NRI Secure SANS NewsBites 日本版

Vol.2 No.50 2007年12月17日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.50 2007年12月17日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2008 Spring
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2008年2月25日~3月1日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          https://www.event-information.jp/sanstokyo08/

┃   !!SANSのトップインストラクター Eric Cole 再来日!!
┃   !!短期コース開催! 短い時間で効果的にスキルアップ!!

┃ SEC401 SANS Security Essentials Bootcamp Style(6日コース)
┃ SEC519 Web Application Security Workshop(2日コース)
┃ SEC517 Cutting-Edge Hacking Techniques Hands-On(2日コース)
┃ SEC533 Windows PowerShell(1日コース)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!

■はじめに(Alan Paller:SANS Director of Research)

重大なインフラのコントロールシステムのセキュリティ担当者は、1/16-17ニ
ューオリンズ開催のワークショップにご注目。このイベントは、コントロール
システムのセキュリティにおける過去最高のミーティングとなるだろう。
ここ以外では得られない情報を入手することができる。現存する脅威を明確に
するだけでなく、実際に効果がある対策を見出し、実務に役立つサバイバルキ
ットも提供される。詳細はこちら: http://www.sans.org/scada08_summit

PS:
クリスマスに、安全でないソフトウェアによって被る費用について著された最
新傑作「Geekonomics」が出版される。著者Dave Rice(SANS認定インストラク
ター)の唱える問題修正の処方箋に読者は賛同しないかもしれないが、ワシン
トンのサイバーポリシーセンターは同書に注目している。
────────────────

■■SANS NewsBites Vol.9 No.96-97 (原版:2007年12月8日、13日)

◆米連邦エネルギー規制委員会(FERC) 北米電気信頼性委員会(NERC)のCIP基
  準に切り札: システムの安全化について進捗報告義務付け (2008.12.11)

米連邦エネルギー規制委員会 (FERC)は、北米電気信頼性委員会(NERC)に登録
している全発電所および全送電所のオーナーと運営者に対し、実施済みの対策
措置と重大なサイバー脆弱性の保護措置について詳細報告を義務付ける規則を
まもなく施行予定である、と通知した。
http://money.cnn.com/news/newsfeeds/articles/newstex/AFX-0013-21569682.htm

【編集者メモ】(Paller)
目覚しい進展である。NERCのサーバセキュリティ基準自体、全く効果のない
ものになりかけていたところだ。今回のFERCの措置によって、電力業界はNERC
の法遵守重視という形式的な思考から、セキュリティ改善措置施行型の実践的
なものに直ちに移行していくだろう。米下院議会・新興の脅威およびサイバー
セキュリティについての国土安全保障分科会議長Langevin氏と、同メンバー
McCaul氏の実績は計り知れない。最近の公聴会で、NERC問題が明らかになった
のだ。彼らのリーダーシップやFERCのMike Petersの積極的な取り組みなしに、
これほど素晴らしい進展はなかっただろう。1月にニューオリンズで開催され
る、SCADAおよびコントロールシステム・セキュリティのワークショップでは、
重要トピックとしてこの新ルールの舵取り方法が紹介される。
詳細はこちら:
http://www.sans.org/scada08_summit
────────────────

◆対サイバー犯罪戦争における成功事例(2007.12.10)

SANSのコンセンサスドキュメントには、適度に成功を収めているプロジェクト
の情報が掲載されている。サイバースペースの安全確立を図る国家戦略実行の
ために、米政府局が取り組んだプロジェクトの数々である。米国の重大なイン
フラを狙うアタックを阻止した、サイバーアタック対策による米国の脆弱性を
減少させた、発生したアタックによるダメージを最小限にとどめたなど、ある
程度の成功が立証された事例である。この文書は、12月10日から29日間、以下
に掲示されている。
http://www.sans.org/fedsuccesses/

【編集者メモ】(Honan)
我々が目にする情報セキュリティに関する読み物は、たいてい良くない事柄が
多い。しかし、この文書は良い事柄に属するものであり、興味深い見識やガイ
ドラインなども掲載されている。ポジティブな情報源として情報セキュリティ
従事者を強化する代物にちがいない。
────────────────

◆国立研究所のネットワーク侵入事件に中国の関与を示すメモ(2007.12.8-10)

ニューヨークタイムズ紙が入手した米国土安全保障省(DHS)の機密メモには、
最近発表されたテネシー州オークリッジ国立研究所のコンピュータシステムへ
のアタックが、中国に仕掛けられたものであることが示されていた。このメモ
では、問題のアタックが中国政府によるものなのか、中国の一国民によるもの
なのかは明らかにされていない。アタッカーは、フィッシングメールを使用し
てコンピュータシステムへのアクセスを達成したようだ。同研究所によると、
アタッカーが機密情報にアクセスした形跡はないという。しかし、研究所への
訪問者の個人情報データベースに侵入していたようだ。その他の国立研究所や
国立機関のネットワークにアクセスしようとした可能性もある。
http://www.nytimes.com/2007/12/09/us/nationalspecial3/09hack.html?ei=5088&en=2ce50e252c1ad4ef&ex=1354856400&partner=rssnyt&emc=rss&pagewanted=print
http://www.securityfocus.com/brief/641

【編集者メモ】(Pescatore)
管理セキュリティサービス・プロバイダの情報によれば、実際には、米国内が
発信源のアタックは、中国のそれの3倍から5倍だという。アタックの発信源を
過剰に発表すれば興奮を煽るヘッドラインを仕立て上げるのには役立つだろう
が、実際のセキュリティ問題(甚だしい脆弱性が日常的に放っておかれている
現状)がかすんでしまう。脆弱性を取り除けば、アタッカーが暇なティーンエー
ジャーであろうがサイバー犯罪者であろうが関係ないのだ。中に侵入できなけ
れば何も起こらないのだから。
────────────────

◆Autonomy社 脆弱性発表で起訴すると脅す(2007.12.6)

Autonomyは、SecuniaがAutonomy製KeyView Software Development Kit (SDK)
のいくつかのバージョンに影響を及ぼしうる脆弱性に関する情報を公表した場
合、Secuniaを起訴すると脅していた。Autonomyは、9ヶ月前に問題の欠陥にパッ
チを適用したものの、混乱を防ぐために公表は避けたと主張している。
Secuniaは、Autonomy社にSDKのどのバージョンが問題の欠陥に対して脆弱なの
かを尋ねていたようだ。これと同じホールがIBMのLotus Notesにもあるが、こ
ちらにはごく最近パッチが適用されたばかりだ。また、Autonomy発の別の文書
でも、SecuniaがAutonomyのソースコードを違法入手した場合も訴訟に踏み切
るとの脅しの記述があったという。
http://www.channelregister.co.uk/2007/12/06/autonomy_secunia_dust_up/print.html
http://www.securityfocus.com/brief/640

【編集者メモ】(Schultz)
これと似たようなことが、今後一般的に起こってくるだろう。ベンダー製品に
存する脆弱性(特に深刻なもの)の発表が、ベンダー以外の組織によって行わ
れるようになると、製品に関連する顧客関係や公共の認識など、さまざまなこ
とに多大な影響が出てくる。
────────────────

◆英政府のノートパソコン数百台が紛失もしくは盗難(2007.12.3-4)

英内閣は、これまでの数年間で、政府のノートパソコンおよびデスクトップコ
ンピュータ数百台が、紛失および盗難に遭っていたことを認めた。今のところ、
英司法省でのセキュリティ侵害は一件も報告されていないが、司法相発表の数
字によると、2007年にはノートPCは26台とデスクトップPC1台が盗まれたこと
が明らかになった。英国防省によれば、2006年に同省で盗まれたノートPCは66
台、デスクトップは2台であり、1999年から2005年にかけて盗まれたその他の
マシンは458台だったという。英政府は、コンピュータの紛失および盗難台数
記録について一元管理を行っていないようだ。
http://www.computerworlduk.com/management/government-law/public-sector/news/index.cfm?newsid=6506

【編集者メモ1】(Schultz)
コンピュータ資産の在庫管理は、IT統制という点で言えば、組織が行うべき最
も基本的なことである。英政府が、紛失および盗難コンピュータの記録の一元
管理さえできていないなど、まさに理解不能だ。
【編集者メモ2】(Cole)
ノートパソコン盗難対策の第一歩は、全ディスクの暗号化である。暗号化対策
を講じた一方で、堅調なパスワードのポリシーを厳格に施行する必要がある。
────────────────

◆米国行政予算管理局(OMB) 連邦政府局にインターネットのゲートウェイの
  制限を求める (2007.12.3)

米国行政予算管理局(OMB)は、米連邦政府局に対し、インターネット接続を制
限するように指導している。同局の「信頼できるインターネット接続」イニシ
アチブでは、現在使用されている1,000以上のインターネット接続を、50くら
いに減らすことを目的としている。また、このイニシアチブでは政府局に対し、
リアルタイムでのゲートウェイ監視を義務付けているほか、各局のCIOに対し、
行動計画や測定可能な目標を設け、アインシュタイン・イニシアチブへの参加、
および導入を義務付けている。アインシュタイン・イニシアチブでは、政府局
を出入りする全ての通信を24時間年中無休体制で監視している。
http://www.fcw.com/online/news/150964-1.html?type=pf
────────────────

◆欧州委員会 侵害通知義務化求める(2007.12.5)

欧州委員会(European Commission)は、電気通信企業に対し、データセキュリ
ティ侵害が原因で個人情報が侵害された際には、顧客への通知を義務づける提
案を発表した。この提案では、規則が警察の捜査を妨害してはならない(例:
公表によって捜査に支障が出る場合は、侵害通知を延期してもよい)となって
いる。また、この提案では電気通信サービス・プロバイダのネットワークを介
して迷惑メールが送信されたためにプロバイダに費用が生じた場合、そのスパ
マーを訴えることができるとしている。
http://www.out-law.com/page-8741

【編集者メモ1】(Pescatore)
欧州のデータプライバシー法によって、欧州のデータ保護は総合的に改善され
ているものの、EUには強力な侵害公表法がないため、必要な改善を盛り込もう
とする取組みに支障が出ている。つまり、現在我々が直面しているターゲテッ
ドアタックの脅威に対処することができないのだ。
【編集者メモ2】(Honan)
この法案は、当初電気通信企業のみを対象にしていた。したがって、同産業団
体による働きかけによって、効果が弱められないよう願いたい。今後の侵害公
表法が他の事業部門も対象範囲に含めるようになるとさらによい。
【編集者メモ3】(Northcutt)
Googleのクイックサーチによれば、同様の法案がカナダ、ニュージーランド、
英国で議論されているという。こうした国々の立法機関がそれぞれの良案を共
有し、何か共通の要素の導入について検討するのもよいのではないだろうか。
今こそ、世界プライバシーフォーラム(World Privacy Forum)が準備を整える
べきときだ。
http://www.worldprivacyforum.org/
────────────────

◆調査:セキュリティポリシー 頻繁に無視される(2007.12.6)

Ponemon Instituteが900人近くのITセキュリティ専門職を対象に調査を行った
ところ、彼らの多くが、今あるセキュリティポリシーに従っていないという。
その理由は、「ポリシー自体を知らなかった」もしくは「そのポリシーで不便
を強いられてしまうから」であった。回答者の半数以上は、社外秘データを
USBドライブにコピーした経験があると答えているが、87%はその行為が企業
のポリシーに反することを知っていた。回答者の半数近くが同僚とパスワード
を共有しているが、3分の2がその行為の所属組織ポリシー違反を認識していた。
また、回答者の3分の2は業務上の文書を添付送信したことがあるが、半数近く
がその行為が組織のポリシー違反かどうか定かに認識していないと答えている。
さらに、回答者の60%が、所属組織に職場のマシンへの個人的なソフトウェア
のインストールを禁ずる正式なポリシーがないと回答している。そして、半数
近くが、ピアツーピアプログラムなどのソフトウェアを会社のコンピュータに
インストールしたことがあるとしている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9051483&source=rss_topic17

【編集者メモ】(Ullrich)
…この事実に一体誰が驚くというのか?
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2007年12月12日 Vol.6 No.50)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
その他のMicrosoft製品             2
サードパーティWindowsアプリ          7 (#1, #2)
Mac OS                     2
Linux                     5
Solaris                    1
Unix                      1
Novell                     1
クロスプラットフォーム            26 (#3, #4, #5, #6)
Webアプリ…XSS                11
Webアプリ…SQLインジェクション         9
Webアプリケーション              14
ネットワークデバイス              3
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

SkypeとCisco Security Agentのユーザーは、重大な脆弱性を抱えているので、
すぐに修正しなければならない。
────────────────

1.危険度【重大】:Cisco Security Agentにバッファオーバーフローの脆弱性

<影響のある製品>
Cisco Security Agent 5.2.0.238までのバージョン

<現状>
Cisco Security Agentは、さまざまなOSの脅威に対する保護ソフトウェアスイ
ートである。Microsoft Windows版のServer Message Block (SMB)リクエスト
処理に欠陥がある。Cisco Security Agentを運用しているシステムに向かう
SMBリクエストが細工されると、kernelレベルのコードでバッファオーバーフ
ローを引き起こすことができるようになってしまう。この脆弱性の悪用が実現
すると、kernelレベルの権限で任意のコードを実行できるようになる。Cisco
Security Agentは、デスクトップとサーバシステムの両方にインストールされ
ている場合が多い。この脆弱性の技術的詳細がいくつか公表されている。

<現状>
Ciscoはこの問題を認めており、更新をリリースしている。

<参考>
NSFOCUSのセキュリティアドバイザリ
http://www.nsfocus.com/english/homepage/research/0702.htm
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20071205-csa.shtml
Cisco Security Agentのホームページ
http://www.cisco.com/en/US/products/sw/secursw/ps5057/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/26723
────────────────

2.危険度【重大】:SkypeのURI処理にリモートのコード実行脆弱性

<影響のある製品>
Skype 3.6までのバージョン

<詳細>
Skypeは、インターネット電話およびメッセージアプリケーションとして広範
囲で使用されている。しかし、ユーザーから提供されたURLの処理に欠陥があ
る。Microsoft WindowsにSkypeをインストールすると、 Skypeは自身を
__skype4com__のURLのハンドラーとして登録する。この__skype4com__の URL
が細工されると、メモリ崩壊脆弱性が引き起こされ、現在のユーザー権限で任
意のコードを実行できるようになってしまう。このようなURLは、Webページや
メールに組み込み可能であるほか、リモート配信することもできる。この脆弱
性の技術的詳細が公表されている。

<現状>
Skypeはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-070.html
Skypeのホームページ
http://www.skype.com
SecurityFocus BID
http://www.securityfocus.com/bid/26748
────────────────

3.危険度【高】:HP OpenView Network Node ManagerのCGI スクリプトにリモ
  ートでのコード実行脆弱性

<影響のある製品>
HP OpenView Network Node Manager 7.5.1 までのバージョン

<詳細>
HP OpenView Network Node Manager (NNM)は、アプリケーションのOpenViewス
イート用のネットワークおよびシステム監視コンポーネントである。NNM は、
CGIスクリプトをNNMサーバのwebベースの管理のために提供する。しかし、こ
れらのスクリプトのいくつかには、バッファオーバーフローの脆弱性がある。
スクリプトのいずれかに向かうリクエストが細工されると、NNM Webサーバプ
ロセスの権限で、任意のコードを実行できるようになってしまう。NNMの設定
には、SNMPコミュニティ文字列やパスワードが含まれていることがあるため、
NNMが悪用されると、その他のシステムの悪用がより容易になってしまう。こ
れら脆弱性の技術的詳細が公表されている。これらの脆弱性を悪用すると、
SYSTEMアクセス権限が得られると考えられている。

<現状>
HPはこの問題を認めており、更新をリリースしている。

References:
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-071.html
HPセキュリティ警告
http://www.securityfocus.com/archive/1/484658
HP OpenView Network Node Managerのホームページ
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-15-119^1155_4000_100
SecurityFocus BID
http://www.securityfocus.com/bid/26741
────────────────

4.危険度【高】:Avast! AntivirusのTARファイル処理にメモリ崩壊の脆弱性

<影響のある製品>
Avast! Antivirus Home and Professional 4.7.1098までのバージョン

<詳細>
Avast! Antivirusは、Microsoft Windows用のアンチウィルスソリューション
として広範囲で使用されている。しかし、Avast!には、TARアーカイブファイ
ル処理に欠陥がある。TARはアーカイブファイルで広く使用されている形式で
あり、Unix やUnixに類似したシステムに関係していることが多い。このTARファ
イルが細工されると、アンチウィルスエンジンでスキャンされたときにメモリ
崩壊が引き起こされ、ウィルススキャンのプロセス権限で任意のコードを実行
できるようになってしまう。TARファイルは、ダウンロード時および受信時に
ユーザーの操作を介することなく、自動的にスキャンされるようになっている。
この脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Sowhatによる掲示
http://secway.org/advisory/AD20071206.txt
Avast! の更新情報
http://www.avast.com/eng/avast-4-home_pro-revision-history.html
TARファイル形式についてのWikipediaの説明
http://en.wikipedia.org/wiki/Tar_%28file_format%29
SecurityFocus BID
http://www.securityfocus.com/bid/26702
────────────────

5.危険度【高】:3ivx MPEG-4 Codecにバッファオーバーフローの脆弱性

<影響のある製品>
3ivx MPEG-4 Codec 5.0.1までのバージョン

<詳細>
3ivx MPEG-4 Codecは、MPEG-4メディアストリーム用のクロスプラットフォー
ムのメディアコーデックである。しかし、このコーデックのMPEG-4データ処理
にはバッファオーバーフローの脆弱性がある。MPEG-4ストリームが細工される
とこの脆弱性が引き起こされ、現在のユーザー権限で任意のコードを実行でき
るようになってしまう。設定によっては、MPEG-4ストリームはユーザーの操作
なしに、脆弱なコーデックによって開かれてしまう。この脆弱性の概念実証コー
ドと技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://www.milw0rm.com/exploits/4701
http://www.milw0rm.com/exploits/4702
Secuniaのアドバイザリ
http://secunia.com/advisories/27998/
ベンダーのホームページ
http://www.3ivx.com/
────────────────

6.危険度【高】:Novell NetMailのアンチウィルスサービスにインテジャーオ
  ーバーフローの脆弱性

<影響のある製品>
NovellのNetMailバージョン3.5.2Fまでのバージョン
Messaging Architects M+NetMail 3.5.2Fまでのバージョン

<詳細>
Novell NetMailは、もともとNovellの企業用メールシステムであったが、現在
はMessaging Architectsによって管理更新されている。NetMailには、メッセー
ジにあるウィルスやその他のマルウェアをスキャンするときに用いられるアン
チウィルスサービスが含まれている。しかし、このサービスのメッセージ処理
には、インテジャーオーバーフローの脆弱性がある。問題のアンチウィルスサー
ビスは、さまざまなTCPポートをランダムに使用して動作するため、この脆弱
性を悪用するには、アクティブなポートに接続する必要がある。この脆弱性の
悪用が実現すると、この脆弱なサービスの権限で任意のコードを実行できるよ
うになってしまう。サーバを経由するメールメッセージによって悪用されるお
それがあるらしいが、まだ確認はできていない。この脆弱性の技術的詳細のい
くつかが、公表されている。

<現状>
Messaging Architectsはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-072.html
Novellのセキュリティアドバイザリ
https://secure-support.novell.com/KanisaPlatform/Publishing/990/3639135_f.SAL_Public.html
Messaging ArchitectsによるNetMailのサポート情報
http://www.messagingarchitects.com/en/support/mplusnetmail/
SecurityFocus BID
http://www.securityfocus.com/bid/26753

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。