NRI Secure SANS NewsBites 日本版

Vol.3 No.16 2008年4月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.16 2008年4月30日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■はじめに(Alan Paller:SANS Director of Research)

ワイヤレスの脅威と対策:
徹底的なワイヤレス脆弱性およびエクスプロイト(WVE: Wireless
Vulnerabilities and Exploites)の無料コースを、私の知るワイヤレスセキュ
リティ講師の中で最高であるJosh Wrightがまとめた。WiFi、WiMax、
Bluetoothなどをカバーしており、ベンダー製品に適用されつつある内容だ。
Joshはまた、Bluetooth搭載携帯電話のハッキングについて、ぞっとするよう
なYouTubeの動画を作成している。
http://youtube.com/watch?v=1c-jzYAH2gw
彼による、侵入テストおよびセキュリティワイヤレスネットワークについての、
他に類をみないコースは、以下の機会に受講できる。
SANS @Home(5/1-7/24):
http://www.sans.org/athome/details.php?nid=10714
サンディエゴ(5/11-16):
http://www.sans.org/securitywest08/description.php?tid=1637
ブリュッセル(6/16-21):
http://www.sans.org/securebrussels08/description.php?tid=1637
ワシントンDC(7/24-29):
http://www.sans.org/sansfire08/description.php?tid=1637
ボストン(8/11-16):
http://www.sans.org/boston08/description.php?tid=1637

米国にお住まいの方で、Ed Skoudisによる類まれなる新侵入テストおよび倫理
ハッキングコースを受講する機会を4回とも逃してしまった方(2週間で完売し
たため、無理も無いが)のために、アムステルダムで6月16日~21日開催され
るSANSヨーロッパで開講する。この夏、ご家族でヨーロッパを旅する素晴らし
い口実にもなろう。侵入検知、ハッカーエクスプロイト、セキュリティエッセ
ンシャル、ファイヤウォール、境界保護、監査、侵入テストワイヤレス、
Windowsの安全化、その他の人気SANSコースは、アムステルダムだけでなく、
ブリュッセルやロンドンでも開催される。
詳細:http://www.sans.org/SecureEurope08

米国内でのこうした素晴らしい侵入テストコース(または、アプリケーション
セキュリティ侵入テストコース)は、6月初旬にラスベガスで開催されるサミッ
トか、7月下旬にワシントンで開催されるSANSFIREで受講可能だ。また、その
他の素晴らしいSANSコースも同時開講している。
侵入テスト&ハッキングサミット(ラスベガス:5/31-6/9)
http://www.sans.org/pentesting08_summit
Webアプリケーションセキュリティサミット(ラスベガス:5/31-6/9)
http://www.sans.org/appsec08_summit/
SANSFIRE(ワイントンDC:7/22-31)
http://www.sans.org/sansfire08
────────────────

■■SANS NewsBites Vol.10 No.31-32
   (原版:2008年4月19日、23日配信)

◆PayPal 安全でないブラウザを禁止する見込み(2008.4.17)

PayPalは、アンチフィッシング技術のないブラウザでユーザーが決済するのを
阻止する仕組みを導入する見込み。Webベースの決済企業PayPalは、安全でな
いブラウザで決済を行う行為を、シートベルトのない車を販売することに例え
て表現した。同社は現在、ユーザーに対し、「あなたは安全でないブラウザを
使用しています」と警告しているものの、サイトへのアクセスは許可している。
今回の計画が進んでいけば、安全でないブラウザを使用しているユーザーはア
クセスを許可されなくなる。
http://www.eweek.com/c/a/Security/PayPal-Plans-to-Ban-Unsafe-Browsers/

【編集者メモ】(Pescatore)
IE7、FireFoxの最新バージョンなどには、アンチフィッシング技術が付加され
ている。したがって、PCユーザーにとってこの計画は大した問題ではない。し
かし、モバイル機器の多くでPayPalの使用が一切できないということになる。
となると、PayPalが後々弱腰になることも考えられる。PayPalは、ユーザーに
対して、再利用可能なパスワードの不使用を働きかけるような取り組みに注力
した方がよいだろう。
────────────────

◆ボットネットの無線傍受ケースで男性有罪(2008.4.16)

John Schieferは、保護されたコンピュータにアクセスし、詐欺、違法の電子
通信傍受、有線通信不正行為、銀行詐欺を行ったとして有罪を認めた。
Schieferは、侵入したコンピュータを使用してボットネットを作成し、それを
使用して他の脆弱なシステムを嗅ぎまわっていた。スパイボット・マルウェア
を使用して、アカウントのユーザー名、パスワードなどの機密情報を獲得し、
それを利用して資金を盗みだしていたのである。このケースは、ボットネット
関連の通信傍受で有罪になった初めてのケースだ。また、彼は盗んだ情報を、
詐欺を行う他の人間に提供していたようだ。判決は2008年8月20日に言い渡さ
れる予定。最高で懲役60年および175万ドルの罰金に科せられる可能性がある。
http://www.cybercrime.gov/schieferPlea.pdf

【編集者メモ】(Schultz)
裁判官がSchieferの卑劣な犯罪行為に見合う判決を下すことを祈ろう。
────────────────

◆オーストラリアの法案 雇用主が従業員の電子通信を傍受する行為を一部許
  可(2008.4.14)

オーストラリアの法案では、本人の許可なしに従業員のメールやインターネッ
ト通信を傍受できる権限を雇用主に与えている。この権限は、サイバーアタッ
クから同国の重大なインフラを保護するための法の一部である。同法によって
電気通信(傍受)法が修正されることとなる。この権限は、重大なインフラの要
素を操作する雇用主にのみ適用される見込みだ。現在、この権限は、セキュリ
ティエージェンシーのみにしか与えられていない。オーストラリアの検事総長
Robert McClellandは、大規模なサイバーアタックが起きれば、物理的なアタッ
クで生じる経済的ダメージよりも大幅なダメージが生じると告げられたという。
市民の権利グループは権限拡大提案に対し、濫用のおそれを懸念して反対して
いる。
http://www.smh.com.au/news/technology/bosses-power-to-check-email/2008/04/13/1208024990775.html?page=fullpage#contentSwap1

【編集者メモ】(Schultz)
雇用主が、従業員のメールやその他インターネット活動を同意なしに監視でき
るようにするこの行為は、米国ではすでに前例となっている。この法案で困惑
するのは、雇用主が従業員に対し、それらの活動に対する予備警告を行うこと
や、企業所有のコンピュータシステム上ではプライバシーがないということを、
従業員に認知させるよう義務付けていない点である。
────────────────

◆最新の大規模捕鯨アタック 米国地方裁判所の召喚令状を使用
  (4.16-17,2008)

今週、米国企業の上級役員をターゲットとするスピアフィッシングアタックが
浮上している。役員の氏名やその他の具体的な情報を含むメールが届き、一見
するとサンディエゴの米国地方裁判所から発行された召喚状のように見えるも
のだ。記載されていたリンクは召喚状のコピーに繋がっているが、実際にはそ
こでコンピュータにマルウェアをインストールしてしまう。そのマルウェアに
は、キーストロークのログを取得したり、獲得情報をアタッカーに送信したり
する機能がある。また、他のマルウェアでは、犠牲者のコンピュータのリモー
トコントロールを奪えるようになってしまう。企業の大物を狙うフィッシング
アタックは、「捕鯨」アタック(Whaling Attack)と称されている。
http://www.nytimes.com/2008/04/16/technology/16whale.html?_r=1&ei=5088&en=6440ba388ff2ce84&ex=1366084800&oref=slogin&partner=rssnyt&emc=rss&pagewanted=print
http://www.theregister.co.uk/2008/04/16/whaling_expedition_continues/print.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9078398&source=rss_topic17

【編集者メモ】(Honan)
「捕鯨」アタックのますますの横行ぶりを踏まえると、この脅威について、組
織の上級管理職に知らせる必要があるだろう。オンラインビジネスネットワー
クで彼らのプロフィールをレビューしたり、氏名をグーグルで検索したりする
のも、その個人情報がどれだけ漏えいしているかを浮き彫りにするひとつの方
法だ。こういった個人情報は、彼らに不利な形で悪用されかねないのだ。
────────────────

◆ニュージャージー州最高裁判所 「オンラインプライバシーへの適度な期待」
  判決を維持(2008.4.21)

ニュージャージー州最高裁判所は、「インターネットサービスプロバイダ(ISP)
は、正式な召喚状なしに顧客の個人情報を公表してはならない」という判決を
下した。この決定は満場一致で行われ、雇用主のコンピュータシステムにアク
セスした疑いのある女性の身元情報を捜査する警察について下級裁判所が下し
た決定を維持する形となった。問題の警察は、地方裁判所の召喚状は持ってい
たものの、容疑は正式起訴犯罪であったため、裁判所は大陪審召喚状を必要と
した。これは、「インターネットユーザーにプライバシーの適度の期待を認め
る、国家で初めての判決」となった。
http://www.phillyburbs.com/pb-dyn/news/104-04212008-1522473.html
http://blogs.usatoday.com/ondeadline/2008/04/nj-high-court-e.html
http://www.nytimes.com/aponline/technology/AP-Internet-User-Privacy-Ruling.html?ei=5088&en=17282b829d347c4b&ex=1366516800&partner=rssnyt&emc=rss&pagewanted=print

【編集者メモ】(Schultz)
プライバシー擁護派にとって非常に重要な勝利である、しかし、連邦最高裁判
所にまで至った場合、この判決が維持されることは期待できない。
────────────────

◆提案された法案 電子記録保持基準に対処(2008.4.17)

米下院議会の法案では、米国立公文書館にホワイトハウスのメールやその他の
電子通信の取得や管理、読み出し、保管に関して基準を設ける方向である。ま
た、ホワイトハウスのシステムが設定基準を満たしているか否か証明すること
も求められている。この法案は、ブッシュ政権のホワイトハウスのメールメッ
セージ数百万件が行方不明であることが明らかになった捜査を受けたものだ。
さらに、同法案は国立公文書館に対し、「連邦政府局に電子形式の電子通信の
維持を義務付ける」規定を設けるよう求めている。現在の政府の電子記録保持
ポリシーを声高に非難していた監視団体は、この法案を「無気力な」法案と呼
んでいる。
http://www.washingtonpost.com/wp-dyn/content/article/2008/04/16/AR2008041602871_pf.html
http://www.eweek.com/c/a/Government/Fed-Record-Keeping-Called-Deplorable/

【編集者メモ】(Liston)
さて、馬小屋の戸を閉めようか! …あれ? 馬はどこへ行った?
────────────────

◆PayPal ブラウザ・ブロックについての姿勢を明らかに(2008.4.21)

PayPalは、Safariブラウザを運用している顧客をサービスからブロックするつ
もりはないと述べている。PayPalの情報セキュリティ最高責任者Michael
Barrettが先週リリースした研究レポートでは、顧客がフィッシングサイトを
ブロック、もしくはEV SSL証明書(Extended Validation SSL Certificate)
をサポートする技術のないブラウザを使用している場合は、サイトへのログイ
ンをブロックする計画である旨、示されている。PayPalは現在、時代遅れ、も
しくはすでにサポートされていないOS、例えばWindows 98上のIE 4についての
みブロックを行う姿勢を維持している。しかしながら、このブラウザ・ブロッ
ク戦略の施行時期については語っていない。
Internet Storm Center:
http://isc.sans.org/diary.html?storyid=4309
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9079138&taxonomyId=17&intsrc=kc_top
http://www.pcworld.com/businesscenter/article/144880/paypal_denies_plan_to_block_safari.html

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年4月18日 Vol.7 No.16)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成されたもので、組織のシステムを保護するために有益で
的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          6 (#3, #5)
Linux                      2
Solaris                     4
Unix                       3 (#6)
クロスプラットフォーム             25 (#1, #2, #4)
Webアプリ ? クロスサイトスクリプティング    7
Web アプリ- SQLインジェクション         28
Webアプリ                   25
ネットワークデバイス              2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Apple Safariユーザーは、最新の更新で複数の重大な脆弱性が修正されたので、
ブラウザに最新の更新が適用されているか、確かめるべきである。企業用バッ
クアップとしてEMCのDiskXtenderに依存している企業は、即座にパッチを適用
すること。アタッカーは、今週報告されたDiskXtenderにある脆弱性のような
バックアップ製品の脆弱性に群がってきている。実際、バックアップ製品はユー
ザーが更新を頻繁に行わない製品のひとつである。「壊れていないなら不用意
に触るな」という理念に基づいているようだが、@RISKはバックアップ製品に
は一連のセキュリティ欠陥が絶え間なく発生していることを今まで何度も述べ
てきている。ソフトウェア設定管理プランにバックアップソフトウェアのパッ
チも含まれているかどうか、確かめるとよいだろう。ClamAVユーザーや
Borland InterBaseユーザーには、修正すべき重大な欠陥がある。
────────────────

1.危険度【重大】:Apple Safariに複数の脆弱性

<影響のある製品>
Apple Safari 3.1.1までのバージョン

<詳細>
Safariは、Mac OS XとMicrosoft Windows OS用のAppleのWebブラウザである。
これにはリモートコード実行からクロスサイトスクリプティング、アドレスバー
・スプーフィングまでさまざまな深刻度の脆弱性がある。正規表現およびダウ
ンロードファイルの処理に欠陥があるため、現在のユーザー権限で任意のコー
ド実行に繋がってしまうおそれがある。脆弱性のいくつかはSafariのオープン
ソース部分にあるため、全技術的詳細は、ソースコードを分析すれば獲得でき
る。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayのイニシアチブアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-022/
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT1467
Apple Safariのホームページ
http://www.apple.com/safari/download/
SecurityFocus BID
http://www.securityfocus.com/bid/28815
────────────────

2.危険度【重大】:ClamAVに複数の脆弱性

<影響のある製品>
ClamAV 0.93までのバージョン

<詳細>
ClamAVは、マルチプラットフォーム用のオープンソースアンチウィルスソリュー
ションとして、広範に使用されている。さまざまなファイル形式の処理に欠陥
があるため、バッファオーバーフローやメモリ崩壊脆弱性に繋がってしまうお
それがある。ソフトウェアが分析するファイルが細工されると、脆弱性のひと
つが引き起こされ、脆弱なプロセス権限で任意のコードを実行できるようになっ
てしまう。ClamAVをメール分析エンジンとして使用しているシステムにおいて
は、メールがサーバを通過するだけで、脆弱性のいずれかを悪用するには十分
である。ユーザーの操作も必要ない。これら脆弱性の全技術的詳細は、ソース
コードを分析すれば入手できる。また、概念実証コードもいくつか公表されて
いる。

<現状>
ClamAVはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=687
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=686
ClamAVバグのレポート
https://www.clamav.net/bugzilla/show_bug.cgi?id=877
https://www.clamav.net/bugzilla/show_bug.cgi?id=897
https://www.clamav.net/bugzilla/show_bug.cgi?id=876
https://www.clamav.net/bugzilla/show_bug.cgi?id=878
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2008-11/advisory/
ClamAVホームページ
http://www.clamav.net
SecurityFocus BID
まだリリースされておらず
────────────────

3.危険度【重大】:EMC DiskXtenderに複数の脆弱性

<影響のある製品>
EMC DiskXtender 6.20.060までのバージョン

<詳細>
EMC DiskXtenderは、企業用バックアップおよびデータ移行アプリケーション
であり、Remote Procedure Call(RPC)インタフェースのいくつかが外部に晒さ
れている。これらインタフェースにエクスポートされる手順のいくつかに、バッ
ファオーバーフロー脆弱性がある。これら脆弱性が悪用されると、アタッカー
は脆弱なプロセス(SYSTEMの場合が多い)権限で任意のコードを実行できるよう
になってしまう。通常、これらのインタフェースには認証が必要だが、
DiskXtenderのコンポーネントの中には、ハードコードされた認証信用証明書
があるコンポーネントもある。そのため、アタッカーがこれらのインタフェー
スに接続できてしまう。バッファオーバーフロー脆弱性を悪用せずに、ただハー
ドコードされた信用証明書を使って脆弱なRPCインタフェースに接続するだけ
で、任意のアプリケーションコマンドを実行できるようになってしまうおそれ
がある。

<現状>
EMCはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=684
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=683
製品のホームページ
http://software.emc.com/products/product_family/diskxtender_family.htm
Microsoft RPCについてのWikipeidaの記事
http://en.wikipedia.org/wiki/MSRPC
SecurityFocus BID
http://www.securityfocus.com/bid/28727
────────────────

4.危険度【重大】:Borland InterBaseにバッファオーバーフロー脆弱性

<影響のある製品>
Borland InterBase 2007 Service Pack 2

<詳細>
InterBaseは、Borlandのデータベースサーバとして広範に使用されている。し
かし、ユーザーリクエスト処理にバッファオーバーフロー脆弱性がある。ユー
ザーからのリクエストが細工されると、バッファオーバーフローが引き起こさ
れ、脆弱なプロセス権限で任意のコードを実行できるようになってしまう。こ
の脆弱性の全実証技術的詳細や概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。TCP3050ポート
へのアクセスをネットワーク境界でブロックすれば、影響を軽減できる。

<参考>
概念実証コード
http://www.securityfocus.com/archive/1/490752
製品のホームページ
http://www.codegear.com/products/interbase
SecurityFocus BID
まだリリースされておらず。
────────────────

5.危険度【重大】:ICQのMessage処理にバッファオーバーフロー脆弱性

<影響のある製品>
ICQ 6.0間でのバージョン

<詳細>
ICQはインスタントメッセージングアプリケーションとして広範に使用されて
いる。しかし、リモートのユーザーステータスメッセージ処理に欠陥がある。
これらのメッセージは、“Available”や“Away”など、他のユーザーのステー
タスを示すために用いられる。これらのメッセージは、ユーザーのステータス
問い合わせ時に、リモートのクライアントによってレンダリングされる。しか
し、これらメッセージ処理に欠陥がある。メッセージが細工されると、犠牲者
のクライアントがレンダリングする時にバッファオーバーフローが引き起こさ
れ、現在のユーザー権限で任意のコードを実行できるようになってしまう。ア
タッカーのステータスを監視していなければ、この問題に脆弱ではない。この
脆弱性の全技術的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
INFIGOのセキュリティアドバイザリ
http://www.infigo.hr/en/in_focus/advisories/INFIGO-2008-04-08
ICQのホームページ
http://www.icq.com/
SecurityFocus BID
まだリリースされておらず

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。