NRI Secure SANS NewsBites 日本版

Vol.3 No.20 2008年5月27日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.20 2008年5月27日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■はじめに(Alan Paller:SANS Director of Research)

仮想化とセキュリティ:
Tom Listonは、仮想システム(VMware製GSXサーバ、ESXサーバ、Microsoft製仮
想サーバなど)の使用者が直面している重要なセキュリティ課題をまとめ、有
益なリストを作成した。その中のいくつかの問題を見て私は驚いた。各問題の
優先順位付けに協力してくださる方に、このリストを送信したい(そしてTom
が見逃しているものがあれば是非ご教示いただきたい)。興味のある方は、件
名「virtual security」でapaller@sans.orgまで。
────────────────

■■SANS NewsBites Vol.10 No.39-40
   (原版:2008年5月17日、21日配信)

◆Botnet 強力なSQLインジェクションアタックツールを広める(2008.5.14-15)

Asprox botnetが、SQLインジェクションアタックを介してWebサイトの感染に
使用されている。Asprox botnetによって感染したシステムは強制的に特定の
言葉を含む.aspページを検索させられ、サイトに対してSQLインジェクション
アタックを仕掛けるようになる。このアタックは、特定のWebサイトにiFrame
を挿入しようとするものだ。iFrameコンテンツは、JavaScriptファイルのダウ
ンロード実行へサイト訪問者を誘導しようとする。そのファイルは、より悪意
の濃いJavaScriptを含む別のサイトにリダイレクトしてしまう。そのサイトで
Asproxのコピーのインストールを試みる仕組みだ。Asproxはパスワードを盗み
出すトロイの木馬、およびSQLインジェクションアタックのツールである。
http://www.eweek.com/c/a/Security/Botnet-Installs-SQL-Injection-Tool/
http://www.heise-online.co.uk/security/Asprox-botnet-now-equipped-with-SQL-injection-tool--/news/110742
http://www.theregister.co.uk/2008/05/14/asprox_attacks_websites/print.html
http://www.scmagazineus.com/Asprox-botnet-malware-morphs/article/110169/

【編集者メモ1】(Pescatore)
アタッカーは、Webサイトを新種アタックのたやすい獲物として考えているこ
とがよくわかる。つまり、今こそあなたのWebアプリ環境のプロセスやWebサー
バ用の脆弱性管理プロセスが安全か、チェックするときである。7月にはWebア
プリケーションセキュリティテスト用に新しいPCI基準が始動するとなれば、
この問題に対する注目もそれなりに戻ってくるだろう。
【編集者メモ2】(Paller)
6月のはじめに、SANSはラスベガスでJeremiah Grossmanが議長を務めるワーク
ショップを開催する。熟練のユーザーが、どのソフトウェアテストツールが実
際に有効か、また、アプリケーションセキュリティ改善において最も見込みの
あるプラクティスについて、データを提供してくれる。
http://www.sans.org/info/24609
────────────────

◆議会 国家サイバーセキュリティイニシアチブの秘密主義を非難
  (2008.5.12-15)

米国議会は、国土安全保障省(DHS)が国家サイバーセキュリティイニシアチブ
に関連する事項を機密にしていることに、懸念の声をあげている。米国上院軍
事委員会の報告によると、ほとんど全てのイニシアチブは高度機密であるか、
「関係者の使用のみ許可」という位置づけになっており、これでは「市民の自
由やプライバシーの分野に対してイニシアチブがもたらす政策や法的問題は、
その正否にかかわらず、認識の普及や議論の余地を排除している」ことになる
という。また、「我々の能力や運営コンセプトの全てが機密扱いになっている
と、米国が意味深長な抑止主義をどのような方針で推奨しているのか、理解す
るのが困難になる」とある。2週間前、米国上院軍事委員会は、追加予算の承
認が必要なら、このイニシアチブについてさらに多くの情報を求めるとした。
http://www.fas.org/sgp/congress/2008/sasc-cyber.html
http://blog.washingtonpost.com/securityfix/2008/05/government_secrecy_and_the_mys.html?nav=rss_blog
http://gsnmagazine.live.netconcepts.com/cms/features/news-analysis/749.html
────────────────

◆Brute Force SSHアタック増加(2008.5.12-14)

Brute forceセキュアシェル(SSH)アタックが、ここ数日で大幅に増加している。
SSHアタックは、セキュアシェルクライアントのユーザー名とパスワードを当
てるための辞書攻撃の一種である。5月12日(月)に発表されたdenyhosts.net
の統計によれば、SSGアタックは1万件にのぼったという。通常であれば、
2,000件程度である。アタックの中には、botnetから発せられているものもあ
るため、アタッカーは、検知範囲の網にかからないこともある。また、low
and slow(少しずつゆっくり)アプローチで検知やアカウントのロックアウト
を回避しているものもある。SANSのインターネットストームセンター(ISC)は、
システムの保護に関する具体的なガイダンスを提供している(以下の一列目の
リンク)。
http://isc.sans.org/diary.html?storyid=4408
http://www.scmagazine.com/uk/news/article/809222/brute-force-ssh-attacks-surge/
http://www.securityfocus.com/news/11518
────────────────

◆法律専門家 MySpaceの契約違反罰金刑に問題あり(2008.5.16)

偽名でMySpaceのページを使用し、13歳の隣人を騙して苦しめていた女性Lori
Drewに罰金を科す決定が下された。この決定に対し、法律専門家の間で懸念の
声があがっている。Drewが住むミズーリ州では彼女に罰金を科す根拠となる法
が見当たらなかったため、ロサンゼルスの連邦検事は、陰謀およびMySpaceと
の契約に反してハッキングを行った罪で起訴した。問題はDrewの起訴にあるの
ではなく、その起訴の曖昧さにある。この起訴内容によれば、インターネット
で偽名を使用した者はみな連邦犯罪に問われることになってしまうからだ。
民主主義技術センター(Center for Democracy and Technology)の総長John
Morrisによると、「この起訴には、重大な契約違反と些細な契約違反を差別化
できる要素が何もない」という。
http://www.securityfocus.com/news/11519/1
────────────────

◆テネシー州法 紙投票を義務付け(2008.5.18)

テネシー州の上院議会は、テネシー州投票者信頼法を満場一致で可決した。今
週、Phil Bredesen知事によって調印される予定である。この法では、2009年1
月1日以降に購入および導入された投票システムに、区域ベースで光学スキャ
ナーを使用させることを義務付けている。2010年までに、全ての郡は紙の記録
を生成できる投票システムを使用することになる。また、ワイヤレス機能のあ
る電子投票システムの使用を禁じているほか、製造者に対し、ソースコード、
ソフトウェア、ファームウェアの情報を開示するよう義務付けている。
http://www.votetrustusa.org/index.php?option=com_content&task=view&id=2856&Itemid=113
http://www.tennessean.com/apps/pbcs.dll/article?AID=/20080516/NEWS0201/805160421/1009/NEWS01
────────────────

◆Google Orkutユーザーの情報をインド当局に提供していた件で惨敗
  (2008.5.19)

Googleは、インドの政治家の名誉を傷つけるコメントをアップロードした
Orkutユーザーの逮捕に繋がった情報をインド警察に提供していたことで、非
難を浴びている。Orkutの親会社であるGoogleは、「ユーザーの表現の自由を
支援する」と述べる一方で、今回、個人のIPアドレスを明かしたように、現地
の法律には従う、としている。インドでは、個人の表現の自由は、保護権利と
なっているはずだが。
http://www.theregister.co.uk/2008/05/19/google_india_gandhi/print.html
http://www.washingtonpost.com/wp-dyn/content/article/2008/05/18/AR2008051800657_pf.html
http://www.pcworld.com/businesscenter/article/146049/google_defends_helping_police_nab_defamer.html
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年5月16日 Vol.7 No.20)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
Microsoft Office                4 (#1,#2,#3)
その他のMicrosoft製品              5
サードパーティのWindowsアプリ          2 (#4)
Linux                      12
HP-UX                      2
Solaris                     2
Unix                      1
クロスプラットフォーム             15
Webアプリ-クロスサイトスクリプティング     20
Web アプリ- SQLインジェクション         42
Webアプリ                   21
ネットワークデバイス              1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Microsoftの月次脆弱性発表には、即座に行動すべきものが2件あった。それぞ
れ、Microsoft Word、Microsoft Jet Engineにある。
────────────────

1.危険度【重大】:Microsoft Wordに複数の脆弱性(MS08-026)

<影響ののある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007
Microsoft Word Viewer 2003
Mac用Microsoft Office 2004
Mac 用 Microsoft Office 2008

<現状>
Microsoft Wordには、リッチテキスト形式(RTF)とMicrosoft Wordの処理にい
くつかの脆弱性がある。RTFやWord文書が細工されると、脆弱性のひとつが引
き起こされ、メモリ崩壊状態に至る。この欠陥の悪用が実現すると、現在のユー
ザー権限で任意のコードを実行できるようになる。Microsoft Wordの最近のバー
ジョンでは、ユーザーにプロンプトすることなしに文書が開かれることはない。
この脆弱性についての技術的詳細がいくつか公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-026.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-08-023/
iDefenseセキュリティ警告
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=700
RTFについてのWikipediaの説明
http://en.wikipedia.org/wiki/Rich_Text_Format
SecurityFocus BID
http://www.securityfocus.com/bid/29105
────────────────

2.危険度【重大】:Microsoft Jet EngineのMDB File解析にバッファオーバー
  フロー脆弱性(MS08-28)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

<詳細>
Microsoft Jet Engineは、さまざまなMicrosoftアプリケーションによって使
用されているデータベースエンジンである。デフォルトでMicrosoft Windows
のいくつかのバージョンに含まれている。しかし、"MDB"データベースファイ
ルの処理にスタックベースのバッファオーバーフローが含まれている。MDBファ
イルが細工されると引き起こされ、現在のユーザー権限で任意のコードを実行
できるようになってしまう。デフォルトのMDBファイルは、Microsoftアプリで
は、「安全ではない」ファイルタイプとして認識されているため、ユーザーに
プロンプトすることなしに開かれることはまずない。しかし、この制限を回避
できるアタックの新手法が発見された。このアドバイザリ、もしくは悪用手法
は、@RISKのバックナンバーに掲載された問題に関連性があると考えられる。
そうであったとしたら、この脆弱性の全技術的詳細と概念実証コードが公表さ
れていることになる。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms08-028.mspx
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-08-04
@RISKのバックナンバーに掲載された関連記事
https://www.sans.org/newsletters/risk/display.php?v=7&i=13#widely2
概念実証コード(バイナリファイル)
http://www.securityfocus.com/data/vulnerabilities/exploits/26468.mdb
SecurityFocus BID
http://www.securityfocus.com/bid/26468
────────────────

3.危険度【高】:Microsoft Publisherにリモートのコード実行脆弱性
  (MS08-027)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007

<詳細>
Microsoft Publisherの、Publisherファイル処理には欠陥がある。Publisher
ファイルが細工されると、Publisher内でメモリ崩壊状態が引き起こされてし
まうおそれがある。悪用が実現すれば、現在のユーザー権限で任意のコードを
実行できるようになってしまう。Microsoft Word文書の最近のバージョンでは、
ユーザーにプロンプトせずに受信時に文書が開かれてしまうので注意が必要だ。
脆弱性の技術的詳細がいくつか公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-027.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/29158
────────────────

4.危険度【高】:IDAutomation BarcodeのActiveXコントロールに複数の脆弱性

<影響のある製品>
IDAutomation Barcodeの AciveXコントロール

<詳細>
IDAutomationは、バーコード生産および分析に使用される複数のActive Xコン
トロールなど、さまざまなバーコード関連のツールと技術を提供する。しかし、
これらのコントロールのいくつかに、任意のファイル上書き脆弱性がある。悪
意のあるWebページによって、コントロールのいずれかがインスタンス化され
ると、脆弱性のいずれかが引き起こされる。脆弱性のいずれかの悪用が実現す
ると、現在のユーザー権限で任意のコードを上書きできるようになる。これら
の脆弱性は、任意のコード実行に利用されることもある。全技術的詳細と概念
実証コードが公表されている。

<現状>
IDAutomationはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能をCLSID"0C3874AA-AB39-4B5E-A768-45F3CE6C6819""
DB67DB99-616A-4CAB-A3A1-2EF644F254E7""E97EE6EB-7FBE-43B1-B6D8-C4D86C78
C5A0""eba15b30-80b4-11dc-b31d-0050c2490048"に設定して問題のコントロー
ルを無効にすれば、脆弱性の影響を軽減できる。

<参考>
Shinnaiによるアドバイザリ
http://www.shinnai.altervista.org/index.php?mod=02_Forum&group=Security&argument=Remote_performed_exploits&topic=1210750552.ff.php&page=last
概念実証コード
http://www.shinnai.altervista.org/xplits/TXT_0REurGhkWARENTl1BhSX.html
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://idautomation.com/
SecurityFocus BID
http://www.securityfocus.com/bid/29204

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。