NRI Secure SANS NewsBites 日本版

Vol.3 No.9 2008年3月10日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                      Vol.3 No.9 2008年3月10日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

ベンダーの提示する保証を完全に信頼する前に、Swa Frantzenのインターネッ
トストームセンターの記事http://isc.sans.org/diary.html?storyid=4043
読むことをお勧めする。

重要なWebアプリケーションの調達および構築検討中の方には、オーランドで
開催される特別コースがお勧め。開発者は、Javaの安全なプログラミング手法
をマスターできる。プログラミングの必須スキル、GSSPセキュアプログラミン
グ試験の対策は、今のところ本コースのみ。コース改善のための詳細なフィー
ドバックをいただける受講者には、4月22日から25日、35%割引が適用される。
詳細情報ご希望の方は、ccalhoun@sans.orgまで。

■■SANS NewsBites Vol.10 No.17-18
   (原版:2008年3月1日、5日配信)

◆独法廷 隠密のPC監視を却下(2008.2.28)

ドイツの連邦憲法裁判所(同国可決法の審査機関)は、ノルトラインウェストー
ファーレン州憲法保護法の条項を却下した。警察によるインターネットでの隠
密調査を許可する項目である。判事は、隠された形での検索行為はプライバシー
を大いに侵害するとし、隠密のPC監視は「この監視方法によらないと最も重要
な権利が侵害される恐れを示す証拠がある」場合だけ許可されるように制限し
た。
http://www.heise.de/english/newsticker/news/print/104196
http://www.nytimes.com/2008/02/28/world/europe/28germany.html?_r=1&oref=slogin&ref=world&pagewanted=print
────────────────

◆アラスカ州下院議会 個人情報保護法を可決(2008.2.28)

35対0で、アラスカ州下院議会は個人情報保護法(HB65)を可決した。この法案
は、組織に対し、セキュリティ侵害で個人情報が侵害された際の市民への通知
を義務付けている。その他の条項では、社会保険番号の売買や開示の禁止、消
費者による自身の信用報告書の凍結などを規定。この法案は、今後同州上院議
会で議論される。可決されれば、アラスカ州は身元情報盗難に関する法のある
31番目の州となる。
http://www.forbes.com/feeds/ap/2008/02/28/ap4710415.html
http://www.govtech.com/gt/268060?topic=117688
────────────────

◆Google Healthにプライバシー上の懸念(2008.2.27-28)

新興の個人医療記録管理サービスに、プライバシー上の懸念が生じている。
Googleは、クリーブランドクリニックと共同でGoogle Healthという製品をパ
イロット運用している。オンラインに調査書類があれば、健康情報を一括にま
とめられるという利便性があるが、情報が医師でなく消費者によってコントロー
ルされるため、医療保険の携行性と責任に関する法律(HIPAA)によって保護さ
れない。同様の製品を開発しているGoogleやその他団体は、HIPAAより堅牢な
保護を提供する姿勢だ。しかし、瞬時にアクセス可能な健康詳細情報が存在す
るとなると、そのコントロールは難しい。
http://www.washingtonpost.com/wp-dyn/content/article/2008/02/26/AR2008022602993.html
http://www.usatoday.com/tech/webguide/2008-02-28-google-health_N.htm?csp=34
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=206900841

【編集者メモ1】(Schultz)
データセキュリティ保護という悩みに新たな切り口が生まれた。ユーザーの介
入により、セキュリティリスクはに高まる。
【編集者メモ2】(Pescatore)
個人健康情報に大きな需要があるということは、既知の事実ではない。金融情
報集約サービスの需要でさえ、別段急上昇してはいないからだ。しかし、中に
は自分の医療情報をコントロールしたい人もいる。セカンドオピニオンなどを
通じて医療コストを削減できる力を得たいとの思いからだ。ここで重要なのは、
(1)これらのサービスには、外部のセキュリティ監査を必ず設けること。
(2)(そして最も重要なのは)サードパーティによる消費者健康情報使用の可
  否をオプトイン方式にすること。そして、監査とその全責任を担うこと。
GooglesやMicrosoftおよびその他の組織にとって、医療記録アクセスに関する
広告で利益を得ることもひとつの方法であろう。しかし、医療関連情報の再販
となると、たとえそれが集約レベルやメタデータレベルであろうと、まったく
別問題である。
────────────────

◆機関名掲載:身元情報窃盗調査で銀行をリストアップ(2008.2.29)

カリフォルニア大学バークレー校・法律技術センターは、連邦取引委員会(FTC)
の苦情数千件をレビューし、身元詐称詐欺の被害を受けた顧客が最も多かった
金融機関25行を明らかにした。FTCの非金融組織について寄せられた身元詐称
詐欺の苦情も明らかになっている。Bank of Americaが金融機関部門で、AT&T
が非金融組織部門で、それぞれ首位だったという。
http://www.bankinfosecurity.com/articles.php?art_id=724
(↑の記事を閲覧するには会員登録が必要)

【編集者メモ】(Schultz)
この調査には不十分な点もあるが、身元詐称詐欺阻止の取組みを満足に行って
いない機関にスポットライトを当てるという意味で功を奏していることに間違
いはない。また、問題の機関には「やるべきことをやれ」というプレッシャー
にもなっただろう。
────────────────

◆米国防省の報告書:サイバーアタックは中国発(2008.3.3)

中国の軍事力に関する米国防省の年間報告書によれば、昨年の多数のコンピュー
タネットワークで発生した侵入事件が、中華人民共和国発であるという。この
ようなアタックに関して、国防省が明確に中国を名指ししたのは初めて。しか
し、昨年後期に提出された米中経済セキュリティレビューほど思い切った内容
ではなかった。報告書では、総合参謀本部副議長・米海兵隊大将James
Cartwrightは、中国のサイバーアタックによって生じうる被害は大量破壊兵器
に匹敵すると見なしている。
http://www.govexec.com/story_page.cfm?articleid=39438&dcn=todaysnews
http://www.cnn.com/2008/US/03/03/pentagon.china/
http://www.washingtonpost.com/wp-dyn/content/article/2008/03/03/AR2008030302516_pf.html
http://www.defenselink.mil/pubs/pdfs/China_Military_Report_08.pdf
────────────────

◆バージニア州最高裁判所 スパマーの有罪判決維持(2008.3.1-3)

バージニア州最高裁判所は、4対3でJeremy Jaynesに対する一審有罪判決を支
持した。同人は2004年にスパム送信で懲役9年の判決を受け、米国初のスパム
による重罪となったケースだった。Jaynesとその弁護士は、有罪判決が合衆国
憲法修正第1条および米国憲法の州際通商条項に違反していると主張したが、
却下された。
http://www.informationweek.com/security/showArticle.jhtml?articleID=206901389&cid=RSSfeed_TechWeb
http://news.smh.com.au/prolific-spammers-conviction-upheld/20080301-1w04.html
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年2月28日 Vol.7 No.9)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Microsoft Office                1
サーとパーティのWindowsアプリ         7 (#1, #3, #5, #6)
Linux                     3
BSD                       2
クロスプラットフォーム            19 (#2, #4)
Webアプリ・クロスサイトスクリプティング    10
Webアプリ・ SQLインジェクション        38
Webアプリ                   18
ネットワークデバイス              3
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週の「重大」脆弱性は、TrendMicroのアンチウィルスツールにあるバッファ
オーバーフローのみ。まだパッチはリリースされていない。
────────────────

1.危険度【重大】:Trend Micro OfficeScanのパスワード処理にバッファオー
  バーフローの脆弱性

<影響のある製品>
Trend Micro OfficeScan 8.0までのバージョン

<詳細>
OfficeScanは、TrendMicroの企業用アンチウィルス製品である。しかし、ユー
ザー認証時のパスワード処理にバッファオーバーフローがある。過剰に長いパ
スワードを含むようにリクエストが細工されると、このバッファオーバーフロー
が引き起こされる。実現すると、脆弱なプロセス権限で任意のコードを実行で
きるようになってしまう。この脆弱性の全技術的詳細と概念実証コードがいく
つか公表されている。OfficeScanのバージョンの中には、リモートのコード実
行どころかクラッシュしてしまうものもある。つまり、OfficeScanの当該バー
ジョンにおいて、この脆弱性はDoSのみとなる。このDoS脆弱性も今回のアドバ
イザリに掲載されている。

<現状>
Trend Microはこの問題を認めていないため、更新もリリースしていない。

<参考>
Luigi Auriemmaによるアドバイザリ (複数の概念実証コードを含む)
http://aluigi.altervista.org/adv/officescaz-adv.txt
製品のホームページ
http://us.trendmicro.com/us/products/enterprise/officescan-client-server-edition/
SecurityFocus BID
http://www.securityfocus.com/bid/28020
────────────────

2.危険度【高】:Mozilla ThunderbirdのMIME処理にバッファオーバーフローの
  脆弱性

<影響のある製品>
Mozilla Thunderbird 2.0.0.12までのバージョン

<詳細>
Mozilla ThunderbirdはMozillaのメールおよびニュースクライアントである。
Thunderbirdは、メールメッセージ内のテキスト以外のデータをサポートでき
るコアなメールプロトコル拡張機能の集まりで、MIMEをサポートしている。し
かし、MIMEヘッダー処理に欠陥があるため、ヒープオーバーフローが生じる。
メールメッセージが細工されると、そのメッセージがこのオーバーフローを悪
用し、現在のユーザー権限で任意のコードを実行してしまう。この脆弱性は、
Thunderbirdでメールが閲覧されるたびに悪用される。技術的詳細がいくつか
アドバイザリに公表されており、全技術的詳細はソースコードを分析すれば入
手できる。

<現状>
Mozillaはこの問題を認めており、更新をリリースしている。以下のiDefense
およびMozillaアドバイザリにあるとおり、回避策も公表されている。

<参考>
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2008/mfsa2008-12.html
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=668
MIMEについてのWikipediaの説明
http://en.wikipedia.org/wiki/MIME
製品のホームページ
http://www.mozilla.com/en-US/thunderbird/
SecurityFocus BID
http://www.securityfocus.com/bid/28012
────────────────

3.危険度【高】:Novell iPrint ClientのActiveXコントロールにバッファオー
  バーフローの脆弱性

<影響のある製品>
Novell iPrint Client 4.32までのバージョン

<詳細>
Novell iPrintはNovellの印刷テクノロジーで、ユーザーがInternet Printing
Protocol(IPP)を使用してWebブラウザから印刷ジョブをプリンタにサブミット
できるようになっている。機能の一部は、ActiveXコントロールによって提供
されている。しかし、"ExecuteRequest"メソッドにバッファオーバーフロー脆
弱性がある。過剰に長い引数を含むメソッドを誘発するようにWebページが細
工されると引き起こされる。悪用が実現すれば、現在のユーザー権限で任意の
コードを実行できるようになってしまう。この脆弱性の技術的詳細がいくつか
公表されている。

<現状>
Novellはこの問題を認めており、更新をリリースしている。Microsoftの"kill
bit"機能を介して問題のコントロールを無効にすれば、影響を軽減できる。し
かし、通常のアプリケーション機能に影響が出るおそれもあるので注意。

<参考>
Novellのセキュリティアドバイザリ
http://download.novell.com/Download?buildid=prBBH4JpImA~
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/27994/
IPPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Internet_Printing_Protocol
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://www.novell.com/products/netware/printing/quicklook.html
SecurityFocus BID
http://www.securityfocus.com/bid/27939
────────────────

4.危険度【高】:Symantec Scan EngineのRARファイル処理にバッファオーバー
  フローの脆弱性

<影響のある製品>
Symantec Scan Engine 5.1.2 までのバージョン

<詳細>
Symantec Scan Engineは、その他の製品に同梱できるようにデザインされた
Symantecのアンチウィルスエンジンのバージョンのひとつである。このエンジ
ンは、Internet Content Adaptation Protocol(ICAP)を介してサブミットされ
たスキャン・リクエストをサポートする。しかし、リモートユーザーからのリ
クエストが細工されると、スキャンエンジンプロセスにヒープオーバーフロー
が引き起こされる。悪用が実現すると、脆弱なプロセス権限で任意のコードを
実行できるようになってしまう。他の製品にスキャンエンジンを統合するやり
方によっては、ユーザーの操作なしでリモートでこの脆弱性を悪用できるおそ
れがあるので注意が必要だ。このスキャンエンジンを使用する製品はすべて脆
弱だと考えてよい。

<現状>
Symantecはこの問題を認めており、更新をリリースしている。可能であれば
1344ポートへのアクセスをネットワーク境界でブロックして、影響を軽減でき
る。この更新ではDoS脆弱性にもパッチが適用できる。

<参考>
Symantecのセキュリティアドバイザリ
http://www.symantec.com/avcenter/security/Content/2008.02.27.html
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=666
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=667
ICAPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Internet_Content_Adaptation_Protocol
RARファイル形式についてのWikipediaの説明
http://en.wikipedia.org/wiki/RAR_%28file_format%29
製品のホームページ
http://www.symantec.com/business/products/overview.jsp;jsessionid=C3868263582F4FB5597B5D93C8EFD1AE?pcid=2251&pvid=836_1
SecurityFocus BID
http://www.securityfocus.com/bid/27913
────────────────

5.危険度【高】:ActivePDF Serverのリクエスト処理にバッファオーバーフロー
  の脆弱性

<影響のある製品>
ActivePDF Server 3.8.5.14までのバージョン

<詳細>
ActivePDFは、PDFファイルを生成するサーバ・アプリケーションとして広範囲
で使用されている。しかし、ユーザーリクエストの処理に欠陥がある。サーバ
に向かうパケット一式が細工されると、バッファオーバーフローが生じる。悪
用が実現すると、脆弱なプロセス権限で任意のコードが実行されてしまう。こ
の脆弱性の技術的詳細がいくつか公表されている。

<現状>
ActivePDFはこの問題を認めており、更新をリリースしている。
TCP53535番ポートへのアクセスをネットワーク境界でブロックすれば、影響を
軽減できる。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2007-87/advisory/
製品のホームページ
http://www.activepdf.com/products/serverproducts/server/index.cfm
SecurityFocus BID
http://www.securityfocus.com/bid/28013
────────────────

6.危険度【高】:ICQに書式文字列の脆弱性

<影響のある製品>
ICQ 6までの製品

<詳細>
ICQは、インスタントメッセージ・アプリケーションとして広範囲で使用され
ている。しかし、受信メッセージの処理に欠陥がある。特定の書式を含むメッ
セージが細工されると、書式文字列脆弱性が引き起こされる。悪用が実現する
と、現在のユーザー権限で任意のコードを実行できるようになってしまう。ユー
ザーが(デフォルト設定で)受信メッセージを受け入れるように設定していると、
操作なしで悪用が可能になってしまう。この脆弱性と簡単な概念実証コードが
公表されている。

<現状>
ICQはこの問題を認めていないため、更新もリリースしていない。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/29138/
B0B のアドバイザリ(ドイツ語)
http://board.raidrush.ws/showthread.php?t=386983
ICQのホームページ
http://www.icq.com
SecurityFocus BID
http://www.securityfocus.com/bid/28027

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。