NRI Secure SANS NewsBites 日本版

Vol.3 No.22 2008年6月9日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.22 2008年6月9日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
        SANS Future Visions 2008 Tokyo 開催決定!
    ~情報セキュリティの最新動向をキャッチアップする2日間~

     2008年7月1日(火)-2日(水) 会場:ホテル日航東京(お台場)

   ■Keynote、SANSセッションをはじめ合計41の無料セッション■
  ■セキュリティ管理者必須のトレーニングが特別価格にて受講可能!■

      参加受付け開始(事前登録制)詳細はこちら↓↓↓
       http://www.event-information.jp/sans-fv08/

   ※希望セッションが満員になる前に!!お早めにご登録ください!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■はじめに(Alan Paller:SANS Director of Research)

サイバーセキュリュイティ関連ニュースの多い一週間だった。Newsbites編集
者Ed Skoudisの言葉を借りると、以下のようになる。
「NewsBitesの記事全体(国家スパイ活動、電力網の脆弱性、原子力施設、放
射能分散の噂、脅威について議論する議会などなど)を見ると、我々は現在直
面している脅威についての議論が活発である大転換期の只中にいることがわか
る。もはやつまらないサイバー犯罪の域ではない。我々の重大なインフラにあ
る情報セキュリティの脆弱性に関連して、国家セキュリティ問題や大規模な安
全問題がある。生命が危険にさらされているようなものだ」

Ed(米国屈指の侵入テスト専門家)といえば、彼とEric Cole、Mike Poorは、昨
日、セキュリティにおける最も重大かつ新たな進展と傾向について、注目すべ
きWebキャストを行った。これを聞けば、SANS講師陣のランチでの会話にこっ
そり聞き耳を立てているような気分になれるかもしれない。無料。
https://www.sans.org/webcasts/show.php?webcastid=91898

NewsBites読者のための3つの新イニシアチブ

1. サイバーセキュリティ分野で、最もクールなキャリア・トップ20は?どこ
  で見つけられるか?その職に就くには、何の資格が必要か?これらの問いは、
  SANSの新プロジェクト、Rob Scolaによる"サイバーセキュリティにおける素
  晴らしいキャリア構築のためのロードマップ(Roadmaps To Great Careers
  In Cyber Security)プロジェクトのためのものだ。

2.大学の教科書に掲載されているコードサンプルにまで、セキュリティ欠陥が
  あるのだろうか?Fortifyの主任科学者Brian Chessは、「教科書にある欠陥
  は、たいていほんの15分以内で見つかってしまう」ことを何度も証明してい
  る。SANSは、大学教科書内のコード欠陥が発見された場合、最もユニークな
  事例のトップ30(教科書に1冊につき1つの事例に限る)に各100ドル、さら
  にトップ3には500ドルのボーナスを支払う意向。Brianも事例の評価を手伝
  う。参加希望者、もしくはBrianの欠陥発見方法の例を知りたい方は、
  「Security Errors in Programming Textbooks」としてapaller@sans.org
  メールを。

3.SCADAおよびコントロールシステムのセキュリティ。米国は、コントロール
  システムにある脆弱性を特定し、コントロールシステムのベンダーに問題を
  修正するよう説得することにおいて先導的役割を担ってきた。一方、重大な
  インフラ機関に実際に改善されたセキュリティを導入できる官民のパートナー
  シップの構築においては、ヨーロッパは大幅にその先を行く。英国と
  European Information Exchangesは、将来の情報共有の重要なモデルである。
  英国、オランダ、スイス、ドイツ、ヨーロッパコミュニティの政府代表ら、
  および米国の国土安全保障省(DHS)、エネルギー省、アイダホナショナルラ
  ボラトリー(INL)の代表が共同で、9月8・9日アムステルダムでのSCADAセ
  キュリティのサミット・ワークショップにおいて、コントロールシステムセ
  キュリティについてのスピーカー陣をまとめている。SANSがこのイベントの
  主催者だ。プログラムが来週には発表される。席は国ごとに割り当てられ米
  国の席は30であるため、早めに告知した次第。NewsBites読者で、プログラ
  ムの詳細を検討して早めに席を確保したい方は、件名「European SCADA
  Summit」でapaller@sans.orgにメールを。
────────────────

■■SANS NewsBites Vol.10 No.43-44
   (原版:2008年5月31日、6月4日配信)

◆ますます増える証拠:中国から重大なサイバー脅威(2008.5.31)

米国政府関係者とサイバーセキュリティ専門家によると、中国が、官民両セク
ターのコンピュータネットワークにアクセスを獲得していただけでなく、中国
のハッカーが、これまで数年間の米国における大規模な停電の原因だった可能
性を示す証拠がますます増えてきているという。今のところ、中国がこれらの
アタックの背景に潜んでいることを直接疑う言及はない。また、政府も「中国
が関与している」と明確には発言していない。しかし、中国のハッカーが、米
国のコンピュータシステムにアクセスして機密情報を収集していた証拠が徐々
に浮上しているようだ。あるケースでは、ビジネスマンが出張で中国に着いて
みると、交渉ミーティングの相手が全交渉項目における彼自身の最低基本ライ
ンをすでに把握していたことがあったいう。
http://www.nationaljournal.com/njmagazine/print_friendly.php?ID=cs_20080531_6948

【編集者メモ】(Veltsos)
このシナリオは、奇妙なほどに、MeltonとPiligian、Swierczynski著「スパイ
ガイド:オフィスのスパイ活動(The Spy's Guide: Office Espionage)」に似て
いる。(ISBN-13:978-1931686600)
────────────────

◆電力網セキュリティへの懸念について 米国下院議員Jim Langevinの質疑応
  答(2008.5.27)

新興の脅威および科学技術おける下院分科委員会議長の米国下院議員Jim
Langevin(ロードアイランド州民主党)は、オーロラ(Aurora)の脆弱性はまだ完
全に緩和されたわけではないとことに頭を悩ませているという。2007年3月に、
米国土安全保障省(DHS)がオーロラ発電機テスト(Aurora Generator Test)を行っ
たところ、発電所のコントロールシステムのリモートアクセスを獲得して発電
機を破壊することができてしまうことが実証された。Langevinは、米連邦エネ
ルギー規制委員会(FERC)に「産業界に対して脆弱性の修正に準拠することを義
務付ける法的権限」や、「電力網やその他組織が使用しているシステムの規制
を義務付ける権限」を設けてコントロールシステムのベンダーがより安全な製
品の製造できるように後押しするなど、セキュリティを改善できる行動につい
て議論した。
http://www.investors.com/Tech/TechExecQA.asp?artid=296765228592148

【編集者メモ】(Schutz)
FERCの力・権限を増やさなければ、電力会社や公益事業は、重大な発電所シス
テムにパッチを適用しないまま、放置し続けるだろう。
────────────────

◆米国商務省のノートパソコン 12月の訪中で侵害されたおそれ(2008.5.29)

匿名の情報源によれば、商務長官Carlos M.Gutierrezが12月に訪中した際、政
府のノートパソコンの内容がコピーされたかどうかについて、調査が行われて
いるという。その情報を通じて、商務省のコンピュータにアクセスされたおそ
れもある。Gutierrezの帰国後ただならぬ侵入の試みがあったため、それに対
処すべくUS-CERTは商務省に3回呼び出されたという。
http://www.themonitor.com/articles/department_12470___article.html/china_commerce.html

【編集者メモ】(Veltsos)
民間企業役員や政府関係者が海外に行くときは、ゆだねられたデータを、未承
認アクセスや情報開示、情報改ざんから正しく保護しなければならない。機密
情報のあるノートパソコンには。フルディスク暗号化(Full-disk encryption)
および二要素認証(two-factor authentication)機能を付けるべきだ。さらに、
セキュリティ専門家は出張用ノートパソコンに機密情報を入れないことを推奨
している。代わりに、そういったデータのために安全なオンラインソースをひ
とつ用意して、現地でそこにアクセスし、そこからデータを取り出すようにす
るとよい。
────────────────

◆ソシエテ・ジェネラル 侵害捜査結果を公表(2008.5.28)

ソシエテ・ジェネラル(Societe Generale)銀行は、トレーダーのJerome
Kervielの不正取引で70億ドルの損失を被った事件について、プライスウォー
ターハウスクーパーズ(PricewaterhouseCoopers)とともに捜査を行い、その結
果を公表した。報告書によれば、このような過剰取引を阻止するために作られ
た抑制と均衡の制度をかいくぐる技術がKervielにあったことと、同システム
についての監督者の理解不足が重なったために、問題の状態が実際このような
長い期間続いてしまったという。
http://www.darkreading.com/document.asp?doc_id=155024&f_src=darkreading_informationweek
【編集者メモ】(Honan)
以下の報告書を読んでみていただきたい。
http://www.efinancialnews.com/downloadfiles/2008/05/2350755836.pdf.
この報告書では、技術的、手順的、人事的コントロールの不足が重なると、悪
用に格好の機会が生まれてしまうことが強調されている。
────────────────

◆Microsoft ユーザーに対し欠陥に対する修正がリリースされるまでSafari
  をしないように要請(2008.5.30-6.2)

Microsoftのセキュリティチームはユーザーに対し、脆弱性に対する修正がリ
リースされるまで、Windows上のApple Safari Webブラウザを使用しないこと
をユーザーに推奨している。問題の脆弱性が悪用されると、ユーザーの操作な
しにファイルをダウンロードして実行できるようになってしまう。問題は、
Safari内のデフォルトのダウンロード場所と、Windowsのデスクトップが実行
ファイルを管理する方法が合わさったときに発生するという。この欠陥は、
SafariがインストールされたWindows XPおよびVistaで、サポート対象のバー
ジョンに影響を及ぼす。
http://www.securityfocus.com/brief/746
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9091638&source=rss_topic17
http://www.theregister.co.uk/2008/05/31/microsoft_warns_against_apple_safari/print.html
http://www.microsoft.com/technet/security/advisory/953818.mspx

【編集者メモ】(Grefer)
Microsoftのセキュリティアドバイザリの「緩和要素」の項目においてデフォ
ルトのダウンロード場所を変更し、Safariがコンテンツをローカルドライブに
ダウンロードするようにしているユーザーは、この混合脅威に影響を受けない
と述べられている。この設定を行いたい方は、まずEdit(編集)から、
Preference(プリファレンス)に行き、General(一般的な設定)で「Save
download files to(ファイルの保存先)」をクリックすれば、新しい保存先
を設定できる。
────────────────

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年5月30日 Vol.7 No.22)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          3 (#3, #6, #7)
Apple                      1 (#2)
Linux                     2
クロスプラットフォーム             5 (#1, #4, #5, #8)
Webアプリ-クロスサイトスクリプティング     6
Web アプリ- SQLインジェクション         11
Webアプリ                    14
ネットワークデバイス              1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週の重大な脆弱性のうちのいくつかは、ことさら厄介だ。Adobe Flashが盛
んに悪用されているが、パッチはリリースされていない。Apple OS X(10.5.3
以前のバージョン)にある欠陥の中には、Mac未承認のリモートコントロールが
可能になってしまうものもある。IBM SameTime(軍の機密組織の多くで使用さ
れている)には、リモートのコード実行が可能になってしまうバッファオーバー
フローの脆弱性がある。ストレージシステムにおけるリーダーで、RSAおよび
VMWareのオーナーであるEMCのバックアップソフトウェアには、重大な脆弱性
が複数存在していた。

中でも、Adobeの問題はほとんどの人に影響を与えるだろう。Adobe製品の中に
は、新しいバージョンに更新しても旧バージョンの実行ファイル(しかもパッ
チ適用されていない)をコンピュータに置き去りにしてしまい、それをユーザー
に知らせてくれないという噂がある。@RISK読者の中にこの噂を検証した方は?
もし検証されていたら、ぜひ結果を教えていただきたい。事実だとすると重大
事態である。apaller@sans.orgまでご一報を。
────────────────

1.危険度【重大】:Adobe Flash Playerにリモートのコード実行脆弱性

<影響のある製品>
Adobe Flash Player 9.0.115.0までのバージョン
複数のプラットフォーム上のAdobe Flash Player 9.0.124.0までのバージョン

<詳細>
Adobe Flash Playerは、インターネットにおける高度なWebコンテンツプレー
ヤとして、最も広範に使用されており、全Microsoft WindowsとApple Mac OS
Xにデフォルトでインストールされている。また、UnixやLinuxのシステムにも
含まれている場合が多い。しかし、Flashファイル処理にリモートのコード実
行の脆弱性がある。Flashファイルが細工されると引き起こされ、現在のユー
ザー権限で任意のコードを実行できるようになってしまう。現在、技術的詳細
はほとんど公表されていないが、この脆弱性は巷間で悪用されている。Flash
コンテンツは、Webブラウザ設定のほとんどでデフォルトで表示されるように
なっている。また、中には悪意のあるFlashコンテンツを供給するために勝手
に用いられている広告ネットワークがあるという報告もある。この脆弱性は、
他のプラットフォームのFlash Playerにも影響をおよぼすと考えられている。

<現状>
Adobeはこの問題を認めており、更新をリリースしている。可能であれば、
Flash player installの実装を無効にするとよい。

<参考>
Adobeのブログ記事
http://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue.html
Secuniaのアドバイザリ
http://secunia.com/advisories/30404/
SecurityFocus BID
http://www.securityfocus.com/bid/28695
────────────────

2.危険度【重大】:Apple Mac OSに複数の脆弱性(Security Update 2008-003)

<影響のある製品>
Apple Mac OS X 10.5.3までのバージョン

<詳細>
Apple Mac OS Xのコンポーネントの中には複数の脆弱性を含むものもある。ユー
ザー処理およびネットワークリクエスト処理、複数のファイル、文書、メディ
ア形式の処理に欠陥があり、これらの欠陥から、脆弱なプロセス権限での任意
のリモート・コード実行に至るおそれがある。また、認証処理には論理欠陥が
あり、任意の情報開示に繋がるおそれがある。さらに、クロスサイトスクリプ
ティング、DoSなどの脆弱性もある。脆弱性の中は、同梱のサードパーティア
プリケーションやコンポーネントの欠陥が原因のものもある。更新を行えば、
前述したAdobe Flashの脆弱性にも対処できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT1897
SecurityFocus BID
http://www.securityfocus.com/bid/29412
────────────────

3.危険度【重大】:Cerulean Studios Trillianに複数の脆弱性

<影響のある製品>
Cerulean Studios Trillian 3.1.10.0までのバージョン

<詳細>
Trillianは、Cerulean Studios製マルチプロトコロルのインスタントメッセー
ジアプリケーションである。しかし、インスタントメッセージングプロトコル
のいくつかの処理に複数の脆弱性があり、また、HTML解析にも脆弱性がある。
AIMやMSNメッセージ、HTML IMGタグが細工されると、バッファオーバーフロー、
もしくはメモリ崩壊脆弱性のいずれかを引き起こしてしまう。悪用が実現する
と、現在のユーザー権限で任意のコードを実行できるようになってしまう。こ
れら脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-029/
http://zerodayinitiative.com/advisories/ZDI-08-030/
http://zerodayinitiative.com/advisories/ZDI-08-031/
ベンダーのホームページ
http://www.ceruleanstudios.com/
SecurityFocus BID
http://www.securityfocus.com/bid/29330
────────────────

4.危険度【重大】:IBM Lotus SametimeのCommunity Services Multiplexerに
  バッファオーバーフロー脆弱性

<影響のある製品>
IBM Lotus Sametime 8.0.1までのバージョン

<詳細>
IBM Lotus Sametimeは、企業用インスタントメッセージおよびカンフェレンス
アプリケーションである。しかし、"Community Services Multiplexer"コンポー
ネントにはバッファオーバーフロー脆弱性がある。Sametimeサーバへのリクエ
ストが細工されるとこのバッファオーバーフロー脆弱性を引き起こし、脆弱な
プロセス権限で任意のコードを実行できるようになってしまう。この脆弱性の
全技術的詳細および概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-028/
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/29328.pl
IBMのセキュリティアドバイザリ
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21303920
製品のオームページ
http://www-306.ibm.com/software/lotus/sametime/
SecurityFocus BID
http://www.securityfocus.com/bid/29328
────────────────

5.危険度【重大】:EMC AlphaStorに複数の脆弱性

<影響のある製品>
AlphaStor 3.1 SP1までのバージョン

<詳細>
EMC AlphaStorは、企業用保存管理アプリケーションとして広範に使用されて
いる。しかし、ユーザーのリクエスト処理にさまざまな脆弱性がある。また、
サーバエージェントとライブラリマネージャのコンポーネントには、複数のバッ
ファオーバーフロー脆弱性がある。これらのコンポーネントのいずれかへのリ
クエストが細工されると、バッファオーバーフローのいずれかが引き起こされ、
脆弱なプロセス(SYSTEMの場合が多い)権限で任意のコードを実行できるよう
になってしまう。これらの脆弱性を悪用するのに認証は必要ない。これらの脆
弱性の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。
可能であれば、TCP3500番ポートおよび41025番ポートへのアクセスをネットワー
ク境界でブロックすれば、この脆弱性の影響を軽減できる。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=702
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=703
製品ホームページ
http://www.emc.com/products/detail/software/alphastor.htm
SecurityFocus BID
まだリリースされておらず
────────────────

6.危険度【高】:Creative のソフトウェアAutoUpdate EngineのActiveXコント
  ロールにバッファオーバーフロー脆弱性

<影響のある製品>
Creative Labs AutoUpdate Engine ActiveXコントロール

<詳細>
Several Creative Labs製品には自動更新機能がついており、この機能は
AutoUpdate Engine ActiveXコントロールによって提供されている。しかし、
このコントロールの'cachefolder'プロパティに、バッファオーバーフローの
脆弱性がある。この脆弱性を悪用するようにWebサイトが細工されると、現在
のユーザー権限で任意のコードが実行されるおそれが生じる。この脆弱性の全
技術的詳細および概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能をCLSID"0A5FD7C5-A45C-49FC-ADB5-9952547D5715
に設定して問題のコントロールを無効にすれば、影響を軽減できる。

<参考>
概念実証コード
http://milw0rm.com/exploits/5681
US-CERT脆弱性ノート
http://www.kb.cert.org/vuls/id/501843
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
まだリリースされておらず
────────────────

7.危険度【高】:Alt-N MDaemon IMAP ServerのFETCHコマンド処理にバッファ
  オーバーフロー脆弱性

<影響のある製品>
Alt-N MDaemon 9.6.4 までのバージョン

<詳細>
MDaemonは、Alt-N製のメールサーバとして広範に使用されている。しかし、
IMAPコンポーネントのIMAP "FETCH"コマンド処理には、バッファオーバーフロー
の脆弱性がある。FETCHリクエストが細工されると引き起こされる。悪用が実
現すると、脆弱なプロセス(SYSTEMの場合が多い)権限で任意のコードが実行で
きるようになってしまう。この脆弱性を悪用するのに認証は必要ない。この脆
弱性の全技術的詳細および概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/28245.py
ベンダーのホームページ
http://www.altn.com/
SecurityFocus BID
http://www.securityfocus.com/bid/28245
────────────────

8.危険度【高】:Samba SMBのレスポンス処理にメモリ崩壊脆弱性

<影響のある製品>
Samba 3.0.0から 3.0.29までのバージョン

<詳細>
Sambaは、Server Message Block(SMB)およびCommon Internet
Filesystem(CIFS)プロトコルスタックのサーバ実装やクライアント実装を提供
するオープンソースアプリケーションとして、広範に使用されている。これに
よって、WindowsではないシステムもMicrosoft Windowsスタイルのサービスに
アクセスしたり、それを提供したりできるようになる。しかし、Sambaのサー
バレスポンス処理には欠陥がある。サーバレスポンスが細工されると、メモリ
崩壊脆弱性が引き起こされ、現在のユーザー権限で任意のコードを実行できる
ようになってしまう。悪用を実現するには、ユーザーを悪意のあるSMBサーバ
に接続させなくてはならない。この脆弱性の全技術的詳細は、ソースコードを
解析すれば入手できる。

<現状>
Sambaはこの問題を認めており、更新をリリースしている。

<参考>
Sambaのセキュリティアドバイザリ
http://www.samba.org/samba/security/CVE-2008-1105.html
SMB/CIFSについてのWikipediaの説明
http://en.wikipedia.org/wiki/Server_Message_Block
Sambaホームページ
http://www.samba.org
SecurityFocus BID
http://www.securityfocus.com/bid/29404

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。