NRI Secure SANS NewsBites 日本版

Vol.3 No.28 2008年7月24日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.28 2008年7月24日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          SANS Tokyo 2008 Autumn 開催決定!!
    ~世界で最も体系化された情報セキュリティトレーニング~

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者・技術者、Java開発者必須の3コースを開催■
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!

■はじめに(Alan Paller:SANS Director of Research)

評価や監査のガイダンスとしてNISTのSP800-53を使用している方へ:
NISTの最新のSP800-53Aには、政府や請負業者がアプリケーションのセキュリ
ティに一貫性のある高信頼度のテストを行うための重要な開始ポイントについ
て掲載されている。
http://csrc.nist.gov/publications/nistpubs/800-53A/SP800-53A-final-sz.pdf.

この新検査ガイドが、最新で信頼性があり、繰り返し利用可能なセキュリティ
診断において、その最大の可能性を引き出せるよう、SP800-53コンセンサス監
査ガイド(CAG)と称される追加プロジェクトが立ち上げられた。CAGでは、NSA、
US CERT、米国サイバーセキュリティセンター(National Cyber Security
Center)、SANSインターネットストームセンターからの最新の脅威情報がまと
められ、各コントロールをテストできる、繰り返し利用可能な具体的な尺度を
定義する。重大な脅威によってもたらされるリスクを軽減するために、これら
の尺度を用いることができるようになる。連邦CIO委員会およびCISO委員会の
承認を得れば、CAGは、監査人が使用できるガイドとなるだけでなく、CIOらも
使用できるガイドになる。そしてCIOらは、監査で何が見つかるかを事前に把
握することもできるようになる。現在、セキュリティ監査のエキスパートらが
委員会を結成しようとしているところだ。この委員会でまず原案を作成し、パ
ブリックコメントを募る意向だ。豊富なセキュリティ監査経験のある方は、現
在の役職、関連する経験についての短いサマリーとCAG委員会委員志望理由を
添えて、apaller@sans.orgまで。
────────────────

■■SANS NewsBites Vol.10 No.54-55
   (原版:2008年7月12日、16日配信)

◆重大なDNS欠陥:修正されましたか?(2008.7.9)

Domain Name System(DNS)に重大な欠陥がある。コンピュータやソフトウェア
開発者らは、ここ数ヶ月間、密かにその対処に努めていたが、火曜日に修正
プログラムが発表された。IO ActiveのDan Kaminskyが、セキュリティとは無
関係な研究を行っている最中に欠陥を発見。主要ベンダー各社にその旨連絡し
た。各ベンダーは共同で修正プログラムを作成する中、問題の詳細を秘密にし
てきた。Kaminskyが8月のBlack Hat 2008で初めて公表する。
http://news.cnet.com/8301-10789_3-9985815-57.html
http://news.bbc.co.uk/2/hi/technology/7496735.stm
http://www.theregister.co.uk/2008/07/09/dns_fix_alliance/
http://www.siliconrepublic.com/news/article/10991/cio/security-experts-join-to-fix-major-flaw-in-webs-backbone
http://technology.timesonline.co.uk/tol/news/tech_and_web/article4301557.ece

【編集者メモ1】 (Honan)
The Registerの記事
(http://www.theregister.co.uk/2008/07/09/dns_bug_student_discovery/)
よると、この欠陥はもともと、GIAC Security Essentials
Certification(GSEC)取得に向けて勉強していたIan Greenという学生が3年前
に発見したものだという。Ianの文書はこちら:
http://www.sans.org/reading_room/whitepapers/dns/1567.php
【編集者メモ2】(Northcutt)
この問題自体は古いニュースなのかもしれない。しかし、今がその修正を行う
べき時であることは間違いない。
────────────────

◆オランダの大学 RFIDチップの製造企業に訴えられる(2008.7.8)

NXP Semiconductors社は、ラドバウンド大学(オランダ)による、ロンドン公
共交通機関ネットワークで広範に使用されているOysterスマートカードのクラッ
キングに関する論文の発表を阻止する目的で、同大学を訴えるという。同大学
の研究者らは、10月にスペインで開催されるセキュリティカンファレンスで、
Oysterカードに使用されているNXP製のMiFare RFIDチップをハッキングし、ク
ローンを作成した工程を明かす予定だった。NXP Semiconductors社は、この論
文の発表を「安全上の問題」から阻止したい意向。
http://www.vnunet.com/computing/news/2221160/chip-maker-sues-oyster-hackers
http://news.zdnet.co.uk/security/0,1000000189,39444421,00.htm?r=2

【編集者メモ1】(Schultz)
NXPは誰をだまそうとしているのだろう? ほかにも多くの個人や組織が、もう
Oysterスマートカードのクラッキング方法を知っているに違いないし、そうで
なくとも近いうちに知ることになる。脆弱性関連情報の周知を抑制する行為は、
ごく短期間の一時的な修正にしかならないということが、やがてわかるだろう。
【編集者メモ2】(Northcutt)
ユーロ通貨ゾーンにおける一般的な状態がいかなるものかがよくわかった。
【編集者メモ3】(Pescatore)
Oysterスマートカードのオランダバージョンのハッキングについての詳細は6
ヶ月前に、今回の問題については3月に明らかになっていたようだが……。論
文が発表されれば、悪者の活動を最小限にとどめる手助けにはなるだろうが、
今更遅すぎる感もある。
────────────────

◆米国上院議会 新通信傍受措置を可決(2008.7.9)

米国上院議会は、テロ対策で電子監視プログラムに参加した通信企業に法的保
護措置を与える法案を可決した。同法案は69対28で可決し、あとはブッシュ大
統領の調印を待つのみである。この法案に対する批判者らは、同法案によって
令状のない監視・盗聴行為が米国民の通信に行えるようになってしまうだけで
なく、十分な安全措置さえもないと述べている。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=208808232
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9108258&source=NLT_SEC&nlid=38
http://www.washingtonpost.com/wp-dyn/content/article/2008/07/09/AR2008070901780.html
────────────────

◆英国貴族院 データ侵害開示法を求める(2008.7.8)

英国貴族院科学技術委員会は、個人のインターネットセキュリティについての
報告書(データ侵害開示法の導入を求めていた)に次いで、追加報告書を発行し
た。サイバー犯罪の犠牲者が犯罪の発生を警察よりも銀行に報告すべきだ、と
いうルールを逆転させるよう求める内容だ。また、貴族院は議会に対し、電子
詐欺で生じた損失の責任を銀行に持たせるようにも求めている。同委員会は
2007年に数々の推奨策を含む報告書を発行したが、英国政府はその後それらを
導入していない。英国歳入関税局(HMRC)で個人情報記録2500万件が行方不明に
なるなど、最近データ侵害が相次いでいることから、インターネットセキュリ
ティが注目を浴びるようになった。この報告書は以下で。
http://www.publications.parliament.uk/pa/ld200708/ldselect/ldsctech/131/131.pdf
http://www.theregister.co.uk/2008/07/08/peers_cybercrime_shakeup/
http://news.zdnet.co.uk/security/0,1000000189,39444410,00.htm?r=2

【編集者メモ1】(Pescatore)
これはまさに必要なものだ。実は私も、米国の「行き過ぎた開示」は逆に市民
の鈍感を増殖させ、「私の責任」と明示した開示行為が実際の問題防止策より
も安くあがる、という考えにつながると懸念していた。しかし私は間違ってい
た。CEOや取締役会は、醜聞に鈍感になることはないようだ。消費者は鈍感に
なるようだが……。
【編集者メモ2】(Honan)
BBCは、「身元詐称詐欺で生じた損失の責任は誰に? 銀行かそれとも顧客自身
か?」という問題を浮き彫りにしたコメディ寸劇を放映している。
http://www.youtube.com/watch?v=CS9ptA3Ya9E
────────────────

◆米国行政予算管理局 「信頼できるインターネット接続」イニシアチブで進
  展を報告(2008.7.10)

米国行政予算管理局(OMB)によれば、政府局は、信頼できるインターネット接
続(TIC)イニシアチブのもと、連邦政府に提供されているインターネット・ゲー
トウェイの数を減らしているという。TICは、インターネットへのゲートウェ
イを100以内におさめることを目的としており、2009年に完了する予定である。
これらのゲートウェイは、政府局か、TICアクセスプロバイダのサービスによっ
て提供されているものだ。このイニシアチブが始動した1月時点では、インター
ネットへの外部接続は4,300存在していた。5月までに、その数は2,758に減少
している。イニシアチブに参加している政府局は、アインシュタイン技術を施
行して、信頼できるインターネットゲートウェイ通信を継続的に監視していく
意向である。
http://www.fcw.com/online/news/153102-1.html
http://www.gcn.com/online/vol1_no1/46634-1.html

【編集者メモ】(Schultz)
ゲートウェイを減らしてしまうとDoSアタックの影響を受けやすくなるおそれ
があることを、果たしてOMBは考慮したのだろうか?
────────────────

◆FISA法に異議を唱える裁判(2008.7.11)

American Civil Liberties Union(ACLU)やAmnesty Internationalなど、市民
の自由団体の多くが、新たに調印された外国諜報活動偵察法(FISA)改正法に
異議を唱える裁判を起こした。FISAでは、令状によらない電子通信の監視、お
よびそのような監視を行った通信会社がその後裁判から免れられる免責措置が
許可されている。この裁判では、FISAは、政府が正当な理由なしに捜索や差押
えを行うことを阻止する合衆国憲法改正第4条に違反している、と指摘されて
いる。一方、同法賛成派は、この法はテロとの戦いに不可欠な武器だと反論し
ている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9109198
http://arstechnica.com/news.ars/post/20080710-aclu-others-greets-bush-fisa-bill-signing-with-new-lawsuit.html

【編集者メモ】(Northcutt)
これまで8年間は、米国内で、市民の自由を組織的に低減するのに十分なほど
多くのテロ活動は発生していない。9月11日のアタックで多くの命が絶たれた
のは確かに恐ろしいことだが、がんや交通事故で亡くなった人数に比べれば、
その数ははるかに少ないのだ。この法によって、政府による市民へのスパイ行
為が可能になってしまう。我々はどのような合衆国を次の世代に残そうとして
いるのだろう?

------『SecureCube / Access Check』が支援するIT全般統制 -------------
      IT全般統制の鍵となる「アクセス管理」を強力に支援   
   エージェントレスで導入が容易!!  既存システムの変更不要!!
    これ1台で、複数のシステムのアクセス制御とログ管理を実現!!
  ☆詳細は → http://www.nri-secure.co.jp/promotion/accesscheck/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年7月11日 Vol.7 No.28)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows 2
Microsoft Office2 (#1, #2)
その他のMicrosoft製品              2
サードパーティのWindowsアプリ          2
Linux                      6
Novell                     1 (#4)
クロスプラットフォーム             17 (#3,#5)
Webアプリ-クロスサイトスクリプティング     10
Web アプリ- SQLインジェクション         38
Webアプリ                    43
ネットワークデバイス 2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)


2008年最悪の一週間だった:
Microsoftにパッチがリリースされていない0dayの欠陥が2件。そしてDNSに大
きな問題とパッチ、Novell eDirectoryとSunのJREにリモートでのコード実行
の脆弱性がある。
────────────────

1.危険度【重大】:Microsoft Office AccessのActiveXコントロールにリモー
  トのコード実行の脆弱性(0day)

<影響のある製品>
Microsoft Office Access 2000
Microsoft Office Access 2002
Microsoft Office Access 2003
Microsoft Access Snapshot Viewer

<詳細>
Microsoft OfficeのAccessのコンポーネントは、ActiveXコントロールを通じ
ていくつかの機能を提供している。しかし、このコントロールのユーザーイン
プット処理に欠陥がある。このコントロールをインスタンス化するWebページ
が細工されると、引き起こされる。悪用が実現すると、現在のユーザー権限で
任意のコードを実行できるようになる。この脆弱性の概念実証コードが公表さ
れており、巷間で激しく悪用されている。

<現状>
Microsoftはこの問題を認めているが、更新はリリースしていない。
Microsoftの"kill bit"機能をCLSID"F0E42D50-368C-11D0-AD81-00A0C90DC8D9"、
"F0E42D60-368C-11D0-AD81-00A0C90DC8D9"、
"F2175210-368C-11D0-AD81-00A0C90DC8D9"に設定して問題のコントロールを無
効にすれば、影響を軽減できる。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/955179.mspx
概念実証コード
http://pstgroup.blogspot.com/2008/07/exploitmicrosoft-office-snapshot-viewer.html
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/30114
────────────────

2.危険度【重大】:Microsoft Wordにリモートでのコード実行の脆弱性(0day)

<影響のある製品>
Microsoft Office Word 2002

<詳細>
Microsoft Wordの文書処理にはリモートでのコード実行の脆弱性がある。文書
が細工されると引き起こされ、現在のユーザー権限で任意のコードを実行でき
るようになってしまう。技術的詳細は公表されていないようだが、この脆弱性
は巷間で激しく悪用されている。Microsoft Office 2002はWord文書を受信し
ても、まずユーザーへのプロンプト無しに文書を開くことはない。

<現状>
Microsoftはこの問題を認めているが、更新はリリースしていない。

<参考>
Microsoftセキュリティレスポンスセンターのブログ記事
http://blogs.technet.com/msrc/archive/2008/07/08/vulnerability-in-microsoft-word-could-allow-remote-code-execution.aspx
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/953635.mspx
SANSインターネットストームセンターのブログ記事
http://isc.sans.org/diary.html?storyid=4696
SecurityFocus BID
http://www.securityfocus.com/bid/30124
────────────────

3.危険度【重大】:複数ベンダーのDNS製品にスプーフィングおよびポイゾニン
  グアタック

<影響のある製品>
複数のベンダーのDNS製品:
Microsoft DNSサーバおよびISC BINDなど

<詳細>
Domain Name System(DNS)は、インターネット用のIPアドレスとホスト名の相
互変換を行う。DNSプロトコルの設計の一部には、クエリとレスポンスをマッ
チするためのトランザクションID(XID)がある。XID、ソースUDPポート、その
他の文字など、DNSクエリの特定の文字を認識できた場合、DNSサーバからのレ
スポンスになりすますことができるようになってしまう。最近、複数ベンダー
のDNS実装が、XIDランダム化アルゴリズムにある欠陥がもとで発生する、前述
のようなスプーフィングに、特に脆弱であることがわかった。DNSサーバの主
要ベンダーは、すべての主要システムに対して同時にパッチがリリースされる
よう、共同作成した。脆弱性の全技術的詳細はまだ公表されていないが、ソー
スコードを解析すれば入手可能。さらなる詳細は、今年のBlack Hatセキュリ
ティカンファレンスにて明らかにされる予定。アタッカーがDNSレスポンスの
なりすましを実現した場合、ユーザーを悪意のあるWebサイトやメールサーバ
へリダイレクトするか、ターゲットのシステムのDNSキャッシュの汚染が可能
になってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
SANSインターネットストームセンターのブログ記事
http://isc.sans.org/diary.html?storyid=4687
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx
幹部向けの概要executive overview(PDF)
http://securosis.com/publications/DNS-Executive-Overview.pdf
この問題についてのSlashdotの記事
http://it.slashdot.org/article.pl?sid=08/07/08/195225
Securosisの掲示
http://securosis.com/2008/07/08/dan-kaminsky-discovers-fundamental-issue-in-dns-massive-multivendor-patch-released/
DNSについてのWikipediaの説明
http://en.wikipedia.org/wiki/Domain_Name_System
SecurityFocus BID
http://www.securityfocus.com/bid/30132
────────────────

4.危険度【重大】:Novell eDirectoryにインテジャーオーバーフローの脆弱性

<影響のある製品>
Novell eDirectory 8.8.2 ftf2までのバージョン

<詳細>
eDirectoryは、Lightweight Directory Access Protocol(LDAP)のNovell実装
である。しかし、特定のユーザーインプット処理にインテジャーオーバーフロー
の脆弱性がある。ユーザーインプットが細工されると引き起こされる。悪用が
実現すると、脆弱なプロセスの権限で任意のコードを実行できるようになって
しまう。この脆弱性の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
0Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-041/
Novellのセキュリティアドバイザリ
http://www.novell.com/support/viewContent.do?externalId=3694858&sliceId=1
LDAPについてのWikipediaの説明
http://en.wikipedia.org/wiki/LDAP
ベンダーのホームページ
http://www.novell.com
SecurityFocus BID
http://www.securityfocus.com/bid/30085
────────────────

5.危険度【高】:Sun Java Runtime Environmentに複数の脆弱性

<影響のある製品>
Sun Java Runtime Environment バージョン6の更新版7までのバージョン
Sun Java Development Environmentバージョン6の更新版7までのバージョン

<詳細>
Java Runtime EnvironmentのSun実装には複数の脆弱性がある。Javaアプリケー
ションやアプレットが細工されると脆弱性のいずれかが引き起こされ、結果的
に現在のユーザー権限での任意のコード実行からDoSや情報開示までの範囲の
さまざまな事項につながってしまう。設定によっては、Webページに組み込ま
れたJavaアプレットは、ページのロード時に自動的に開かれるおそれがある。
脆弱性の技術的詳細のいくつかは、ソースコードを解析すれば入手可能。Sun
のJava Runtime Environmentは、全Apple Mac OS Xシステムと、全Sun
Solarisシステム、その他多くのUnix・LinuxベースのOSにデフォルトでインス
トールされているほか、Microsoft Windowsにもインストールされていること
が多い。脆弱性のいくつかは、@RISKのバックナンバーにも掲載されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero-Dayイニシアチブのアドバイザリ
zerodayinitiative.com/advisories/ZDI-08-042
zerodayinitiative.com/advisories/ZDI-08-043
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238628-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238666-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238687-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238965-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238966-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238967-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238968-1
製品のホームページ
http://java.sun.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/30144
http://www.securityfocus.com/bid/30141
http://www.securityfocus.com/bid/30140
http://www.securityfocus.com/bid/30143

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。