NRI Secure SANS NewsBites 日本版

Vol.2 No.9 2007年3月6日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.9 2007年3月6日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

■■SANS NewsBites Vol.9 No.16-17 (原版:2007年2月25、28日)

◆米国国土安全保障省 データの安全化への道まだ遠く(2007.2.21)

米国国土安全保障省(DHS)のRichard Skinner監査官によると、同省が機密情
報や個人情報の保護促進のためにセキュリティコントロールを導入するには、
まだまだ時間がかかるという。報告書では、DHSが行政予算管理局(OMB)のメモ
ランダム06-16「政府省機密情報」どおりに対策の導入ができているかどうか
が評価されている。DHSは、 ポリシーの作成を開始し、機密情報が保存されて
いるシステムの特定やその「保護」に乗り出した。しかし、ノートパソコンな
どモバイルデバイスのほとんどは、まだ暗号化されていない。監査官は、「DHS
は、リモートのユーザーが使用できるシステムの保護を目的とした措置には踏
み切れていない」と懸念を示している。
http://www.fcw.com/article97725-02-21-07-Web&printLayout
http://www.dhs.gov/xoig/assets/mgmtrpts/OIGr_07-24_Jan07.pdf
────────────────

◆Google Google Desktopにあるクロスサイトスクリプティングの欠陥を修正
(2007.2.21-22)

Googleは、Google Desktopにあるクロスサイトスクリプティングの脆弱性を修
正した。この脆弱性を悪用されると、アタッカーはファイルにアクセスするこ
とができ、場合によっては脆弱なマシンのコントロールを獲得してしまうおそ
れがあった。Google Desktopを使えば、ユーザーは自分のコンピューター上で
検索機能やインデックス機能を駆使して、素早く情報を見つけることができる。
Googleによると、まだこの欠陥を悪用された形跡はないという。このソフトウェ
アの更新は自動的に行われるため、ユーザー側で自分のマシンの保護を目的に
措置を施す必要はない。
http://www.computerworld.com/action/article.do?command=viewArticleBasic
&articleId=9011630&source=rss_topic17
http://www.theregister.co.uk/2007/02/21/google_desktop_search_bug/print.html
http://www.usatoday.com/tech/news/computersecurity/2007-02-21-google-security-patch_x.htm?csp=34
http://www.zdnetasia.com/news/security/printfriendly.htm?AT=61991428-39000005c
http://www.techworld.com/applications/news/index.cfm?newsID=8093&pagtype=samechan

【編集者メモ1】 (Skoudis)
これは今週のクロスサイトスクリプティング(XSS) 欠陥としては、2番目に大きなものだ。
しかし、これも巨大な氷山の一角に過ぎない。この欠陥は深刻であり、
広範囲にわたって発生していることを考えると、IT・情報セキュリティのプロが、
クロスサイトスクリプティングに対して認識が甘いことに驚いてしまう。
クロスサイトスクリプティングという名前が比較的無害そうに聞こえるので、
皆が混乱してしまうように思う。私は、実際に起きていることをなるべ
く描写すべく、ときどき「リフレクテッド」スクリプトアタックと称しており、
また、実際そのとおりだと思っている。このアタックは、悪意ある者によって
Webアプリケーションに悪意のあるスクリプトが挿入されるか、もしくは挿入
をユーザーに行わせ、それがユーザーのブラウザに反映される。そのブラウザ
は、実は悪意ある者が何かを実行する場所なのだ。そして悪意ある者は、ユー
ザーのブラウザで何かを実行する。たとえば、ユーザーのファイルにアクセス
し、それを自身に送るなど、Webアプリケーションで可能なことなら何でも実
行できるようになってしまう。
【編集者メモ2】(Pescatore)
Googleは、「自動的にこれは修正されるし、悪いことは何も起きていない」と
主張する。しかし、Google が企業用ソフトウェア(もしくはサービスとして
のソフトウェア)のプロバイダになろうとしているなら、これでは十分な回答
とはいえない。企業用製品が求められる場所で、消費者用製品が導入されて発
生する問題は非常に多いのだ。
【編集者メモ3】(Honan)
この脆弱性のエクスプロイトコードがリリースされている。
http://www.us-cert.gov/current/current_activity.html#ggledxss
────────────────

◆マサチューセッツ州の法案 データ紛失の費用を小売業者に移行
(2007.2.20-22)

マサチューセッツ州の銀行は、データのセキュリティ侵害によって生じる処理
費用の支払い責任を、情報の安全性を維持できなかった小売業者や他の団体に
負わせる法案を成立させるよう、議会に働きかけている。現在、銀行は、クレ
ジットカード詐欺による処理費用を被っており、昨年の総額は、およそ20億ド
ルにのぼった。小売業者は、この変更によって得られるものは銀行の利益だけ
で、消費者保護の効果面に変化は期待できないと反対している。マサチューセッ
ツ州小売業者協会(Retailers Association of Massachusetts)のJon B. Hurst
会長は、データの取扱いを誤って生じた損失を、銀行が回収できるポリシーは
すでにあるという。さらに、銀行は小売業者から売上の数%を受け取っており、
これは詐欺で生じた費用を回収するために用いる意味合いが一部あるのではな
いかと考えられている。マサチューセッツ州銀行協会(Massachusetts
Bankers Association)のBruce E. Spitzer広報担当は、クレジットカードセ
キュリティ基準を満たしている店舗は、全体の3分の1もないことを指摘。この
法案は、マサチューセッツ州で事業を営むすべての企業に、業種を問わず影響
を与えることになる。
http://www.boston.com/business/globe/articles/2007/02/20/bill_targets_
retailers_for_costs_to_fix_data_thefts?mode=PF
http://online.wsj.com/public/article/SB117211275783215723-aH17xXK5QiR2rZncblC6wDttYlA_20070323.html?mod=tff_main_tff_top

【編集者メモ1】 (Pescatore)
すでに、小売業者には、それに見合うだけの大きな負荷がかかっている。銀行
の経済責任を免除してしまえば、間違った方向へ大きな一歩を踏み出すことに
なる。銀行には、まだまだ銀行側でクレジットカードのセキュリティを改善す
べきところがあるというのに。

【編集者メモ2】(Schultz)
詐欺や、データセキュリティ侵害で生じた費用を誰が払うべきか(銀行か小売
業者か、もしくは顧客か)という問題が、根本的に解決される見込みはない。
セキュリティインシデントに責任がある人に支払い責任を負わせるのが、正し
い解決策のように思う。たとえば、小売業者のセキュリティ対策が不十分であっ
たためにインシデントが発生した場合は、その小売業者が関係費用を支払うべ
きだ。同様に、暗証番号やパスワードを誰かに教えるなどの行為が明らかな場
合は、セキュリティ慣行を怠ったその顧客が責任を負うべきだ。
【編集者メモ3】(Honan)
銀行がこのような法案を提案をするということは、 PCI基準が効果的に施行さ
れていないことを示す。しかし、小売業者がPCI基準を満たしているか否かに
かかわらず、銀行は顧客口座に発生した詐欺を検知し、その損失を十分に補償
する責任があるだけでなく、それを実行できる立場にあるはずだ。この問題の
責任を広範囲に散在させようとしても、顧客を保護することはできない。
────────────────

◆TJXでの侵害 2005年7月に始まる (2007.2.22)

TJXは「顧客の個人情報や財務情報を侵害した事件は、当初考えていたよりさ
らに1年前に始まった」と述べている。当初、TJXは、侵害は2006年5月から
2007年1月までの間に発生したと発表していた。現在、同社は、同社のシステ
ムが侵害されたのは2005年7月であり、それ以来何度かアクセスされていると
考えている。
http://www.washingtonpost.com/wp-dyn/content/article/2007/02/21/AR2007022102039_pf.html

【編集者メモ】 (Boeckman)
インシデントというものは、一見かなり深刻に思える。しかし、実際はもっと
深刻なことが多い。

◆日本のサイバー犯罪 増加の一途をたどる (2007.2.23-26)

警察庁(NPA)によると、日本国内のサイバー犯罪は、昨年40%増を記録したと
いう。昨年捜査が行われたサイバー犯罪の合計件数は4,425件であり、2005年
の3,161件から飛躍的に増加している。そのうち703件は、盗まれた認証証明書
を使用した不正アクセスに関連しており、その総数は2005年に報告された件数
の3倍にのぼった。報告されているフィッシングアタックの件数は220件で、前
年より増加。昨年のスパイウェアの報告件数は197件で、2005年の6倍となって
いる。
http://tech.monstersandcritics.com/news/printer_1269204.php
http://www.americasnetwork.com/americasnetwork/article/articleDetail.jsp?id=406880

【編集者メモ】 (Grefer)
NPAが報告できたことは、サイバー犯罪の捜査件数が40%増加したということ
だけだ。しかし、他国と同じように、これは、氷山の一角に過ぎない。ほとん
どのサイバー犯罪は、その被害を受けた企業のマイナスの影響(評判が落ちる
など)を考えると、報告されないままに終わるのだ。

**********************************************************************

■■@RISK:The Consensus Security Vulnerability Alert
(原版:2007年2月27日配信 Vol.6 No.9)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー             件数(#は本稿掲載番号)
======================================================================
Windows                 3
その他のMicrosoft製品        1
サードパーティのWindowsアプリ    10 (#2, #3, #4)
Mac OS                   2
Linux                   2
Unix                     2
クロスプラットフォーム          7 (#1, #5, #6, #7)
Webアプリ…XSS             3
Webアプリ…SQLインジェクション   10
Webアプリケーション          33
ネットワークデバイス          2
======================================================================

■はじめに(Alan Paller: SANS Director of Research)

もっとも重大な脆弱性の4つすべてが、セキュリティ製品(5番目の脆弱性は
FireFox)関連であった。驚くことではない。セキュリティ製品のほとんどが、
アタックの標的がシステムソフトウェアの脆弱性に集中していた時期に作成さ
れたものだ。しかし、現在、アタックのターゲットはアプリケーションに集中
している。特に、上位権限で実行されるセキュリティ製品が多い。安全なプロ
グラミングのスキルは、現在、ただのプログラミングスキルより大幅に価値あ
るものとなった。しかし、悲しいかな、大学は、どの必須コースでも安全なプ
ログラミング技術を教えることはないまま、コンピュータ科学者やエンジニア、
プログラマーを、輩出してしまっている。バイヤーは、ソフトウェアのサプラ
イヤーが安全なプログラミング技術を認識しているかどうか、知るよしはない。
米国安全プログラミング試験National Secure Coding Examがこの夏に始まれ
ば、ソフトウェアを購入する企業も、ベンダーやコンサルタントに対し、試験
の出来を尋ねることができるようになるだろう。彼らは、自身の点数の悪さに
恥ずかしくなり、それゆえ、きびすを返して、セキュリティスキルの向上に取
り組むこととなるだろう。
────────────────

1.危険度【重大】: Snort DCE-RPCプリプロセッサにバッファオーバーフローの脆弱性

<影響のある製品>
Snort 2.6.1.3までのバージョン
Snortは、Sourcefireなど商用の侵入検知・防御製品や、Linux製品など、その
他多数の製品にも同梱されている。

<詳細>
Snortは、オープンソースの侵入検知・防御システムとして、広範囲で使用さ
れている。しかし、これのDCE-RPCプロトコル処理には、バッファオーバーフ
ローの脆弱性がある。MicrosoftのRPCプロトコルは、 DCE-RPCのレファレンス
に準拠しており、Snortによってデコードされ、RPC脆弱性をターゲットにする
多くのアタックを検知する。DCE-RPCリクエストが連続的に細工されると、こ
のバッファオーバーフローが引き起こされ、Snortのプロセス権限(ルート権
限の場合も多い)で任意のコードが実行されてしまう。SnortのDCE-RPCプリプ
ロセッサが、デフォルトで有効になっていると、アタッカーは、Snortに監視
されているネットワークに悪意のあるコードを送信することで、この欠陥を簡
単に悪用できるようになってしまう。技術的詳細は、ソースコードを分析すれ
ば、入手できる。

<現状>
Snortはこの問題を認識しており、更新もリリースしている。

<参考>
Snortのセキュリティアドバイザリ
http://www.snort.org/docs/advisory-2007-02-19.html
IBM ISS X-Forceのセキュリティアドバイザリ
http://www.iss.net/threats/257.html
SANS Internet Storm Centerの担当者日記
http://isc.sans.org/diary.html?storyid=2280
Snortのホームページ
http://www.snort.org
SecurityFocus BID
http://www.securityfocus.com/bid/22616
────────────────

2.危険度【重大】: Trend Micro ServerProtectに複数の脆弱性

<影響のある製品>
Windows 用Trend Micro ServerProtectのバージョン5.58
EMC 用Trend Micro ServerProtectのバージョン5.58
Network Appliance Filer 用Trend Micro ServerProtectのバージョン 5.61
および5.62

<詳細>
Trend Micro ServerProtectは、ファイルサーバやWebサーバ用に設計されたア
ンチウィルス製品である。しかし、これには、複数の脆弱性がある。
[a] ServerProtectは、認証なしでTCP5168番ポートからアクセスできるRPCサー
ビスを実行している。 このサービスへのリクエストが細工されると、
"StCommon.DLL"ライブラリ、もしくは、"eng50.dll"ライブラリにバッファオー
バーフローが生じる。これらのオーバーフローが実現すると、アタッカーは、
システム権限で任意のコードを実行できるようになる。これらの脆弱性の総合
的な技術的詳細が、リリースされている。
[b] ServerProtectのWeb設定インタフェースには、認証回避脆弱性がある。簡
単に特定できるセッション識別子が、サーバに送信されると、認証されたセッ
ションになりすまされてしまう。この脆弱性の悪用が実現すると、アタッカー
はアンチウィルスチェックを再設定するか、もしくは、無効にできるようになってしまう。

<現状>
Trend Microはこの問題を認識しており、更新もリリースしている。回避策と
しては、tcp5168番ポートをネットワーク境界でブロックするとよい。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.tippingpoint.com/security/advisories/TSRT-07-01.html
http://www.tippingpoint.com/security/advisories/TSRT-07-02.html
iDefenseのアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=477
Trend Microのホームページ
http://www.trend.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/22662
http://www.securityfocus.com/bid/22639
────────────────

3.危険度【重大】: SupportSoftのActiveXコントロールにリモートのコード
実行脆弱性

<影響のある製品>
SupportSoftソフトウェアのバージョン5.6および6.xで運用されている
SupportSoft SmartIssue、RemoteAssistおよびProbeのActiveXコントロール
SupportSoftのActiveXコントロールは、Symantecなど、複数のベンダーによっ
て使用されているので注意が必要だ。

<詳細>
SupportSoftは、エンドユーザーの技術的トラブルを解決する"サポートオート
メーション"ソフトウェアとして、Symantecなど、多くのベンダーで使用され
ている。このソフトウェアは、SmartIssue、RemoteAssist、ProbeのActiveX
コントロールを使用しているが、これらのコントロールには、スタックベース
のバッファオーバーフローや未認証アクセスの脆弱性がある。悪意のある Web
ページによって、これらの脆弱性が悪用されると、ログオンしたユーザーの権
限で、クライアントシステムに任意のコードが実行されてしまう。脆弱性の技
術的詳細は、まだリリースされていない。

<現状>
SupportSoftは、5.6と6.xの更新版をリリースした。これらのActiveXコントロー
ルは、SymantecのSymantec Automated Support Assistant、Symantec Norton
AntiVirus 2006、Symantec Norton Internet Security 2006およびSymantec
Norton System Works 2006に使用されている。Symantecは、 2006年11月の
LiveUpdateで、製品にインストールされている脆弱なコントロールを無効にし
た。また、Symantecは、影響のある製品に関して、ソフトウェア更新をリリー
スしている。

<参考>
SupportSoft のセキュリティアドバイザリ
http://www.supportsoft.com/support/controls_update.asp
Symantecのセキュリティアドバイザリ
http://www.symantec.com/avcenter/security/Content/2007.02.22.html
SecurityFocus BID
http://www.securityfocus.com/bid/22564
────────────────

4.危険度【高】: VeriSignが管理しているPKI Configuration Checkerの
ActiveXコントロールにバッファオーバーフロー

<影響のある製品>
VeriSign VSCnfChk.dllのバージョン2.0.0.2

<詳細>
Configuration CheckerのActiveXコントロールである、VSCndChk.dllは、
VeriSignが管理するPKI Client Local HostingキットおよびRemote Hostingキッ
トにインストールされている。このActiveXコントロールには、スタックベー
スのバッファオーバーフローがある。この脆弱性は、28バイト以上のパラメー
タを、コントロールのVerCompare()メソッドに引き渡すと、引き起こされる。
悪意のあるWebページによって、オーバーフローが悪用されると、クライアン
トシステムにログオンしたユーザーの権限で任意のコードが実行されてしまう。

<現状>
VeriSign は問題のActiveXコントロールを更新し、この欠陥を修正した。

<参考>
iDefenseのアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=479
VeriSignのセキュリティアドバイザリ
http://www.verisign.com/support/advisories/page_040740.html
SecurityFocus BID
http://www.securityfocus.com/bid/22671
────────────────

5.危険度【高】: Mozilla Firefoxに複数の脆弱性

<影響のある製品>
Firefoxのバージョン2.xから2.0.0.2
Firefox のバージョン1.5.xから1.5.0.10

<詳細>
Mozillaは、先週、Firefoxブラウザの更新をリリースした。この更新によって、
Mozillaチームが危険度「重大」と格付けした2つの問題、危険度「高」の問題
1つを含む、8個の問題が修正された。このパッチで修正されたメモリ破壊脆弱
性は、"onUnload" Javascript イベントハンドラーに関係しており、任意のコー
ドを実行してしまうおそれがあった。更に、今回のパッチでは、悪意のある
Webページによって、クッキー情報が変更できる脆弱性についても修正されて
いる。

<現状>
パッチを含むFirefoxのバージョン2.0.0.2 および1.5.0.10が、リリースされ
た。脆弱性の中には、ThunderbirdやSeaMonkeyソフトウェアに影響を与えるも
のもある。Thunderbirdのバージョン1.5.0.10およびSeaMonkeyのバージョン
1.0.8がリリースされれば、これらの脆弱性は修正される。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox2.0.0.2
http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox1.5.0.10
SecurityFocus BID
http://www.securityfocus.com/bid/22694
────────────────

6.危険度【中】: ClamAVに複数の脆弱性

<影響のある製品>
ClamAV 0.90までのバージョン
ClamAVは、いくつかのOSなど、その他多数の製品のパーツとして同梱されてい
る。

<詳細>
ClamAV (Clamアンチウィルス) は、オープンソースのアンチウィルスソフトウェ
アとして、広範囲で使用されている。しかし、これには、2つの脆弱性がある。
(1)細工したMIMEヘッダーとともにメールを送信すると、アタッカーは、
ClamAVに自作のコンテンツで任意のファイルを上書きすることができるように
なる。
(2) 細工したCAB (Microsoft Cabinet Archive) ファイルを ClamAVサーバ
に送信すれば、アタッカーは、リソースリークを引き起こすことができる。こ
れらのファイルをたくさんサーバに送信すれば、アタッカーは、利用可能な全
てのリソースを使い果たし、サーバによるスキャンを阻止してしまう。
ClamAVは、サーバに届くメールを自動的にスキャンするように設定されている
場合が多いので、アタッカーは、脆弱なサーバへメールを送信すれば、これら
の脆弱性を悪用できるようになってしまう。

ClamAVはオープンソースであるため、これらの脆弱性の技術的詳細は、ソース
コードを分析すれば入手できる。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=475
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=476
Microsoft Cabinet FilesについてのWikipediaの記事
http://en.wikipedia.org/wiki/Cabinet_%28file_format%29
ClamAVのホームページ
http://www.clamav.net
SecurityFocus BIDs
http://www.securityfocus.com/bid/22580
http://www.securityfocus.com/bid/22581
────────────────

7.OracleにあるSQLインジェクションの脆弱性のエクスプロイトコードに、す
でにリリースされた複数のOracle追加セキュリティ更新で、パッチが適用さ
れる

<参考>
http://www.milw0rm.com/exploits/3375
http://www.milw0rm.com/exploits/3376
http://www.milw0rm.com/exploits/3377
http://www.milw0rm.com/exploits/3378
http://www.milw0rm.com/exploits/3363
http://www.milw0rm.com/exploits/3364

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。