NRI Secure SANS NewsBites 日本版

Vol.2 No.7 2007年2月16日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.7 2007年2月16日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

━━ AD ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 日米の情報セキュリティ人材育成教育機関が、初の連携セミナー開催

      情報セキュリティ人材育成セミナー in Tokyo
<< 2007年2月27日(火):工学院大学 新宿キャンパス >>

  お申込みは、http://www.jasa.jp/seminar/edu-seminar070227.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ AD ━


■■SANS NewsBites Vol.9 No.12-13 (原版:2007年2月11、15日)

◆DNSサーバ DDoS攻撃に耐え抜く(2007.2.7)

DNSサーバが、2月6日火曜日から12時間、DDoSアタックのターゲットになって
いた。若干のサービス低下が見られたものの、攻撃による大きな影響はなかっ
たという。捜査員らは、アタックの発信源の特定を試みている。
http://isc.sans.org/diary.html?storyid=2184
http://dnsmon.ripe.net/dns-servmon/domain/plot?domain=root&day=5&month=2&year=2007&hour=16&period=48h&plot%2F=SHOW---
http://www.us-cert.gov/current/current_activity.html#dnsanom
http://www.gcn.com/cgi-bin/udt/im.display.printable?client.id=gcn_daily&story.id=43105
http://www.washingtonpost.com/wp-dyn/content/article/2007/02/06/AR2007020601563_pf.html
http://news.bbc.co.uk/2/hi/technology/6338261.stm
http://www.informationweek.com/showArticle.jhtml?articleID=197004237&cid=RSSfeed_TechWeb
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9010619&source=NLT_PM&nlid=8
http://www.theregister.co.uk/2007/02/07/root_server_attack/print.html

【ゲスト編集者メモ】(Mike Poor)
信頼できる公表情報によると、特にG(司法省が管理維持している)とL(ICANN
が管理維持している)などのルートサーバに対するアタックが12時間以上続い
たという。US-Certによると、これらのアタックは不正形式のパケットを殺到
させて起こしたものだという。ルートサーバの設計のおかげで、システムは攻
撃に耐え、インターネットに影響を及ぼさずにすんだようだ。ルートサーバに
対する大規模な攻撃が最後に確認されたのは2002年10月だった。
http://d.root-servers.org/october21.txt
【編集者メモ】(Ullrich)
アタック源のほとんどはアジアにある。DNSサーバの多くは、Anycastを使用し
て地理的に多様なサーバを複数管理している。今回、Anycastは、攻撃の発信
源と考えられる地域内でアタックを抑制することに成功した。最も大規模な停
止状態に陥ったDNSサーバ3台は、Anycastを使用していなかった。
────────────────

◆米国上院議会  (ベターな)データプライバシーおよびセキュリティ法を提
案(2007.2.6)

米国上院議員Patrick Leahy氏(バーモント州民主党)およびBernie Sanders
氏(バーモント州独立系政党)が、2月6日火曜日、国民の個人情報保護を目的
とした法案「個人データプライバシーおよびセキュリティ2007年法 (The
Personal Data Privacy and Security Act of 2007)」を提出した。この法案
では、身元詐称詐欺に対する懲罰を厳罰化し、個人情報を取扱う団体は、FBI
やシークレットサービス(Secret Service)に対し、データセキュリティ侵害発
生から14日以内にその旨を報告しなければならない。また、政府局への報告は、
顧客への通知業務よりも先行されなくてはならない。侵害事件を意図的に隠ぺ
いした者は、罰金や最高5年の懲役刑に科せられる可能性がある。
http://jurist.law.pitt.edu/paperchase/2007/02/leahy-introduces-new-bill-to-combat.php
http://news.zdnet.com/2102-1009_22-6156904.html
http://www.forbes.com/feeds/ap/2007/02/06/ap3400992.html
http://www.internetnews.com/security/article.php/3658296

【編集者メモ1】 (Paller)
企業に対する圧力団体は、旧議会を説得し、消費者を保護しない法を可決させ、
州法による保護を排除させてしまった経緯がある。サイバーセキュリティの観
点から見ると、消費者保護を弱体化すれば、経営上層部の消費者情報保護への
注力も減り、セキュリティは低下する。これでは、ワシントンの企業のロビー
ストに多額のボーナスが出る以外に何の得もない。Leahy氏とSander氏による
法案の方がずいぶんましだ。
【編集者メモ2】(Schultz)
この法案によって、米国民をデータセキュリティ侵害の身元詐称詐欺から保護
するうえで、大きな一歩を踏み出せる。この法案が可決しなかった場合は、大
きな騒動が発生することを願おう。
────────────────

◆英国 データ窃盗犯に対する懲罰を厳罰化(2007.2.7)

英国憲法事項省(UK Department for Constitutional Affairs)は、個人情報
を盗んだ者には、最高で2年の懲役を科すと述べている。これは、私立探偵ら
による個人情報の密売抑制を目的にしているようだ。
http://www.theregister.co.uk/2007/02/07/jail_data_rats/print.html
────────────────

◆ISPに顧客データの無期限保持を義務付ける法案(2007.2.12)

米国下院のLamar Smith議員(テキサス州共和党)は、Safety Act(安全に関す
る法律)を提案した。この法案で、インターネットサービスプロバイダ(ISP)は、
全ての顧客のWebサーフィンやIMチャット、メール通信データを保存するよう
に義務付けられている。この法を遵守できなかったISPは、罰金と1年の懲役刑
に科せられる可能性がある。
http://www.itnews.com.au/newsstory.aspx?CIaNID=45715

【編集者メモ1】(Ullrich)
ではいっそのこと、米国郵政公社に全ての手紙とはがきの内容のコピーを保持
するように要請したらどうだろう? この行為は、Safety Actと同じくらい実
行可能で侵略的だ。
【編集者メモ2】(Skoudis)
このようなデータにアクセスしたいと思う警察や捜査機関の気持ちはわかる。
しかし、やはりそういったデータのセキュリティが大きな懸念となってしまう
のは否めない。データを大量に保存するISPのデータ集積所が侵害されたら、
それこそ重大なプライバシー問題になりかねない。過去にこのようなセンター
が侵害されたことはなかっただろうか? それを確認するために、ここ数年の
NewsBitesのバックナンバーで確認しておいた方がよいだろう :)
【編集者メモ3】(Schultz)
米国の国家セキュリティを優先的に支持するような、ここ5~6年のプライバシー
侵害問題の傾向は、もうすぐある種の均衡状態にたどり着くだろう。この法案
が可決されて成立するか否かが、それを判断するよい指針になる。なぜなら、
この法案は、すでに大きく侵害されている米国民のプライバシーに深刻な脅威
を与えているのだから。
────────────────

◆米国議会の法案 FTCに企業のデータプライバシー必須条件の設定権限を
(2007.2.9)

連邦議会のBobby Rush議員(イリノイ州民主党)とCliff Stearns議員(フロリダ
州共和党)は先週、データの責任および信頼に関する法律(Data Accountability
and Trust Act)を提案した。この法案では、連邦取引委員会(FTC)に、企業の
データプライバシーに関する必須条件を設定する権限を与えている。これによ
り企業は、脆弱性の診断、必要のないデータを除去するポリシーの作成・導入
を義務付けられる。このほかにも米国議会は、テクノロジー関連の多くの法案
を現在審議中だ。
http://www.pcworld.com/article/id,128887-c,techrelatedlegislation/article.html

【編集者メモ】(Schultz)
これこそ、長年にわたって強く求められていた法案だ。個人情報や財務情報を
保護するように義務付けない限り、それを実行する可能性はかなり低いものだ。
────────────────

◆Internet Storm Center SolarisのZero Day欠陥を警告(2007.2.12)
(下記@RISKにも関連記事掲載)

Solaris 10と11のTelnetにあるzero-day欠陥を悪用すれば、アタッカーは脆弱
なコンピュータへのリモート・アクセスを獲得できるようになってしまう。こ
の欠陥は、telnetが認証中にパラメータを使用する方法に存在する。これは、
未認証のリモート・ログインを可能にするために悪用される可能性がある。SANS
Internet Storm center(ISC)は、Solarisシステムのtelnetを無効にすること
を推奨している。実際のところ、ISCの研究者は、telnetは"時代遅れ"である
として、telnetを全く使用しないことを推奨している。デフォルトのSolaris
システムでは、telnetは有効となっている。Sunは、この問題を修正しようと
現在取り組んでいるようだ。この脆弱性は、Solarisのバージョン9以前のものには存在しない。
http://isc2.sans.org/diary.html?storyid=2220
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=197005178
http://www.theregister.co.uk/2007/02/12/solaris_zeroday/print.html
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=197005473

【編集者メモ1】(Ullich)
再度言おう。システムの管理にtelnetを使ってはならない。
さらに現実問題: telnetが必要だと考える人は、システムを管理すべきではない。
【編集者メモ2】(Skoudis)
またSolarisにtelnet欠陥が? ここ5年間でいくつかあったが、このような欠
陥がまだ継続して出てくるとは嘆かわしいことだ。
【編集者メモ3】(Boeckman)
デフォルトでtelnetが有効になっているなど、愚の骨頂だ。Sunなら、それぐ
らいのことをわかっていてほしい。
────────────────

丸紅の内部統制整備ノウハウ提供!MSOL SOX PACKセミナー(3/7-8)━

┃・丸紅グループの内部統制整備プロジェクト「MARICO PROJECT」を実際
┃ に手がけた実務責任者を講師に、実際に活用した文書化ハンドブック・
┃ 文書化テンプレート・文書サンプルなど貴重な実務ノウハウを提供
┃ >お申込み・詳しい内容は →http://www.msol.co.jp/msp/seminar.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2007年2月13日配信 Vol.6 No.7)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されています。
組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

■はじめに(Alan Paller: SANS Director of Research)

脆弱なサービスとしては最古のものであるtelnetが、Solaris上で新たに指摘
された(#1)。作用するエクスプロイトもリリースされているが、Sunからはま
だパッチがリリースされていない。また、トレンドマイクロのアンチウィルス
システムが、システムへのバックドアとして利用されてしまうという脆弱性も
報告された(#2)。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                      5
Microsoft Office                1
サードパーティのWindowsアプリ       1 (#4)
Mac Os                     1
HP-UX                       1
Aix                         2
Unix                       1 (#1)
クロスプラットフォーム             11 (#2, #3, #5)
Webアプリ…クロスサイトスクリプティング  6
Webアプリ…SQLインジェクション       9
Webアプリケーション             41
ネットワークデバイス             1
======================================================================

1.危険度【重大】: Sun Solaris/SunOSのTelnetデーモンに認証回避の脆弱性

<影響のある製品>
Sun SunOSのバージョン5.10、5.11およびそれ以前のバージョン

<詳細>
SunOSのtelnetデーモンには、認証回避の脆弱性がある。"-f"から始まるユー
ザー名をtelnetクライアントの"-l"スイッチ経由でサーバに引き渡せば、アタッ
カーは、サーバに他の認証証明書を無視させ、自身はユーザーとして(もしく
はrootとして)ログインできるようになる。OSの改訂版によっては、telnetが
デフォルトで有効にされている場合もある。ユーザーは、可能であればtelnet
を無効にし、SSHなどのより安全なリモートアクセスプロトコルへ移行するの
がよい。この脆弱性の技術的詳細や、作用するエクスプロイトが公表されてい
る。この脆弱性は、1994年にUNIXから派生したOS、および、UNIXに類似したOS
に確認された脆弱性に似ている。

<現状>
Sunはこの問題を確認していないため、更新もリリースしていない。

<参考>
SANS ISCの担当者日誌のブログ記事
http://isc.sans.org/diary.html?storyid=2220
RioSec Securityのブログ(概念実証コードを含む)
http://riosec.com/solaris-telnet-0-day.html?q=solaris-telnet-0-day
エクスプロイトの事例
http://www.milw0rm.com/exploits/3293
Slashdotのディスカッション
http://it.slashdot.org/it/07/02/12/1118248.shtml
UNIXから派生した他のOSシステムにある類似脆弱性
http://osvdb.org/displayvuln.php?osvdb_id=1007
TelnetについてのWikipediaの説明
http://en.wikipedia.org/wiki/Telnet
Sun Solarisのホームページ
http://www.sun.com/software/solaris/
SecurityFocus BID
http://www.securityfocus.com/bid/22512
────────────────

2.危険度【高】: トレンドマイクロのアンチウィルス UPXのファイル解析にバッ
ファオーバーフローの脆弱性

<影響のある製品>
ウィルスパターンファイルのバージョンが4.245.00以前のTrend Micro
Antivirus Engine

Trend Micro Antivirus Engineは、 あらゆるトレンドマイクロ製品や、サー
ドパーティ製OEM製品に使用されている。正式なセキュリティアドバイザリに
相談して、製品が脆弱か否かを判断されたい。

<詳細>
Trend Micro Antivirusは、アンチウィルスソリューションとして広範囲で使
用されている。しかし、Trend Micro AntivirusがUPX実行ファイル圧縮プログ
ラムで圧縮された実行可能ファイルを解析する処理には、バッファオーバーフ
ローの脆弱性がある。実行可能ファイルが細工されるとバッファオーバーフロー
が引き起こされ、システムおよびルート権限で任意のコードが実行され、脆弱
なシステムは完全に制御を奪われてしまう。悪質なファイルは、メール(スパ
ム)やWeb、FTP、インスタントメッセージ、P2Pファイル共有などを介して送
信できるので注意されたい。UPXファイル形式の脆弱性は、過去に広範囲で確
認された経緯があるため、UPXファイルfuzzerが公表されている。

<現状>
トレンドマイクロはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
iDefenseのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/459390
Trend Microのセキュリティアドバイザリ
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034289
SANSのインシデントハンドラーのDiary
http://isc.sans.org/diary.html?storyid=2190
UPX実行ファイル圧縮についてのWikipediaの説明
http://en.wikipedia.org/wiki/UPX
トレンドマイクロのホームページ
http://www.trendmicro.com
SecurityFocus BID
http://www.securityfocus.com/bid/22449
────────────────

3.危険度【中】: Sambaに複数のリモートのコード実行脆弱性

<影響のある製品>
Samba 30.23d以前のバージョン

<詳細>
Sambaは、Microsoft Server Message Block (SMB) およびCommon Internet
Filesystem (CIFS)のオープンソース実装であるが、これには複数の脆弱性が
ある。
(1)Sambaは、UNIXやUNIXに類似したシステムのName Service Switchによって
ロードできる"winbind"モジュールを提供する。このモジュールを使えば、
WINSプロトコル経由で"nameservice lookup"ができる。このモジュールを
使用するように設定されているSun Solarisシステムでは、細工されたリク
エストによってスタックベースのオーバーフローが引き起こされ、ルート
権限で任意のコードが実行されてしまう。
(2)Sambaには、CIFS経由でAndrew File System (AFS)ディレクトリをセーブす
るときに生じる書式文字列の脆弱性がある。脆弱なシステムに"afsacl.so"
モジュールがロードされると、上書き権限のあるユーザーは、この脆弱性
を悪用してSambaプロセス権限で任意のコードを実行できるようになってし
まう。これらの脆弱な設定は双方とも稀有で、デフォルト設定でもない。
Sambaはオープンソースのであるため、これらの脆弱性の技術的詳細は、ソー
スコードを分析すれば入手できる。

<現状>
Sambaはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、影響のあるソフトウェアを使用している。両社
とも、次期定例メンテナンススケジュールに合わせて、システムを更新する見
込みである。ある一拠点によると、現在脆弱な機能は使用していないものの、
今後も使用しないかどうかはわからないという。そのため同社は、最善策とし
てこのパッチを現段階でインストールすることにしたようだ。

<参考>
Sambaのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/459179
http://www.securityfocus.com/archive/1/459168
SANSインシデントハンドラーのDiary
http://isc.sans.org/diary.html?storyid=2175
Andrew File Systemに関するWikipediaの説明
http://en.wikipedia.org/wiki/Andrew_File_System
Name Service Switchに関するWikipediaの説明
http://en.wikipedia.org/wiki/Name_Service_Switch
Sambaのホームページ
http://www.samba.org
SecurityFocus BIDs
http://www.securityfocus.com/bid/22403
http://www.securityfocus.com/bid/22410
────────────────

4.危険度【重大】:Alipay Password InputのActiveXコントロールにバッファ
オーバーフローの脆弱性

<影響のある製品>
Alipay Password Input ActiveXコントロールの現バージョン以前のもの

<詳細>
Alipay Password Input ActiveXコントロールは、パスワードや他の認証情報
の安全な入力に用いられるActiveXコンポーネントである。これはアジア全域
で広く使用されており、(ベンダーのWebサイトによれば) 中国ではオンライン
決済サービスの先導的地位にあるという。このActiveXコントロールには、バッ
ファオーバーフローの脆弱性がある。細工されたWebページによってこのコン
トロールや脆弱性が悪用されると、現在のユーザーの権限で任意のコードを実
行されてしまう。この脆弱性の技術的詳細と概念実証コードが公表されている。
また、任意のActiveXコントロールを狙った再利用可能なエクスプロイトコー
ドも広く公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
ユーザーは、GUID "66F50F46-70A0-4A05-BD5E-FBCC0F9641EC"にMicrosoftの
"kill bit"機能を設定してこのコントロールを無効にすれば、脆弱性の影響を
軽減できる。しかし、これによって、影響のあるコントロールを用いたWebサ
イトの通常利用に影響が生じる場合がある。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
SecuriTeamのセキュリティアドバイザリ
http://www.securiteam.com/windowsntfocus/5KP0120KKC.html
概念実証コード
http://milw0rm.com/exploits/3279
Alipayのホームぺージ(中国語)
https://www.alipay.com/
SecurityFocus BID
http://www.securityfocus.com/bid/22446
────────────────

5.危険度【高】:HP Mercury Software Suiteにバッファオーバーフローの脆弱性

<影響のある製品>
Mercury LoadRunner Agentのバージョン8.0および8.1
Mercury Performance Center Agentのバージョン8.0および8.1
Mercury Monitor Over Firewallのバージョン8.1

<詳細>
Mercury LoadRunnerは、アプリケーションのパフォーマンスやロードのテスト
用ソフトウェアとして広範囲で利用されている。余分に長い"server_ip_name"
を持つようにリクエストが細工されるとこの脆弱性が悪用され、LoadRunner
のプロセスで任意のコードが実行されてしまう。ユーザーは、可能であればネッ
トワーク境界でTCP54345番ポートへのアクセスをブロックすることをお勧めす
る。この脆弱性の技術的詳細が公表されている。

<現状>
HPはこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Zero-Day イニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-007.html
HPのセキュリティ警告
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00854250
Mercury LoadRunnerのホームページ
http://www.mercury.com/us/products/performance-center/loadrunner/
SecurityFocus BID
http://www.securityfocus.com/bid/22487

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。