NRI Secure SANS NewsBites 日本版

Vol.3 No.21 2008年6月2日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.21 2008年6月2日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
        SANS Future Visions 2008 Tokyo 開催決定!
    ~情報セキュリティの最新動向をキャッチアップする2日間~

    2008年7月1日(火)-2日(水) 会場:ホテル日航東京(お台場)

  ■ Keynote、SANSセッションをはじめ合計41の無料セッション■
■ セキュリティ管理者必須のトレーニングが特別価格にて受講可能!■

     参加受付け開始(事前登録制) 詳細はこちら↓↓↓
       http://www.event-information.jp/sans-fv08/

   ※希望セッションが満員になる前に!!お早めにご登録ください!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.10 No.41-42
   (原版:2008年5月24日、28日配信)

◆テネシー峡谷開発公社の発電所 サイバーアタックに脆弱(2008.5.21)

米国政府説明責任局(GAO)の報告によると、テネシー峡谷開発公社
(TVA:Tennessee Valley Authority)の発電所は、サイバーアタックに脆弱だと
いう。TVAは、米国で最大手の上場電力企業のひとつであり、東南部7つの州に
おいて870万人以上に電力を供給している。インターネットに接続している社
内ネットワークが発電システムにも接続されているため、社内ネットワークに
影響を及ぼす脆弱性が悪用されると、発電にも影響が及ぶおそれがあるという。
また、社内ネットワークは、ソフトウェアセキュリティの更新や、アンチウィ
ルス保護の点で遅れているだけでなく、ファイヤウォールや、侵入検知システ
ムなど、ネットワークの保護装備さえも簡単に回避できてしまう状態のようだ。
米国下院議員および新興の脅威やサイバーセキュリティおよび科学技術につい
ての下院分科委員会議長のJim Langevin(ロードアイランド州民主党)は、「我
々が、サイバーセキュリティに相応しい対処をしているとは到底考えられない」
と述べている。
http://www.washingtonpost.com/wp-dyn/content/article/2008/05/20/AR2008052002354_pf.html
http://www.pcworld.com/businesscenter/article/146153/lawmakers_see_cyber_threats_to_electrical_grid.html

【編集者メモ1】(Ranum)
ファイヤウォール? 一体どのような隔離ネットワークにファイヤウォールが
必要だというのか? まさかとは思うが、どんなおばかさんが発電所のネット
ワークを他のネットワークにつなげるなどというのだ?
【編集者メモ2】(Schultz)
発電所は、あらゆる形で爆発するおそれのある時限爆弾だと言えよう。数年前
と比べても、これら発電所の特別システムの多くは、現在、IPベースでフルネッ
トワーク接続が可能になっている。つまり、発電所だけでなく発電所ネットワー
クのその他のシステムも、あらゆるアタックにかなり影響を受けやすくなって
いるということだ。さらに、システムのベンダーは、どちらかといえばセキュ
リティ機能を改善するためにはほぼ何もしていない場合が多い。
────────────────

◆英国の法案 通信提供企業に対するデータ保持要件を拡大(2008.5.20)

英国でこのほど提案された通信データ法案(Communication Data Bill)と称さ
れる法案では、捜査権限規制法(RIPA:Regulation of Investigatory Powers
Act)のデータ保持要件が拡大される。現行法では、通信サービスプロバイダは
顧客の通話およびテキストメッセージ記録を1年間保持しなくてはならないこ
とになっているが、新法案では、保持すべき情報の範囲が通信開始者、通信時
刻、通信時間に拡大される。通信内容は保持されない。情報はひとつのデータ
ベースに保存されることになっていたが、政府機関のデータセキュリティに最
近問題があったため、懸念する向きもある。警察やその他の法執行機関の当局
者は、裁判所の許可があればこのデータベースにアクセスできるという。
http://www.scmagazineuk.com/Government-lines-up-central-database-of-phone-and-internet-records/article/110337/
http://news.bbc.co.uk/2/hi/technology/7410885.stm

【編集者メモ】(Frantzen)
これは、EU加盟国の内法令に組み入れられるものだ。EU加盟国の多くが懸念を
表明していることから察するに、もうすでに通信事業者はこれらデータを保持
しているが、市民は気付いていないようだ。データの利用に興味がある者とし
て、マーケティング業者があげられる。顧客と製品(プラン)をマッチさせたり、
新製品を考案したり…。
────────────────

◆サイバーテロに対する国際的多国籍提携(IMPACT)とSANS
  共同でグローバルなサイバーセキュリティ向上を目指す(2008.5.21)

SANSは、サイバーテロに対する国際的多国籍提携(IMPACT: International
Multilateral Partnership Against Cyber-Terrorism)に100万ドル寄付した。
IMPACTとSANSは、共同でフォレンジック、侵入検知、侵入テスト、その他のサ
イバーセキュリティスキルなどの実践的なトレーニングを通じて、発展途上国
がオンラインセキュリティを向上できるよう支援していく。SANSがこの発表を
行った場所であるマレーシアの首相が会合を主催する予定だ。また、国連の国
際電気通信連合(International Telecommunications Union)幹事長Hamadoun
Toure博士も、この会合でIMPACTを支援する意思を表明した。
http://www.gcn.com/online/vol1_no1/46326-1.html
http://www.impact-alliance.org/
http://www.sans.org/press/impact.php
http://www.scmagazineus.com/Countering-cyber-terrorism-in-third-world-countries/article/110477/
────────────────

◆NY州知事 より厳格なID窃盗法を提案(2008.5.22)

ニューヨーク州知事David Pattersonは、身元詐称詐欺やID情報窃盗から市民
を保護することを目的とした法案を提案した。この法案では、雇用主による従
業員の個人情報の使用を制限し、ニューヨーク州住民が自身の氏名を「除外リ
スト」に掲載することを許可している。また、同法案によって、データの窃盗
を行う目的でスキミングデバイスを保持する行為も犯罪化される。
http://media-newswire.com/release_1067110.html

【編集者メモ】(Paller)
これは重要なニュースであり、知事や議会の真のリーダーシップを示している。
ニューヨーク州で検察官になって5年目の私の姪によれば、現在の法は、軽度
の犯罪者を投獄することはできるが、重度の犯罪者には刑務所釈放カードを実
質上渡してしまうような仕組みになっているという。新法案は、ニューヨーク
州でのID情報窃盗を、よりリスクの高いものにする最初の一歩になりそうだ。
知事と議会に拍手!
────────────────

◆Garter社:データセキュリティ侵害の多数が未だ報告されず(2008.5.23)

Gartner社の最近の調査によると、米国の小売店におけるデータセキュリティ
侵害の多くは、顧客に報告されていないという。米国小売業者50社に調査を行っ
たところ、18企業がデータ侵害があったことは把握していたものの、事件を公
表したのはそのうちたった3社だった。事例が少ないため、まだ決定的な結果
にたどり着くには至っていないものの、Gartner社のアナリストAvivah Litan
によれば、この傾向は「我々が聞くところよりもはるかに多くの侵害が起きて
いる」ことを示しているという。調査に回答した小売企業4社が、ペイメント
カード産業(PCI)基準に準拠できていなかったため罰金を科せられ、11社以上
が罰金を払うことになるという警告を受けているという。
http://www.pcworld.com/businesscenter/article/146278/most_retailer_breaches_are_not_disclosed_gartner_says.html

【編集者メモ1】(Schultz)
Gartnerグループは、疑う余地なく正しいと言える。データセキュリティ侵害
の隠蔽は、一般に考えられているよりもっと頻繁に行われており、多くの組織
が、犠牲になるおそれのある者に侵害事実を通知するよう義務付ける法律を、
真剣に受け止めていない。
【編集者メモ2】(Paller)
連邦政府局も、US-CERTにあげているのは、影響範囲が制限されている侵害や
たいしたことのないデータ侵害数千件の報告に過ぎない。つまり、連邦政府局
内も同じような状況なのだ。政府局は、かなり重要な侵害事件の報告を都合よ
く忘れているようだ。金曜日には、重要な政府(高官)のノートパソコンが行
方不明になった事件のニュースを聞くことになるだろう。
【編集者メモ3】(Honan)
PCI基準は、基準を満たしている小売企業とそうでない企業の社名を公表すれ
ば、強化できるだろう。小売企業における基準への準拠意識も大いに向上する
というものだ。
────────────────

◆ドイツテレコムに保持している通話記録にアクセスした疑い
  (2008.5.24-26)

数年前、米国で起きたHewlett-Packardのスキャンダルを思い起こさせるよう
な事件が起きた。ドイツテレコムには、機密情報がマスコミに漏れた漏洩源を
特定する目的で通信データを詮索した疑いをかけられている。ドイツテレコム
の内部セキュリティ部門は、ダイヤルされた番号や日付、通話時間など、保存
された情報を使用して同社の役員とマスコミのレポーターとの間で接触があっ
た証拠を探していた。一連の侵害は3年前に発生した模様で、検察官と弁護士
事務所が調査を行っている。ドイツテレコムによれば、通信自体は傍受してい
ないが、保存されたデータは承認なしにアクセスされたという。ドイツ政府は
ドイツテレコムに対し、捜査官が一連の情報を入手した経緯についての情報を
報告するよう要請している。
http://www.dw-world.de/dw/article/0,2144,3357090,00.html
http://www.topnews.in/law/berlin-urges-telekom-disclose-how-snoopers-got-phone-data
http://www.spiegel.de/international/business/0,1518,555363,00.html
http://www.allheadlinenews.com/articles/7011066534

【編集者メモ】(Honan)
このストーリーは、EUデータ保持法が、当初の意図とは違う目的で使用される
おそれがあることを示す事例である。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年5月23日 Vol.7 No.21)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ         8 (#2, #5)
Linux                      3
HP-UX                     1
クロスプラットフォーム            15 (#1, #3)
Webアプリ-クロスサイトスクリプティング    11
Web アプリ- SQLインジェクション        25
Webアプリ                   29
ネットワークデバイス              2 (#4)
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

質問1:CA、Symantec、IBMの共通点は?

3社ともセキュリティを販売しており、各社の広範に使用されるソフトウェア
に重大なバッファオーバーフロー問題(CAとIBM)もしくはSQLインジェクショ
ン問題(Symantec)があるということだ。CA ArcServe、IBM Lotus Domino
Webserver、Symantec Altiris Deploymentがそうである。

質問2:この3社のうちどの企業が、自社製ソフトウェアの開発者全員かほとん
どに、安全なプログラミングスキルのテストを受けさせたのだろうか?

テストするべきだとお考えなら、調達仕様書にそう加えよう。調達仕様書に、
プログラマーのスキルとテストとソース/バイナリ・コードのセキュリティテ
スト(顧客に結果が通知される)を組み込んでいなければ、セキュリティ欠陥
のあるソフトウェアを購入してしまっても、実のところ文句は言えないのであ
る。
────────────────

1.危険度【重大】:CA ARCserve Backupのcaloggerdとxdr機能に脆弱性

<影響のある製品>
CA ARCServe Backup r11.5、r11.1、r11.0
CA Server Protection Suite r2
CA Business Protection Suite r2
Microsoft Small Business Serve 用CA Business Protection Suite
Standard/Premium Editions r2

<詳細>
Computer Associates ARCserveバックアップ製品は、Windows、NetWare、
Linux、UNIXにバックアップを提供する。しかし、"xdr_rwsstring()"機能実装
にはスタックベースのバッファオーバーフローがある。この欠陥は、
caloggerd/cacommdデーモンへのリクエストが細工されると引き起こされ、悪
用されると、ルートもしくはSYSTEM権限で任意のコードが実行されてしまう。
2つ目の脆弱性は、caloggerdデーモンが行うロギングメッセージ処理にあり、
これによりパストラバーサル変更子を介して、どのシステムにファイルに対し
ても任意のデータを追加できるようになってしまう。これによって、システム
が完全に侵害されてしまうこともある。

<現状>
CAは両方の脆弱性にパッチをリリースした。回避策としては、インターネット
からTCP601番および6072番ポートに向かうリクエストをブロックするとよい。
CA Backup製品は、2005年以来@RISKのニュースレターの「重大」セクションに
何度も記載されてきた。SANSは、このソフトウェアによって開かれるポートを
全てネットワーク境界でブロックすることを推奨する。ブロックすべきポート
のリストはこちら:
http://en.wikibooks.org/wiki/CA_Unicenter_NSM_Textbook/Unicenter_port_reference
http://supportconnectw.ca.com/public/ca_common_docs/brightstorwinxpsp2matrix.asp

<参考>
CAアドバイザリ
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=176798
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-08-026/
http://www.zerodayinitiative.com/advisories/ZDI-08-027/
SecurityFocus BID
http://www.securityfocus.com/bid/29283
────────────────

2.危険度【重大】:Symantec Altiris DeploymentにSQLインジェクションの脆
  弱性

<影響のある製品>
Altiris Deployment Solution 6.9.176以前のバージョン6.8.xおよび6.9.x

<詳細>
Symantec Altiris Deployment Solutionは、企業内のデスクトップおよびサー
バのOSやソフトウェアを実行するプロセスを自動化するように設計されている。
しかし、デフォルト設定においてTCP402番ポートで動作しているAltiris
Serverサービス(axengine.exe)には、SQLインジェクションの脆弱性がある。
未認証のアタッカーであっても、SQLインジェクション脆弱性を悪用すれば、
SYSTEM権限で任意のコマンドを実行できるようになってしまう。このアタック
が実現すると、Altiris Deploymentサーバによって管理されているシステム全
てにマルウェアがインストールされてしまうおそれがある。

<現状>
Symantecは、バージョン6.9.176をリリースして欠陥に対処している。

<参考>
Symantecのアドバイザリ
http://www.symantec.com/avcenter/security/Content/2008.05.14a.html
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-08-024
製品のホームページ
http://www.altiris.com/Products/DeploymentSolution.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/29198
────────────────

3.危険度【重大】:IBM Lotus DominoのWebserverにバッファオーバーフロー脆
  弱性

<影響のある製品>
IBM Lotus Domino 7.0.3 FP1までのバージョン
IBM Lotus Domino 8.0.1以前のバージョン8.x

<詳細>
IBM Lotus Dominoソフトウェアは、企業用にメッセージングおよびコラボレー
ション環境を提供する。デフォルトでは有効になっていないDomino webサーバ
であるが、これには、スタックベースのバッファオーバーフロー脆弱性がある。
このオーバーフローは、過剰に長い"Accept-Language"HTTPヘッダーによって
引き起こされ、悪用されると、DominoサーバにSYSTEM権限で任意のコードが実
行されてしまう。エクスプロイトコードは、今のところ公表されていない。

<現状>
IBMは、バージョン7.0.3 FP1および8.0.1にある脆弱性を修正した。

<参考>
IBMアドバイザリ
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21303057
MWR Infosecurity のアドバイザリ
http://www.mwrinfosecurity.com/publications/mwri_ibm-lotus-domino-accept-language-stack-overflow_2008-05-20.pdf
製品に関する文書
http://www.ibm.com/developerworks/lotus/documentation/domino/
SecurityFocus BID
http://www.securityfocus.com/bid/29310
────────────────

4.危険度【高】:Cisco IOSおよび Service Control EngineにSSH DoS

<影響のある製品>
特定の12.4ベースのIOSをSSHを有効にして運用しているCiscoデバイス
SSHが有効なService Control Engine(SCE)1000および2000シリーズデバイス

<詳細>
Ciscoデバイスは、通常、SSHプロトコルを介してリモートで管理されている。
特定のCisco IOS上のSSHサーバには複数の脆弱性がある。これらの脆弱性は、
未認証のアタッカーによってCiscoデバイスをリロードするのに悪用されるお
それがある。繰り返しアタックされるとDoS状態に至り、Ciscoデバイスに影響
を及ぼす。これら脆弱性の詳細はまだ公表されていない。Cisco Service
Control Engineデバイスは、ネットワークの帯域を管理するのに用いられるが、
これも、SSHサーバにある複数の脆弱性の影響を受ける。これらの脆弱性は、
SCEデバイスをリロードするのに悪用されるおそれがある。

<現状>
Ciscoは、IOSとSCEの脆弱なバージョンに修正版をリリースした。回避策とし
て、インターネットからCiscoデバイス管理インタフェースへのSSHアクセスを
ブロックするとよい。

<参考>
Ciscoのアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20080521-ssh.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20080521-sce.shtml
SecurityFocus BIDs
http://www.securityfocus.com/bid/29314
http://www.securityfocus.com/bid/29316
────────────────

5.危険度【高】:Cisco Unified Communications ManagerにDoS

<影響のある製品>
Cisco Unified CallManager 4.1
Cisco Unified Communications Manager 4.2、4.3、 5.x、6.x

<詳細>
Windowsプラットフォームで動作するCisco Unified Communications Manager
は、Ciscoの企業用VoIP実装の主要サーバである。Unified Communications
Managerは、機能を処理・ルーティングするコールに関与している。しかし、
これには、以下の条件で引き起こされるさまざまなDoS脆弱性がある:
(a) 不正形式のTCPパケットをTCP2444番ポートに送信する
(b) 不正形式のSIP JOINおよびINVITEリクエストを送信する
(c) 不正形式のUDPパケットをUDP61441番ポートに送信する
(d) 細工されたパケットをTCP3804番ポートに送信する
Ciscoアドバイザリによれば、不正形式のパケットは、ISICツールやその他の
Fuzzingツールを使って生成されるおそれがあるという。Call ManagerにDoSを
引き起こすと、企業内での通話サービスが失われることもあるので注意が必要
だ。

<現状>
Ciscoは、以下のバージョンをリリースして、脆弱性を修正:4.1.3SR7、
4.2(3)SR4、4.3(2)、5.1(3)、6.1(1)

<参考>
Ciscoアドバイザリ
http://www.cisco.com/en/US/products/products_security_advisory09186a0080995688.shtml
ISICツール
http://www.packetfactory.net/projects/ISIC/
Fuzzingツール
http://www.mixro.com/?Fuzz_Testing_Tools_and_Techniques
SecurityFocus BID
http://www.securityfocus.com/bid/29221

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。