16756121/

【編集者メモ1】(Pescatore)
製品を購入する(代金を支払う)ことなしに、それをダウンロードするように
なる。私にとって、それは、営利目的に思えるのだが…。私が万引きしたとす
れば、私が盗んだ商品を売りさばこうとしていたことを証明できなくとも、も
ちろん逮捕されるだろうに。
【編集者メモ2】(Ranum)
そうか。イタリアの判事は、自分のものを誰かに借用されるのが平気なのだ。
それが、営利目的でさえなければ、平気だと理解してよいのだろう。
【編集者メモ3】(Northcutt)
欧州では、知的所有権に関する動きが早いようだ。しかし、ランプの精は魔法
のランプから一度出てきてしまえば、おとなしくランプの中に戻ってくれるわ
けではないということを、彼らはわかっているのだろうか。
────────────────

◆ニューヨーク州 マルウェア防御のため職員に予防接種(2007.1.22)

ニューヨーク州のCISOであるWill Pelgrin氏は、AT&TおよびSANS Instituteと
連携して"予防接種(イノキュレーション)"プログラムを作成し、州政府局の
コンピュータシステムをマルウェア感染から保護しようという試みを行った。
まず、州政府局の職員1万人に対し、フィッシング詐欺が横行しているという
警告のメールを送信し、見知らぬユーザーからのメールや迷惑メールのリンク
をクリックしないように警告する。そして、その翌月に、セキュリティ強化体
制維持という名目で、全職員にパスワードを持たせる。その後、ネットワーク
の外からリンク付きのメールを送信する。そのリンクをクリックすると、ユー
ザーIDとパスワードを入力するようにプロンプトが出る仕組みだ。また、その
メールには、非合法であることを匂わせるヒントも載せた。ユーザーが、リク
エストされた情報を提供してしまった場合は、「あなたはテストで不合格とな
りました」と告げるポップアップウィンドウを表示する。不合格となった職員
は教育ビデオを見せられ、10問からなる試験を行う。このプログラムを行った
ところ、83%のメール受信者が合格であった。同様のテストを2か月後に行っ
たところ、その割合は92%にまで上昇した。
http://www.gcn.com/print/26_2/42983-1.html?topic=security&CMP=OTC-RSS

【編集者メモ】 (Kreitner)
これは、セキュリティ維持管理がしっかり効果測定されているすばらしい事例
だ。具体的なセキュリティ上の目標に向かって、量的に進展度を測ることがで
きる。この場合では、人間の行動パターンの変化を測定できたわけだ。

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
 (原版:2007年1月22日配信 Vol.6 No.4)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#はPart1掲載番号)
======================================================================
Windows                      2
サードパーティのWindowsアプリ       17
Mac Os                     8
Linux                        1
HP-UX                       1
BSD                       1
Unix                       2
クロスプラットフォーム            18 (#1, #2, #3)
Webアプリ…クロスサイトスクリプティング 8
Webアプリ…SQLインジェクション        6
Webアプリケーション             13
ネットワークデバイス             2
======================================================================

1. 危険度【重大】: Sun JavaのGIFファイル解析に脆弱性

<影響のある製品>
Sun Microsystems Java Development KitおよびJava Runtime Environment
JDKおよびJRE 5.0 更新版9 までのバージョン
SDKおよびJRE 1.4.2_12 までのバージョン
SDKおよびJRE 1.3.1_18 までのバージョン

<詳細>
Sun MicrosystemsからリリースされたJavaプラットフォームの特定のエディショ
ンのGIF画像ファイルの解析には脆弱性がある。画像帯域値がゼロになるよう
にGIF画像ファイルが細工されると、そのファイルによって、ヒープオーバー
フローの脆弱性が生じる。この欠陥が悪用されると、現在のユーザーの権限で
任意のコードが実行されてしまう。 一般的なWebブラウザ設定では、appletは
自動的にダウンロードされ、 実行されるようになっている。そのため、この
欠陥の悪用は、悪意のあるWebページやHTMLメールを閲覧するだけで実現する。
この脆弱性の技術的詳細が公表されている。SunのJavaプラットフォームは、
Microsoft Windowsのほとんど、Mac OS Xの全て、UnixやUnixに類似したシス
テムのほとんどにインストールされている。

<現状>
Sunはこの問題を認識しており、更新もリリースしている。

<参考>
Zero-Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-005.html
Sunのアドバイザリ
http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102760-1
Sun Javaのホームページ
http://java.sun.com
SecurityFocus BID
http://www.securityfocus.com/bid/22085
────────────────

2. 危険度【高】: 2007年1月期 Oracleの重大なパッチ更新

<影響のある製品>
Oracle ORADC ActiveX Component
Oracle Database 9iおよび0g
Oracle Identity Management 10g
Oracle Application Server 9iおよび10g
Oracle E-Business Suite Release 11iおよび11.0
Oracle Enterprise Manager 10g Grid Control
Oracle PeopleSoft Enterprise PeopleTools
Oracle Developer Suite
その他のOracle製品も、脆弱な可能性あり

<詳細>
Oracleは2007年1月期のセキュリティ更新をリリースした。この更新で、70個
以上の脆弱性が修正された。パッチが適用された問題のほとんどは、情報開示、
サービス停止(DoS)、ローカルで悪用可能な欠陥など、危険度の低いものであっ
た。しかし、以下に挙げるものはその限りでない。
1) Oracle Notification Service (ONS)は、複数のOracle製品にデフォルトで
インストールされており、バッファオーバーフローの脆弱性がある。ONSメッ
セージが細工されると、このバッファオーバーフローが悪用され、ONSプロ
セスのメッセージで、任意のコードが実行されてしまう。ユーザーは、可
能であれば、TCPとUDPの6200番ポートへのアクセスを、ネットワーク境界
でブロックされたい。
2) "SYS.DBMS_AQ_INV"パックには、SQLインジェクションの脆弱性がある。サー
バに向けてこのSQLパックを使用するSQLクエリが細工され、それが送信さ
れると、未認証のアタッカーでも、昇格された権限で任意のSQLコマンドを
実行し、データベースシステムの制御を奪うか、もしくはデータベースプ
ロセスの権限で任意のコードを実行できるようになってしまう。
3) Oracle Application Serverの"EmChartBean" コンポーネントには、ディレ
クトリ・トラバーサルの脆弱性がある。未認証のアタッカーでも、この脆
弱性を悪用すれば、Oracle Application Serverプロセスによって認識でき
るファイルであれば何でも読み取れるようになってしまう。Oracle
Application Serverプロセスは、デフォルトでは"LocalSystem"権限で実行
される。
4) ORADCのActiveXコンポーネントには、バッファオーバーフローの脆弱性が
ある。このコンポーネントをインスタンス化するWebページが細工されると、
このバッファオーバーフローの脆弱性が引き起こされ、最終的には、現在
のユーザーの権限で任意のコードが実行されてしまう。ユーザーは、
Microsoftの"kill bit"機能をGUID"EC4CF635-D196-11CE-9027-02608C4BF3B5"
に適用して、問題のコントロールを無効にすれば、この脆弱性の影響を軽
減することができる。この脆弱性の概念実証コードが公表されている。

<現状>
Oracleはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のほとんどが、影響のあるOracle製品を使用していた。該当企
業は、現在更新を検証・テストしており、次期定例システム更新スケジュール
に合わせて更新を適用する予定だ。

<参考>
重大なOracleの更新
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html
Red Database Securityのアドバイザリ
http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_aq_inv.html
http://www.red-database-security.com/advisory/oracle_buffer_overflow_ons.html
Symantecセキュリティアドバイザリ
http://www.symantec.com/enterprise/research/SYMSA-2007-001.txt
ORADC ActiveX脆弱性の概念実証コード
http://www.securityfocus.com/data/vulnerabilities/exploits/22026.html
Microsoft知識ベースに掲載されているKill Bit機能の解説
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/22083
http://www.securityfocus.com/bid/22026
────────────────

3. 危険度【中】: BEA 製品に複数の脆弱性

<影響のある製品>
BEA AquaLogic Services Bus 2.0、2.1および2.5
BEA AquaLogic Enterprise Security 2.0、2.1および2.2
BEA WebLogic Server 6.1、7.0、8.1、9.0、9.1および9.2
BEA JRocketの1.4.2 R24.5以前のバージョン

<詳細>
複数のBEA製品に、複数の脆弱性が発見された。これらの脆弱性によって、ア
タッカーは影響を受ける製品の権限で任意のコードを実行したり、セキュリティ
制限を回避したり、サービス停止(DoS)状態を引き起こしたりできるように
なってしまう。これらの脆弱性のほとんどについて、技術的詳細が公表されて
いる。

<現状>
BEAはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響を受ける可能性のあるソフトウェアや関連設定は、同企業ではほとんど採用
されておらず、公式的なサポートも行っていない。同企業では、対応は必要ない
と判断した。

<参考>
Next Generation Security Softwareのアドバイザリ
http://www.ngssoftware.com/advisories/high-risk-vulnerability-in-jrockit-java-virtual-machine/
BEAのセキュリティアドバイザリ
http://dev2dev.bea.com/pub/advisory/225
http://dev2dev.bea.com/pub/advisory/224
http://dev2dev.bea.com/pub/advisory/223
http://dev2dev.bea.com/pub/advisory/222
http://dev2dev.bea.com/pub/advisory/221
http://dev2dev.bea.com/pub/advisory/220
http://dev2dev.bea.com/pub/advisory/219
http://dev2dev.bea.com/pub/advisory/218
http://dev2dev.bea.com/pub/advisory/217
http://dev2dev.bea.com/pub/advisory/216
http://dev2dev.bea.com/pub/advisory/215
http://dev2dev.bea.com/pub/advisory/214
http://dev2dev.bea.com/pub/advisory/213
http://dev2dev.bea.com/pub/advisory/212
http://dev2dev.bea.com/pub/advisory/211
http://dev2dev.bea.com/pub/advisory/210
http://dev2dev.bea.com/pub/advisory/209
http://dev2dev.bea.com/pub/advisory/208
http://dev2dev.bea.com/pub/advisory/207
http://dev2dev.bea.com/pub/advisory/206
http://dev2dev.bea.com/pub/advisory/205
http://dev2dev.bea.com/pub/advisory/204
http://dev2dev.bea.com/pub/advisory/203
http://dev2dev.bea.com/pub/advisory/202
http://dev2dev.bea.com/pub/advisory/201
http://dev2dev.bea.com/pub/advisory/200
http://dev2dev.bea.com/pub/advisory/199
http://dev2dev.bea.com/pub/advisory/198
SecurityFocus BIDs
http://www.securityfocus.com/bid/22077
http://www.securityfocus.com/bid/22082
────────────────

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。