NRI Secure SANS NewsBites 日本版

Vol.4 No.16 2009年4月21日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.16 2009年4月21日発行
**********************************************************************

■はじめに

今週、サイバーセキュリティを変え得るものが出現!

発電および電力供給企業内のコンピュータが外国からの侵害を受けてコントロー
ルが奪われたことが発覚し、この変革に至った。電力会社の役員たちは議会や
一般市民に対し、「セキュリティを最優先事項とし、米国の電力システムを守
るために必要なことを行っている」とコメントしていた。しかし、それは彼ら
がシステムの深部まで他国に侵入されている事実を知らなかったが故の発言で
あることがわかった。敵は戦争勃発時に悪用する目的で、システムへのアクセ
スを継続可能にするソフトウェアを用いて侵入していたのだ。このことが明る
みに出たのをきっかけに議会の怒りが頂点に達したことは確かだ。怒った議会
は、北米電力信頼度評議会(NERC)主導でセキュリティ管理方法の一新を決定
するだけでなく、同産業における再発を防ぐべく行動を起こすだろう。だから、
変革になり得るのだ。電力産業の役員たちが、「NERCはレターを書くべきでな
かったし、全ての産業界に対して暗部を隠しておくべきだった」とぼやいたの
はつい先月のこと。しかし、暗部を放置しておけば、国の戦力や存続力さえも
が損なわれてしまうのは間違いないだろう。問題のレターを作成したMichael
Assanteと彼の率いるNERCチームを称えたい。News Bites読者諸氏で、これに
は対処できないと言い訳している公益事業に携わる人々を知っている方がいらっ
しゃったら、彼らの氏名を私に教えてほしい(apaller@sans.org)。国中の政
治家が、国民を危険に晒しているのは誰か、いい加減知っておくべき時期に来
ている。
NERCのレターの内容は以下で参照できる:
http://online.wsj.com/public/resources/documents/CIP-002-Identification-Letter-040609.pdf

連邦政府と州政府(そして国連)のWebサイトにアクセスすると、訪問者のコ
ンピュータに意図しないコードがダウンロードされ、そのコードによって他の
Webサイトに導かれ、悪意のあるペイロードに感染してしまう。米文民政府局
(US Civilian Government Agency)のセキュリティリーダーとアプリケーショ
ン開発マネージャ、銀行やNSA、SANSが4月29日にワシントンDCに集結。ソフト
ウェアセキュリティ分野において何が有効なのか、各々が習得したことに理解
を深めるほか、政府局のシステムが市民を感染させないようにする方法につい
てコンセンサスを取る見込み。出席すべき連邦政府職員は、自組織のCISOにこ
のイベントのことを通達すべきだ。銀行組織の方はBITSを通じてご参加を。そ
れ以外の方は、以下のリンクより登録できる。
http://www.sans.org/appsec09_summit
                 Alan Paller(SANS Director of Research)
────────────────

■■SANS NewsBites Vol.11 No.28-29
   (原版:2008年4月11日、4月15日配信)

◆米電力網 侵入される(2009.4.9)

米国のセキュリティ筋によると、同国の電力網やその他公益事業のコンピュー
タネットワークが侵害を受け、通信や電力供給など同国の重大なインフラの妨
害に利用できるツールが植えつけられていたことがわかったという。今のとこ
ろ、問題のソフトウェアを使用して損害を引き起こす行動が試みられた形跡は
ない。侵害のほとんどが、システム担当企業に検知されなかった。検知できた
のは米国諜報機関のみ。今回の報告を受けてサイバーセキュリティの専門家た
ちは、米連邦エネルギー規制委員会(FERC)と原子力規制委員会(NRC:Nuclear
Regulatory Commission)、エネルギー省に対し、電力網などインフラのサイ
バーセキュリティを管理する権限や監督権を付与する法案の推進を要請した。
まだ侵入事件が報告されていなかった今週前半、北米電力信頼度協議会(NERC)
はエネルギー企業に対し、資産およびサイバー資産のうち「重大なもの」を定
義する方法を細かく見直すことを推奨した。NERCの副会長に関連するリンクや、
CSOのMichael Assanteが作成した重要なサイバー資産定義方法の遵守調査につ
いてのレターをご覧になりたい方は、以下参照。
http://online.wsj.com/article/SB123914805204099085.html
http://fcw.com/Articles/2009/04/08/FERC-needs-to-step-up-oversight-to-safeguard-grid.aspx
http://www.nextgov.com/nextgov/ng_20090408_1423.php
http://www.washingtonpost.com/wp-dyn/content/article/2009/04/08/AR2009040803904_pf.html
http://www.cnn.com/2009/TECH/04/08/grid.threat/index.html
http://www.eweek.com/c/a/Security/Before-Grid-Hack-Reports-NERC-Advises-Industry-on-Cyber-Assets-479748/
電力網への侵害事件に関するQ&A:
http://lastwatchdog.com/chinese-russian-cyberspies-lurk-us-electrical-grid/
Assanteのレター:
http://online.wsj.com/public/resources/documents/CIP-002-Identification-Letter-040609.pdf

【編集者メモ】(Schultz)
これまでにも、電力会社のセキュリティは適正なレベルに達してないと示す事
柄が多数あった。外国の諜報員によってインストールされたマルウェアが広範
に存在していることが判明したが、米国の重大なインフラであるエネルギー部
門が重大な役割を担っていることを考えると、深刻な問題である。そのため、
「エネルギー企業は重大な資産とサイバー資産を定義する方法を細かく見直す
べきだ」とするNERCの意見には興味がある。この領域の推奨策はたくさんある
が、ことごとく無視されてきた。要件必須化が明らかに求められている。
────────────────

◆米国防総省 サイバーインシデントによるダメージの修復に1億ドル
  (2009.4.7)

国防省は、この半年間に発生したサイバーアタックやコンピュータネットワー
クの問題を緩和するために1億ドル以上費やす見込み。問題のアタックの内容
も、破壊行為からスパイ活動まで全域におよぶ。米国外のソースから発せられ
たアタックに対処するために費やされた額は明らかでない。陸軍准将John
Davisは政府に対し、問題を一掃するのに巨額の資金を投じ続けるよりも、コ
ンピュータネットワークそのものに積極的に投資することを要請した。
http://www.msnbc.msn.com/id/30090749/
http://www.usatoday.com/tech/news/computersecurity/2009-04-08-pentagon-cyber_N.htm?csp=34
http://www.scmagazineus.com/Cyberattack-repairs-cost-Pentagon-100-million-in-six-months/article/130376/

【編集者メモ】(Northcutt)
影響を緩和するための費用は、一般的には損害価値の何割かにとどまるものだ。
だとしたら1億ドルという数字から、失われた情報は類を見ないほど大きなも
のだったことがうかがえる。
────────────────

◆新法案 SMSスパム禁止に(2009.4.6-8)

米国上院のOlympia Snowe議員(メイン州共和党)とBill Nelson議員(フロリ
ダ州民主党)は、Can Spam法の適用範囲を広げる法案を提案した。これによっ
て、SMS(Short Message Service:テキストメッセージのようなもの)も
Can-Spam法の適用対象となる。同法によって、連邦通信委員会(FCC)と連邦
取引委員会(FTC)が、携帯電話でメッセージを送信したスパマーを追跡でき
るようになる。また、着信拒否リストにある電話番号に迷惑メールを送信する
行為も禁じられる。米国ではメッセージの送信だけでなく、受信にも料金を支
払わなければならない仕組みになっている。
http://www.informationweek.com/news/government/policy/showArticle.jhtml?articleID=216403584
http://www.eweek.com/c/a/Mobile-and-Wireless/Senators-Seek-DoNotText-List-to-Curb-SMS-Spam-584282/
────────────────

◆米監査官の報告:税関国境警備局 レビューに十分なデータを提供せず
  (2009.4.13)

米国国土安全保障省(DHS)の監査官(IG)Richard L. Skinnerによると、税
関国境警備局(CBP)は、ATS(Automated Targeting System)の一部である
ATS-Passenger(ATS-P)データベースにある情報の処理と保護の方法に必要な
変更を加えたかどうか判断するのに十分な情報を提供していないという。議会
はCBPに対し、2009年度の予算配分を受けるために必要な改善の実施を証明す
ることを義務付けた。また、議会はIGにもそのレビューを義務付けている。IG
の報告書には、「CBPの業務プログラム向上計画や、2007年8月に概要がまとめ
られたプライバシーの影響検査(PIA)ほか関係書類を検討したところ、ATS-P
に収集されている個人情報に大きなリスクがあるとは予見できなかった」と書
かれている。
http://fcw.com/Articles/2009/04/13/CBP-did-not-give-auditors-information-on-passenger-data-system-IG-says.aspx
http://www.dhs.gov/xoig/assets/mgmtrpts/OIG_09-44_Mar09.pdf

【編集者メモ】(Honan)
個人情報保護対策の実情が透明性に欠けるため、ヨーロッパ人の多くが、米税
関警備局に自分の個人情報を預けて「保護してもらう」ことに不安を感じてい
る。
────────────────

◆米国標準技術研究所 eVotingマシンのガイドライン草案を公表(2009.4.13)

米国標準技術研究所(NIST)が、電子投票マシンの自主基準をリリースした。
現在の電子投票マシンのガイドラインは2005年度自主投票システムガイドライ
ン(VVSG2005:Voluntary Voting System Guideline 2005)と称されていたが、
今回の新しいガイドラインの草案はVVSG-NI(VVSG Next Iteration)となって
いる。NISTはこの草案文書について、2009年7月1日まで一般から意見を募集し
ている。この基準の最終版が完成した暁には、マシンのメーカーに準拠を義務
付けるか否か、州政府や地方政府が判断を下すことになる。
http://www.techweb.com/article/showArticle?articleID=216500415§ion=News
http://vote.nist.gov/voting-system-test-suites.htm

【編集者メモ】(Northcutt)
自然保護にはいつも賛成を表明する私だが、ときには紙に何かを残すことが必
要だ。私の中で一番重要なガイドラインは、マシンが投票を集計する過程を監
査可能かつ物理的な記録として残すことだ。
────────────────

◆予算が緊縮しても 米国企業はITセキュリティへの投資を計画(2009.4.13)

Robert Half Technologyの調査結果によると、不況にもかかわらず企業の多く
がITセキュリティプロジェクトに投資する予定だという。この調査では、CIO
の70%が所属組織でITセキュリティイニシアチブへの資金投下が予定されてい
ると答えた。この調査は米国企業のCIO1,400人と社員100人以上からの回答を
もとに集計したものだ。CIOが資金を投じようと考えているITのその他の分野
には、仮想化、データセンターの効率化、VoIP、ソーシャルネットワーキング
などがあるという。
http://www.csoonline.com/article/489109/Report_Security_Tops_IT_Budget_Priorities

【編集者メモ1】(Pescatore)
脅威に対策を講じるためのセキュリティ予算は、おおむね不況には非常に強い。
しかし、事業拡大のための費用は明らかにその影響を受けるため、セキュリティ
経費に関連したデスクトップや支店オフィスの事業は停滞するだろう。
【編集者メモ2】(Skoudis)
企業のCIOにとって、ソーシャルネットワーキングが投資対象になっているの
には驚きだ。もちろん、その分野がホットなことはわかっている。しかし、5
分の1のCIOがそこに貴重な財源を充てようと考えているとは思ってもみなかっ
た。ソーシャルネットワーキングにはセキュリティの問題が絡んでいること、
また、そこに多額の資金が流入していることを考えると、我々のようなセキュ
リティの専門家はしばらくの間、間違いなく多忙なままだろう。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年4月10日 Vol.8 No.15)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Microsoft Office                1 (#1)
サードパーティのWindowsアプリ         10
Linux                      7 (#4)
Unix                      3
Novell                     1 (#3)
クロスプラットフォーム             22 (#2, #5)
Webアプリ - クロスサイトスクリプティング    9
Webアプリ - SQLインジェクション        14
Webアプリ                   21
ネットワークデバイス              1
======================================================================

ほとんどの人にとってはPowerPointのエラーが最も重大だが、VMwareを使用し
ている人にはそうではない。この人気のプラットフォームの安全性に対する信
頼度に大きなへこみを生じさせるほど、多数の重大な脆弱性が報告されている
からだ。
                                 Alan
────────────────

1.危険度【高】:Microsoft Office PowerPointにリモートでコードが実行され
  る脆弱性

<影響のある製品>
Mac版Microsoft PowerPoint 2004
Microsoft PowerPoint 2003 SP3
Microsoft PowerPoint 2003 SP2
Microsoft PowerPoint 2003 SP1
Microsoft PowerPoint 2003
Microsoft PowerPoint 2002 SP3
Microsoft PowerPoint 2002 SP2
Microsoft PowerPoint 2002 SP1
Microsoft PowerPoint 2002
Microsoft PowerPoint 2000 SP3
Microsoft PowerPoint 2000 SR1
Microsoft PowerPoint 2000 SP2

<詳細>
MicrosoftのプレゼンテーションプログラムMicrosoft Office PowerPointには、
リモートでコードが実行される脆弱性がある。悪意のあるPowerPointファイル
が細工されると、それを利用してこの脆弱性が引き起こされる。PowerPointが
メモリにある不正なオブジェクトにアクセスしたとき、このようなファイルを
解析しようとするとエラー(まだ詳細不明)が生じる。これをアタッカーに悪
用されると、ログオンしているユーザー権限で任意のコードが実行される可能
性がある。この脆弱性については、これ以上の技術的詳細は公表されていない
ほか、ベンダーからも更新はリリースされていない。しかし、以下のような回
避策が推奨されている。
1)信頼できないソースからのファイルを開くときは、MOICE(Microsoft Office
  Isolated Conversion Environment)を使用する。
2)不明なソースから来たOffice 2003文書を開くときは、Microsoft File Block
  Policyを使用する。
3)不明もしくは信頼できないソースから来たOffice文書は開かない。

<現状>
ベンダーはこの問題を認めているものの、更新はまだリリースしていない。

<参考>
Microsoftのセキュリティアドバイザリ(969136)
http://www.microsoft.com/technet/security/advisory/969136.mspx/
Security Research & Defense : 新PowerPointの問題を調査
http://blogs.technet.com/srd/archive/2009/04/02/investigating-the-new-powerpoint-issue.aspx
製品のホームページ
http://office.microsoft.com/en-us/powerpoint/FX100487761033.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/34351/
────────────────

2.危険度【重大】:VMware製品にさまざまな脆弱性

<影響のある製品>
Linux版VMware Workstation
VMware Workstation 6.5.x
VMware Server 1.0.x
VMware Player 2.5.x
VMware Player 2.0.x
VMware Player 1.0.x
VMware ESXi Server 3.5
VMware ESX Server 3.0.x
VMware ESX Server 3.5
VMware ACE 2.5.x
VMware ACE 2.0.x
VMware ACE 1.0.x

<詳細>
VMwareはさまざまなプラットフォームで使える仮想化ソフトウェアだが、複数
の脆弱性がある。1つ目の問題はゲスト用仮想デバイスドライバにあり、悪用
されるとホストやホスト上の他の仮想マシンがクラッシュするおそれがある。
2つ目の問題はhcmon.sysのioctlにある脆弱性で、悪用されるとWindowsベース
のホストがクラッシュするおそれがある。この問題を悪用するには、権限の高
いWindowsアカウントが必要だ。3番目の問題はWindowsベースのシステムにあ
る権限昇格の脆弱性で、これは、Virtual Machine Communication Interface
(vmci.sys)にあるエラーによって引き起こされる。4番目の問題はVMware
VMnc Codecにある2つのヒープオーバーフローの脆弱性で、アタッカーによっ
て任意のコード実行に悪用されるおそれがある。この場合、アタッカーはユー
ザーに悪意のある動画ファイルを開かせるか、悪意のあるWebページを訪問さ
せるか、どちらかの行動を取らなければならない。5番目の問題はACEで共有し
ているフォルダにあるエラーで、ACEではない管理者でも、無効化されたもの
やゲストの共有フォルダに除去されずに残っているフォルダを有効にできる可
能性がある。6番目の問題はvmware authd.exeにあるエラーで、Windowsベース
のホストにDoS状態を引き起こすおそれがある。7番目の問題はVIクライアント
にあり、VirtualCenter ServerにVIクライアントでログインすると、
VirtualCenter ServerのパスワードがVIクライアントのメモリに存続するため
に生じる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
VMwareのセキュリティアドバイザリ(VMSA-2009-0005)
http://www.vmware.com/security/advisories/VMSA-2009-0005.html
TippingPointセキュリティ研究チームのアドバイザリ TPTI-09-01
http://dvlabs.tippingpoint.com/advisory/TPTI-09-01
TippingPoint tセキュリティ研究チームのアドバイザリ TPTI-09-02
http://dvlabs.tippingpoint.com/advisory/TPTI-09-02
Security Lab by Positive Technologies(PT-2008-05)
http://en.securitylab.ru/lab/PT-2008-05
Security Lab by Positive Technologies(PT-2008-07)
http://en.securitylab.ru/lab/PT-2008-07
ベンダーのホームページ
http://www.vmware.com/
SecurityFocus BID
http://www.securityfocus.com/bid/34373/
────────────────

3.危険度【高】:Novell Client/NetIdentity Agentにリモートでコードが実行
  される脆弱性

<影響のある製品>
Novell NetIdentity Agent 1.2.3までのバージョン

<詳細>
Novell NetIdentity Agentは、Windows Webベースのアプリケーション
(eDiroectory認証を必要とするアプリ)にバックグラウンド認証を与えて安
全なウォレットIDを提供する。しかし、特定のRPCメッセージの処理に脆弱性
がある。このエラーは"XTIERRPCPIPE"というパイプへ向かうRPCメッセージを
処理するときに、"xtagent.exe"内で発生する。これによって、任意のポイン
タを逆参照される可能性がある。この脆弱性の悪用には、正式なIPC$接続が必
要だ。悪用されると、システムユーザー権限で任意のコード実行に至るおそれ
がある。

<現状>
ベンダーはこの脆弱性を認識しており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ(ZDI-09-016)
http://www.zerodayinitiative.com/advisories/ZDI-09-016/
Novell NetIdentity 1.2.4(パッチ)
http://download.novell.com/Download?buildid=6ERQGPjRZ8o~
NetIdentity Agentの概要
http://www.novell.com/documentation/netidentity/index.html?page=/documentation/netidentity/netidentity/data/ambdugh.html
SecurityFocus BID
http://www.securityfocus.com/bid/34400
────────────────

4.危険度【高】:Ghostscriptのjbig2dec JBIG2処理にバッファオーバーフロー
  の脆弱性

<影響のある製品>
Ghostscript 8.64までのバージョン

<詳細>
Ghostscriptは、PDFとPostScript(PS)ファイル形式を解析・表示するための
オープンソースのエンジンであり、さまざまなLinux商品ほかにおいてデフォ
ルトのPSおよびPDFビューアとなっている。PDFファイルが細工されると、処理
時にヒープベースのバッファオーバーフローが生じる。このエラーはJBIG2記
号辞書セグメントをデコードする際に、jbig2decライブラリの
"jbig2_decode_symbol_dict()"機能に生じる。悪用されると、脆弱なアプリケー
ションを使用しているユーザー権限による任意のコード実行に至るおそれがあ
る。しかし、悪用するには悪意のあるPDFがアップされたWebサイトを訪問する
ように、もしくはメール添付の同様のファイルをに開くようにユーザーを誘い
込まなくてはならない。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
Secunia Research: Ghostscript のjbig2dec JBIG2処理にバッファオーバーフ
ロー
http://secunia.com/secunia_research/2009-21/
GhostScriptについてのWikipediaの説明
http://en.wikipedia.org/wiki/Ghostscript
ベンダーのホームページ
http://www.ghostscript.com/
SecurityFocus BID
http://www.securityfocus.com/bid/34445/
────────────────

5.危険度【高】:ClamAVにさまざまな脆弱性

<影響のある製品>
ClamAV 0.95.1 以前のバージョン

<詳細>
Clam AntiVirus(ClamAV)は、オープンソースのアンチウィルスシステムとし
て広範に使用されている。しかし、ClamAVには細工された不正のファイルや
URIを処理するときにさまざまな脆弱性が生じる。また、"cli_url_canon()
"libclamav/phishcheck.c.にもバッファオーバーフローのエラーがある。URL
が細工されてバッファオーバーフローが引き起こされると、悪用可能になって
しまう。UPackにパッケージ化されている不正ファイルを処理する際にもエラー
が生じる。技術的詳細は、ソースコードを解析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Clam AntiVirusについてのWikipediaの記事
http://en.wikipedia.org/wiki/Clam_AntiVirus
ベンダーのホームページ
http://www.clamav.net/
SecurityFocus BID
http://www.securityfocus.com/bid/34446/

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。