NRI Secure SANS NewsBites 日本版

Vol.3 No.15 2008年4月22日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.15 2008年4月22日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■■SANS NewsBites Vol.10 No.29-30
   (原版:2008年4月12日、16日配信)

◆EUデータ保護作業部会 検索エンジンのデータ保護についての研究レポート
  を発表(2008.4.4-7)

欧州連合(EU)第29項データ保護作業部会(Data Protection Working Party)は、
検索エンジンにおけるデータ保護やプライバシーに関するレポートを発表した。
レポートには、
「検索エンジンは、サービス提供を継続するうえでその情報が厳密に必要であ
る場合でないかぎり、ユーザーの検索情報を6ヶ月以上保持してはならない」
「IPアドレスは個人情報として扱う」
「ユーザーには、必要があれば自身の個人情報や検索履歴にアクセスし、是正
する権利を付与する」
といった推奨策が記されている。
検索情報を18ヶ月保持しているGoogleは、同社のPublic Policyブログにて、
データの保持は詐欺行為の阻止やサービスの最適化のために必要であると主張
している。
http://arstechnica.com/news.ars/post/20080407-eu-issues-tough-data-protection-finding.html
http://www.cbpweb.nl/downloads_int/Opinie WP29 zoekmachines.pdf
http://www.heise.de/english/newsticker/news/106245
http://technology.timesonline.co.uk/tol/news/tech_and_web/article3705743.ece
http://euobserver.com/9/25940

【編集者メモ1】(Skoudis)
「インターネットでは、誰も僕が犬であることを知らない」と犬が言った昔の
アニメを覚えているか?「シラミ」「犬」「食べ物」、その他の関連アイテム
について当人が検索をかけていれば、実のところ、検索エンジン企業にはその
正体は犬であるとばれているだろう。過去に、情報技術によってプライバシー
は向上するという考えを持った人もいた。しかしながら、これまでの20年間で、
企業(検索エンジンのみならずあらゆる業種の)の多くは、我々に関する情報
を蓄えてきた。そして、情報は安全性の低いマシンに保管されていることも多
い。容赦ない侵害(過去5年間のNewsBites各号をご覧になれば一目瞭然)が続
き、この蓄積データは犯罪関連組織に散らばっているだろう。プライバシーな
どますますなくなっているように思う。
【編集者メモ2】(Northcutt)
NewsBitesを長い間購読されている読者の方なら、クライアントのソースIPア
ドレスをPIIと考えるべきかどうかずっと悩んできたことをご存知だろう。な
ぜなら、結局のところIPアドレスは暗号化されずにパケット内に表示されてい
るかからだ。人間について収集された情報の圧倒的な多さを考えると、今まさ
にこの推奨策を施行すべき時だ。
────────────────

◆ICO 「Phormはオプトインにするべき」(2008.4.9)

英国情報委員事務局(ICO: Information Commissioner's Office)は、Phormの
広告ターゲットシステムは、オプトインでなくてはならないとしている。この
ICOの発表前、Phormはオプトアウトをベースに問題のシステムを運営すると述
べていた。ICOは、裁判中および導入期間中はPhormを細かく監視する見込みで
ある。ICOによれば、Phormは英国および欧州データ保護法に違反していないと
いう。しかし、傍受法違反については、内務省が定める管轄であるため、コメ
ントを控えている。
http://news.bbc.co.uk/2/hi/technology/7339263.stm
────────────────

◆米国の機密ネットワークに対するターゲッテッドアタック 増加(2008.4.10)

BusinessWeek誌が、米国政府や民間産業システムに対するターゲッテッドアタッ
クが増加していることについて調査している。この問題は、ブッシュ大統領が
1月にサイバーイニシアチブを発足するに至ったほど深刻なものである。また、
アタックのソースを特定し、将来アタックからシステムを保護する目的のビザ
ンチンフットホールドと称される機密活動も発動したようだ。国家情報長官事
務局(Office of the National Intelligence Director)は、BusinessWeek誌の
質問に対し、「コンピュータによる侵入が、重大なインフラから国防産業ベー
スまで、広範囲の政府や企業ネットワークにおいて実現してしまっている状態
だ」と書面で返答している。中国政府の広報官は、アタックの発信源が同国内
であることを示す証拠が多数あるにもかかわらず、中国から発せられたという
疑いを否定している。この記事では、Booz-Allen社の役員に対し、Poison
Ivy(キーストロークをロギングできるリモート管理ツール)というマルウェア
が含まれたメールが送信されたことについても語られている。また、メールに
付随するマルウェアの中には、セキュリティ対策を無効にできるものもあると
いう。
http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm
BusinessWeek誌の質問に対する中国大使館の返答:
http://www.businessweek.com/magazine/content/08_16/b4080032243361.htm

【編集者メモ】(Schultz)
実に深刻な脅威である。従来のセキュリティ措置では対処できないほどだ。まっ
たく新しい戦略を練る必要があるだろう。
────────────────

◆欧州議会 インターネットからのファイル共有者排除にNO (2008.4.10-11)

欧州議会の議員ら(MEP:Members of European Parliament)は、違法なファイ
ル共有の常習者からインターネット接続を取り上げるプランを否決した。そし
て、「市民の自由と人権を考えてインターネット閲覧を禁止する」という記述
のある欧州文化産業に関する報告書への修正が僅差で承認された。議員の中に
は、商業目的のインターネットの著作権侵害行為に懲罰を与えることは適切だ
が、個人のインターネットアクセスを奪うという措置は不適切だという意見の
者もいる。スリーストライクアウトルールのアプローチを推進したい国際レコー
ド産業連盟 (International Federation of the Phonographic Industry)は、
この修正案を「不当な原案」と見なしている。この報告書自体に法的拘束力は
ない。
http://euobserver.com/9/25959
http://news.bbc.co.uk/2/hi/technology/7342135.stm

【編集者メモ】(Northcutt)
彼らの想像力は褒めてもよいが、いったいどうやってそのような法を施行する
つもりなのか? しばらく様子を見ていればわかるだろう。フランスはこの案
を試行するようだ。
http://news.bbc.co.uk/2/hi/technology/7110024.stm

─[PR]────────────────────────────────
エンドポイント・セキュリティ強化セミナー
シングル・エージェントによる包括的な保護と簡素化された管理の実現
2008年4月23日(水) 大阪で開催
   主催:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
詳細・お申込み http://www.checkpoint.co.jp/seminar
────────────────────────────────[PR]─

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年4月11日 Vol.7 No.15)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成されたもので、組織のシステムを保護するために有益で
的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows     4 (#1,#7)
その他のMicrosoft製品             7 (#2, #5, #6)
サーとパーティのWindowsアプリ         16
Linux                     3
Solaris                     1
Unix                      2
Novell                     1
クロスプラットフォーム            11(#3,#4,#8)
Webアプリ・クロスサイトスクリプティング    19
Webアプリ・ SQLインジェクション        28
Webアプリ                   25
ネットワークデバイス            
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週の@RISKでは、Microsoft WindowsとInternet Explorer、Adobe Flashの問
題が際立つ。また、Symantec Mail Security、Lotus Notes、activePDFなど多
くのアプリケーションで使用されているライブラリ、Autonomy KeyView SDKに
も重大な脆弱性が見つかった。
────────────────

1.危険度【重大】:Microsoft Windows GDIに複数の脆弱性(MS08-021)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
GDIは、グラフィックデバイスインタフェース(アプリケーションに代わってグ
ラフィック関連の処理を行うMicrosoft Windows OSの一部)である。しかし、
さまざまなメソッドに複数の脆弱性がある。これらのメソッドには、さまざま
な方法でアクセス可能だが、Windows Metafile(WMF)、Enhanced Metafile(EMF)
のファイルを解析する方法が原因で、リモートのアタックに脆弱になっている。
これらのファイルは、グラフィックファイル形式として一般的に使われている
ものである。WMFやEMFのファイルはGDI脆弱性のひとつを引き起こす。脆弱性
のいずれかの悪用が実現すると、現在のユーザー権限で任意のコードを実行で
きるようになってしまう。設定によっては、WMFやEMFのファイルは受信時にユー
ザーへプロンプトすることなく開いてしまうおそれがある。脆弱性の技術的詳
細がいくつか公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-021.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-020/
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=682
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=681
Microsoft Windows GDIのホームページ
http://msdn2.microsoft.com/en-us/library/ms536795.aspx
画像形式に関するMicrosoftナレッジベースの記事
http://support.microsoft.com/default.aspx?scid=kb;en-us;320314
SecurityFocus BIDs
http://www.securityfocus.com/bid/28571
http://www.securityfocus.com/bid/28570
────────────────

2.危険度【重大】:Microsoft Internet Explorerのスクリプト・デコードに脆
  弱性(MS08-022)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

<詳細>
Microsoft Internet Explorerは、WebサイトがWebページに組み込まれたスク
リプトをエンコードできるようにする。スクリプトのコピーや改ざんを阻止で
きるようになっているのだ。しかし、デコード処理に欠陥があり、リモートコー
ド実行脆弱性が生じる可能性がある。Webページが細工されるとこの欠陥が引
き起こされ、現在のユーザー権限で任意のコードを実行できるようになってし
まう。これらのスクリプトは、悪意あるWebページを閲覧すると自動的に実行
されるだけでなく、ユーザー側からわからないので注意が必要だ。この脆弱性
は、Immunity Security早期更新プログラムのメンバー向けに公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。Microsoft
Internet Explorerのバージョン7を使用しているシステムは脆弱ではない。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms08-022.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/28551
────────────────

3.危険度【重大】:Adobe Flash Playerに複数の脆弱性

<影響のある製品>
Adobe Flash Player 9.0.124.0までのバージョン

<詳細>
Adobe Flashは、webブラウザ用の高度なコンテンツシステムとして広範囲で使
用されている。しかし、コンテンツの表示に使用されるPlayerコンポーネント
に複数の脆弱性がある。Flashファイルが細工されると、脆弱性のひとつが引
き起こされ、現在のユーザー権限で任意のコードが実行される脆弱性から、ク
ロスサイトスクリプティング、その他の脆弱性にまでつながる。Flashコンテ
ンツは、通常ユーザーにプロンプトすることなしに表示されない。脆弱性の技
術的詳細がいくつか公表されている。Adobe Flash Playerは、Microsoft
Windows、Apple Mac OS、Unixの多く、Unixに類似したシステム、Linux OSで
デフォルトとして販売されているので注意が必要だ。

<現状>
Adobeはこの問題を認めており、更新をリリースしている。

<参考>
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/bulletins/apsb08-11.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-08-021/
IBM Internet Security Systemsのアドバイザリ
http://www.iss.net/threats/289.html
Adobe Flashのホームページ
http://www.adobe.com/products/flash/
SecurityFocus BIDs
http://www.securityfocus.com/bid/28696
http://www.securityfocus.com/bid/28695
http://www.securityfocus.com/bid/28697
http://www.securityfocus.com/bid/28694
────────────────

4.危険度【重大】:Autonomy KeyView SDKに複数の脆弱性

<影響のある製品>
Autonomy KeyView SDK 10.x
Verity KeyView SDK 9.xまでのバージョン
これらのAPIを使った、以下を含むさまざまなアプリケーション:
IBM Lotus Notes 8.x までのバージョン
activePDF DocConverter
Symantec Mail Security

<詳細>
AutonomyおよびVerityのKeyView Software Developer Kit(SDK)は、さまざま
なタイプのメディアを自動的に解析し、表示するために用いられる。しかし、
これらSDKのさまざまなメディアタイプの処理には複数のバッファオーバーフ
ローがある。HTML、画像、Folio、電子メールファイルが細工されると、これ
らのバッファオーバーフローのひとつが引き起こされ、脆弱なプロセス権限で
任意のコードが実行されてしまう。IBM Lotus Notes、activePDF
DocConverter、Symantec Mail Securityなど、多くのアプリケーションが、影
響のあるSDKを使用している。これら脆弱性のいくつかに技術詳細が公表され
ている。脆弱な製品の中には、悪用にあたってユーザーの操作が必要ないもの
もある。メールが脆弱なサーバを通過しただけでも、悪用するには十分だ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/28209/
IBM のセキュリティアドバイザリ
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21298453
製品のホームページ
http://www.autonomy.com/content/Products/KeyView/index.en.html
SecurityFocus BID
http://www.securityfocus.com/bid/28454
────────────────

5.危険度【高】:Microsoft Internet Explorerのデータストリーム処理に脆弱
  性(MS08-024)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
Microsoft Internet Explorerのデータストリーム処理には欠陥がある。この
脆弱性を悪用するようにwebページが細工されるとこの欠陥を引き起こし、現
在のユーザー権限で任意のコードを実行できるようになってしまう。悪用メソッ
ドは、この脆弱性を引き起こす前にユーザーにプロンプトしないと考えられて
いる。この脆弱性に関する技術的詳細はほとんど公表されていない。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-024.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/28552
────────────────

6.危険度【高】:Microsoft Projectにリモートのコード実行脆弱性(MS08-18)

<影響のある製品>
Microsoft Project 2000
Microsoft Project 2002
Microsoft Project 2003

<詳細>
Microsoft Projectは、プロジェクト管理アプリケーションとして広範囲で使
用されている。しかし、プロジェクトファイル(Project File)処理に欠陥があ
る。プロジェクトファイルが細工されるとこの欠陥を引き起こし、メモリ崩壊
脆弱性に発展してしまう。この脆弱性の悪用が実現すると、現在のユーザー権
限で任意のコードを実行できるようになってしまう可能性があり、Microsoft
Projectの最近のバージョンでは、プロジェクトファイルはデフォルトでユー
ザーのプロンプトなしに開かないようになっている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS08-018.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/28607
────────────────

7.危険度【高】:Microsoftの'hxvz.dll' ActiveXコントロールにメモリ崩壊脆
  弱性(MS08-023)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
Microsoft Windowsには、'hxvz.dll'というActive Xコントロールがある。し
かし、このコントロールがMicrosoft Internet Explorerによってインスタン
ス化されると、メモリ崩壊脆弱性が生じる。悪意あるページがこのコントロー
ルをインスタンス化するとこの脆弱性を引き起こし、現在のユーザー権限で任
意のコードを実行できるようになってしまう。この更新により、脆弱性を含ん
でいるサードパーティのActiveXコントロールが、いくつか無効になる。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。
Microsoftの"kill bit"機能を"314111b8-a502-11d2-bbca-00c04f8ec294""31
4111c6-a502-11d2-bbca-00c04f8ec294"に設定して問題のコントロールを無効
にすれば、影響を軽減できる。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-023.mspx
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=680
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/28606
────────────────

8.危険度【高】:TIBCO Enterprise Message ServerとRendezvousに複数の脆弱
  性

<影響のある製品>
TIBCO Enterprise Message Service 4.xまでのバージョン
TIBCO iProcess Suite

<詳細>
TIBCO Enterprise Message Serviceは、企業用アプリケーション間メッセージ
引渡しサービスであり、TIBCO Rendezvousは企業用プロセス統括システムだ。
これら製品のさまざまなメッセージ処理に複数の脆弱性がある。これらサービ
スに送信された、もしくは同サービスを介したメッセージが細工されると、脆
弱性のいずれかが引き起こされ、脆弱なプロセス権限で任意のコードを実行で
きるようになってしまうおそれがある。アプリケーションの実装の中には、
SYSTEMもしくはルート権限で任意のコードを実行されてしまうものもある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
TIBCOのセキュリティアドバイザリ
ttp://www.tibco.com/resources/mk/ems_security_advisory_20080409.txt
http://www.tibco.com/resources/mk/rendezvous_security_advisory_20080409.txt
ベンダーのホームページ
http://www.tibco.com/
製品のホームページ
http://www.tibco.com/software/messaging/enterprise_messaging_service/default.jsp
http://www.tibco.com/software/messaging/rendezvous/default.jsp
SecurityFocus BID
http://www.securityfocus.com/bid/28717

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。