NRI Secure SANS NewsBites 日本版

Vol.3 No.29 2008年7月30日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.29 2008年7月30日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          SANS Tokyo 2008 Autumn 開催決定!!
    ~世界で最も体系化された情報セキュリティトレーニング~

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者・技術者、Java開発者必須の3コースを開催■
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!

■はじめに(Alan Paller:SANS Director of Research)

耳寄りな新情報。
ラスベガス開催の年次ネットワークセキュリティカンファレンスの参加受付開
始:
http://www.sans.org/info/29439
ワシントンDCエリアの皆さんに、中国からのアタックの仕組みの実態情報に関
するブリーフィング開催:
http://www.sans.org/washington_troy/
────────────────

■■SANS NewsBites Vol.10 No.56-57
   (原版:2008年7月17日、22日配信)

◆パッチ未適用のPC 4分以内(もしくは16時間以内)に制御を奪われる
  (2008.7.14)

インターネットストームセンターの研究者らによると、パッチ未適用の
Windows PCをインターネットに接続すると、4分以内に侵害されてしまうとい
う。ここ数年、自動化されたアタックツールを使用しているワームやウィルス、
ハッカーの数が増加。生存時間(ウィルスに感染するまでの時間)がどんどん
短縮されている。しかしGerman Honeypot Projectの研究者は、この生存時間
は実際は16時間近くあり、4分よりはずっと長いと主張。いずれにしろ、パッ
チの完全適用に至っておらず、安全な設定による適切な保護を施していないシ
ステムは、インターネットに接続すべきではないと述べている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9109938&source=rss_topic17
http://www.theregister.co.uk/2008/07/15/unpatched_pc_survival_drops/

【編集者メモ】(Paller)
侵害されたPCによって、VPNを介して重大なシステムに対する悪意のあるアク
セスが可能になる。だからこそ、連邦政府のデスクトップ基準(FDCC:
Federal Desktop Core Configuration)の安全設定が相当な価値を帯びてくる。
これによりコンピュータの侵害を困難にし、費用の節約もでき、Microsoftテ
ストパッチでコンピュータの安全の維持もできるため、世界中の企業がこの設
定を採用し始めている。これらのパッチは、パッチテストに時間や費用をかけ
ることなく、適合システム全てに即座にインストールできる。
────────────────

◆ルーマニアの警察 サイバー犯罪容疑者24人を逮捕(2008.7.16)

FBIとルーマニア警察は共同して、ブカレスト、ルムニク・ヴルチャ、シビウ、
アレクサンドリア、ドルグシャニなどで多数の家宅捜索を行い、サイバー犯罪
団に加担している疑いのある24人を逮捕した。この一団は、身元査証詐欺、ク
レジットカードおよびオークション詐欺など、数多くのオンライン詐欺に関わっ
ていたと見られており、その詐欺総額は約40万ユーロ(63万4000ドル)にのぼ
るという。また、この一団はeBay、craigslist.com、Equine.comなどのWebサ
イトのユーザーをターゲットにしていたようだ。一団のリーダーと見られる
Romeo Chitaは、ルーマニアの政治家Dumitru Puzdrea氏の所有地で逮捕された
が、同氏はこの犯罪活動については何も知らないと述べている。
http://www.pcworld.com/businesscenter/article/148519/romainian_authorities_arrest_cybercrime_suspects.html?tk=rl_noinform
http://www.theregister.co.uk/2008/07/17/romania_cybercrime_arrests/
http://www.mediafax.ro/engleza/alleged-internet-fraud-network-leader-found-in-romanian-lawmaker-s-home.html?6966;2782723
────────────────

◆新法案で さらに多くのプライバシー責任者求められる(2008.7.15)

国土安全保障省の各部門にプライバシー責任者を設置することが、法案
H.R.5170の必須条件だ。この法案は現在下院で討議中。フルタイム勤務の各部
門プライバシー責任者を設置することによって、「省内の全部門における意思
決定プロセスに、プライバシーに対する考慮が必ず盛り込まれるようになる」
と作成者は記している。同省9部門のうち4部門には、すでにフルタイムのプラ
バシー責任者がいる。
http://www.fcw.com/online/news/153141-1.html?topic=privacy
────────────────

◆欧州裁判所 スウェーデンの監視法について審理(2008.7.15)

スウェーデン政府は、このほど通信監視法を導入したことについて弁護を強い
られることになる。独立団体、the Centrum for Rattvisa(CFR)、別名司法セ
ンターは、この法案は人権に関する欧州条約第8条と第13条に違反していると
主張している。第8条では欧州市民にプライバシー権を、第13条では人権条約
違反について当局に責任を求める権利を保障している。問題の法は先月僅差で
可決され、スウェーデン・セキュリティサービスに対し、スウェーデン国内外
に向けての国際通話の傍受を許可した。この新法を受けて、フィンランドとス
ウェーデンをまたにかける通信オペレータ企業TeliaSoneraは、サーバをスウェー
デンからフィンランドに移し、Googleも同様の措置に踏み切ることを考えてい
るという。
http://www.thelocal.se/13052/20080715/
http://www.theregister.co.uk/2008/07/17/echr_swedish_wiretap_law_review/
────────────────

◆英国警察のデータ維持プラクティス 過去の軽犯罪記録による不都合に対処
  (2008.7.21-22)

英国の情報法廷(以前、データ保護法廷として知られていた)は、何年も前に
些細な法律違反をした者は、警察のコンピュータからその情報を一掃してよい
とした。今のところ、全犯罪記録が100年間データベースに保存されている。
この判決では、何年も前の犯罪でその個人のキャリアに必要以上に悪影響を及
ぼすと見られる5事例を具体的に挙げている。これによって、若年時に犯した
軽犯罪で有罪となり、それ以後長期間問題を起こしていない者に、警察国家コ
ンピュータ(Police National Computer)からその情報を削除するよう嘆願でき
るチャンスが付与される。また、政府に任命されている諮問機関、倫理グルー
プによれば、逮捕されても有罪が確定せず、告訴もされなかった人間のDNAサ
ンプルを保持する行為は、人権侵害のおそれがあるという。
http://www.timesonline.co.uk/tol/news/uk/crime/article4375311.ece
http://www.mailonsunday.co.uk/news/article-1037033/Police-stop-putting-DNA-samples-innocent-volunteers-database-says-Government-body.html
http://www.informationtribunal.gov.uk/
────────────────

◆判事:オランダの大学の研究者にOyster RFIDチップのハッキングに関する
  報告書公表許可(2008.7.18-21)

オランダの判事は、ナイメーヘンのラドバウンド大学の研究者らに対し、
Mifare Classic(Oyster)チップに関する研究報告の公表を許可した。チップを
製造したNXP社は、この研究結果が公表されるのを阻止する目的で裁判を起こ
していた。NXP社は、問題の情報を公表する行為を「無責任」と主張。しかし、
研究者らはチップを使用しているカードのクローン作成方法の詳細を公表内容
に含めるつもりはないという。問題のチップは、英国のプリペイドのスマート
カードシステムや、Oysterカードだけでなく、香港のトラベルカード、オラン
ダのRijkspasスマートカードにも使用されている。今回の判決では、言論の自
由がNXP社の商業上の懸念を上回ると判断された。「NXP社に損害が生じたとし
ても、それは記事の公表が原因によるものではなく、チップの製造や販売に不
備があることが原因であろう」
http://www.theregister.co.uk/2008/07/18/university_can_publish_oyster_research/print.html
http://news.bbc.co.uk/2/hi/technology/7516869.stm

【編集者メモ1】(Honan)
問題はチップの弱点を発見した人間にあるのでなく、製造企業の製造システム
やセキュリティに弱点のあるデバイスにある、と判断したこの判事は正しい。
【編集者メモ2】(Schultz)
幸運にも、今回は良識が勝利をおさめた。先に述べたように、Oysterカードの
クラッキング方法についての知識を隠そうとしても、それは「セキュリティは
曖昧に」とするくだらない企みに毛が生えたようなものだ。
────────────────

◆メリーランド州警察 活動家団体に侵入(2008.7.18)

メリーランド州情報公開法(Maryland Public Information Act)裁判で入手
された文書によると、メリーランド州警察は、平和団体や死刑反対活動団体に
侵入し、中には合法的な行為であっても、テロリスト容疑者や麻薬密売人デー
タベースにメンバーの氏名を入力していたケースがあったという。文書の中に
は、入力された人物が犯罪にあたる活動を行っていたという指摘はどこにもな
かった。州警察関係者らは、この行為による個人の公民権侵害はないと述べて
いる。
http://www.baltimoresun.com/news/local/bal-te.md.spy18jul18,0,3787307.story
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
    ~セキュアプログラミングスキルを証明する世界唯一の認定~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年7月18日 Vol.7 No.29)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          6 (#4)
Mac Os                     2 (#5, #6)
Linux                      1 (#2)
Unix                      3
Novell                     1 (#3)
クロスプラットフォーム             22 (#1)
Web アプリ・クロスサイトスクリプティング    4
Web アプリ・SQLインジェクション        13
Web アプリ                   39
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

よくない週だったが、先週ほどではない。重大な脆弱性は、BlackBerry
Attachment Service、Oracle、Novell eDIscovery、Linux Kernelに発見され
た。

特に、Linuxの問題は、セキュリティについて知られざるストーリーのひとつ
を(少なくともプレスには知られていない)物語っている。Linuxの370以上の
バージョンが脆弱である。その多くは、アプライアンス(セキュリティアプラ
イアンス)やソフトウェアツールに組み込まれているが、おおかたユーザーは
どのLinuxのバージョンでそれらが運用されているかわかっていないだろう。
ベンダーやオープンソースのグループがパッチをリリースする際に、「問題は
修正された」と発表してしまうため、大衆は誤った解釈をしてしまう。リリー
スされたパッチのインストールが成功しなければ、実のところ何も修正されて
いないのである。ベンダーや開発企業の多くは、顧客にパッチの存在を把握さ
せることに責任があるとは思っていない。ましてや、パッチをインストールし
たか否かなど論外である。政治家もこのような誤認実態をすでに把握している
のだから、侵害開示法を更新し、ISPやWebサイト、その他アプリケーションエ
ラーによって顧客のコンピュータが感染して個人情報(や金銭)を盗まれた場
合は侵害通知を必須とする措置をとってほしい。その影響は、全てのメディア
やISP、Webサイト提供者などの大規模組織にも波及するだろう。
────────────────

1.危険度【重大】:Oracleの複数の製品に複数の脆弱性(CPU 2008.7)

<影響のある製品>
複数のOracle製品

<詳細>
Oracleは2008年7月期の重大なパッチ更新(CPU)をリリースした。脆弱性には、
脆弱なプロセスの権限でのリモートでのコード実行からSQLインジェクション、
情報開示、DoSまでさまざまなものがあり、認証なしでの悪用されるおそれが
ある。また、これらの脆弱性のいくつかは、技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Oracleのセキュリティアドバイザリ
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2008.html
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=725
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=726
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=727
NGSSoftwareのセキュリティアドバイザリ
http://lists.grok.org.uk/pipermail/full-disclosure/2008-July/063255.html
SecurityFocus BID
http://www.securityfocus.com/bid/30177
────────────────

2.危険度【重大】:Linux KernelのBERデコードにバッファオーバーフローの脆
  弱性

<影響のある製品>
Linux kernel 2.4.36.6以前のバージョン

<詳細>
Linux kernelはさまざまなLinuxベースのOS商品のコアコンポーネントである。
しかし、Abstract Syntax Notation 1(ASN.1)データ処理に欠陥がある。ASN.1
データはBasic Encoding Rules(BER)を使用して、エンコードされ、Linux
kernelによって処理されるさまざまなプロトコルやリクエストに使用されてい
る。これらのプロトコルのいずれかを使用しているリクエストを細工されると、
kernelにバッファオ-バーフローが引き起こされる。悪用が実現すると、
kernelの権限で任意のコードを実行できるようになる。この脆弱性の技術的詳
細は、ソースコードを解析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Kernel変更ログ
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.25.5
Kernelのホームページ
http://www.kernel.org/
Ubuntuのセキュリティアドバイザリ(詳細情報あり)
http://www.ubuntu.com/usn/usn-625-1
ASN.1についてWIkipediaの説明
http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One
BERについてのWIkipediaの説明
http://en.wikipedia.org/wiki/Basic_Encoding_Rules
SecurityFocus BID
http://www.securityfocus.com/bid/29589
────────────────

3.危険度【重大】:Novell eDirectoryのLDAPにバッファオーバーフローの脆弱
  性

<影響のある製品>
Novell eDirectory 8.8 FTF2以前のバージョン

<詳細>
eDirectoryは、Lightweight Directory Protocol(LDAP)のNovell実装である。
しかし、サーバにおいてはユーザーの検索リクエスト処理にヒープベースのバッ
ファオーバーフローの脆弱性がある。リクエストが細工されると引き起こされ、
システムメモリを崩壊させることが可能になってしまう。この脆弱性によって、
脆弱なプロセスの権限(ルートの場合が多い)で任意のコードを実行されてし
まうおそれが生じる。しかし、悪用は難しいようだ。この脆弱性の技術的詳細
が公表されている。この脆弱性は、先週の@RISKに掲載された脆弱性とは別の
ものである。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=724
Novellのセキュリティアドバイザリ
http://www.novell.com/support/viewContent.do?externalId=3843876
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=7&i=28#widely4
SecurityFocus BID
http://www.securityfocus.com/bid/30175
────────────────

4.危険度【重大】:BlackBerry Attachment ServiceのPDF処理にリモートのコー
  ド実行の脆弱性

<影響のある製品>
Research In Motion BlackBerry Enterprise Server 4.1.5までのバージョン
Research In Motion BlackBerry Unite! 1.0.1 b36より前のバージョン

<詳細>
Research In MotionのBlackBerryは、携帯電話およびメッセージデバイスとし
て広範に使用されている。企業用メッセージングインフラと統合されたサーバ
・ソフトウェアによって企業用接続を提供している。このサーバ・ソフトウェ
アは、文書タイプを事前処理し、携帯デバイスで閲覧しやすいようにする。し
かし、このサーバ・ソフトウェアのPortable Document Format(PDF)文書処理
には欠陥がある。PDFが細工されるとこの欠陥が引き起こされ、脆弱なプロセ
スの権限で任意のコード実行につながるおそれがある。発生する条件として、
まずユーザーがBlackBerryの携帯デバイスでPDFを開かなければならない。こ
の脆弱性の技術的詳細が、いくつか公表されている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
Research In Motionのセキュリティアドバイザリ
http://www.blackberry.com/btsc/articles/660/KB15766_f.SAL_Public.html
http://www.blackberry.com/btsc/articles/635/KB15770_f.SAL_Public.html
ベンダーのホームページ
http://www.blackberry.com
SecurityFocus BID
未リリース
────────────────

5.危険度【高】:Mozilla FirefoxにGIF処理の脆弱性

<影響のある製品>
<詳細>
Mozilla Firefox 3.0.1以前のバージョン

Apple Mac OS Xで運用されているMozilla Firefoxにおいては、Graphics
Interchange Format(GIF)画像の処理に欠陥がある。GIF画像が細工されると引
き起こされ、メモリ崩壊に至る。悪用が実現すると、現在のユーザー権限で任
意のコードを実行できるようになってしまう。GIF画像は、一般的には受信時
に自動的にレンダリングされる。この脆弱性の全技術的詳細は、ソースコード
を解析すれば入手できる。Apple Mac OS XのMozilla Firefoxのみ、影響を受
ける。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2008/mfsa2008-36.html
Vendorのホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/30266
────────────────

6.危険度【高】:Apple iPhoneおよびiPod Touchに複数の脆弱性

<影響のある製品>
Apple iPhoneおよびiPod TouchのOS 2.0以前のバージョン

<詳細>
AppleのiPhoneおよびiPod Touchを運用している組み込みOSには複数の脆弱性
がある。リモートでのコード実行からWebサイトのスプーフィングまでさまざ
まである。リモートでのコード実行の脆弱性の悪用が実現すると、影響を受け
るデバイスの制御を奪うことができる。これらの脆弱性の技術的詳細が、いく
つか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのホームページ
http://www.apple.com
SecurityFocus BID
http://www.securityfocus.com/bid/30186

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが、件名に「配信停止」とお書きいた
だき、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。