NRI Secure SANS NewsBites 日本版

Vol.3 No.13 2008年4月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.13 2008年4月8日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■はじめに(Alan Paller:SANS Director of Research)

バックドアが内蔵された数百万台のデバイスが、ネットワークに取り付けられ
ている。プリンタ、ルータ、コンピュータ、コントロールシステム、保管シス
テム、医療デバイスなど、ほとんど全ての自動デバイスにバックドアがあるよ
うだ。製造者は、システムがいかに脆弱か知らせてくれなかったことだろう。
ある犠牲者は、「助けてくれるはずの人が、私の家の玄関ドアに、“鍵はドア
マットの下にあるからどうぞご自由に”と貼り出しているようなものだ」と言
う。これら脆弱なバックドアは、リモート管理が行えるようにインストールさ
れたものである。デバイスは、ネットワーク接続やOS、メモリまでついたフル
機能搭載のプロセッサを含む。バックドアはこれらを無効にしてしまうだけで
なく、多くの場合、コンピュータやその他デバイスの主要なCPUと記憶装置に、
リモートのバックドア・アクセスを提供する。潜伏しているバックドアを特定
して閉鎖するための研究プログラムが始動しようとしている。NewsBitesが発
表した研究プロジェクトの中でも最も重要なもののひとつだ。SANSは、これに
尽力いただける方(世界中のどこでも)のために助成金2万ドルを用意した。

PS:
Webアプリケーションセキュリティや侵入テストに携わる方は、ラスベガスで
同時開催される2つのサミットに是非ご参加を。最新かつ最も困難な問題に対
する、驚くべき解決策が見つかるだろう。
Webアプリケーションセキュリティ:http://sans.org/appsec08_summit/
侵入テスティング:http://sans.org/pentesting08_summit

素晴らしいニュース:
SANSの新・侵入テストクラスが、ワイヤレスクラス始動以来、新コースの中で
最高支持率を獲得。侵入テスト(アプリケーション侵入テスト、もしくは従来
の侵入テスト)に携わる方は、このコースを受ければ、そのツールやスキルを
最先端にすることができるだろう。
アプリケーション侵入テスト
基礎コース:http://sans.org/training/description.php?mid=692
徹底トレーニング:http://sans.org/training/description.php?mid=942
ネットワーク侵入テスト:http://www.sans.org/training/description.php?mid=937
────────────────

■■SANS NewsBites Vol.10 No.25-26
   (原版:2008年3月29日、4月2日配信)

◆米FTC TJX、Reed Elsevier、Seisintとの示談に合意(2008.3.27)

米国連邦取引委員会(FTC)は、先のデータ侵害事件についてTJXとの示談に合意
したと述べた。顧客記録数百万件が漏えいするというデータ侵害が発生し、大
きなペイメントカード詐欺につながってしまった事件である。FTCによれば、
TJXはファイアウォールやワイヤレスセキュリティなど、基本的なデータ保護
機能を備えていなかった。また、ソフトウェアのパッチとアンチウィルスの署
名を更新していなかったようだ。合意の中で、TJXは「同社が顧客から収集し
た個人情報のセキュリティや機密性、完全性を保護できるように適切に設計さ
れた総括的なセキュリティプログラム」を作成することとされた。そして今後
20年間、2年ごとにサードパーティによる監査を受ける。今回の示談で罰金は
科されなかった。また、FTCはデータブローカーのReed ElsevierとSeisintと
も示談に合意している。
http://www.scmagazineus.com/FTC-settles-with-TJX-over-breach/article/108363/
http://www.forbes.com/markets/feeds/afx/2008/03/27/afx4823849.html
http://www.ftc.gov/opa/2008/03/datasec.shtm
http://www.ftc.gov/os/actions.shtm

【編集者メモ1】(Schultz)
FTCの対応は不十分である。TJXには罰金を科すべきだった。
【編集者メモ2】(Shpantzer)
TJXは、単に、日常配備すべきで情報セキュリティと監査プロセスを施行させ
ようする政府との示談に合意したようなものだ。こんなことで、本当にアンチ
ウイルスを導入していないような他企業への抑止手段になりうるのか?
────────────────

◆インディアナ州の侵害通知法 厳罰化(2008.3.25)

インディアナ州は、インディアナ大学・大学院生でありながらブロガーである
Chris Soghoianのおかげで、2008年7月1日より強固なデータ保護および侵害通
知法を施行する運びとなった。Soghoianは、同州州議会議員Matt Pierceに、
同州の侵害通知法をより細かく見直すよう嘆願していた。同法では、「個人情
報が保存された携帯電子デバイスが未承認で獲得されても、そのデバイスへの
アクセスが未開示のパスワードで保護されていた場合、データ侵害について報
告義務はない」とされていた。Soghoianの意見を参考に、Pierce議員は現行法
にある弱点に対処できる法案を提案することとなった。同州上院議会での議論
の後、上下院とも満場一致で可決し、Mitch Daniels知事が3月25日に調印した。
したがって、今後企業が侵害通知は免れるのは、「盗まれたデバイスにあるデー
タが暗号化されており、かつ暗号キーが未侵害・非開示の場合、また、承認な
しに携帯電子デバイスを獲得してアクセスを得た人間に、そのキーが知られて
いない場合」にのみに限定されることになる。http://www.cnet.com/surveill
ance-state/8301-13739_1-9902569-46.html?tag=head

【編集者メモ】(Schultz)
インディアナ州で、もっとまともな侵害通知法が可決されることはあるのか、
大きな疑念があった。Soghoian氏とPierce議員を大いに賞賛する!
────────────────

◆税金滞納の徴税請負業者 データを保護(2008.3.26-27)

米税務行政機構(TIGTA:Tax Administration)の財務監査官は、税金の滞納者対
応を米国税庁(IRS)から請け負っている2つの民間徴税局について、納税者デー
タ保護策が素晴らしいと述べた。Pioneer Credit RecoveryとCBE Groupである。
システム内にファイルを保管してアクセス可能な従業員の範囲を制限していた
り、ワークステーションやリムーバブルメディアにファイルをコピーできない
よう設定していた。IRSは徴税業務を外注していたことで非難されていた。
http://www.treas.gov/tigta/auditreports/2008reports/200820078fr.html
http://www.fcw.com/online/news/152067-1.html

【編集者メモ】(Schultz)
このような成功談が聞けるのはよいことだ。財務情報や個人情報の保護におい
て実に稀であるが。
────────────────

◆Hannafordのアタッカー 全店舗のサーバにマルウェアを設置(2008.3.28)

Hannaford Bros.のデータ侵害について、さらなる詳細が明らかになっている。
Hannafordによれば、ニューイングランド州、ニューヨーク州、フロリダ州に
ある同社(メイン州がベース)の各店舗に、アタッカーによってマルウェアが設
置されたという。Hannaford総務会長はマサチューセッツ州へのレターで、マ
ルウェアが検知された際に全サーバを入れ替えたと報告していた。ほとんどの
データ窃盗犯は保存データに関わっているものの、この侵害事件では、決済承
認プロセスにおけるシステム間データ移行の最中にデータが盗まれているため、
通常のものとかけはなれた侵害事件と言える。
http://www.computerworld.com/action/article.do?command=printArticleBasic&articleId=9073138
http://www.theregister.co.uk/2008/03/28/massive_credit_card_breach_explained/print.html
http://www.boston.com/news/local/articles/2008/03/28/advanced_tactic_targeted_grocer/?page=full

【編集者メモ】(Pescatore)
このタイプのインシデントは、実はさほど珍しくない。侵害されたサーバは既
に長い間同じ状態で使用されていたのである。小売店舗や大学、企業で発生し
ているインシデントの多くで、長い間サーバが侵害され続けていた事実が判明
している。
────────────────

◆カナダ連邦警察の捜査使用コンピュータ マルウェアに感染(2008.3.29)

上級カムループス(カナダ・ブリティッシュコロンビア州)連邦検察官のレター
によれば、カナダ連邦警察(RCMP:Royal Canadian Mounted Police)が使用し
ていたコンピュータがマルウェアに感染していたという。そこには、Project
Eauという数百万ドル相当のケースに関する25万件の証拠物件が保存されてい
た。警察官のひとりが、そのマシンでインターネットに接続。ポルノ画像を閲
覧してチャットサイトを訪問した上、楽曲やビデオ画像をダウンロードしてい
た。他にもLimeWireやインターネットチャットプログラムなど、さまざまなソ
フトウェアをダウンロードしていたという。マシンは、1年半もの間インター
ネット接続されており、ゾンビネットワークの一部と化してスパム送信に使用
されていることをRCMPに発覚された直後、切断された。
http://www.canada.com/vancouversun/news/story.html?id=20ae6f79-876e-4bec-9a1f-e6b6ca111893

【編集者メモ】(Skoudis)
本件には、全捜査従事者全のための非常に重大な教訓が含まれている。電子メー
ルやWebサーフィンをするためではなく、職務を遂行に必要な分析タスク専用
の信頼できるマシンを使用すること。そのうえで分析業務を行うべし。
────────────────

◆研究:Microsoft パッチ管理でAppleの上を行く(2008.3.31)

スイス連邦工科大学のコンピュータ・エンジニアリングネットワーク研究所に
よると、Microsoftがパッチを打ち出すまでの時間が短くなっているという。
一方、Appleではその時間がだんだん長くなってきているようだ。全体的に、
Appleにはより多くの脆弱性があり、修正プログラムで対処するのにより長い
時間がかかっているほか、パッチが適用されていない欠陥に対するアタックの
数もMicrosoftより多い。
http://www.theregister.co.uk/2008/03/31/apple_security_response_pants/print.html
http://www.heise.de/english/newsticker/news/105717
http://www.informationweek.com/software/showArticle.jhtml?articleID=207000806&subSection=Operating+Systems

【編集者メモ1】(Schultz とPaller)
Microsoftには、脆弱性対処など、セキュリティ問題の処理において、年々改
善がなされているという功績がある。どのベンダーも完全ではないが、
Microsoftは、いろいろな面で他のソフトウェア産業が見習うべき非常に前向
きな手本を示している。
【編集者メモ2】(Skoudis)
私見だが、Appleは「このままの状態でもやっていける」からこのまま運営し
ているのだろうと思う。一方、Microsoftはそうはいかない。つまり、マルウェ
ア作成者やコンピュータのアタッカーは、Microsoft製品の市場シェアを踏ま
えて、より攻撃的になっている。Microsoftの方が、組織犯罪のうまみのある
ターゲットなのだ。とはいえ、Appleの市場シェアも少しずつ拡大しているた
め、同社は重要なセキュリティパッチのリリース方法を急速に改善する必要が
ある。

───────────────────────────────────
★無料 事業継続セミナー 開催 -- 2008.4.22.Tue@東京ミッドタウン ★
┃ Business Continuity Management Conference 
┃ 迫る国際標準化その2 -『サプライチェーン』 と 『事業継続』-
┃●Keynote【経済産業省の情報セキュリティ政策と事業継続計画の位置付け】
┃        経済産業省 商務情報政策局
┃        情報セキュリティ政策室 課長補佐 井土 和志 氏
┃●session>>大手各社が一堂に勢揃い!!驚愕の12セッション!!
┗事前登録実施中! http://www.idg.co.jp/click/location.cgi?expo_bcm14
───────────────────────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年3月28日 Vol.7 No.13)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成されたもので、組織のシステムを保護するために有益で
的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
Microsoft Office                1 (#2)
その他のMicrosoft製品             1
サーとパーティのWindowsアプリ         4 (#6)
Mac OS                    25 (#4)
Solaris                     1
Unix                      1
クロスプラットフォーム            24 (#3, #5)
Webアプリ・クロスサイトスクリプティング    16
Webアプリ・ SQLインジェクション        23
Webアプリ                   26
ネットワークデバイス              8
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

機密の政府サイトおよび商用サイトへの侵入に、悪意のあるWordおよびExcel
文書が利用されている。また、NovellのeDirectoryには、ユーザーデータの開
示、もしくはその先のアタックにつながる重大な脆弱性がある。Firefoxおよ
びThunderbird、また、その他のMozilla製品にも、今週、新たに重大な欠陥が
発見されている。
────────────────

1.危険度【重大】:Novell eDirectory LDAPのリクエスト処理にバッファオー
  バーフローの脆弱性

<影響のある製品>
Novell eDirectory 8.8.2までのバージョン

<詳細>
NovellのeDirectoryは、企業用LDAPディレクトリサーバである。しかし、LDAP
削除リクエストの処理に欠陥があり、細工されるとバッファオーバーフロー脆
弱性が引き起こされる。悪用が実現すると、脆弱なプロセス権限で任意のコー
ドが実行されるようになってしまう。LDAPディレクトリは、ユーザー情報を含
んでいる場合が多いため、さらなる悪用につながる可能性もあり、注意が必要
だ。この脆弱性の技術的詳細がいくつか公表されている。

<現状>
Novellはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-013/
Novellのセキュリティアドバイザリ
http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=3382120&sliceId=SAL_Public&dialogID=59352034&stateId=0%200%2059350122
LDAPについてのWikipediaの記事
http://en.wikipedia.org/wiki/LDAP
製品のホームページ
http://www.novell.com/products/edirectory/
SecurityFocus BID
http://www.securityfocus.com/bid/28434
────────────────

2.危険度【重大】:Microsoft Wordの文書処理に脆弱性

<影響のある製品>
Microsoft Word 2000
Microsoft Word 2002
Microsoft Word 2003
Microsoft Word 2007

<詳細>
Microsoft Jetデータベースエンジンは、データベースへのアクセスと機能を、
Microsoft Wordなどのさまざまなアプリケーションに提供するときに用いられ
る。バッファオーバーフローの脆弱性がこのデータベースエンジンにあり、細
工されたWord文書によって悪用されるおそれがある。この脆弱性を悪用すれば、
現在のユーザー権限で任意のコードを実行できるようになってしまう。
Microsoft Wordの最近のバージョンでは、文書はユーザーの操作なしに受信時
に開くことはない。報告によると、この脆弱性は盛んに悪用されている。Jet
データベースを使用している他のアプリケーションも脆弱かどうかは、今のと
ころ明らかでない。この脆弱性は、すでに公表されているMicrosoft Jetデー
タベースエンジンの脆弱性(この脆弱性に対しては、全技術的詳細と概念実証
コードが公表されている)に関連していると考えられる。実際にそうだった場
合、このアドバイザリで、同脆弱性に新たな悪用方法があることが示されたこ
とになる。

<現状>
Microsoftはこの問題を認めているものの、更新はリリースしていない。
Microsoft Windows Vista およびMicrosoft Windows Server 2003 Service
Pack上では脆弱ではない。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/950627.mspx
SANSのインターネットストームセンターのブログ記事
http://isc.sans.org/diary.html?storyid=4183
http://www.microsoft.com/technet/security/advisory/950627.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/26468
────────────────

3.危険度【重大】:Mozilla製品群に複数の脆弱性

<影響のある製品>
Mozilla Firefox 2.0.0.12までのバージョン
Mozilla SeaMonkey 1.1.8 までのバージョン
Mozilla Thunderbird 2.0.0.12 までのバージョン

<詳細>
Firefox Webブラウザ、インターネットスイートのSeaMonkey 、メールクライ
アントのThunderbirdなど、Mozilla Foundationのさまざまな製品に複数の脆
弱性がある。これらは、複数のインプット検証の脆弱性から起因している。結
果として、現在のユーザー権限で任意のコードのリモート実行、クロスサイト
スクリプティング、DoSなどに至るおそれがある。これらの脆弱性の全技術的
詳細は、ソースコードを分析すれば入手できる。Thunderbirdについては、デ
フォルト設定においてリモートのコード実行脆弱性に脆弱ではない。

<現状>
Mozillaはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2008/mfsa2008-14.html
http://www.mozilla.org/security/announce/2008/mfsa2008-15.html
ベンダーのホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/28448
────────────────

4.危険度【高】:Apple ApertureおよびiLifeの DNG処理にバッファオーバーフ
  ローの脆弱性

<影響のある製品>
Apple Aperture 2.xまでのバージョン
Apple iLife iPhoto 7.xまでのバージョン

<詳細>
DNG(またの名を"Digital Negative")は、Adobeによって作成されるオープン画
像形式である。Apple's ApertureとiPhotoのアプリケーションは、特定の不正
形式のDNGファイルを正しく処理できない。そのため、DNGファイルが細工され
ると、これらのアプリケーションにスタックベースのバッファオーバーフロー
が生じる。悪用が実現すれば、現在のユーザー権限で任意のコードを実行され
てしまう。この脆弱性を悪用するには、ユーザーがマニュアルで悪意あるファ
イルを脆弱なアプリケーションにロードするという、ユーザーの操作が必要で
ある可能性もある。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Apple のセキュリティアドバイザリ
http://support.apple.com/kb/HT1232
DNG形式についてのWikipediaの記事
http://en.wikipedia.org/wiki/Digital_Negative_%28file_format%29
SecurityFocus BID
http://www.securityfocus.com/bid/28363
────────────────

5.危険度【高】:SurgeMailのLSUBコマンド処理にバッファオーバーフローの脆
  弱性

<影響のある製品>
SurgeMail 38k4-4までの脆弱性

<詳細>
SurgeMailは、企業用のマルチプラットフォームメールスイートとして広範に
使用されている。しかし、IMAPコンポーネントは'LSUB'コマンドを正しく処理
することができない。LSUBコマンドが過剰に長い場合、スタックベースのバッ
ファオーバーフローが引き起こされる。このバッファオーバーフローが悪用さ
れると、脆弱なプロセス権限で任意のコードを実行できるようになってしまう。
この脆弱性の概念実証コードが公表されている。アタッカーがこの脆弱性を悪
用するには、認証が必要である。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
INFIGOのセキュリティアドバイザリ(概念実証コードも含む)
http://www.infigo.hr/en/in_focus/advisories/INFIGO-2008-03-07
製品のホームページ
http://www.netwinsite.com/surgemail/
SecurityFocus BID
http://www.securityfocus.com/bid/28377
────────────────

6.危険度【高】:Windows版Apple Safariに複数の脆弱性

<影響のある製品>
Windows版Apple Safari 3.1 までのバージョン

<詳細>
Safariは、Apple Mac OS XもしくはMicrosoft Windows用のAppleのwebブラウ
ザである。Windows版のインプット処理に複数の脆弱性がある。ダウンロード
ファイルが細工されると、バッファオーバーフローの脆弱性が引き起こされ、
現在のユーザー権限で任意のコードを実行できるようになってしまう。しかし、
今のところ確証はない。また、サイトスプーフィングの脆弱性もあり、アドレ
スバーのコンテンツになりすますことができる。両脆弱性の概念実証コードが
公表されている。SafariのMac OS Xバージョンは、今のところ脆弱ではないと
考えられている。これらの脆弱性が先週@RISKに掲載されたものに関連してい
るかどうかは定かでない。

<現状>
Appleはこの問題を認めていないため、更新もリリースしていない。

<参考>
Juan Pablo Lopez Yacubianの掲示(概念実証コードを含む)
http://archives.neohapsis.com/archives/bugtraq/2008-03/0332.html
http://archives.neohapsis.com/archives/bugtraq/2008-03/0324.html
Secunia のセキュリティアドバイザリ
http://secunia.com/advisories/29483/
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=7&i=12#widely3
製品のホームページ
http://www.apple.com/safari/download/
SecurityFocus BIDs
http://www.securityfocus.com/bid/28404
http://www.securityfocus.com/bid/28405

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。