NRI Secure SANS NewsBites 日本版

Vol.2 No.6 2007年2月9日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.6 2007年2月9日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃ The Trusted Source for Computer Security Training
┃ SANS Tokyo 2007 Spring
┃ ~~~~~~~~~~~~~~~~~~~~~~
┃     2007年2月19日~24日 開催迫る!

┃  ■SANS認定インストラクターの高いスキル、豊富な実例■
┃  ■講師と受講者相互によるディスカッション形式の講義■
┃  ■参考書と呼ぶにふさわしい詳細な解説付きの研修教材■
┃  ■国内はもちろん世界でも比類のない充実のプログラム■

┃ ┏━━━━━━━━━━━━━━━━━━━━
┃ ┃早期割引き申込み受付中!(2月12日まで)
┃ ┃ 詳細はこちら 今すぐお申込みを!
┃ ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
http://sans-japan.jp/SJ/tokyo2007_spring/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━AD━━

■■SANS NewsBites Vol.9 No.8-9 (原版:2007年2月4、7日)

■はじめに(Alan Paller: SANS director of research)

Mobile Encryption Summit 2007とLog Management Summit 2007の参加申込み
受付が始まった。これらのサミットでは、成功談と失敗談のケーススタディを
紹介し、導入を成功させるための段階的プランを作成して必須条件を満たすプ
ロダクトの最終リストを作成できるように手助けする。
Mobile Encryption Summit 2007:
http://www.sans.org/encryptionsummit07/
Log Management Summit 2007:
http://www.sans.org/logmgtsummit07/

円滑に動作するセキュリティ製品の最終リストに関して、我々は、"WhatWorks"
ポスターの最終チェックを行っている。このポスターには、各製品の機能やそ
の機能の正当性、成長性、各カテゴリー下できちんと機能する製品の最終リス
トが掲載される。このポスターは、25万部配布される見込みだ。 SANSのポー
タルアカウントに登録されたあなたの住所が正しいものかどうかをチェックさ
れたい。最新のWhatWorksのポスターに掲載されるべき製品でありながら、掲
載されていないものがあると思われたら、scrofts@sans.orgにご一報を。こち
らで、どのカテゴリーにその製品が位置するかを確認する。
Whatworksに関する詳細はこちら:
http://www.sans.org/whatworks/

先週、「セキュリティ分野に求められるものは、皆のセキュリティスキルを、
最新のスキルとして維持すること」と説明した。あなたのキャリアに影響を与
えうるセキュリティトレーニングを選ぶに当たって、以下の情報がさらに役立
つであろう。これらは、SANSの現在の人気トップ10コースである。

1. SANS Security Essentials Bootcamp Style
2. Hacker Techniques, Exploits & Incident Handling
3. Intrusion Detection In-Depth
4. System Forensics, Investigation & Response
5. Assessing and Securing Wireless Networks
6. Securing Windows
7. Auditing Networks, Perimeters & Systems
8. SANS(r) +S(tm) Training Program for the CISSP(r) Certification Exam
9. Perimeter Protection In-Depth
10. Cutting-Edge Hacking Techniques - Hands On

2月19日から東京で、下記の2コースが開催される。今すぐお申込みを!
1. SANS Security Essentials Bootcamp Style
7. Auditing Networks, Perimeters & Systems
http://sans-japan.jp/SJ/tokyo2007_spring/index.html
http://www.sans.org/sanstokyo2007_spring/
────────────────

◆あなたのVista PCをハックします(2007.2.10)

Vistaの音声認識機能は、どちらかと言えば単純なアタックに脆弱だ。 Webサ
イトからダウンロードされた音声ファイルによって、現在Vistaにログインし
ているユーザーとして、コマンドを始動してしまうおそれがある。このアタッ
ク手法が15年前のものであることは、Microsoftやそのユーザーにとって嘆か
わしいことだ。15年前、Appleが似たような機能をMacOSに導入したとき、いた
ずら者はすぐにこのアタック手法の可能性を認識した。そこでAppleは、音声
コントロールへのアクセスを制限するために、キーワード機能を導入している。
http://www.theregister.co.uk/2007/02/01/vista_voice_recognition_attack/
http://isc.sans.org/diary.html?storyid=2148
http://lists.immunitysec.com/pipermail/dailydave/2007-January/003995.html
http://blogs.zdnet.com/Ou/?p=416
────────────────

◆企業広告の発信手法に関しての責任はその企業にあり (2007.1.31)

Priceline.com、Travelocity.comおよびCingular Wirelessは、違法アドウェ
アを介して行った広告で、1件につき3万ドルから3万5,000ドルの罰金を支払う
ことに同意した。ここでの広告は、ソフトウェアのインストールを前提にした
うえで成り立つものであったため、「違法なソフトウェア・インストール、お
よび違法なポップアップ広告」を訴える裁判で槍玉にあがっていた。これらの
広告スペースを購入した同3社は、ニューヨーク州Andrew Cuomo検事による別
の訴訟で和解するために、今回罰金の支払いに応じた。この和解により、広告
主の広告が、通知や同意なしに消費者のコンピュータに入ってしまった場合、
それはその企業に責任があるという前例になると、Cuomo氏述べている。今回
和解に応じる企業はこれまで、広告業務をアウトソーシングしていたため違法
手段によって広告がなされている事実を知らなかったと主張していた。
http://www.vnunet.com/vnunet/news/2173818/adware-funders-fined-supporting

【編集者メモ1】 (Schultz)
これら3社が支払わなくてはならない罰金はあまりにも少額なため、罰金とし
て機能するには意味はない。このニュースでわかるように、このケースの判決
は、ユーザーのスクリーンに出てくるポップアップ広告は、ユーザーの同意が
ない限り、違法になるという先例的な判決となった。したがって、このケース
は、対アドウェア戦争における象徴的なケースになるだろう。
【編集者メモ2】(Honan)
これは勇気づけられる進展だ。企業は、業務をアウトソーシングしたところで、
その業務の責任を放棄できるわけではないと、明確に認識する必要がある。
────────────────

◆米国政府説明責任局 危険度「高」の状況報告 (2007.1.31)

米国政府説明責任局 (GAO)の状況報告では、政府システムのセキュリティや重
要インフラの保護対策が、危険度「高」のカテゴリーにリストアップされてい
る。報告書によると、政府局は、連邦情報セキュリティ管理法(FISMA:
Federal Information Security Management Act)の必須条件に準拠するための、
情報セキュリティプログラムの作成・導入がまだできていないという。また、
国土安全保障省 (DHS) や国家サイバーセキュリティ部門 (National
Cyber Security Division)は、「重要なサイバーセキュリティ上の責任」を
果たせておらず、政府の情報システムや国家の重要インフラの安全性を確立す
る先導的役割を担えていない。米国説明責任局(GAO)は、議会の決定を促す
ために、議会の会期はじめには毎回、リスク度の高い項目をまとめて状況報告
書を提供している。それらのリスク度「高」の項目の中には、詐欺、浪費、乱
用、管理不行き届きが原因で脆弱になったものもリストアップされている。
http://www.gcn.com/cgibin/udt/im.display.printable?client.id=gcn_daily&story.id=43029-http://www.gao.gov/new.items/d07310.pdf
────────────────

◆フロリダ州知事 紙面監査証跡付き新投票マシンを導入 (2007.1.31)

フロリダ州新知事Charlie Cristは、州内17の郡におけるタッチスクリーンの
電子投票マシンを、投票者が紙面で投票内容を検証できる機能のついたマシン
に入れ替える意向を示し、称賛を浴びている。この入れ替えには、2,000万ド
ル以上の費用がかかる見込みである。これは、Crist知事の予算案でもあった。
フロリダ州は、投票システムの信頼性に問題があったために、選挙結果につい
て何度も論議が生じた州である。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9009900&source=rss_topic17

【編集者メモ】 (Schultz)
Crist氏は、大いに称賛に値するだろう。彼の積極的な姿勢によって、今まで
監査証跡のない投票マシンを使用していた他州の知事や議員らも、あらゆる資
源を投入して、この重要な問題の修正に着手してくれることを願いたい。
────────────────

◆紛失したハードドライブに退役軍人48,000人分のデータ(2007.2.2)

米国復員軍人援護局 (VA) やFBIは、アラバマ州バーミンガムのVA医療センター
からポータブル・ハードドライブが行方不明になった事件を捜査している。こ
のドライブの紛失については、2007年1月22日に報告があった。そのドライブ
には、研究プロジェクトの情報や、48,000人の退役軍人の個人情報が含まれて
いたと思われる。データは、部分的に暗号化されていたようだ。捜査結果によっ
ては、VAは該当個人に通知を送付し、クレジット監視サービスを無料で提供す
る見込みである。問題のドライブは、職員のオフィス用コンピュータのデータ
のバックアップに使用されていた。 VA監査官事務局は、同職員の業務用コン
ピュータを差し押さえ、コンテンツの分析を行っている。
http://isc.sans.org/diary.html?storyid=2169
http://www.signonsandiego.com/news/nation/20070202-2112-securitybreach.html
http://www.wsls.com/servlet/Satellite?pagename=WSLS%2FMGArticle%2FSLS_BasicArticle&c=MGArticle&cid=1149192998926&path=!news!localnews
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9010302&source=rss_topic17
────────────────

◆Microsoft OfficeにZero-Dayのアタックを認める(2007.2.5)

Microsoftは、Excelの新たな欠陥を認め、この欠陥によってOfficeの他のソフ
トウェアにも影響が生じるおそれがあることを指摘した。この欠陥によって、
脆弱なシステムにマルウェアが入り込んでしまう。Microsoftは、この欠陥が
限定的なアタック手法によって、すでに悪用されているという報告を調査して
いる。この欠陥は、Microsoft Office 2000、Microsoft Office XP、Microsoft
Office 2003および Mac用Microsoftに影響を及ぼすようだ。Microsoftが、2月
13日に予定されている次期月例セキュリティ更新にて、この欠陥のパッチを出
す可能性は極めて低い。ユーザーは、Microsoftがこの問題を修正するまで、
信頼できないOffice文書を開かないようにしてほしい。
http://isc.sans.org/diary.html?storyid=2157
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9010219&source=rss_topic17
http://news.com.com/2102-7349_3-6156209.html?tag=st.util.print
http://www.theregister.co.uk/2007/02/05/0-day_office_flaw/print.html

【編集者メモ】 (複数人による)
ユーザーへのアドバイスがまったく不十分だ。ユーザーは、受信する覚えのな
いメールにあるリンクをクリックしたり、添付を開いたりしないようにしてほ
しい。信頼できる人のアドレスになりすますのも、今や簡単なことだ。その可
能性も否めないため、念のため送信者本人に添付をメールで送信したかどうか
確かめることをお勧めする。こういった確認作業は数分で終わるが、感染して
しまったPCを一掃するには数週間以上かかり、苦痛まで伴う。
────────────────

◆TJX 支払カード産業データセキュリティ基準に違反(2007.1.29-30)

TJX社は、ペイメントカード産業データセキュリティ基準(Payment Card
Industry Data Security Standard)に反した形で、顧客のクレジットカード情
報を保存していた。そのためデータ窃盗犯は、Track2カード情報を獲得するこ
とが可能となった。Track2カード情報には、カード番号や使用期限、カード照
合値などが含まれている。これらのデータのいくつかが、2003年まで遡り、
TJXシステムに保存されていた。この盗難事件により、カード所有者数百万人
に影響が生じている。TJXは、TJ Maxx、MarshallsおよびHomeGoodsなど、チェー
ン型店舗を所有している企業である。
http://www.informationweek.com/news/showArticle.jhtml;jsessionid?articleID=197001447
http://www.zdnet.co.uk/misc/print/0,1000000169,39285692-39001093c,00.htm

【編集者メモ】 (Honan)
VISAやMasterCardは、TJXを叱責するのだろうか? そうしないとなると、これ
らのカード会社は、他の企業に間違ったメッセージを発することになり、ひい
ては、ペイメントカード産業データセキュリティ基準(Payment Card Industry
Data Security Standard)の信頼性も大いに損なわれるだろう。

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2007年2月6日配信 Vol.6 No.6)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                       3
Microsoft Office                  1 (#1)
サードパーティのWindowsアプリ        7
Mac Os                       5
Linux                         4
Solaris                       1 (#2)
Aix                         1
Unix                         1
クロスプラットフォーム              7 (#4)
Webアプリ…クロスサイトスクリプティング   6
Webアプリ…SQLインジェクション        8
Webアプリケーション               30
ネットワークデバイス               5 (#3)
======================================================================

1.危険度【高】: Microsoft Officeに詳細不明なリモートのコード実行脆弱性

<影響のある製品>
Microsoft Office 2000
Mac用Microsoft Office 2004
他のバージョンも脆弱なおそれあり

<詳細>
Microsoft Officeには、特定のファイル形式を処理する際に、メモリ崩壊の脆
弱性が生じる。細工されたファイルによってこの脆弱性が悪用されると、現在
のユーザーの権限で任意のコードが実行される。この脆弱性は活発に悪用され
ているようだ。現在、公表済みのエクスプロイトは、Microsoft Excelファイ
ルを使用しているが、他のファイル形式も脆弱な可能性がある。悪用による影
響範囲は、今のところ非常に狭い範囲に留まっている。Microsoft Office文書
は、Office 2000以降のOfficeか、もしくはOffice文書設定ツール(Office
Document Confirmation Tool)がインストールされていれば、デフォルトで開
かれないようになっている。 この脆弱性の技術的詳細は、一切公表されてい
ないようだ。

<現状>
Microsoftはこの問題を認識しているが、更新はリリースしていない。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/932553.mspx
McAfeeによるウィルス情報
http://vil.nai.com/vil/content/v_137387.htm
Microsoft Office文書設定ツール
http://www.microsoft.com/downloads/details.aspx?familyid=8B5762D2-077F-4031-9EE6C9538E9F2A2F&displaylang=en
Slashdotのディスカッション
http://it.slashdot.org/it/07/02/04/223256.shtml
SecurityFocus BID
http://www.securityfocus.com/bid/22383
────────────────

2.危険度【中】: Sun SolarisのFreeType 2にInteger Overflowの脆弱性

<影響のある製品>
Sun Solaris OSのバージョン8、9、および10

<詳細>
SunのSolarisには、デフォルトでFreeTypeオープンソース・フォントエンジン
が同梱されている。細工されたフォントファイルによってinteger overflowの
脆弱性が引き起こされ、任意のコードが実行されてしまうおそれが生じる。シ
ステム設定によっては、現在のユーザーの権限か、もしくはルート権限か、さ
らにはその他の権限でコードが実行されてしまう。この脆弱性は、Solarisに
同梱されていたFreeTypeの旧バージョンにのみ存在する。現在のバージョンに
影響はない。この問題は、@RISKのバックナンバーにも掲載されている。

<現状>
Sunはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
しかし、同社は、画像アプリケーションを使用していない。それでもシステム
が脆弱であるおそれがあるかどうか、現在チェックを行っている。もし、脆弱
なシステムを特定した場合、次期定例パッチ適用スケジュールに合わせて、パッ
チをロードする見込みだ。

<参考>
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=21#widely3
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102705-1
SecurityFocus BID
http://www.securityfocus.com/bid/18034
────────────────

4.危険度【中】:CHMlibにメモリ崩壊の脆弱性

<影響のある製品>
CHMlib 0.39までのバージョン

<詳細>
CHMlibは、Microsoft圧縮HTML(CHM)ファイルを読み取るときに用いられるライ
ブラリである。このファイルは、eBooksやオンラインヘルプに用いられること
が多い。しかし、これにはメモリ崩壊の脆弱性がある。細工されたCHMファイ
ルによってこの脆弱性が引き起こされると、現在のユーザーの権限で任意のコー
ドが実行されるおそれがある。CHMlibは、オープンソースソフトウェアである
ため、この脆弱性の技術的詳細は、ソースコードを分析すれば入手できる。

<現状>
ベンダーはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用している。
同社は、サーバサポートチームにこの旨を通知し、次期定例システム更新ス
ケジュールに合わせてパッチをロードする予定だ。

<参考>
iDefenseのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/vulnwatch/2007-q1/0026.html
CHMlibホームページ
http://morte.jedrea.com/~jedwin/projects/chmlib/
圧縮HTMLファイルにつてのWikipediaの説明
http://en.wikipedia.org/wiki/Microsoft_Compressed_HTML_Help
SecurityFocus BID
http://www.securityfocus.com/bid/22258
────────────────

5.エクスプロイト詳細:MicrosoftのAgentにあるヒープオーバーフローの脆
  弱性にエクスプロイト

<詳細>
Microsoftのセキュリティ警告MS06-068で、パッチが適用された脆弱性の技術
的詳細が公表された。Microsoft Agentファイル(acf)内にある文字列が、
0x7FFFFFFF より長い形に細工されると、バッファオーバーフローが引き起こ
される。このバッファオーバーフローの悪用が実現すると、現在のユーザーの
権限で任意のコードが実行されてしまう。この脆弱性は、@RISKのバックナン
バーにも掲載されている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のほとんどは、すでにシステム更新を始めている。

<参考>
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=46#widely4
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms06-068.mspx
COSEINCによる掲示
http://archives.neohapsis.com/archives/bugtraq/2007-01/0672.html
────────────────

6.エクスプロイト詳細: Oracle 10g R2 Enterprise Managerにあるディレクト
  リ・トラバーサルの脆弱性にエクスプロイト

<詳細>
Oracleの1月のパッチ更新でパッチが適用された脆弱性について、技術的詳細
が公表された。Enterprise Managerの"EmChartBean" コンポーネントに向かう
リクエストが細工されると、ディレクトリ・トラバーサルの脆弱性が悪用され
るおそれが生じる。この脆弱性の悪用が実現すると、任意のファイルのコンテ
ンツが開示されてしまう。同脆弱性は、@RISKのバックナンバーにも掲載されている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=4#widely2
NGS SoftwareのInsight Security Researchによる掲示
http://archives.neohapsis.com/archives/bugtraq/2007-01/0688.html

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。