NRI Secure SANS NewsBites 日本版

Vol.3 No.46 2008年11月25日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.3 No.46 2008年11月25日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

SANSトレーニングプログラムへの参加をお考えの方へ。
以下のコメントは、SANSトレーニングがどのトレーニングよりも有益であるこ
とを上司に理解させるのに役立つと思われる。SANSトレーニングでは、受講後
に即実践できる最新の防御情報が提供されるのだ:
「今まで多くのトレーニングコースを受講してきたが、このトレーニングが最
も素晴らしかった」(サフォーク郡警察 William Okula)
「サイバーセキュリティ分野の管理責任がある方は、効果的な成果をあげるべ
く、必ずこのコースを受講すべきだ」(米国国税庁 William J. Riegger)
「SANSコースには最高峰中の最高峰の人間が集結しており、最先端の情報を提
供してくれる」(米国サンディア国立研究所 Jeremy Baca)
「SANSでは最高の教育を受けられる」(Heartland Business Systems社 Mike
Gauthier)
「SANSトレーニングは触媒のようだ。知識を増やせるだけでなく、さらなる学
習意欲もかきたてられる」(IDA Tan Koon Yaw)
「SANSのライバル機関によるコースに参加したこともあるが、SANSは圧倒的に
それらを凌ぐ」(米国海兵隊 Alton Thompson)
「SANSには、私が参加したことのあるトレーニングの中で最高の講師陣が揃っ
ているほか、最も適切かつ旬な情報が詰まっている」(Hallmark社 Melodee
McHone)
「今までに、これだけ有益な情報がわかりやすく、また手軽に入手可能な形で
集約されている場所を見たことはなかった」(PEO C4I PMW 160 Wayne Slocum)
「テクニックを学べたのみならず、即座に実践できるツールを見出せた。この
ようなトレーニングは、今まで受けたトレーニングの中ではこれだけだ」(国
防補給庁 Dwight Leo)

ほか、数千人の受講者が同様のコメントを寄せている。SANS Security Westの
詳細はこちら:http://www.sans.org/securitywest09
なお、2009年2月の東京開催も決定している。まもなく申込み受付開始!

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
SANS GSSP試験 日本初実施!!
~セキュアプログラミングスキルを証明する世界唯一の認定資格~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
↓↓↓詳しくはこちら↓↓↓
http://www.entryweb.jp/sans/GIAC/

        !!受験申込みは11月28日(金)まで!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.10 No.90-91
(原版:2008年11月15日、19日配信)

◆ホスティング会社の接続が外れた後 スパムの量減る(2008.11.12)

スパム組織をホストしていることがわかったカリフォルニア州北部ベースのホ
スティングプロバイダMcColoがインターネットプロバイダから接続を外された
後、世界中で送信されているスパムの量が大幅に減少した。McColoは、世界中
に送信されているスパムの75%を担うマシンをホスティングしていたと考えら
れている。これを受けて、McColoのアップストリームサービスは、11月11日火
曜に切断された。同日午後には、スパムをトラッキングしている組織によって、
スパムの送信量が激減したことが判明。しかし、迷惑メールを送信している組
織は、その拡大を促進する他の手段を見出すことが予想されるため、この切断
による緩和は一時的なものにとどまると見込まれている。
http://www.washingtonpost.com/wp-dyn/content/article/2008/11/12/AR2008111200658.html?nav=rss_technology
http://www.theregister.co.uk/2008/11/12/mccolo_goes_silent/
http://news.bbc.co.uk/2/hi/technology/7725492.stm
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9119963&source=rss_topic17
http://hostexploit.com/downloads/Hostexploit%20Cyber%20Crime%20USA%20v%202.0%201108.pdf
インターネットストームセンター:
http://isc.sans.org/diary.html?storyid=5333

【編集者メモ】(Ullrich)
ネットワークサービスプロバイダによる自己管理のトレンドが示されている。
このような悪意者によって事業に影響が生じることから、注意が払われるよう
になってきている。つまり、悪意者の潜伏が難しくなってきている。エリア内
のドラッグの売人や売春婦を追い払うために、住民が彼らに眩しいライトを当
てる行為と比べてみよう。
────────────────

◆報告:ISP 分散DoSの防御に一層注力(2008.11.11-12)

Arbor Networksがまとめた2008年世界インフラセキュリティ報告には、2007年
8月から2008年7月までの1年間についての調査結果が掲載されている。最も重
要な調査結果としては、「インターネットサービスプロバイダ(ISP)が、セキュ
リティ資源の大部分を分散DoSアタックの防御に費やしていた」こと、「最大
規模の分散DoSアタックは、毎秒40ギガバイトを超えていた」ことなどがあげ
られる。また、ISPは「アプリケーションレベルのアタックによって、インター
ネットサービスの停止が長引いてしまった」ことも重大としている。さらに、
回答したISPの半数以上が、IPv6を伴う新手のセキュリティの脅威が生じる可
能性について懸念しているという。
http://asert.arbornetworks.com/2008/11/2008-worldwide-infrastructure-security-report/
http://news.zdnet.co.uk/security/0,1000000189,39549409,00.htm
http://www.vnunet.com/vnunet/news/2230250/isps-fear-ipv6-security-threats

【編集者メモ】(Schultz)
DoSアタックが、ここ数年最も多いアタックであることを突き止めた調査報告
が次々に浮上している。しかし、DoSに対する防御策はさほど進化していない。
したがって、今後もこのような傾向が続くと予想される。
────────────────

◆アンチマルウェアテストのガイドライン発行(2008.11.11)

AMTSO(Anti-Malware Testing Standard Organization:マルウェア対策製品
テストの標準化を目指す組織)は、アンチウィルススキャナとマルウェア防御
ツールのテスト方法の標準化を図り、2つの文書を発行した。1つ目の"テスト
の基本原理(Fundamental Principles of Testing)"には、「テストによって
公共を危険に晒してはならない」「テストは適度に開示され、明白なもの(ユー
ザーにわかるもの)とする」「テスト方法は、テスト目的と一致しなければな
らない」などの文言が掲載されている。一方、2つ目の"動的テストを行うため
のベストプラクティス(Best Practices for Dynamic Testing)"には、再現
性、プロダクトとサンプルの選択、テスト環境、ログ、監査についての問題が
取り上げられている。AMTSOは、「一貫性のないテスト施行体制」についての
懸念が拡大し、特定のテストスキーマの倫理が問題視されている折に創設され
たという経緯がある。
http://www.securityfocus.com/brief/852
http://www.amtso.org/documents/cat_view/13-amtso-principles-and-guidelines.html

【編集者メモ】(Ullrich)
「動的テスト」の文書で、新手の関連マルウェアに焦点があてられているのは
素晴らしい。現在のアンチマルウェアには、現行の関連脅威に大きな問題があ
る。「テストの基本原理」の文書については、何も間違ったことが言及されて
いるわけではないものの、焦点が絞られていない。我々は、古く(24時間以上
も前の)、データが更新されないマルウェア情報を使用したアンチマルウェア
のテストから脱却しなくてはならない。
────────────────

◆ウィルスで 英国の3つの病院がシステムダウン(2008.11.18)

英国で、コンピュータウィルスによって、シティのバーツ病院、ホワイトチャ
ペルのロイヤルロンドン病院、べスナルグリーンのロンドンチェスト病院のコ
ンピュータシステムがダウンした。エンジニアらが一晩中回復に向けて取り組
んだものの、その問題は修正できなかった。
http://news.bbc.co.uk/2/hi/uk_news/england/london/7735502.stm
http://www.scmagazineuk.com/London-hospitals-struck-down-by-virus/article/121133/
────────────────

◆米国連邦取引委員会 リモートスパイ・キーロガーのスパイウェアの販売禁
止を求める(2008.11.17)

米国連邦取引委員会(FTC)のCyberSpy Software社に対する裁判が決着するまで
の間、FTCはキーロガー型スパイウェアであるRemoteSpy keyloggerの販売を停
止する一時差し止め命令を要求していた。フロリダ州地方裁判所は、その要求
を認めた。FTCは今月はじめ、CyberSpy社に対し、製品販売禁止やFTC法の違反
容疑4件を訴える裁判を起こしていた。問題の違反は、スパイウェアの不当な
販売、消費者の個人情報の収集および開示、スパイウェアのインストール・消
費者の個人情報にアクセスするための手段や方法、詐欺行為の手段や方法につ
いてである。
http://news.cnet.com/8301-13578_3-10099123-38.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://ftc.gov/os/caselist/0823160/081105cyberspycmplt.pdf

【編集者メモ】(Schultz)
FTCは、勝てない訴訟理由をもとに戦っているのかもしれない。なぜなら、キー
ロガー・ソフトウェアは、インターネット上ではすでに自由に入手可能だから
だ。今さらソフトウェア商品として販売されているという事実が判明したとこ
ろで、注目すべきことでもない。
────────────────

◆コンピュータ濫用対策法の変更で 分散DoSアタックとアタックツールを刑
事罰の対象に(2008.11.14)

分散DoSアタックとアタック促進ツールを刑事罰の対象とするように、英国コ
ンピュータ濫用対策法(CMA)に変更が加えられたが、やっとイングランドとウェー
ルズで有効となった。CMAの変更は6年前に初めて提案され、その後2006年に実
際の変更が加えられた。スコットランドは2007年10月にその変更を適用したも
のの、イングランドとウェールズはこの変更を2008年10月まで施行していなかっ
たという。変更に含まれていた研究行為を妨げるような文言が問題となってい
たからだ。今回の変更内容としては、新たに明確化された犯罪の懲罰の厳罰化
などがある。元雇用主に分散DoSアタックを仕掛けた未成年を有罪にできなかっ
たことが、少なくとも部分的に、CMAの変更を有効化する原動力になっている
と思われる。その裁判では、裁判官が、「雇用主のシステムはメールを受信す
るように設計されているものだったため、少年の行為は違法にあたらない」と
いう判決を下している。しかし、高等法院が先の判決を覆す裁定を下したため、
後に有罪となった。
http://www.theregister.co.uk/2008/11/14/dos_criminalised/
────────────────

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2008年11月14日 Vol.7 No.46)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     2 (#1, #2)
サードパーティのWindowsアプリ          2 (#6)
Linux                      7
Solaris                     2
Apple                      1 (#5)
Unix                      1
クロスプラットフォーム             32 (#3, #4)
Webアプリ-クロスサイトスクリプティング     7
Web アプリ- SQLインジェクション        50
Webアプリ                   46
ネットワークデバイス              2
ハードウェア                  1
======================================================================

今週は、Microsoftに重大な問題が2件見つかった。Firefoxに重大な問題が1件、
ClamAV(アンチウィルス)に重大な問題が1件あったが、今週の注目すべき事項
は、150もの新脆弱性が発生したことである。これまでの2年間を振り返っても、
1週間に100以上の脆弱性が発生したことはせいぜい2-3回しかない。しかし、
もう少しすれば、今回のこの増加現象が恒久的になってしまったかどうかわか
るだろう。もしそうでなかったとしても、Webアプリケーションのプログラマー
が粗悪なコードをたくさん作成してしまっていることには違いない。また、プ
ログラマーの上司にしても、問題について何も知らないか、管理権限の実行を
怠っているかのどちらかであろう。
(Alan Paller:SANS Director of Research)
────────────────

1.危険度【重大】:MicrosoftのXMLコアサービスに複数の脆弱性(MS08-069)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Office

Microsoft XMのコアサービスは、XMLコンポーネントの分析に使用される
Microsotのさまざまな製品のコンポーネント一式である。これらのさまざまな
コンポーネントのXMLコンテンツの処理には、複数の脆弱性がある。XMLデータ
を含むWebページが細工されると、メモリ崩壊の脆弱性を引き起こし、現在の
ユーザー権限でリモートでコードが実行される可能性がある。その他の脆弱性
も、情報開示やクロスサイトスクリプティングの脆弱性に至るおそれがある。
これらの脆弱性の技術的詳細のいくつか、および概念実証コードが公表されて
いる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-069.mspx
SANSインターネットストームセンターの担当者日誌
http://isc.sans.org/diary.html?storyid=2181&rss
Michal Zalewskiによる掲示
http://www.securityfocus.com/archive/1/455965
概念実証コード(ダイレクトリンクdirect link)
http://lcamtuf.coredump.cx/iediex/iediex.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/32204
http://www.securityfocus.com/bid/21872
http://www.securityfocus.com/bid/32155
────────────────

2.危険度【重大】:Microsoft SMBに信用証明書が盗まれる脆弱性(MS08-068)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
SMBとは、Microsoft Windowsがファイルやプリンタ、その他のOSサービスを共
有するときに用いられるプロトコルのServer Message Blockのことである。
SMBは、別名Common Internet Filesystem(CIFS)としても知られている。
Microsoft Windows上のSMB実装は、SMBユーザーやサーバのNTLM(Microsoft
Windows NTから発せられた認証プロトコル)を介する認証をサポートする。し
かし、Microsoft Windowsは、NTLMの信用証明書保護機能を正しく導入できな
い。そのため、ユーザーが悪意のあるSMBサーバにアクセスするよう誘導され
ると、サーバは、そこで提供されたクレデンシャルを使ってSMBを介し、犠牲
者のマシンにアクセスできるようになってしまう(このアタックは、
Credential Reflection(資格情報の再生)として知られている)。これによっ
て、現在のユーザー権限で任意のコードを実行できるようになってしまう。し
かし、まずユーザーに、悪意のあるSMBサーバに接続するように仕向けなくて
はならない。Webページやメールメッセージを介せば、これを行うことができ
てしまう。この脆弱性の概念実証コードが公表されている。同脆弱性は2003年
から報告されていたものの、確認はとれていなかった。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/backrush.patch.README
http://downloads.securityfocus.com/vulnerabilities/exploits/backrush.patch
アタックや類似アタックについてのWikipediaの説明
http://en.wikipedia.org/wiki/Replay_attack
SecurityFocus BID
http://www.securityfocus.com/bid/7385
────────────────

3.危険度【重大】:Mozillaの複数の製品にさまざまな脆弱性

<影響のある製品>
Mozilla Firefox のバージョン3.x
Mozilla SeaMonkeyのバージョン1.1.x
Mozilla Thunderbird のバージョン2.x

<詳細>
Mozilla Firefoxのさまざまなインプット処理に、複数の脆弱性がある。Webペー
ジやスクリプト・インプット、URI、XML文書、JARファイル、その他のインプッ
ト処理にある欠陥は、現在のユーザー権限で任意のコードが実行されるなど、
さまざまな脆弱性につながるおそれがある。さまざまなMozilla製品、Mozilla
SeaMonkey、Mozilla Thunderbirdも、これらの問題のいくつかに脆弱である。
これらの脆弱性の全技術的詳細は、ソースコードを分析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozillaのアドバイザリ
http://www.mozilla.org/security/announce/2008/mfsa2008-51.html
http://www.mozilla.org/security/announce/2008/mfsa2008-52.html
http://www.mozilla.org/security/announce/2008/mfsa2008-53.html
http://www.mozilla.org/security/announce/2008/mfsa2008-54.html
http://www.mozilla.org/security/announce/2008/mfsa2008-55.html
http://www.mozilla.org/security/announce/2008/mfsa2008-56.html
http://www.mozilla.org/security/announce/2008/mfsa2008-57.html
http://www.mozilla.org/security/announce/2008/mfsa2008-58.html
Mozillaのホームページ
http://www.mozilla.org
SecurityFocus BID
http://www.securityfocus.com/bid/32281
────────────────

4.危険度【重大】:ClamAVのUnicode処理にバッファオーバーフローの脆弱性

<影響のある製品>
ClamAV の0.94.1以前のバージョン

<詳細>
ClamAV(Clam Anti-Virus)は、オープンソースのアンチウィルスソリューショ
ンとして広範に使用されており、多くの場合メールサーバに導入され、メール
にあるウィルスやその他のマルウェアを自主的にスキャンしている。ファイル
が細工されると、バッファオーバーフローの脆弱性に至るおそれがある。悪用
が実現すると、脆弱なプロセスの権限で任意のコードを実行できるようになっ
てしまう。メールの処理にClamAVを使用しているサーバにメールを送信すれば、
この脆弱性を悪用できる。脆弱性の全技術的詳細公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Moritz Jodeitによる掲示
http://www.securityfocus.com/archive/1/498169
製品のホームページ
http://www.clamav.net/
SecurityFocus BID
http://www.securityfocus.com/bid/32207
────────────────

5.危険度【高】:Appleの複数の製品にさまざまな画像処理の脆弱性

<影響のある製品>
Mac OS X 10.4.11またはそれ以前のバージョンで運用されているApple
Aperture 2
Mac OS X 10.4.11またはそれ以前のバージョンで運用されているApple iLife
8.0

<詳細>
Apple Apertureは、Apple Mac OS Xの写真処理アプリケーションとして広範に
使用されている。Apple iLifeは、メディア管理、Webパブリッシング、Apple
Max OS X用のその他のタスク用のアプリケーションスイートである。これらの
アプリケーションがApple Mac OS X 10.4.11またはそれ以前のバージョンでイ
ンストールされている場合、さまざまな画像形式の処理に欠陥があるという。
画像が細工されると、脆弱性のうちいずれかが引き起こされてしまう。悪用が
実現すると、現在のユーザー権限で任意のコードを実行できるようになってし
まう。脆弱性のいくつかは公表されている。デフォルト設定では、プロンプト
無しで脆弱なアプリケーションによって画像が開かれてしまうことはない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティ警告
http://support.apple.com/kb/HT3276
Secuniaのアドバイザリ
http://secunia.com/advisories/32688/
製品ホームページ
http://www.apple.com/aperture/
http://www.apple.com/ilife/
SecurityFocus BID
http://www.securityfocus.com/bid/30832
────────────────

6.危険度【高】:SAP GUI ActiveX Controlにリモートでコードが実行される脆
弱性

<影響のある製品>
SAP GUI 7.xまでのバージョン

<詳細>
SAP GUIは、SAP Enterprise Resource Planningアプリケーションのグラフィ
カル・ユーザー・インタフェース(GUI)である。この機能の一部は、ActiveXコ
ントロールによって提供されている。しかし、このコントロールのインプット
処理にはリモートでコードが実行される脆弱性がある。悪意のあるWebページ
がこのコントロールをインスタンス化すると引き起こされ、現在のユーザー権
限で任意のコードが実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能をCLSID"B01952B0-AF66-11D1-B10D-0060086F6D97"に設定して
問題のコントロールを無効にすれば、影響を軽減できる。しかし、通常の機能
に影響が出るおそれもあるので注意。

<参考>
US-CERTの脆弱性のノート
http://www.kb.cert.org/vuls/id/277313
SAPの脆弱性ノート
https://websmp130.sap-ag.de/sap/support/notes/1142431
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SAPのホームページ
http://www.sap.com
SecurityFocus BID
http://www.securityfocus.com/bid/32186

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。