NRI Secure SANS NewsBites 日本版

Vol.3 No.6-7 2008年2月18日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.3 No.6-7 2008年2月18日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2008 Spring
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2008年2月25日~3月1日 開催まであと1週間!!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          https://www.event-information.jp/sanstokyo08/

┃   !!SANSのトップインストラクター Eric Cole 再来日!!
┃   !!短期コース開催! 短い時間で効果的にスキルアップ!!

┃ SEC401 SANS Security Essentials Bootcamp Style(6日コース)
┃ SEC519 Web Application Security Workshop(2日コース)
┃ SEC517 Cutting-Edge Hacking Techniques Hands-On(2日コース)
┃ SEC533 Windows PowerShell(1日コース)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!
────────────────

■はじめに(Alan Paller:SANS Director of Research)

2005年9月以来、少しずつ露わになってきた国家的脅威は、ついに米国家情報
長官が完全に認めるまでとなった。脅威の深刻化がなければ、事実は公表され
ないままだっただろう。防御策改善の大義名分ができたことになる。

速報:
我々が火曜午後にSANS NEWS BITESを発信していることを受けて、Google、
Microsoft、IBM、Yahoo、Versignは、OpenIDスペックをサポートする協定を結
んだ。単一のユーザー名・パスワードで、このスペックをサポートする複数の
Webサイトにログインできるようになる。歓迎すべき事態だ。詳細はこちら:
http://www.campustechnology.com/articles/58342

ソフトウェアセキュリティ改善には、プログラマーが鍵となっている。新たな
セキュアプログラミングスキル試験(GSSP試験)受験者は100人を超え、70%以
上が合格している。受験者の感想を紹介する:
"受験を機に、Javaのプログラミングスキルが向上した。私は今まさに、セ
キュリティ漏えいを考慮し、回避可能なプログラムを作成している。(試験
合格により)マネージャから、他のプログラマーに授業を行うよう依頼され
た。"
政府や大手金融機関のCIOは、請負業者に対し、2008年末までにプログラマー
のセキュアプログラミングの基礎的なスキル(Essential Skills for Secure
Programming)の完全習得を実証するよう求め始めた。5都市(フェニックス、ワ
シントンDC、オーランド、ラスベガス、サンディエゴ)で開催される試験に合
格すれば、この実証ができる(そして、テストの更なる改善のために、是非フィー
ドバックを)。試験概要とスケジュールはこちら:
www.sans.org/gssp
────────────────

■■SANS NewsBites Vol.10 No.9-12
(原版:2008年2月2日、5日、8日、12日配信)

◆高等教育資金法案 対著作権侵害の取り組みへの結び付け(2008.2.7)

今週、米国下院議会で可決されたCollege Opportunity and Affordability
Actでは、短大や大学に対し、連邦政府学資援助プログラムへの参加、対著作
権侵害規則施行プランの作成・導入を義務付けている。その取り組みは、有料
サービスか、技術的な著作権侵害抑止力によらなければならない。大統領が調
印する同法案の最終版が打ち出される前に、上院議会の高等教育学資金法との
調整が必要である。
http://www.news.com/8301-10784_3-9867146-7.html?part=rss&subj=news&tag=2547-1_3-0-20
http://thomas.loc.gov/cgi-bin/bdquery/z?d110:h.r.04137:

【編集者メモ1】(Schultz)
大学の資金を対著作権侵害の取り組みと結び付けるとは、面白いアプローチだ。
大学ではさまざまな対著作権侵害アプローチが試行されたが、ことごとく失敗
に終わった。しかしながら高等教育の学資金に対するニーズは非常に高いため、
この特殊なアプローチは成功する可能性が高いと思う。
【編集者メモ2】(Ullrich)
なぜ大学だけが槍玉に挙がったのか理由は明確でない。大学はすでに著作権関
連のリクエスト対応という巨大な重荷を背負っているのに…。大学側にも、技
術的なソリューションが必要なほど問題が大きいか否か、判断する権限を持た
せるべきだ。
────────────────

◆スパマー 250万ドルの罰金刑(2008.2.4-6)

米国連邦取引委員会(FTC)は、Sili Neutraceuticals社とオーナーのBrian
McDaidがFTC法およびCAN-SPAM法違反で250万ドルの罰金を命じられたと発表し
た。スパム送信やいかがわしいメール広告の禁止も命じられた。同社は、減量
製品や若返り製品を宣伝する迷惑メールを、根拠の無いうたい文句と誤解を招
く件名で送信し、オプトアウト機能や住所などを含んでいなかった。
http://www.techworld.com/security/news/index.cfm?RSS&NewsID=11323
http://www.scmagazine.com/uk/news/article/782050/judge-orders-weight-loss-spammer-pay-25-million/
http://www.ftc.gov/opa/2008/02/sili.shtm
────────────────

◆ロシアからのスパム送信の割合 増加(2008.2.11)

SophosLabs社において、スパムトラップのグローバルネットワークで受信した
全スパムをスキャンしたところ、ロシアのコンピュータから送信された割合が
大幅に増加していることがわかった。現在、ロシア送信の迷惑メールは、12件
中1件にのぼる状態だ。2007年10月から12月の間に迷惑メールを中継した国は、
米国がトップだった。米国のコンピュータの多くが、リモートのハッカーに乗っ
取られて制御されているからだと思われる。
http://www.sophos.com/pressoffice/news/articles/2008/02/dirtydozfeb08.html
────────────────

◆Adobe Readerの欠陥 盛んに悪用される(2008.2.10-11)

1月20日以来、Adobe ReaderのJavaScript脆弱性が活発に悪用されており、数
千台のコンピュータが感染した。Adobeは先週多数の脆弱性を修正する更新プ
ログラムをリリースしたものの、欠陥に関する詳細情報は公表していない。エ
クスプロイトは、悪意ある細工されたPDFファイル(オランダのサーバから来
ているらしい)を介してZonebacのトロイの木馬プログラムを感染させていく。
Zonebacはアンチウィルスプログラムを無効にし、検索結果やバナー広告を改
変してしまうという。ユーザーはAcrobat Readerのバージョンを今すぐ更新す
ること。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9061938&source=rss_topic17
http://www.theregister.co.uk/2008/02/11/adobe_reader_exploit/print.html
http://www.vnunet.com/vnunet/news/2209318/attacks-target-pdf-flaw

【編集者メモ】(Skoudis)
企業にパッチプロセスとパッチシステムが必要である証拠がまたここに。
Windowsだけでなく、サードパーティアプリのパッチも迅速にテストしなけれ
ばならない。今回のAdobe Readerの更新実行と同時に、Java Runtime
Environment、Quicktime、Flash、その他ソフトウェアのパッチレベルも再度
チェックすべきだ。もし、保持するマシンに手を加えるなら、前述の全てを最
新のものに更新しよう。ここ数ヶ月の間に、これら全てのエクスプロイトが公
表されているからだ。我々が侵入テストを行う時は、サードパーティソフトウェ
アのクライアント側のエクスプロイトを使用することがほとんどだ。
────────────────

◆HMRCのデータ紛失事件で影響を受けた世帯 損害賠償を請求(2008.2.10)

郵便配達中に紛失された英国歳入関税局(HMRC:HM Revenue and Customs)のディ
スクに個人情報が保存されていた家族数千世帯が、英政府を相手取って訴訟を
起こした。原告団は、政府はデータ保護法(DPA:Data Protection Act)に違反
したとし、影響を受けた者は50ポンドから300ポンド(98ドルから585ドル)の損
害賠償を受けとる権利があると主張している。この申し立ては、HMRCがDPA違
反で有罪とならなければ前進しない。このデータ紛失事件についての公式調査
の結果は、6月に明らかになる見込みだ。
http://www.dailymail.co.uk/pages/live/articles/news/news.html?in_article_id=513344&in_page_id=1770
────────────────

◆ケーブル切断により地中海地方とアジアでサービス中断(2008.1.31)

地中海の2つの海底通信ケーブル(フランスのマルセイユ周辺とエジプトのアレ
クサンドリア付近)が、1月29日(火)に事故で切断された。ケーブルはそれぞ
れ異なる企業が運用していたが、数時間も経たないうちに両社揃って被害が発
生した。事故の原因は、断層線の活動や船の碇による可能性がある。エジプト
やインドのほとんどの地域でインターネットのアクセスに障害が発生し、
Verizonのサービスでは、スピードが遅くなったところもあったようだ。しか
し、ほとんどの通信は他のケーブルに経路を変更して行われた。
http://www.nytimes.com/2008/01/31/business/worldbusiness/31cable.html?ei=5088&en=95a9e51bf6c
http://news.bbc.co.uk/2/hi/technology/7218008.stm
http://news.smh.com.au/damaged-cables-cut-internet-in-mideast/20080131-1p5a.html

【編集者メモ1】(Schultz)
このインシデントは、一見完全に事故のように感じられる。しかし、大規模な
分散DoSアタックが生じた場合に起こりうる現象を垣間見せてくれたという点
で、非常に重要だ。実際にそんなことが発生したら、インターネットが全てダ
ウンしてしまいかねない。今年どこかで起こる可能性ありと私は踏んでいる。
【編集者メモ2】(Honan)
あなたの企業が海外にサービスをアウトソースしているとしよう。最近、事業
継続計画の見直しは行ったか? このニュースのような障害が発生した場合、
事業にはどれだけの影響が生じるのか、また、どう対応すべきか決めておくべ
きだ。
────────────────

◆EU法廷:ISPは民事裁判で顧客ID引渡しの必要なし(2008.1.29)

欧州法廷は、インターネットサービスプロバイダ(ISP)に対し、民事裁判では、
著作権のあるファイルをダウンロードした顧客の身元を開示する必要はないと
の裁定を下した。刑事裁判では、氏名の開示が義務付けられている。スペイン
のレコード貿易産業協会Promusicaeによる、ISP Telefonicaに対する苦情申し
立てを受けて、この判決に至った。申し立てでは、PromusicaeはTelefonicaに
対し、KaZaAでファイルを交換していた顧客の身元情報を開示するよう求めて
いた。
http://euobserver.com/9/25559
http://today.reuters.co.uk/news/articlenews.aspx?type=internetNews&storyID=2008-01-29
────────────────

◆加州の法案 侵害通知ルールを具体化(2008.2.4)

カリフォルニア州上院議会で可決された法案には、セキュリティ侵害事件で個
人情報が侵害された場合に、政府局やその他の組織が顧客に対して通知する方
法の詳細が述べられ、通知内容に具体的に掲載すべきことが義務付けられてい
る。発生した侵害事実、日時、影響のある人数、漏えいした情報内容、そして、
対象者が詐欺から身を守る方法などについて具体的に記載しなければならない。
また、信用調査所のフリーダイヤルも提供しなければならない。同州にはすで
に侵害通知法があるが、今回は、システムが侵害された組織の責任について詳
細が述べられている。
http:/www.informationweek.com/shared/printableArticle.jhtml?articleID=206103872

【編集者メモ】(Liston)
このような法が出現するたびに、現代のビジネス界における倫理感が劣化して
いるような気がしてしまう。この程度の最低限の取り組みを法律で義務付けな
ければならないのだから。
────────────────

◆カリフォルニア州 身元詐称詐欺の当地裁判を認める(2008.2.1)

カリフォルニア州議会は、データ窃盗に関する法案をもう一つ可決した。同法
案では、身元情報(ID)窃盗の裁判を被害者の居住地域でも行えるとしている。
現行法では、データが盗まれた場所や詐欺が行われた場所でしか訴訟を提起で
きなかった。起草者は、現行法は犯罪者に有利になっているという。この法案
によって、裁判官が裁判地を決定できるようになった。
http://cbs5.com/local/identity.theft.bill.2.644169.html
────────────────

◆ほかにも海底ケーブル損傷(2008.1.4)

ほかに2つの海底ケーブルがサービス停止状態になっていることが報告された。
一週間以内に計4つの海底ケーブルが切断されていたことになるため、これが
事故なのか妨害工作なのか、論議を呼んでいる。先週2つのケーブルが地中海
で切断されていた事件のほか、2月1日(金)にドバイ海岸付近のケーブルが1
つ損傷されていたという報告があった。また、最近判明したのは、カタールと
アラブ首長国連邦を結ぶケーブルが損傷されていたことだ。Gartner社は、冗
長性の保持と事業再開プランの重要性を強調している。
http://afp.google.com/article/ALeqM5i03tUdyj8wf2Xa9P4trWEjqAJdyQ
http://blogs.usatoday.com/ondeadline/2008/02/4th-undersea--1.html
http://www.gartner.com/DisplayDocument?doc_cd=155170&ref=g_homelink

【編集者メモ】(Ullrich)
このように複数の障害が発生するのは、当然疑わしい。したがって、今回のケー
スでは、比較的小さな地震が原因で発生した障害がいくつかあった可能性もあ
る。しかし、少なくともあるケーブルは、当時すでに不安定な状態にあったの
が、他の障害によって通信が廻されてきたために障害が発生したと考えられて
いる。
────────────────

◆Visa PCI DSSを遵守していないアプリのリストを更新(2008.1.31)

Visaは、支払いカード情報を過剰に保存しているアプリケーションのリストに、
さらに3製品を加えた。このリストには、クレジットカード払いを受け付ける
権限のある銀行に提供されている製品で、支払いカード産業データセキュリティ
基準(PCI DSS:Payment Card Industry Data Security)の規則に違反して、支
払いカードの磁気ストリップのデータを全て保存しているものが記載されてい
る。3ヶ月ごとに更新されるが、Visaはリストが悪意の者の手に渡ることを懸
念して、公表していない。該当製品のベンダーは公にされていないが、ベンダー
の多くは、ルールに沿ってすでに製品を更新している。Visaは、PCI DSS遵守
製品のリストも取りまとめており、こちらは公表される。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9060538&intsrc=hm_list
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2008年2月5日 Vol.7 No.6)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サーとパーティのWindowsアプリ         14 (#1, #2, #3, #4)
Linux                      4
Aix                       1
Unix                      1
クロスプラットフォーム             8 (#5)
Webアプリ・クロスサイトスクリプティング    18
Webアプリ・ SQLインジェクション        23
Webアプリ                   29
ネットワークデバイス              2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週の報告から、自動的に更新されない製品に重大な脆弱性がますます増えて
きていることがわかる。
────────────────

1.危険度【重大】:Titan FTPサーバに複数のバッファオーバーフロー脆弱性

<影響のある製品>
Titan FTPサーバ3.30までの製品

<詳細>
Titan FTPサーバは、Windows用企業向けFTPサーバとして広範囲で使用されて
いる。しかし、ユーザー入力認証クレデンシャルの処理に複数のバッファオー
バーフローの脆弱性がある。ユーザー名とパスワードが過剰に長いと、これら
のバッファオーバーフローが引き起こされる。これら脆弱性のいずれかの悪用
が実現すると、脆弱なプロセス(SYSTEMの場合が多い)権限で任意のコードを
実行できるようになってしまう。この脆弱性の全技術的詳細や概念実証コード
が公表されている。この脆弱性の悪用には認証は必要ない。

<現状>
Titanはこの問題を認めていないため、更新もリリースしていない。

<参考>
Securfrogによる掲示(概念実証コード)
http://www.securityfocus.com/archive/1/487431
製品のホームページ
http://www.titanftp.com/products/titanftp/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/27568
────────────────

2.危険度【重大】:Yahoo! Jukebox ActiveXコントロールのいくつかに複数の
脆弱性

<影響のある製品>
Yahoo! Jukebox mediagrid.dll ActiveXコントロール
Yahoo! Jukebox datagrid.dll ActiveXコントロール

<詳細>
Yahoo! Jukeboxは、広範囲で使用されているYahooのミュージック管理サービ
スである。この機能の一部は、2つのActiveXコントロール"mediagrid.dll"お
よび"datagrid.dll"によって提供されている。これらのコントロールにおいて
は、さまざまなパラメータの処理に複数の脆弱性がある。悪意のあるWebペー
ジがこれらのコントロールをインスタンス化すると、脆弱性のいずれかが引き
起こされ、現在のユーザー権限で任意のコードを実行できるようになってしま
う。これらの脆弱性の複数の概念実証コードおよび技術的詳細が公表されてい
る。

<現状>
Yahoo!はこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能をCLSID"22FD7C0A-850C-4A53-9821-0B0915C96139"
と"5F810AFC-BB5F-4416-BE63-E01DD117BD6C"に設定して問題のコントロールを
無効にすれば、脆弱性の影響を軽減できる。しかし、通常の機能に影響が出る
おそれもあるので注意。

<参考>
概念実証コード
http://milw0rm.com/exploits/5052
http://milw0rm.com/exploits/5051
http://milw0rm.com/exploits/5048
http://milw0rm.com/exploits/5046
http://milw0rm.com/exploits/5043
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
Yahoo! Jukeboxのホームページ
http://music.yahoo.com/jukebox/
SecurityFocus BIDs
http://www.securityfocus.com/bid/27578
http://www.securityfocus.com/bid/27579
────────────────

3.危険度【重大】:さまざまなUploader ActiveX コントロールにバッファオー
バーフロー脆弱性

<影響のある製品>
MySpace Uploader ActiveXコントロール
Facebook Photo Uploader 4 ActiveXコントロール
Aurigma ImageUploader ActiveXコントロール

<詳細>
複数の画像アップロード用ActiveXコントロールのコントロールプロパティ処
理にはバッファオーバーフローが含まれている。これらのコントロールは、画
像アップロードを行えるようにする目的で複数のWebサイトで使用されている。
そして、もっとも重要なのは、これらのコントロールは非常に人気の高いソー
シャルネットワーキングサイト、MySpaceとFacebookで使用されているという
ことである。これらのコントロールのいずれかをインスタンス化するWebペー
ジが細工されると、このバッファオーバーフローが悪用され、現在のユーザー
権限で任意のコードが実行されてしまう。この脆弱性の概念実証コードと全技
術的詳細が公表されている。

<現状>
MySpaceはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能をCLSID"48DD0448-9209-4F81-9F6D-D83562940134"
および"6E5E167B-1566-4316-B27F-0DDAB3484CF7に設定して問題のコントロー
ルを無効にすれば、脆弱性の影響を軽減できる。しかし、通常の機能に影響が
出るおそれもあるので注意。

<参考>
概念実証コード
http://milw0rm.com/exploits/5025
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BIDs
http://www.securityfocus.com/bid/27533
http://www.securityfocus.com/bid/27534
http://www.securityfocus.com/bid/27539
────────────────

4.危険度【高】:eLynx SwiftViewにバッファオーバーフロー脆弱性

<影響のある製品>
eLynx SwiftView 8.3.5までのバージョン

<詳細>
eLynx SwiftViewは、文書印刷・閲覧の企業用システムとして広範囲で使用さ
れており、機能の一部はWebブラウザのプラグインおよびActiveXコントロール
によって提供されている。プラグインとコントロールの両方にバッファオーバー
フロー脆弱性がある。Webページが問題のプラグインを使用したり、もしくは
コントロールをインスタンス化したりすると、このバッファオーバーフローが
引き起こされ、現在のユーザー権限で任意のコードを実行できるようになって
しまう。この脆弱性の技術的詳細のいくつかが公表されている。

<現状>
eLynxはこの問題を認めており、更新をリリースしている。
Microsoftの"kill bit"機能をCLSID"7DD62E58-5FA8-11D2-AFB7-00104B64F126"
に設定して問題のコントロールを無効にすれば、脆弱性の影響を軽減できる。
しかし、通常の機能に影響が出るおそれもあるので注意。

<参考>
eLynxセキュリティ警告
http://www.swiftview.com/tech/security/bulletins/SBSV-07-10-02.htm
US-CERTの脆弱性ノート
http://www.kb.cert.org/vuls/id/639169
製品のホームページ
http://www.swiftview.com/
SecurityFocus BID
http://www.securityfocus.com/bid/27527
────────────────

5.危険度【高】:GnumericのExcelファイル処理にメモリ崩壊脆弱性

<影響のある製品>
Gnumeric 1.8.1までのバージョン

<詳細>
Gnumericは、GNOMEプロジェクトの一環として作成されたクロスプラットフォー
ムの表作成アプリケーションであり、広範囲で使用されている。そして、
LinuxやUNIXに類似したOS商品のいくつかにおいて、デフォルトで同梱されて
いる。Windows版も販売されている。しかし、Excel用にフォーマットされたファ
イルの処理にメモリ崩壊脆弱性が含まれている。ファイルが細工されるとこの
脆弱性が引き起こされ、現在のユーザー権限で任意のコードを実行できるよう
になってしまう。この脆弱性の全技術的詳細は、ソースコードを分析すれば入
手できる。

<現状>
Gnumericはこの問題を認めており、更新をリリースしている。

<参考>
Gnumericのバグレポート
http://bugzilla.gnome.org/show_bug.cgi?id=505330
Gnumericのリリースノート
http://www.gnome.org/projects/gnumeric/announcements/1.8/gnumeric-1.8.1.shtml
プロジェクトのホームページ
http://www.gnome.org/projects/gnumeric/
GNOMEのホームページ
http://www.gnome.org
SecurityFocus BID
http://www.securityfocus.com/bid/27536

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。