NRI Secure SANS NewsBites 日本版

Vol.3 No.2 2008年1月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.2 2008年1月16日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2008 Spring
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2008年2月25日~3月1日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          https://www.event-information.jp/sanstokyo08/

┃   !!SANSのトップインストラクター Eric Cole 再来日!!
┃   !!短期コース開催! 短い時間で効果的にスキルアップ!!

┃ SEC401 SANS Security Essentials Bootcamp Style(6日コース)
┃ SEC519 Web Application Security Workshop(2日コース)
┃ SEC517 Cutting-Edge Hacking Techniques Hands-On(2日コース)
┃ SEC533 Windows PowerShell(1日コース)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!
────────────────

■はじめに(Alan Paller:SANS Director of Research)

2008年は、最新の技術やスキルを身につけたセキュリティ専門職者らの好機で
ある(未だに2005-6年の技術に頼っている者は狼狽する年になろう)。
4月、オーランドで開催されるSANS2008では、長短合わせて40コースが開かれ、
スキルを新たに獲得する絶好のチャンスとなっている。詳細はこちら:
http://www.sans.org/sans2008
────────────────

■■SANS NewsBites Vol.10 No.2
   (原版: 2008年1月9日配信)

◆SQLインジェクションアタック Webサイト数千件が餌食(2008.1.7-8)

少なくとも7万件のWebサイトが、自動化されたSQLインジェクションアタック
の餌食となっている。問題のアタックは、Microsoftが2006年4月にパッチを発
行したMicrosoft Data Access Components(MDAC)の欠陥など複数の脆弱性を悪
用できるものだ。ユーザーは他のドメイン[uc8010.com]にリダイレクトされ、
そのドメインでキーストローク・ロガーに感染させられてしまう。現在、これ
らサイトの多くは洗浄された模様。このアタックは、昨年、スーパーボウル決
戦直前にマイアミドルフィンズ・スタジアムのWebサイトに仕掛けられたもの
に似ている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=16&articleId=9055858&intsrc=hm_topic
http://www2.csoonline.com/blog_view.html?CID=33430
http://www.theregister.co.uk/2008/01/08/malicious_website_redirectors/print.html

【編集者メモ】(Paller)
2006年公表の研究結果によると、Webサイトの70%に脆弱性(うち25%がSQLイ
ンジェクション)があるという。こうしたサイトは、安全なWebアプリケーショ
ン構築実績のないプログラマーによって作成されている。今回これだけ大量の
アタック被害が発生したことが、問題の深刻さを表わす何よりの証拠だろう。
しかし、今ならWebアプリケーションのセキュリティスキルの標準化試験があ
る。この試験に合格していないプログラマーに構築を任せていた場合は過失と
なり、今回のようなアタックで生じた債務を負うことになりかねない。同様の
アタックは2008年急増するであろう。試験情報に関してはこちら:
http://www.sans.org/gssp
────────────────

◆カリフォルニア州 侵害通知法の適用範囲を拡大(2008.1.3-7)

カリフォルニアのデータ侵害通知法(SB1386)の適用範囲が拡大され、暗号化
されていない電子医療保険データなども含むようになる。以前は、この法の対
象は金融データのみだった。しかし、今回、人名が関連しているデータに関し
て侵害があった場合も侵害通知が義務付けられることとなった。対象データに
社会保険番号がなくても通知が必要となる。全ての州政府局、および、カリフォ
ルニア州で事業を営む全企業が適用対象となる。世界プライバシーフォーラム
(World Privacy Forum)での、医療に関する個人情報窃盗により毎年25万人の
犠牲者が出ているとの報告が、法改正理由のひとつだ。また、同法は個人医療
情報保持組織に対し、患者本人の許可なく開示することを禁じている。
http://www.scmagazineus.com/California-data-breach-disclosure-law-extended-to-cover-medical-records/PrintArticle/100459/
http://www.sfgate.com/cgi-bin/article.cgi?file=/c/a/2008/01/04/BUR6U9000.DTL&type=printable

【編集者メモ1】(Schultz)
カリフォルニア州は、データセキュリティ侵害発生後の侵害通知を義務付ける
法においてまたも一歩先んじた。他州もこれに続くことは間違いないだろう。
しかし、気がかりな問題がある。米国政府自体が、同様の条項を含んだ法をい
まだ可決していない……。
【編集者メモ2】(Honan)
データ侵害通知で一歩先を行くカリフォルニア州に、再度ブラボー! EUも同
様の法を導入するために積極的な一歩を踏み出してほしい。
────────────────

◆米国連邦航空局(FAA):ドリームライナー787コンピュータシステム
  セキュリティリスクをもたらす(2008.1.4-7)

米国連邦航空局(FAA)の報告によると、ボーイング787ドリームライナージェッ
ト機搭載コンピュータのネットワークには、航空機のコントロールシステムに
アクセス可能な脆弱性があるという。問題のネットワークは、搭乗客が機中で
インターネットにアクセスできるようにするもので、機体コントロール・ナビ
・通信システム、および航空会社のビジネス・サポートネットワークにも接続
可能。ボーイング社はこの問題を認めており、近々修正プログラムをテストす
る予定。787ドリームライナーは、2008年11月より航行を開始する予定となっ
ているが、ボーイング社がこの問題の修正完了を実証しない限り、FAAは航行
を許可しない姿勢だ。ボーイングの広報によると、FAAの報告書は誤解を招く
ものであり、「ネットワークに接していない場所もそうでない場所もある」
と述べている。
http://www.wired.com/politics/security/news/2008/01/dreamliner_security
http://www.theregister.co.uk/2008/01/07/boeing_dreamliner_hacker_concerns/print.html

【編集者メモ1】(Ullrich)
エアギャップが入る余地あるとしたら、それは機体のコントロールシステムと
旅客ネットワークの間だろう。
【編集者メモ2】(Pescatore)
投票マシンがそうであったように、実際に問題があるのか、それとも単に過剰
に語られているだけなのかを判断できるまでには、長い時間を要するだろう。
過去にも多くの事故(Windowsのワームが出回ったときにATMネットワークがダ
ウンしたり、電車が発車しなかったり)あったが、これらはみな、ある場所に
だけ接しているネットワーク間に正しく配備されたコントロールが、完全に無
効な状態だったために起こったのだ。
【編集者メモ3】(Schultz)
実のところ、機内の情報セキュリティ問題は、決してボーイング787だけに限
ったことではない。しかし、過去に私が見てきたところでは、コンピュータシ
ステム自体に物理的にアクセスしないかぎり、悪用は不可能だった。搭乗客が
機体のコンピュータシステムに未承認でリモートアクセスできるようになって
しまったら…と想像すると、かなりぞっとする。
────────────────

◆アルカイダ 携帯電話用にフォーマットされた動画を提供(2008.1.6)

USA Todayやその他のレポートによると、アルカイダのメディア部門アルサハ
ブは、携帯電話にダウンロードできるようにフォーマットされた動画をWebサ
イトに掲示し始めたという。
http://www.usatoday.com/tech/wireless/phones/2008-01-05-alqaeda_N.htm?csp=34
http://www.textually.org/textually/archives/2008/01/018562.htm

【編集者メモ】(Northcutt)
ここで唯一驚いたのは、彼らがこれを実行するまでにずいぶんと時間がかかっ
たということだけである。アルサハブの技術力は今後ますます上がっていくだ
ろう。その間の西欧側はといえば、ただ座っているだけの事務職員がアルカイ
ダ形式のトレーニング映像のパロディでも作るのが関の山だ。
http://www.youtube.com/watch?v=ehGlqEQSiCI
http://www.youtube.com/watch?v=Yd9vLW1D5Uw&feature=related
YouTube世代には、むしろ問題の断首刑の動画を閲覧させた方がよいのではな
いかと思う。そうすれば、少なくともアルカイダが本気であることがわかるだ
ろう。最後にセキュリティ認識のコツをひとつ。ブットが暗殺された翌日、
その暗殺映像があるという噂が流れた。そのため、人々はこぞって関連のあり
そうなリンクをクリックしてしまい、その結果、もちろん彼らのマシンは感染
したのだった。
2008年の抱負:
どうにかして、クリックする前に今一度よく考えるように、コミュニティを挙
げて皆に教えよう。
http://www.vnunet.com/vnunet/news/2206379/bhutto-assassination-becomes
http://www.avertlabs.com/research/blog/index.php/2007/12/28/benazir-bhutto-assassination-new-avenue-for-spreading-malware/
────────────────


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年1月7日 Vol.7 No.2)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品     1
サードパーティWindowsアプリ          3 (#4, #5)
Linux                     1
HP-UX                     1 (#3)
クロスプラットフォーム            12 (#1, #2, #3)
Webアプリ…XSS                 9
Webアプリ…SQLインジェクション         5
Webアプリケーション              9
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Real Networks RealPlayerおよびMySQLのSSL機能に、今週新たに重大な脆弱性
が発見された。
────────────────

1.危険度【重大】:yaSSLに複数の脆弱性

<影響のある製品>
yaSSL 1.7.5までのバージョン

<詳細>
YaSSLは、Secure Sockets Layer(SSL)のオープンソース実装であり、認証や暗
号機能をネットワーク通信に追加するときに使用されるTransport Layer
Security(TLS)基準である。しかし、YaSSLのSSLストリーム処理には複数の脆
弱性がある。クライアントからのリクエストが細工されると、これらの脆弱性
が悪用され、ライブラリを使用して脆弱なプロセス権限で任意のコードを実行
できるようになってしまう。これらの脆弱性の全技術的詳細および概念実証コー
ドが公表されている。広範囲で使用されているMySQLデータベースサーバは、
yaSSLを使用しているので注意が必要だ。MySQLでSSLサポートが有効になって
いるものは、認証前であってもコード実行アタックに脆弱であることが確認さ
れている。MySQL脆弱性の概念実証コードも公表されている。

<現状>
YaSSLはこの問題を認めていないため、更新もリリースしていない。

<参考>
Luigi Auriemmaによるアドバイザリ (YaSSLの概念実証コードも含む)
http://aluigi.altervista.org/adv/yasslick-adv.txt
Luigi Auriemmaによる掲示(MySQLの概念実証コード)
http://www.securityfocus.com/archive/1/485811
Transport Layer Security についてのWikipediaの説明
http://en.wikipedia.org/wiki/Transport_Layer_Security
ベンダーのホームページ
http://yassl.com/
SecurityFocus BID
http://www.securityfocus.com/bid/27140
────────────────

2.危険度【重大】:Real Networks RealPlayerおよびHelix Serverにリモート
  のコード実行の詳細未公表の脆弱性

<影響のある製品>
Real Networks RealPlayer 11までのバージョン
Helix Server 11までのバージョン

<詳細>
広範囲で使用されているストリーミングメディアプレイヤ、Real Networks
RealPlayerと、人気の高いストリーミングメディアサーバ、Helix Serverには、
詳細未公表のリモートのコード実行脆弱性がある。RealPlayer Data Streamか
Real Time Streaming Protocol(RTSP)リクエストが細工されると、これらの脆
弱性が引き起こされ、脆弱なプロセス権限で任意のコードを実行できるように
なってしまう。RealPlayerのコンテンツは、一般的にユーザーにプロンプトす
ることなしにデフォルトで表示されるようになっており、Helix Serverは、お
おむね任意のリクエストを受け付けるようになっている。この脆弱性に関して
前述以上の詳細は公表されていないが、Immunity Security Partners'
Programのメンバー用に概念実証コードが公表されている。どのサポートプラッ
トフォームにおいても、RealPlayerは脆弱だと考えられている。

<現状>
Real Networksはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コードと称されるもののビデオデモ
http://gleg.net/realplayer11.html
http://gleg.net/realserver.html
Evgeny Legerovによる掲示
http://lists.immunitysec.com/pipermail/dailydave/2008-January/004811.html
概念実証コード
http://c.uc8010.com/111.htm
Real Networksのホームページ
http://www.real.com/
SecurityFocus BIDs
http://www.securityfocus.com/bid/27091
http://www.securityfocus.com/bid/27122
────────────────

3.危険度【高】:複数製品のSWFファイルにクロスサイトスクリプティングの脆
  弱性

<影響のある製品>
2007年12月以前にリリースされたAdobe Flash Player
InfoSoft Fusion Charts
Techsmith Camtasia

<詳細>
SWFは、Adobe/Macromedia Flash コンテンツをwebに表示させるためのファイ
ル形式である。このSWFファイルをwebコンテンツ用に自動生成するツールには、
安全でない形で動作しているものがあるため、任意のJavaScriptコードインジェ
クションが引き起こされてしまう。これらのファイルをホストしているサーバ
は、クロスサイトスクリプティング(XSS)アタックに脆弱である。これらの脆
弱性の全技術的詳細および概念実証コードが公表されている。しかし、アドバ
イザリにリストアップされているのはすでに修正されたツールのみである。こ
れらの脆弱性の中には、@RISKのバックナンバーにある各製品の更新情報で言
及されていたものもある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Rich Canningsによる掲示 (概念実証コードも含む)
http://docs.google.com/View?docid=ajfxntc4dmsq_14dt57ssdw
Rich Canningsによる掲示
http://www.securityfocus.com/archive/1/485722
クロスサイトスクリプティングについてのWikipediaの説明
http://en.wikipedia.org/wiki/Cross-site_scripting
SecurityFocus BID
http://www.securityfocus.com/bid/27109
────────────────

4.危険度【高】:Georgia SoftWorks SSH2サーバに複数の脆弱性

<影響のある製品>
Georgia SoftWorks SSH2サーバ7までのバージョン

<詳細>
Georgia SoftWorks SSH2サーバは、Microsoft Windows用のSecure Shellサー
バとして広範囲で使用されている。Secure Shellは、インターネットで標準と
なっている安全なデータ送信およびセッションプロトコルであり、リモート管
理にしばしば用いられる。しかし、このGeorgia SoftWorks SSH2サーバのユー
ザーインプット処理には複数の脆弱性がある。それらの脆弱性の中には、ログ
メッセージや過剰に長いパスワードを処理する際に生じる2つのバッファオー
バーフロー、ログメッセージ処理時に引き起こされる書式文字列脆弱性がある。
これらの脆弱性の悪用が実現すると、脆弱なプロセスで任意のコードを実行す
るか、もしくはDoS状態を引き起こすことができるようになってしまう。これ
らの脆弱性の概念実証コードおよび全技術的詳細が公表されている。

<現状>
Georgia SoftWorksはこの問題を認めていないため、更新もリリースしていな
い。

<参考>
Luigi Auriemmaによるアドバイザリ(概念実証コードも含む)
http://aluigi.altervista.org/adv/gswsshit-adv.txt
Secure ShellについてのWikipediaの説明
http://en.wikipedia.org/wiki/Secure_Shell
Georgia SoftWorksのホームページ
http://www.georgiasoftworks.com/
SecurityFocus BID
http://www.securityfocus.com/bid/27103
────────────────

5.危険度【高】:JustSystems一太郎にバッファオーバーフローの脆弱性

<影響のある製品>
JustSystems一太郎13までのバージョン
JustSystems一太郎2007までのバージョン

<詳細>
JustSystems一太郎は、日本語のワードプロセッサとして広範囲で使用されて
いる。しかし、"JSFC.DLL" コンポーネントに、バッファオーバーフローの脆
弱性がある。一太郎文書が細工されるとこの脆弱性が引き起こされ、現在のユー
ザー権限で任意のコードが実行されてしまう。設定によっては、一太郎文書は
ユーザーにプロンプトすることなしに受信と同時に開かれてしまうので注意が
必要だ。2007年には、一太郎にあった同様の脆弱性がワームの伝播に悪用さ
れた。同脆弱性は@RISKのバックナンバーに掲載されている。

<現状>
JustSystemsはこの問題を認めており、更新をリリースしている。

<参考>
JustSystems セキュリティアドバイザリ(日本語)
http://www.justsystems.com/jp/info/pd8001.html
Fourteen Fortyセキュリティアドバイザリ(日本語)
http://www.fourteenforty.jp/research/advisory.cgi?FFRRA-20080107
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=51&rss=Y#other1
JustSystemsのホームページ(英語)
http://na.justsystems.com/index.php
SecurityFocus BID
http://www.securityfocus.com/bid/27153

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。