NRI Secure SANS NewsBites 日本版

Vol.3 No.11 2008年3月25日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.11 2008年3月25日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■はじめに(Alan Paller:SANS Director of Research)

アタッカーが、市販の商用アプリだけを悪用しているわけではないという問題
がある。ご自身が作成、もしくは作成を依頼したWebアプリを正しく修正する
ことが重要だ。また、1万件のWebサイトがマルウェアに感染しているとの報告
があるが、2008年における悪用されたWebサイト数は、すでに10万件を超えて
いる。もし、あなたが運営してるサイトも含まれていたとしたら、サイト訪問
者が感染することになる。そしてその損害額は、平均値をとっても個人情報の
漏えいより大きい。アプリケーションセキュリティを改善しようと腰をあげた
組織が、5月末ラスベガスに多数集結する。教訓を共有するほか、最も効果的
なアプリケーションセキュリティツールについて実証した新データも発表する。
詳細はこちら:http://www.sans.org/info/25753

訂正:
先週号で、侵入テストスキルやツールが最新のものであると確信できる唯一の
方法は、SANSペネトレーションテストコースに参加することだと述べた。しか
しこれは、何人かの読者にご指摘いただいたように、明らかに間違いである。
しかし、Ed Skoudisのような人物が、最新かつ最良のツールやテクニックを見
出し、効果的な使い方を学んでいなければ、こうしたコースは生まれなかった
ことも事実である。

────────────────

■■SANS NewsBites Vol.10 No.21-22
   (原版:2008年3月15日、19日配信)

◆米上院議会分科委員会 FISMAの欠点を認める(2008.3.13)

3月12日水曜日に開かれた上院議会分科委員会公聴会の証人は、連邦情報セキュ
リティ管理法(FISMA)は、必ずしもITセキュリティにおける正しい措置ではな
いと述べた。政府局は、FISMAの必須要件自体は改善されたと報告したが、各
局では今もなお侵入被害やデータ損失が発生している。サイバーセキュリティ
産業同盟(Cyber Security Industry Alliance)の会長Tim Bennett氏によれば、
「FISMAでの点数が高ければその政府局が安全というわけではなく、その逆も
またしかりだ。なぜなら、FISMAの点数はあくまで必須プロセス遵守の有無を
反映しているにすぎないからだ。私の見たところ、FISMAではこれらのプロセ
スでセキュリティが実際に向上できたかどうか、測定できない」という。米国
行政予算管理局(OMB)および政府説明責任局(GAO)の関係者らは、FISAM遵
守でセキュリティ改善を図ることはできないと認めた。また、電子政府(E-Gov)
担当官Karen Evansも、OMBの必須条件を満たすためだけに各政府局が職務をこ
なすなど、単なる事務処理に過ぎないと付け加えた。
http://www.gcn.com/cgi-bin/udt/im.display.printable?client.id=gcn_daily&story.id=45957

【編集者メモ】(Schultz)
FISMA遵守における最も基本的な問題は、FISMAでは組織情報や情報処理リソー
スに対するリスクを本当に理解して適切なセキュリティコントロールを導入す
ることよりも、紙面上の処理業務を生み出すことが重要視されていたことだ。
FISMA監査結果とセキュリティ侵害件数にほとんど関連性がないという事実も、
別段驚きではない。
────────────────

◆NATO サイバーアタックはミサイル攻撃と同様(2008.3.7)

NATOのサイバー防衛主任Suleyman Anilは、一国のオンラインインフラに対す
る確固たるサイバーアタックは、事実上阻止できないと述べた。したがって、
国はシステムを回復させ、オンラインに戻せる能力を向上させる必要があると
いう。これは、ほとんど全ての国が今のところ弱いとされている分野である。
NATOは、来月ブカレストで開催されるサミットで、加盟国に対するインフラア
タックに対処できるように行動計画を作成する予定である。
http://software.silicon.com/security/0,39024655,39170263,00.htm
────────────────

◆出版社 eBookからDRMを外し始める(2008.3.3)

電子ブック(eBook)への関心を高めようと、複数の出版社がオーディオブック
のダウンロードからDRM保護を外し始めている。著作権保護技術を取り除くこ
とによって、ユーザーはさまざまなデバイス間でeBookを移動できるようにな
り、他人と共有できるようにもなる。最初にこのDRMソフトウェアの使用を停
止する意向を発表したのは、Random Houseだった。Penguinもこれにならう手
はずが整っているようである。また、Simon & Schuster AudioはDRM技術の入っ
ていない書籍150タイトルをこの春リリースする見込みだ。
http://www.nytimes.com/2008/03/03/business/media/03audiobook.html?_r=1&oref=slogin&pagewanted=print
────────────────

◆カナダ企業 データ侵害保険を提供(2008.3.13)

データセキュリティ侵害がより頻繁に報じられるようになった昨今、カナダの
保険会社が侵害で生じた企業の費用をカバーする商品を打ち出す見込みだ。こ
の保険では、コンピュータの修理、顧客への通知費用、詐欺被害によるクレジッ
トカード会社への払戻しや損害賠償をカバーしており、同国のデータプライバ
シー法に対処できるように作成されている。
http://www.theglobeandmail.com/servlet/story/LAC.20080313.RINSURANCE13/TPStory/Business

【編集者メモ】(Schultz)
セキュリティインシデントに対する保険は、数々の理由からあまり人気がなかっ
た。しかし、この新タイプの保険は成功する可能性が高い。データセキュリティ
侵害に対する懸念を広くカバーしているからだ。
────────────────

◆米議会 FISA修正案を可決(2008.3.14)

米議会は外国諜報活動偵察法(FISA:Foreign Intelligence Surveillance Act)
の修正法案を僅差で可決した。これによって、諜報機関職員は監視開始後1週
間以内であれば、令状を事後申請できるようになった。また、協力した電気通
信プロバイダ企業は、その偵察活動によって訴訟を起こされても免責されるこ
ととなる。しかし、この免責に遡及効果はない。初めて可決された1978年当時
のFISAでは、「諜報目的で行われる政府の全偵察活動について、まず外国諜報
活動偵察法廷(FISC)から盗聴許可の裁判所命令を受ける必要がある」とされて
いた。
http://www.securityfocus.com/brief/703
────────────────

◆BT Phormのテスト運用で顧客データ使用を認める(2008.3.14-17)

BTは、問題の同社製Phormの広告ターゲット製品に使用されている技術をテス
トする際、顧客データを使用したと認めた。Phormは、Web上のユーザー活動を
追跡し、その活動習性に合わせた広告を掲載する製品だ。BTは、昨年夏に顧客
データ使用が疑われた当初、虚偽の返答をしたことを認めた。今後、同社に対
する訴訟発生の可能性がある。BTは、「個人を特定できるような情報は、テス
ト運用で絶対に処理、保存、漏えいしていない」と主張。情報ポリシー研究財
団(Foundation for Information Policy Research)の公開レターによると、
Phormは英国では捜査権限規制法(RIPA:Regulation of Investigatory Powers
Act)違反にあたるという。しかし、Phormは英法に違反するような形で運用さ
れるわけではないと、BT側は反論している。セキュリティ企業の中でも、
Phormクッキーをアドウェアとして分類するかどうか、意見が分かれているよ
うだ。
http://www.theregister.co.uk/2008/03/17/bt_phorm_lies/print.html
http://news.bbc.co.uk/2/hi/technology/7301379.stm
http://www.theregister.co.uk/2008/03/14/phorm_classification/print.html

【編集者メモ】(Skoudis)
テスト環境で実際の顧客データを使用するなど、もちろんいけない行為だ。し
かし、セキュリティ検査での顧客データの使用は、信じられないほどよく行わ
れているようだ。回避すべき行為である。本件は、この行為により生じうる問
題を示すよい事例である。

───────────────────────────────────
★無料 事業継続セミナー 開催 -- 2008.4.22.Tue@東京ミッドタウン ★
┃ Business Continuity Management Conference 
┃ 迫る国際標準化その2 -『サプライチェーン』 と 『事業継続』-
┃●Keynote【経済産業省の情報セキュリティ政策と事業継続計画の位置付け】
┃        経済産業省商務情報政策局
┃        情報セキュリティ政策室 課長補佐井土 和志 氏
┃●session>>大手各社が一堂に勢揃い!!驚愕の12セッション!!
┗事前登録実施中! http://www.idg.co.jp/click/location.cgi?expo_bcm14
───────────────────────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年3月14日 Vol.7 No.11)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Microsoft Office               10 (#1,#2,#3,#6)
その他のMicrosoft製品             3
サーとパーティのWindowsアプリ         11 (#4, #5, #8)
Linux                     4
Solaris                     2
Aix                       1
Unix                      1
クロスプラットフォーム            17 (#7)
Webアプリ・クロスサイトスクリプティング    18
Webアプリ・ SQLインジェクション        18
Webアプリ                   17
ネットワークデバイス              2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週は、Microsoft Office製品に3件、Cisco User Changeable Passwordに1件、
McAfee ePolicy Orchestratorに1件、重大な脆弱性が発見された。最も注目す
べきは、Microsoftの脆弱性は、全てExcelのようなOffice製品にあるというこ
とだ。別に、劣化したコードが書かれているわけではない。悪意ある者が、ファ
ジングツールでWordやExcelにある0-day脆弱性を見つけようとしているのだ。
これらの脆弱性を、(優れたセキュリティが施行されていない)組織に侵入する
のに悪用するのだ。
────────────────

1.危険度【重大】:Microsoft Excelに複数の脆弱性(MS08-014)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Office System 2007
Microsoft Office Excel Viewer 2003
Mac用Microsoft Office 2004
Mac用Microsoft Office 2008

<詳細>
Microsoft Excelには、さまざまなExcel文書機能の処理に複数の脆弱性がある。
Excelファイルを正しく分析できないため、さまざまなメモリ崩壊脆弱性に繋
がる。当該機能を含むExcelファイルが細工されると、脆弱性のいずれかが引
き起こされる。脆弱性の悪用が実現すると、現在のユーザー権限で任意のコー
ドを実行できるようになってしまう。Officeの最近のバージョンでは、Excel
ファイルはユーザーの操作なしに受信時に開かれないようになっている。これ
ら脆弱性の技術的詳細がいくつか公表されている。また、これらの脆弱性のう
ち少なくとも1件は、頻繁に悪用されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
TippingPointのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-08-03
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=671
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=672
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS08-014.mspx
Microsoft Technetの記事(技術的詳細を含む)
http://blogs.technet.com/swi/archive/2008/03/11/the-case-of-the-uninitialized-stack-variable-vulnerability.aspx
SecurityFocus BIDs
http://www.securityfocus.com/bid/28095
http://www.securityfocus.com/bid/28166
http://www.securityfocus.com/bid/28170
http://www.securityfocus.com/bid/27305
http://www.securityfocus.com/bid/28168
http://www.securityfocus.com/bid/28094
http://www.securityfocus.com/bid/28167
────────────────

2.危険度【重大】:Microsoft Outlookの'mailto'にリモートのコマンド実行
  の脆弱性(MS08-015)

<影響のある製品>
Microsoft Outlook 2000
Microsoft Outlook XP
Microsoft Outlook 2003
Microsoft Office 2007

<詳細>
Microsoft Outlookは、引数として渡された"mailto:" URLのコンテンツを正し
くサニタイズできない。"mailto:" URLは、メールアドレスへのリンクを提供
するときに使用されるものである。Microsoft Windowsで"mailto:" URLをクリッ
クすると、"mailto:" URLに関連するアプリケーションが起動するようになっ
ている。それはOutlookであることが多い。"mailto:"でURLに細工されるとサ
ニタイズが回避され、任意のコマンド挿入ができるようになってしまう。この
脆弱性の悪用が実現すると、現在のユーザー権限で任意のコードを実行できる
ようになってしまう。この脆弱性の技術的詳細がいくつか公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS08-015.mspx
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=673
MicrosoftTechnetの記事(技術的詳細を含む)
http://blogs.technet.com/swi/archive/2008/03/11/protocol-handler-and-its-default-security-zone.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/28147
────────────────

3.危険度【重大】:Microsoft Officeに複数の脆弱性(MS08-016)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
Microsoft Office Excel Viewer
Mac用Microsoft Office 2004

<詳細>
Microsoft Officeには、Microsoft ExcelとOfficeファイル処理に欠陥がある。
このファイルが細工されると、メモリ崩壊の脆弱性2件のうち1件が引き起こさ
れてしまう。脆弱性のうち1件の悪用が実現すると、現在のユーザー権限で任
意のコードを実行できるようになってしまう。Officeの最近のバージョンでは、
ユーザーの操作なしに文書は開かれないようになっている。これらの脆弱性の
技術的詳細がいくつか公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-08-008/
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS08-016.mspx
SecurityFocus BIDs
http://www.securityfocus.com/bid/28146
http://www.securityfocus.com/bid/23826
────────────────

4.危険度【重大】:Cisco User Changeable Passwordに複数の脆弱性

<影響のある製品>
Cisco User Changeable Password 4.2までのバージョン

<詳細>
Cisco User Changeable Passwordは、パスワードやその他の認証用の信用証明
書の更新をWebベースのインタフェースを介して提供するCiscoのユーティリティ
である。しかし、ユーザーインプット処理には複数のバッファオーバーフロー
がある。リクエストが細工されると、認証されていないアタッカーでも、これ
らバッファオアーバーフローが悪用できるようになってしまう。バッファオー
バーフローのいずれかの悪用が実現すると、脆弱なプロセス権限で任意のコー
ドを実行できるようになってしまう。これによって、認証データベースへのア
クセスが付与されてしまい、さらなる悪用につながるおそれがあるので注意が
必要だ。この脆弱性の全技術的詳細と概念実証コードが公表されている。また、
この製品にはクロスサイトスクリプティング脆弱性も発見されている。

<現状>
Ciscoはこの問題を認めており、更新をリリースしている。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20080312-ucp.shtml
Recurity Labsのセキュリティアドバイザリ
http://www.recurity-labs.com/content/pub/RecurityLabs_Cisco_ACS_UCP_advisory.txt
Product Documentation
http://www.cisco.com/warp/public/480/ucp.html
SecurityFocus BID
http://www.securityfocus.com/bid/28222
────────────────

5.危険度【重大】:McAfee ePolicy Orchestrator に書式文字列の脆弱性

<影響のある製品>
McAfee ePolicy Orchestrator 4.0までのバージョン

<詳細>
McAfee ePolicy Orchestratorは、企業用のポリシー管理フレームワークであ
る。しかし、ロギングサブシステムには書式文字列の脆弱性がある。リクエス
トが細工されるとこの脆弱性が引き起こされる。脆弱性の悪用が実現すると、
脆弱なプロセス権限で任意のコードを実行できるようになってしまう。この脆
弱性の全技術的詳細と概念実証コードが公表されている。その他McAfee
Framework使用製品も、脆弱な可能性がある。

<現状>
McAfeeはこの問題を認めていないため、更新もリリースしていない。

<参考>
Luigi Auriemmaのアドバイザリ
http://aluigi.altervista.org/adv/meccaffi-adv.txt
概念実証コード(バイナリファイルリン)
http://aluigi.org/poc/meccaffi.zip
製品のホームページ
http://www.mcafee.com/us/enterprise/products/system_security_management/epolicy_orchestrator.html)
SecurityFocus BID
http://www.securityfocus.com/bid/28228
────────────────

6.危険度【高】:Microsoft OfficeのWebコンポーネントに複数の脆弱性(MS08-017)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft BizTalk Server 2000
Microsoft BizTalk Server 2002
Microsoft Commerce Server 2000
Microsoft Internet Security and Acceleration Server 2000

<詳細>
Microsoft Office Webコンポーネントは、オフィス文書の操作に使用される
ActiveXコントロールの集まりである。しかし、メソッドコール処理には複数
の脆弱性がある。これらのコンポーネントのひとつをインスタンス化するWeb
ページが細工されると、メモリ崩壊脆弱性が引き起こされる。この脆弱性の悪
用が実現すると、現在のユーザー権限で任意のコードを実行できるようになっ
てしまう。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能を以下のCLSIDに設定して問題のコントロールを無効にすれば、
影響を軽減できる。
"0002E533-0000-0000-C000-000000000046"
"0002E530-0000-0000-C000-000000000046"
"0002E510-0000-0000-C000-000000000046"
"0002E511-0000-0000-C000-000000000046"

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS08-017.mspx
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/28135
────────────────

7.危険度【高】:SAP MaxDBに複数の脆弱性

<影響のある製品>
SAP MaxDB 7.6.0.37までのバージョン

<詳細>
MaxDBは、SAPの企業用データベースシステムである。しかし、ユーザーリクエ
スト処理には複数の欠陥がある。ユーザーリクエストが細工されると、メモリ
崩壊脆弱性のひとつが引き起こされる。脆弱性のうちいずれかの悪用が実現す
ると、脆弱なプロセス権限で任意のコードが実行できるようになってしまう。
MaxDBのバージョンの中にはオープンソースのものもあり、それらは脆弱だと
考えられる。したがって、脆弱性の技術的詳細は、ソースコードを分析すれば
入手できる。

<現状>
SAPはこの問題を認めており、更新をリリースしている。TCP7210ポートへのア
クセスをネットワーク境界でブロックすれば、影響を軽減できる。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=670
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=669
製品のホームページ
https://www.sdn.sap.com/irj/sdn/maxdb
SecurityFocus BID
http://www.securityfocus.com/bid/28183
────────────────

8.危険度【高】: RealPlayer ActiveXコントロールにメモリ崩壊の脆弱性

<影響のある製品>
RealPlayer 11.xまでのバージョン

<詳細>
RealPlayerは、ActiveXコントロールを介して Microsoft Windowsでその機能
のいくつかを提供する。しかし、このコントロールの"Console"プロパティ処
理には欠陥がある。このコントロールをインスタンス化するWebページが細工
されると、この欠陥が引き起こされてしまい、メモリ崩壊脆弱性に発展するお
それがある。この崩壊の悪用が実現すると、アタッカーは、現在のユーザーの
権限で任意のコードを実行できるようになってしまう。この脆弱性の全技術的
詳細と概念実証コードが公表されている。

<現状>
Real はこの問題を認めていないため、更新もリリースしていない。ユーザー
は、Microsoftの"kill bit"機能を"2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93""
CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA"に設定して問題のコントロールを無
効にすれば、これらの脆弱性の影響を軽減できる。

<参考>
Elazarによる掲示(概念実証コードを含む)
http://lists.grok.org.uk/pipermail/full-disclosure/2008-March/060659.html
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.real.com
SecurityFocus BID
http://www.securityfocus.com/bid/28157

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。