NRI Secure SANS NewsBites 日本版

Vol.3 No.18 2008年5月12日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.18 2008年5月12日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■はじめに(Alan Paller:SANS Director of Research)

SANSセキュアプログラミング委員会は、ソフトウェア開発者が提供するアプリ
ケーションにセキュリティが埋め込まれていることを確認する調達ルールの原
案を完成した。同委員会は、カスタマイズされたプログラムやCOTS(商用オフ
ザシェルフ)ソフトウェアにセキュリティ欠陥がない(もしくはほとんどない)
ことを保証する調達ルールの作成実績がある大規模ユーザー組織を求めている。
ご所属の組織でそのご経験があれば、apaller@sans.orgにお知らせいただきた
い。

数ヶ月前、新しい侵入テスト2コースについて述べた。ひとつは、ネットワー
クおよびシステムのテストについてのコースで、もう一方は、アプリのテスト
についてである。コース受講生のフィードバックが続々と届いている。まさに、
今まで運営したコースの中で最高評価を得ていると言えるだろう。これより重
要なのは、これらのコースが侵入テストの様相を変えているということだ。受
講生は、最高水準のテスターが今まで極秘にしていた技術をこのコースで学ん
でいるのだから。
ネットワーク/システムのテストに関するコース詳細:
http://www.sans.org/pentesting08_summit/
Webアプリケーションテストに関するコース詳細:
http://www.sans.org/appsec08_summit
────────────────

■■SANS NewsBites Vol.10 No.35-36
   (原版:2008年5月3日、7日配信)

◆米国裁判所 楽曲を入手可能な状態にすることは著作権に反しない
  (2008.4.29-30)

全米レコード協会(RIAA)は、Pamela HowellとJeffrey Howellの夫妻がコンピュー
タ上で楽曲ファイルをファイル共有者に入手可能な状態にしていたことに対し
て略式判決を求めていたが、アリゾナ州地裁は棄却した。Howell夫妻は、所有
しているCDの楽曲ファイルをコンピュータにコピーし、ピアツーピアファイル
共有ソフトウェアを同マシンにダウンロードしていた。Neil V. Wake判事は、
楽曲を入手可能な状態にしていただけでは、販売や主な著作権侵害行為と同等
とは言えないとした。Howell夫妻が問題のファイルを彼らが管理する共有フォ
ルダに置いていたとしても著作権侵害行為に直結するわけではなく、侵害行為
に貢献したことに対しての責任のみ発生するという。RIAAは、同夫妻は著作権
侵害で有罪であり、問題の楽曲ファイルがそこから入手可能であることを示す
スクリーンショットを提供していたと主張。これに対しJeffrey Howellは、
Kazaaが公表していないフォルダのコンテンツをコピーしたと反論。電子フロ
ンティア財団(EFF)は、Howell夫妻の代理で法廷助言書を提出している。訴え
は今後裁判に発展する見込み。
http://www.informationweek.com/news/personal_tech/music/showArticle.jhtml;?articleID=207403664
http://www.news.com/8301-10784_3-9932004-7.html?part=rss&subj=news&tag=2547-1_3-0-20

【編集者メモ】(Shpantzer)
最近の別の裁判における連邦裁判所の裁定では、ソングライターや出版社は、
RealNetworks、Yahoo!、AOLなどオンラインの音楽ストリーミング企業から莫
大な額が支払われるべきとなっている。
http://www.news.com/8301-10784_3-9933626-7.html?tag=nefd.top
────────────────

◆国境の電子捜査についての裁定(2008.4.23-5.1)

法人旅行協会(ACTE; The Association of Corporate Travel Executives)は
会員に対し、「出張者が米国境を越える際は、持ち出すノートPCに保存する企
業の占有情報に制限を設ける」よう警告した。これは、連邦控訴裁判所による
4月21日の「筋の通った理由がなくとも旅行者のノートPCを検査し、コピーし、
差し押さえることができる無制限の権限を税関職員に与える」という決定を受
けたものである。この決定で、さまざまな電子デバイスが特定の範囲でカバー
されることになる。米国境警備局は、ノートPCのデータ以外に携帯電話、PDA、
デジカメ、USBドライブのデータも差し押さえてよいという。電子フロンティ
ア財団(EFF)、米国自由人権協会(ACLU)、出張旅行連合(Business Travel
Coalition)は、下院国土安全保障委員会に「議会で国境警察官による不正な調
査を阻止すること。容疑がないにもかかわらずデジタル国境検査にかけられる
ことから全国民を守ること」を嘆願した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9081358&source=rss_topic17
http://www.acte.org/resources/press_release.php?id=284
http://www.theregister.co.uk/2008/05/01/electronic_searches_at_us_borders/print.html

【編集者メモ1】(Ranum)
まるで政権の何者かが、小説「1984」をロードマップと取り違えたような話だ。
【編集者メモ2】(Schultz)
嘆かわしいことに、筋の通った容疑もなく税関職員が所有物を何でも差し押さ
えることができる権限があるという事実は、米国では個人の人権がどれだけ軽
視されているかという実情レベルを再度露呈することとなった。独裁者は、監
視だけでは飽き足らず、全体主義者になりつつあるようだ。
【編集者メモ3】(Honan)
多くの米国外組織で、米国出張におけるノートPCやその他電子デバイスの持参
をすでに禁じている。
────────────────

◆米国諜報機関 サイバー脅威に関する情報収集(2008.5.2)

ブッシュ政権のある高官によると、米諜報機関は同国コンピュータネットワー
クへのサイバー脅威についての情報収集を要請されているという。1月の大統
領指令で、諜報機関には連邦ネットワーク通信の監視および侵入やデータ窃盗
阻止の権限が与えられた。また、新指令では収集情報の民間セクターとの共有
が許可されている。しかし問題は、このような措置によってアタックや侵害の
情報が共有された際、諜報機関が攻撃用に使用した侵入およびアタック手法の
情報が開示されてしまうおそれが生じることである。
http://www.washingtonpost.com/wp-dyn/content/article/2008/05/02/AR2008050201646_pf.html

【編集者メモ】(Skoudis)
政府の多くが直面している興味深いジレンマが描写されている。インフラを防
御する目的であっても、悪者のアタック技術の情報を広く公開してしまうと、
諜報・軍事活動の技術を利用する方向に影響が及ぶかもしれない。また、関連
して高度なアタック情報が多数公開されると、コピーキャットアタックを招く
おそれや、アタックの青写真を新たな悪の組織全体に広げてしまうことになる。
私は防御者を援護するための情報共有に反対ではないが、均衡をとるのが難し
いということは伝えたい。
────────────────

◆インド政府のサイト侵入 中国人ハッカーに非難(2008.5.5)

中国人アタッカーが、高度かつ完ぺきな手法を使用してインドの国家安全保障
局を狙って国家情報センターのコンピュータネットワークや、外務省のネット
ワークに侵入したとの報告が発表された。これは、米国やその他西洋諸国に対
する大規模アタックの手がインドにまで伸びたことを証明する早期の兆候であ
る。アタッカーは、軍事および財政的利益が目的だったようだ。
http://www.dailytech.com/India+Accuses+China+Of+Attacks+Seeks+To+Defend+Itself+In+Digital+War/article11687.htm
http://www.financialexpress.com/news/A-virtual-war-on-terror/305242/
────────────────

◆偽の召喚令状の捕鯨アタック かなり高い侵害率(2008.5.5)

アタッカーは、偽の法的文書をCitibank、eBay、America Onlineその他企業の
役員に見せて騙し、キーストロークロギングソフトウェアをインストールして
しまうリンクをクリックさせていた。この偽文書は、サンディエゴの米国連邦
地方裁判所から発行された召喚状を偽造したものだ。法的言語を使用している
ことや、ターゲットの正確な氏名や電話番号、企業名を掲載しているという文
書の性質が、アタックの達成率を高めた模様。
http://afp.google.com/article/ALeqM5icpWGNHQrwvd-ohpTweHi-pmr0IA

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年5月2日 Vol.7 No.18)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ       12 (#1, #2, #3, #4, #5, #7)
Linux                    2
Novell                   1
クロスプラットフォーム           15 (#6)
Webアプリ-クロスサイトスクリプティング   11
Web アプリ- SQLインジェクション       15
Webアプリ                 19
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

息抜きになる一週間だった。Castle Rock Computingのユーザーのみ、即座に
セキュリティ対策行動に出なければならない。NovellはGroupWise製品にある
重大な脆弱性をまだ認めていないようだ。
────────────────

1.危険度【重大】:Castle Rock Computing SNMPcにバッファオーバーフローの
  脆弱性

<影響のある製品>
Castle Rock Computing SNMPc 7.1までのバージョン

<詳細>
SNMPcは、Castle Rock Computing製企業用作業グループ監視および管理ソリュー
ションとして、広範に使用されている。機能の大部分においてSimple Network
Management Protocol(SNMP)を使用。「コミュニティ」名の概念など、SNMPは
さまざまな認証メカニズムをサポートしている。使用されるとこの名前が全て
のリクエストに含まれ、簡単な認証メカニズムが提供されるようになっている。
しかし、SNMPcの特定のSNMP TRAPメッセージ処理にバッファオーバーフローの
脆弱性がある。TRAPメッセージに過剰に長いコミュニティ文字列が含まれるよ
うに細工されると、この脆弱性が引き起こされる。悪用が実現すると、任意の
コードを脆弱なプロセス(たいていはLocalSystem)権限で実行できるようになっ
てしまう。この脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Next Generation Security Softwareのセキュリティアドバイザリ
http://www.ngssoftware.com/advisories/critical-vulnerability-in-snmpc/
製品のホームページ
http://www.castlerock.com/products/snmpc/default.php
SNMPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Simple_Network_Management_Protocol
SecurityFocus BID
http://www.securityfocus.com/bid/28990
────────────────

2.危険度【重大】:Novell GroupWiseの"mailto:"処理にバッファオーバーフロー
  脆弱性

<影響のある製品>
Novell GroupWise 7.0までのバージョン

<詳細>
Novell GroupWiseは、メールおよびグループウェアアプリケーションとして広
範に使用されている。しかし、"mailto:"URL処理に欠陥がある。これらURLは、
通常Webページやその他文書に埋め込まれており、ユーザーがそのURLにアクセ
スしたときに特定のアドレスへメール送信できるようになっている。Novell
GroupWiseは、ユーザーのデフォルトメールクライアントであるが、mailto
URLが細工されるとそのアプリにバッファオーバーフロー脆弱性が生じる。悪
用が実現すると、現在のユーザー権限で任意のコードを実行できるようになっ
てしまう。悪用に際して、悪意のあるWebページを閲覧するほかにユーザーの
操作は必要ない。この脆弱性の全技術的詳細および概念実証コードが公表され
ている。

<現状>
Novellはこの問題を認めていないため、更新もリリースしていない。

<参考>
Juan Pablo Lopez Yacubianによるアドバイザリ(概念実証コードを含む)
http://www.securityfocus.com/archive/1/491376
製品のホームページ
http://www.novell.com/products/groupwise/
SecurityFocus BID
http://www.securityfocus.com/bid/28969
────────────────

3.危険度【高】:Trillianの名前の細工によりバッファオーバーフロー脆弱性

<影響のある製品>
Trillian 3.1までのバージョン

<詳細>
Trillianは、Cerulean Studiosのマルチ・プロトコルのインスタントメッセー
ジクライアントとして広範に使用されている。しかし、リモートメッセージ処
理に欠陥がある。過剰に長いニックネームフィールドを含むように細工された
メッセージがMSNインスタントメッセージングネットワーク経由で送信される
と、バッファオーバーフローが引き起こされる。悪用が実現すると、現在のユー
ザー権限で任意のコードを実行できるようになってしまうと考えられているが、
まだ確認されていない。この脆弱性の全技術的詳細と概念実証コードが公表さ
れている。

<現状>
Cerulean Studiosはこの問題を認めていないため、更新もリリースしていない。

<参考>
Juan Pablo Lopez Yucubianによる掲示
http://www.securityfocus.com/archive/1/491281
ベンダーのホームページ
http://www.ceruleanstudios.com/
SecurityFocus BID
http://www.securityfocus.com/bid/28925
────────────────

4.危険度【高】:HP HpeDiag ActiveXコントロールに複数の脆弱性

<影響のある製品>
HP HPeDiag ActiveXコントロール

<参考>
HP HPeDiag ActiveXコントロールは、Microsoft Windowsソフトウェアスイー
トの一部として、さまざまなHPレーザージェットプリンタ用にインストールさ
れている。しかし、このコントロールには複数の安全でないメソッドやバッファ
オーバーフローなど、さまざまな脆弱性がある。悪意のあるWebページがこの
コントロールをインスタンス化すると脆弱性のいずれかが悪用され、現在のユー
ザー権限で任意のコードを実行できるようになってしまう。これらの脆弱性の
概念実証コードが公表されている。

<現状>
HPはこの問題を認めており、更新をリリースしている。
Microsoftの"kill bit"機能を介して問題のコントロールを無効にすれば、影
響を軽減できる。影響のあるコントロールに対するCLSIDは、下記<参考>の
HPのアドバイザリに掲載されている。

<参考>
Vuln.sgのアドバイザリ
http://vuln.sg/hpupdate302991-en.html
Secuniaのアドバイザリ
http://secunia.com/advisories/29966/
HPのセキュリティアドバイザリ
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01439758
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/28929
────────────────

5.危険度【高】:Akamai Download ManagerのActiveXコントロールにリモート
  のコード実行脆弱性

<影響のある製品>
Akamai Download ManagerのActiveXコントロールの2.2.3.5までのバージョン

<詳細>
Akamai Download Managerは、ダウンロードを支援するアプリケーションとし
て広範に使用されている。この機能の一部はActiveXコントロールによって提
供されている。しかし、このコントロールにはリモートのコード実行脆弱性が
ある。このコントロールをインスタンス化するWebページが細工されると引き
起こされ、現在のユーザー権限で任意のコードを実行できるようになってしま
う。

<現状>
Akamaiはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのホームページ
http://www.akamai.com/
SecurityFocus BID
http://www.securityfocus.com/bid/28993
────────────────

6.危険度【高】:KDE KHTMLのPN処理にバッファオーバーフロー脆弱性

<影響のある製品>
KDE 4.0.3 までのバージョン

<詳細>
K Desktop Environment(通称KDE)は、クロスプラットフォームのデスクトッ
プ環境として広範に使用されている。しかし、HTML分析とレンダリングエンジ
ン、KHTMLのPortable Network Graphics(PNG)ファイル処理に欠陥がある。PNG
ファイルが細工されるとこの欠陥が引き起こされ、バッファオーバーフローの
脆弱性に繋がるおそれがある。悪用が実現すると、現在のユーザー権限で任意
のコードを実行できるようになってしまう。この脆弱性の全技術的詳細は、ソー
スコードを分析すれば入手できる。KDEはLinux商品の多くでデフォルトのデス
クトップ環境になっている。AppleのSafari WebブラウザはKHTMLコードを大量
に使用しているが、Safariが影響を受けるかどうかは定かでない。

<現状>
KDEはこの問題を認めており、更新をリリースしている。

<参考>
KDEのセキュリティアドバイザリ
http://www.kde.org/info/security/advisory-20080426-1.txt
KDEのホームページ
http://www.kde.org
PNGについてのWikipediaの説明
http://en.wikipedia.org/wiki/Portable_Network_Graphics
SecurityFocus BID
http://www.securityfocus.com/bid/28937
────────────────

7.危険度【高】:IBM Lotus Expeditorに任意のコマンド実行の脆弱性

<影響のある製品>
Microsoft Windows版IBM Lotus Expeditor 6.1までのバージョン

<詳細>
IBM Lotus Expeditorは、企業用デスクトップ統合フレームワークとして広範
に使用されている。しかし、"cal:"URL処理に欠陥がある。Expeditorは、これ
らURLのデフォルトハンドラーに設定されているため、ユーザーはこの脆弱性
に晒されている。"cal:"URLを含むWebページが細工されると引き起こされ、現
在のユーザー権限で任意のコマンドを実行できるようになってしまう。この脆
弱性の概念実証コードおよび技術的詳細が公表されている。

<現状>
IBMはこの問題を認めており、更新をリリースしている。

<参考>
Thomas Polletによる掲示(概念実証コードを含む)
http://lists.grok.org.uk/pipermail/full-disclosure/2008-April/061750.html
IBMのセキュリティアドバイザリ
http://www-1.ibm.com/support/docview.wss?uid=swg21303813
製品のホームページ
http://www-306.ibm.com/software/lotus/products/expeditor/
SecurityFocus BID
http://www.securityfocus.com/bid/28926
────────────────

8.訂正:
@RISK先週版のIntel Centrinoワイヤレスネットワークカード用Microsoft
Windowsドライバにある脆弱性の記事に誤りがあった。記事の本来の目的は、
実際に作用する新しく公表されたエクスプロイトが、この脆弱性に対して広範
に使用されているMetasploitフレームワーク用にリリースされたことを伝える
ものだった。この問題自体は、2007年に発見された当初Intelによって対処さ
れている。お詫びして訂正するものである。

<参考>
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=7&i=17#widely1

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。