NRI Secure SANS NewsBites 日本版

Vol.3 No.30 2008年8月5日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.30 2008年8月5日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          SANS Tokyo 2008 Autumn 開催決定!!
    ~世界で最も体系化された情報セキュリティトレーニング~

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者・技術者、Java開発者必須の3コースを開催■
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!

■はじめに(Alan Paller:SANS Director of Research)

セキュアプログラミングの更新:
プログラミングについて広範に読まれている書籍に見つかったセキュアプログ
ラミングの欠陥が掲載されている。
http://www.sans-ssi.org/resources/Winners_of_insecure_coding_contest_20080721.pdf
また、Javaのセキュアプログラミングについての新コースが、SANSFIREと現地
プレゼンテーションで大ヒットした。このコースは、我々全てが必要としてい
るアプリケーションセキュリティのコースである。遂に開講されることとなり、
もちろん素晴らしい内容に仕上がっている。自社内または委託プログラマーへ
のトレーニングをお望みの方、もしくは組織内でのトレーナー育成とコース開
講を希望される方は、今すぐspa@sans.orgまで。
10月27日から東京でもこのコースは開催される。
────────────────

■■SANS NewsBites Vol.10 No.58-59
   (原版:2008年7月26日、30日配信)

◆DNSのエクスプロイト リリースされる(2008.7.24)

最近発表されたDNSのセキュリティ欠陥に、エクスプロイトが2件出現した。こ
の欠陥の詳細は、当初、来月ラスベガスで開催されるBlack Hatカンファレン
スまで、内密にされる予定であったが、今週はじめ、ある研究者がこの欠陥の
性質について、裏づけのある推測を行い、その内容が立証されたという。彼の
考察はうっかりブログに掲示されていたが、削除された。欠陥は数ヶ月前に発
見されたが、公になる前にパッチを作成しておくため、ベンダーにのみ警告が
発せられていた。
http://www.heise-online.co.uk/security/DNS-vulnerability-exploits-released--/news/111168
http://www.eweek.com/c/a/Security/DNS-Flaw-Details-Leaked-Accidentally/?kc=rss
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9110622&intsrc=hm_list

【編集者メモ】(Ullrich):
この脆弱性はすでに悪用されており、簡単に利用できるツールもリリースされ
ている。
────────────────

◆ISP6社 アンチ著作権侵害メモランダムに調印(2008.7.24-25)

英国のインターネットサービスプロバイダ(ISP)6社が、英国レコード産業(BPI)
と連携して楽曲ファイルの違法共有の阻止促進に合意した覚書
(MOU:Memorandum of Understanding)に調印した。ISPらは、インターネット接
続を利用して著作権を侵害し、楽曲ファイルを共有している疑いのある顧客に
対し、警告レターを送付する予定である。MOUによれば、ファイルをアップ/ダ
ウンロードしたユーザーを対象にしている。このほか、ISPに合法的な音楽サー
ビスの開発を促す。米国映画協会(MPAA)もこれに調印。さらに、Virgin社やBT
社も、BPIによって継続的なファイル共有者として特定されたユーザー数名に
対し、すでにレターを送付している。BPIは、違法なファイル共有を続けるユー
ザーに対してはインターネット接続を切るという3審アウト制を推進している
が、ISPらは実施を渋っている。
http://news.bbc.co.uk/2/hi/technology/7522334.stm
http://news.smh.com.au/technology/british-internet-service-providers-agree-to-work-together-against-illegal-downloading-20080724-3kfq.html
http://news.zdnet.co.uk/communications/0,1000000085,39452072,00.htm
────────────────

◆調査:銀行 Webサイトで安全でないプラクティスを使用(2008.7.22-28)

ミシガン大学の研究者らが2006年に行った調査によると、米国のバンキング
Webサイトの76%に設計上の欠陥があり、顧客がデータ窃盗や詐欺のリスクに
さらされていることがわかった。この研究では、Webサイトに脆弱性こそ発見
されていないものの、銀行のプラクティスに焦点があてられている。銀行は、
よくないセキュリティ習慣を促進し、オンラインに潜む危険に顧客を慣れさせ
てしまっているという。問題は、多くの銀行が、訪問先のサイトが本物のバン
キングサイトかどうか見極める手がかりを無視するように条件設定しているこ
とにある。例えば、銀行の多くはオンライン顧客を、通知なしでサードパーティ
のサイトにリダイレクトし、実際は安全でないページ上にセキュアログインボッ
クスを設置し、メールアドレスや社会保険番号(SSN)をデフォルトユーザー名
として使用するようにしているということがある。研究者らは、7月25日(金)
のカンファレンスで調査結果を発表する予定。この調査は、全米規模の銀行
214行のオンラインWebサイトで行われた。
http://www.msnbc.msn.com/id/25819973/
http://www.zdnetasia.com/news/security/0,39044215,62044110,00.htm
http://www.ns.umich.edu/htdocs/releases/story.php?id=6652
http://www.eecs.umich.edu/~laura/webusability/websites.html
http://cups.cs.cmu.edu/soups/2008/program.html
http://cups.cs.cmu.edu/soups/2008/proceedings/p117Falk.pdf

【編集者メモ】(Schultz)
言うなれば、論より証拠である。銀行が安全なWebサイトプラクティスを実施
しているか否かは、外部の者によって発見された設計欠陥ではなく、Webサイ
トのアタックに対する抵抗性によって決まるのだ。
────────────────

◆米国連邦通信委員会 Comcast問題について投票(2008.7.28)

米国連邦通信委員会(FCC)は今週、Comcast社に対する強制執行について投票を
行うようだ。同社は、ファイル共有を妨害するために意図的にインターネット
通信をブロックしたり、通信の品質を下げたりしていた。Comcast社によると、
同社は、使用が集中するピーク時間にネットワーク管理のために通信のスピー
ドを遅くしただけだという。FCCがComcastの連邦政府政策違反を認めた場合、
同社は、通信スピードの減速、および通信のブロックを禁じられ、同社の一連
のプラクティスについて、顧客にその旨明示する義務を負うことになる。
Comcast社は、FCCには懲罰を科す権限がないと主張。この問題について、FCC
は8月1日に議論する予定だ。
http://www.informationweek.com/news/services/data/showArticle.jhtml?articleID=209602109
http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2008/07/28/BUAB120T33.DTL
http://government.zdnet.com/?p=3907

【編集者メモ1】(Ullrich)
このトピックは、ネットワークセキュリティに対して予想以上の影響を及ぼす
可能性がある。今まで重点的に議論されてきた重要な問題は、以下の通り:
Comcast社のようなISP企業が通信を管理すべきか否か。管理するとしたらどの
ようにすべきか。ISPが悪意のある特定の通信をブロックしてよいか否か、も
しくはブロックしなくてはならないかどうか、など。
【編集者メモ2】(Schultz)
このケースは、きっと長引くだけでなく、ドラマチックな展開を見せるだろう。
Comcast社は、このような状況下でFCCには何の権限もないと主張している。し
かし、FCCは権限は大いにあると反論。いずれにしろ、ISPの権限(もしくは権
限不足部分)の範囲の定義付けに貢献する結果になるに違いない。特に、
Comcast社のような強力かつ大規模なISPの権限範囲が明らかになるだろう。
────────────────

◆インターネット大手 インターネットの自由な使用の維持を迫られる
  (2008.7.25)

米国議会両院は、Yahoo!、GoogleおよびMicrosoftのCEOらに対し、外国政府が
反政府を唱えるインターネットユーザーの鎮圧や迫害をしようとした場合、そ
の行為を支援しないという自主的行動規範を導入するよう求めている。上院議
員のDick Durbin(イリノイ州民主党)とTom Coburn(オクラホマ共和党)は、前
述の企業がこのポリシーを導入しなければ、市民の人権を抑圧しようとする外
国政府に協力してはならないという法律を代わりに成立させることになると述
べている。Yahoo!はこれまで、中国当局に反政府分子の逮捕につながる情報を
提供したことで、非難を浴びてきた。これにより、人権擁護団体にメールを転
送していた反体制者が、最終的に10年の懲役に科せられることとなったのだ。
しかし、企業側は、営業活動をしている国の法律に従わなければならないと主
張している。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=209601006

【編集者メモ】(Northcutt)
地球という星はたいへん大きい。しかしそれとは裏腹に、米国の力は、無責任
な財政と自国の軍隊能力に対する過信が原因で縮小していく一方だ。我々が、
世界の他の場所に自国の都合で法律を成立させることなどできないのだ。それ
よりも、国内の深刻な問題に目を向けるべきであろう。
────────────────

◆Evilgrade DNS欠陥を悪用(2008.7.28)

Evilgradeというエクスプロイトパッケージが、さまざまなプログラムおよび
OSの自動更新機能を悪用して、脆弱なコンピュータにマルウェアをインストー
ルしている。悪用が実現するには、Evilgradeが先にman-in-the-middleアタッ
ク(中間者攻撃)をターゲットに対して仕掛けておく必要がある。最近発表さ
れたDNSの脆弱性の場合、このアタックだけは可能だという。Evilgradeは
iTunesやMac OS X、Winzip、Java、Winamp、OpenOffice、その他のプログラム
で悪用できる。
http://www.theregister.co.uk/2008/07/28/pwning_security_updates/print.html
http://www.securityfocus.com/brief/783
http://blogs.zdnet.com/security/?p=1576
────────────────

◆報告:DNS欠陥 激しく悪用されている(2008.7.25-26)

このほどDNS欠陥が公表されたが、企業はDNS欠陥が激しく悪用されていること
を示すような事例証拠が出た折には、すぐにこのパッチを適用するよう要請さ
れている。問題の欠陥は、インターネットユーザーが正しいURLをブラウザに
自ら入力しても悪用されてしまい、アタッカーが選んだサイトにリダイレクト
されるという。MicrosoftとLinuxの販売者らはパッチをすでにリリースしたが、
Appleはまだリリースしていない。Appleを含む主要ベンダーは、パッチを準備
する猶予期間を設けるべく、3月にこの欠陥を知らされていた。OS Xサーバを
使用している場合は、パッチがリリースされるまで、ドメイン名変換時のサー
バ使用を停止すること。
http://news.bbc.co.uk/2/hi/technology/7525206.stm
http://www.smh.com.au/news/security/hackers-get-hold-of-critical-internet-flaw/2008/07/25/1216492691922.html
http://www.heise-online.co.uk/security/DNS-hole-no-patch-yet-from-Apple--/news/111187

【編集者メモ】(Ullrich)
エクスプロイトがあまり頻繁に発生しない理由として、パッチを適用していな
くとも、Bind 9が、現行のエクスプロイトに影響を受けないからではないかと
考えられる。また、Appleは自社製OSとともに再販されているオープンソース
ソフトウェアに対し、重大なパッチの提供に関しては、他社よりかなりの遅れ
をとっている。

------『SecureCube / Access Check』が支援するIT全般統制 -------------
      IT全般統制の鍵となる「アクセス管理」を強力に支援   
   エージェントレスで導入が容易!!  既存システムの変更不要!!
    これ1台で、複数のシステムのアクセス制御とログ管理を実現!!
  ☆詳細は → http://www.nri-secure.co.jp/promotion/accesscheck/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年7月25日 Vol.7 No.30)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows 1
サードパーティのWindowsアプリ          4
Mac OS1
Linux                      2
クロスプラットフォーム             10 (#1, #2, #3, #4)
Webアプリ-クロスサイトスクリプティング     4
Web アプリ- SQLインジェクション         14
Webアプリ                    15
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週の重大な問題は、全てWeb関連:
FirefoxとThunderbird、Sun Java Web Start、Oracle WebLogic(以前はBEA
WebLogicという名前)Apache Connectorである。
────────────────

1.危険度【重大】:Mozilla製品にメモリ崩壊の脆弱性

<影響のある製品>
Mozilla Firefox 3.0.1より以前のバージョン
Mozilla Thunderbird 2.0.0.16より以前のバージョン
Mozilla SeaMonkey 1.1.11より以前のバージョン

<詳細>
広範に使用されているFirefox Webブラウザなど、Mozillaのコード基盤をベー
スにした製品にメモリ崩壊の脆弱性がある。CSSオブジェクトを操作するスク
リプトが含まれているWebページが細工されると、引き起こされる。悪用が実
現すると、現在のユーザー権限で任意のコードを実行できる。この脆弱性の全
技術的詳細は、いろいろなアドバイザリを介して、もしくはソースコードを解
析すれば入手できる。Thunderbirdは、デフォルト設定のままであれば脆弱で
ないようだ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-044/
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2008/mfsa2008-34.html
Mozillaのホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/29802
────────────────

2.危険度【重大】:Sun Java Web Startに複数の脆弱性

<影響のある製品>
Sun Java Runtime Environment 6u7のバージョンおよびそれ以前

<詳細>
Java Web Startは、Webで配信される、SunのJava Runtime Environmentを使用
したアプリケーション自動起動の技術である。しかし、アプリケーション処理
に複数の脆弱性がある。Java Web Startを使用するJava appletが細工される
と、脆弱性のいずれかが引き起こされ、現在のユーザー権限での任意のコード
実行や任意のファイル上書きに繋がってしまうおそれがある。設定によっては、
Java Web Startアプレットは受信時に起動される可能性がある。Java Web
Startは、Appleの全てのMac OS Xシステム、多くのUnix、Unixに類似したシス
テム、LinuxベースのOS、Microsoft Windowsシステムにおいて、デフォルトイ
ンストールされている。これらの脆弱性の技術的詳細がいくつか公表されてい
る。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-043/
http://zerodayinitiative.com/advisories/ZDI-08-042/
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-26-238905-1
Sun Javaのホームページ
http://java.sun.com/
SecurityFocus BID
http://www.securityfocus.com/bid/30148
────────────────

3.危険度【重大】:Oracle WebLogicのApache Connectorにバッファオーバーフ
  ローの脆弱性

<影響のある製品>
Oracle WebLogic Server 10.xのバージョンおよびそれ以前

<詳細>
Oracle WebLogic(以前はBEA WebLogicという名前)の"mod_wl"Apacheモジュー
ルの処理にバッファオーバーフローの脆弱性がある。このモジュールを使った
サーバへのHTTP POSTリクエストが過剰に長いと引き起こされ、脆弱なプロセ
ス権限で任意のコードを実行できるようになる。この脆弱性の全技術的詳細と
概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://milw0rm.com/exploits/6089
製品のホームページ
http://edocs.bea.com/wls/docs70/plugins/apache.html
http://www.bea.com/framework.jsp?CNT=index.htm&FP=/content/products/weblogic/server
SecurityFocus BID
http://www.securityfocus.com/bid/30273
────────────────

4.【エクスプロイト】:さまざまなDNSにキャッシュ汚染のエクスプロイト

<影響の製品>
BINDやMicrosoft DNSなど、ほぼ全ての主要DNS実装

<詳細>
@RISKのバックナンバーにも掲載されているこのDNS欠陥については、技術的詳
細のほか、有効なエクスプロイトがいくつかすでに公表されている。エクスプ
ロイトの完全な詳細情報については、当初、Black Hat情報セキュリティカン
ファレンスで公表される予定だったが、それより早く公表されることとなった。
Metasploitエクスプロイトフレームワーク(広範に利用されている)用に少な
くとも2つのエクスプロイトが公表されているほか、いくつかのエクスプロイ
トが公表されている。これらエクスプロイトのいずれかをアタッカーが使用す
れば、ターゲットのDNSサーバのキャッシュを汚染してレスポンスを改ざんし、
ユーザーのクエリに返すことができるようになる。その後、ユーザーを悪意の
あるホストにリダイレクトし、さらなる悪用行為を行うか、機密情報を盗むお
それもある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。なるべく早く更
新やパッチを適用すること。

<参考>
Metasploitのエクスプロイトモジュール
http://metasploit.com/dev/trac/browser/framework3/trunk/modules/auxiliary/spoof/dns/bailiwicked_domain.rb
http://metasploit.com/dev/trac/browser/framework3/trunk/modules/auxiliary/spoof/dns/bailiwicked_host.rb
Metasploitのホームページ
http://metasploit.com
概念実証コード
http://milw0rm.com/exploits/6123
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=7&i=28#widely3

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。