NRI Secure SANS NewsBites 日本版

Vol.3 No.34 2008年9月2日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.34 2008年9月2日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          SANS Tokyo 2008 Autumn 開催決定!!
    ~世界で最も体系化された情報セキュリティトレーニング~

  2008年10月27日(月)~11月1日(土) 会場:UDXカンファレンス(秋葉原)

  ■セキュリティ管理者・技術者、Java開発者必須の3コースを開催■
            ↓↓↓詳しくはこちら↓↓↓
         http://www.entryweb.jp/sans/autumn/

       10月20日までのお申込みには割引価格を適用!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!

■はじめに(Alan Paller:SANS Director of Research)

9月3日は、ラスベガスで開催されるSANSの大規模なネットワークセキュリティ
カンファレンスへの早期割引申し込みの期日である。
http://www.sans.org/info/29439
10月の東京開催にお申込みの方はこちら。
http://www.entryweb.jp/sans/autumn/
────────────────

■■SANS NewsBites Vol.10 No.66-67
   (原版:2008年8月23日、27日配信)

◆判事 MITの発言禁止令失効に(2008.8.19)

米国地方裁判所裁判官George A. O'Tooleは、マサチューセッツ工科大学生3人
に科せられていた「マサチューセッツ湾交通局(MBTA:Massachusetts Bay
Transportation Authority)電子支払システムにある脆弱性について語ること
を禁ずる」発言禁止令を更新しなかった。判事は、「欠陥を開示する学生の行
為は、コンピュータ詐欺・濫用対策法(CFAA:Computer Fraud and Abuse Act)
に違反している」というMBTAの主張に賛同しなかったことになる。学生らを代
弁していた電子フロンティア財団(EFF)は、「学生らの研究成果をカンファレ
ンスで発表することを阻止するのは、言論の自由に反している」と対抗してい
た。判事は、この論点には言及せず、CFAAの記述内容の方に着目した。学生ら
は、今月はじめのDefConで研究結果を発表する予定だったが、このほど失効と
なった一時的差し止め命令によって阻止されていた。
http://www.theregister.co.uk/2008/08/19/gag_order_lifted/print.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9112968&source=rss_topic17
http://www.securityfocus.com/brief/802
http://news.cnet.com/8301-1009_3-10020252-83.html?hhTest=1&part=rss&subj=news&tag=2547-1009_3-0-20

【編集者メモ】(Schultz)
手軽にシステム侵害を可能にする脆弱性などの情報開示行為が起訴されても、
"言論の自由"という名目の粗悪な弁護で対抗されることが多くなっている。し
かし、本件のような弁護が今後定着するだろう。
────────────────

◆英国政府省庁 1年で2,900万件の記録を紛失(2008.8.20-21)

これまでの12ヶ月間で、英国政府省庁は個人情報を含む2,900万件の記録を紛
失したという。昨年、児童手当受給者2,500万人の個人情報が含まれたディス
クが2つ行方不明になった事件を受け、政府は各局に対して財務諸表に関する
データの紛失も件数に含めるよう要請した。差として現れた400万件の紛失記
録件数には、運転実地テスト受験者300万人(運輸省の報告より)、および国
防省のノートパソコンに暗号化されずに保存されていた26万件のデータなどが
ある。また、内務省は今週はじめ、外部の請負業者がイングランドとウェール
ズの犯罪者1,000人の個人情報が保存されたメモリスティックを紛失しており、
情報長官(Information Commissioner)もこの件について通知を受けている。
http://www.theregister.co.uk/2008/08/20/uk_gov_lost_records/print.html
http://news.bbc.co.uk/2/hi/uk_news/7575766.stm
http://afp.google.com/article/ALeqM5jBZonxIDfrQrxX3fLqwpLfPlimoQ
────────────────

◆米国連邦通信委員会 Comcastに差別的通信調整の停止命令(2008.8.21-22)

米国連邦通信委員会(FCC)は、Comcastの通信調整問題に対する意見と命令を発
行した。この文書で、「Comcastは、顧客のTCP接続がディープパケット検査を
使用している場合、その接続を監視できる機器をネットワーク全体に設置し、
目的地ではなくコンテンツによって、接続のルーティング方法を決めていた」
と説明している。さらに、「このプラクティスは侵略的であり、明白な差別で
ある」と続く。FCCは、Comcastの誓約に対する遵守状態を監視し、使用中のネッ
トワーク通信管理モード(どの機器が使用されているか、いつ導入されたか、
いつどのような状況で使用されていたのか、どのように設定されているのか、
どのプロトコルに影響があるのか、どこに設置されたのか)をFCCに報告する
ことを義務付け、差別的通信管理の使用を抑制するつもりだという。Comcast
は、現在のシステムから新しいシステムへの移行方法について書面のプランを
提出し、FCCおよび一般人に対し、帯域へのアクセスが制限される基準点など、
「導入するネットワーク管理プラクティスの内容」を明らかにしなければなら
ない。
http://www.washingtonpost.com/wp-dyn/content/article/2008/08/20/AR2008082003321_pf.html
http://hraunfoss.fcc.gov/edocs_public/attachmatch/FCC-08-183A1.doc
────────────────

◆米国行政予算管理局 連邦政府局にDNSSEC命令を発行(2008.8.22)

米国行政予算管理局(OMB)は、連邦政府の情報最高責任者ら(CIO)に対し、2009
年1月までにトップレベルの.gov domainsにドメインネームシステムセキュリ
ティ(DNSSEC)を導入するように命令した。また、政府局は、2009年12月までに
全情報システムにDNSSECを導入するプランを作成しなければならない。
http://www.gcn.com/online/vol1_no1/46987-1.html
http://www.whitehouse.gov/omb/memoranda/fy2008/m08-23.pdf

【編集者メモ】(Pescatore)
DNSSECに向けて何らかの行動を強制するのはもちろんよいことだが、政府局に
対して「予算なしの命令」が続いていてしまっている。全米サイバー・セキュ
リティ・イニシアチブに割り当てられている何百万ドルかが、政府局が本当に
必要な用途に充てられる、真の運用セキュリティ予算に注ぎこまれることを願
う。
────────────────

◆判事 インターネットへの社会保険番号掲示禁止は憲法違反と裁定
  (2008.8.22)

ある米国地方裁判所裁判官は、BJ Ostergrenがインターネットに社会保険番号
を掲示する行為を禁止する法について、この特定のケースにおいては憲法違反
にあたるとの裁定を下した。OstergrenのWebサイトには、著名人の社会保険番
号が含まれている公文書が掲載されている。Ostergrenは、政府が市民のプラ
イバシーを保護できていない実態を実証するために行ったと主張している。
http://ap.google.com/article/ALeqM5jiGOcctpSb22Nw59ozzMFCW2hv7gD92NM65G0

【編集者メモ】(Northcutt)
バージニア州は、2つに1つを選ばなくてはならない:
社会保険番号やその他のPII(注:トレースおよびメッセージログによる、ユー
ザー名やパスワードなどの個人を特定できる既知の情報)を、このままサイト
に掲載し続けて市民を身元詐称詐欺のリスクに晒すか、情報のサニタイズを始
めるかのどちらかである。もちろん、後者は公的記録を改変する作業を伴うの
で、タスクとしては大きいだろう。これは、大きな問題としてOstergrenが浮
き彫りにさせたものである。このリンクには、時間をかけずに読める起訴ケー
スの記事がある。これも、まさに受け入れがたい内容だ。
http://www.acluva.org/docket/pleadings/ostergren_complaint.pdf
────────────────

◆ニュースキャスター 同僚のメールアカウントにアクセスしたことを認める
  (2008.8.22)

元フィラデルフィア・テレビジョンニュースのキャスターLawrence Mendteは、
同僚のメールアカウントに侵入し、そのメッセージからメディアに情報を漏え
いしたことを認めた。今回侵入されたアカウントは、以前Mendteと共同でキャ
スターを務めていたAlycia Laneのものだった。漏えい情報が原因で、彼女は
KYW-TV(彼女とMendteが4年間ともにキャスターを務めていたイブニングニュー
スを放映していた局)の仕事を失っている。Mendteはコンピュータへの不正ア
クセスにより起訴されている。有罪になった場合、最高で5年の懲役。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9113283&source=rss_topic17
http://www.cnn.com/2008/CRIME/08/22/anchor.email.ap/index.html?eref=rss_tech
────────────────

◆電子投票マシンのベンダー コードのエラーによる無効票発生を認める
  (2008.8.22-25)

Premier Election Solutionsは、今になって、今年行われたオハイオ州の予備
選挙で同社の電子投票マシンにより数百票が無効になった問題に関し、原因が
マシンのソースコードのエラーにあることを認めた。もとDiebold Election
Systemsとして知られるPremierは当初、McAfeeのアンチウィルスソフトウェア
が引き金であるとしていた。確かに、アンチウィルスソフトによって問題が引
き起こされることもあるが、3月に無効票を発生させた原因はバグだった。
Premierは、影響のあるマシンを運用しているユーザーに、無効票発生の回避
方法を掲載したアドバイザリを発行した。この問題によって、少なくとも米国
の1,650の区域が影響を受けることになる。また、同社は問題に対処できる修
正プログラムをテストしているところだ。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9113298&intsrc=hm_list
http://www.mercurynews.com/nationworld/ci_10296597

【編集者メモ1】(Pesctaore)
このストーリーには、「あってはならない」事柄が多々ある。まず、電子投票
マシンにアンチウィルスソフトウェアが必要であるだけでなく、それによって
投票が無効になるおそれがあることにぞっとする。しかし、本当の問題は、連
邦選挙支援委員会(Federal Election Assistance Commission)が「投票シス
テムのハードウェアおよびソフトウェアのテストや認可、認可の取り消し、再
認可に関連する責務を遂行する」という憲章を果たすために、何も行っていな
い理由は何なのかということにある。この問題は、最初に自発的投票システム
ガイドライン(Voluntary Voting System Guidelines)が発表された2005年後期
からずっと続いている。投票マシンベンダーは、これらのシステムのセキュリ
ティテストが実際に行われるまで、あと何回かベンダー名を変える羽目になる
だろう。
【編集者メモ2】(Schultz)
投票システム技術がプライムタイムに導入されない理由が再認識できた。
【編集者メモ3】(Veltsos)
無効票を回避する一番の方法は、製造者が製造した投票マシンのソースコード
を提出して一般の精密検査を受けようとしない場合、そのマシンの使用を止め
ることだ。

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年8月23日 Vol.7 No.34)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報ですSANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1 (#3)
サードパーティのWindowsアプリ          5 (#1,#4)
Linux                      6
Unix1
クロスプラットフォーム             15 (#2)
Webアプリ-クロスサイトスクリプティング     7
Web アプリ- SQLインジェクション         11
Webアプリ                    16
ネットワークデバイス              1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

脆弱性が非常に少ない週だった。しかし、バックアップ製品に新たに重大な脆
弱性が出ている。今回は、Symantec Veritasのツールに発見された。アタッカー
は、脆弱性の存在数に加え、バックアップソフトウェアがあまりパッチ適用さ
れていないことを知っていると思ってよいだろう。
────────────────

1.危険度【重大】:Symantec Veritas Storage Foundationに認証回避の脆弱性

<影響のある製品>
Symantec Veritas Storage Foundation 5.1より以前のバージョン

<詳細>
Symantec Veritas Storage Foundationは、企業用保管管理システムとして広
範に使用されている。管理コンソールによって、Remote Procedure Call(RPC)
インタフェースがエクスポートされるが、このインタフェースは、スケジュー
リング機能のいくつかを外部に晒してしまう。RPCインタフェースは、NULL認
証(どのユーザーも接続、かつ、これらの手順を実行できる)を使えばアクセ
スできる。手順を呼び出せば、脆弱なプロセスの権限で(SYSTEMの場合が多い)
任意のコードが実行できるようになってしまう。この脆弱性は、@RISKのバッ
クナンバーに掲載された問題で言及された、もう1つの悪用ベクタに相当する。
しかし、このベクタはパッチが適用されているので、もはや脆弱ではない。こ
の脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-052/
TippingPoint DVLabsのアドバイザリ(以前掲載されたアタック手法について)
http://dvlabs.tippingpoint.com/advisory/TPTI-07-08
@RISKのバックナンバーに掲載された関連記事
https://www2.sans.org/newsletters/risk/display.php?v=6&i=24#widely3
Symantec Securityのアドバイザリ
http://www.symantec.com/avcenter/security/Content/2008.08.14a.html
SecurityFocus BID
http://www.securityfocus.com/bid/30596
────────────────

2.危険度【重大】:Operaに複数の脆弱性

<影響のある製品>
Opera 9.52より以前のバージョン

<詳細>
Operaは、クロスプラットフォームのWebブラウザおよびインターネットアプリ
ケーションスイートとして広範に使用されている。しかし、さまざまなユーザー
インプット処理に複数の欠陥がある。悪意のあるWebページやRSSフィードがこ
れらの脆弱性を悪用すると、現在のユーザー権限で任意のコードが実行されて
しまうか、クロスサイトスクリプティング・アタック、機密情報の取り出し、
もしくはWebサイトのロケーションのスプーフィングなどに繋がる。これらの
脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Operaのセキュリティアドバイザリ
http://www.opera.com/support/search/view/892/
http://www.opera.com/support/search/view/893/
http://www.opera.com/support/search/view/894/
http://www.opera.com/support/search/view/895/
http://www.opera.com/support/search/view/896/
http://www.opera.com/support/search/view/897/
Operaのホームページ
http://www.opera.com/
SecurityFocus BID
http://www.securityfocus.com/bid/30768
────────────────

3.危険度【重大】:Microsoft Visual StudioのMaskedEdit ActiveXコントロー
  ルにバッファオーバーフローの脆弱性

<影響のある製品>
Microsoft Visual StudioのMaskedEdit ActiveXコントロール6.0.48.18より以
前のバージョン

<詳細>
MaskedEdit ActiveXコントロールはMicrosoft Visual Studioのコンポーネン
トである。しかし、"mask"パラメータ処理にはバッファオーバーフローの脆弱
性がある。細工されたWebページがこのコントロールをインスタンス化すると、
現在のユーザー権限で任意のコードを実行できるようになってしまう。この脆
弱性の概念実証コードと技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。
Microsoftの"kill bit"機能をCLSID"C932BA85-4374-101B-A56C-00AA003668DC"
に設定して問題のコントロールを無効にすれば、影響を軽減できる。しかし、
通常の機能に影響が出るおそれもあるので注意。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/30674.js
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
MaskedEditについての文書
http://msdn.microsoft.com/en-us/library/11405hcf(VS.71).aspx
製品のホームページ
http://msdn.microsoft.com/en-us/vstudio/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/30674
────────────────

4.危険度【高】:Ipswitch WS_FTPのクライアントとサーバに複数の脆弱性

<影響のある製品>
Ipswitch WS_FTP Pro 8.0.3 までのバージョン

<詳細>
Ipswitch WS_FTPは、Microsoft Windows用FTPクライアントおよびサーバとし
て広範に使用されている。しかし、サーバにはユーザーレスポンスの処理にバッ
ファオーバーフローの脆弱性がある。この脆弱性を悪用すると、脆弱なプロセ
スの権限(SYSTEMの場合が多い)で任意のコードを実行できるようになってしま
う。また、クライアントには、サーバレスポンスの解析に書式文字列の脆弱性
がある。悪意のあるサーバがこの脆弱性を悪用すると、現在のユーザー権限で
任意のコードを実行されてしまう。脆弱になるには悪意のあるサーバに接続す
る必要がある。クライアント側の脆弱性の概念実証コードは公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/30720.py
製品のホームページ
http://www.ipswitchft.com/
SecurityFocus BIDs
http://www.securityfocus.com/bid/30720
http://www.securityfocus.com/bid/30728

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
    ~セキュアプログラミングスキルを証明する世界唯一の認定~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。