NRI Secure SANS NewsBites 日本版

Vol.4 No.24 2009年6月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.24 2009年6月16日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Future Visions 2009 Tokyo 併設トレーニング
           ★特別価格で申し込み受付中★
           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      http://www.entryweb.jp/sans/training/index.html
    ---------------------------------------------------------
■Meeting the Minimum: PCI/DSS 1.2: Becoming and Staying Compliant■
  -PCI/DSSに準拠したセキュリティ実装とその手法-
     ◆2009年7月15日(水)~16日(木) 2日間
     ◇http://www.entryweb.jp/sans/training/courses/aud521.html

■SANS Security Essentials■
  -Defense In-Depth(多層防御)-
  -Internet Security Technology(インターネットセキュリティ技術)-
     ◆2009年7月16日(木)~17日(金) 2日間
     ◇http://www.entryweb.jp/sans/training/courses/sec401.html

■Cuttting-Edge Hacking Techniques■
  -最新ハッキングテクニック-
     ◆2009年7月17日(金) 1日コース
     ◇http://www.entryweb.jp/sans/training/courses/sec517.html
    ---------------------------------------------------------

         SANS Future Visions 2009 Tokyo
            ★事前登録受付け開始!★
           ~~~~~~~~~~~~~~~~~~~~~~~~
         http://www.entryweb.jp/sans/fv09/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.44-45
   (原版:2008年6月6日、6月10日配信)

◆Merrick銀行対Savvis社 「責任の所在に関する力関係」に影響(2009.6.3)

Merrick銀行がSavvis社に対して起こした訴訟で、法遵守と責任に関する重要
な問題が浮き彫りとなった。投資銀行のMerrickは、Savvis社がCardSystem
Solustions社に対して行った「Visa CISP(PCI DSSより前から存在している基
準)に準拠している」という認定は誤りであり、それによってCardSystemsが
データセキュリティ侵害を受けた後、Merrickが1,600万ドルの損害を被ったと
し、Savvisを訴えている。Merrickはこの事態を、過失およびそれによる不実
表示だとしている。この一件によって、自動制御型クレジットカードセキュリ
ティ基準の精密調査が増えることになるだろう。また、政府が課している規制
についても懸念の声があがってくるに違いない。ある記事では、監査人が正確
な報告をあげるには、監査対象組織の人間の誠実性に頼るしかないと指摘され
ていた。
http://infoseccompliance.com/2009/06/03/merrick-bank-v-savvis-analysis-of-the-merrick-bank-complaint/
http://www.wired.com/threatlevel/2009/06/auditor_sued/
http://www.betanews.com/article/Why-suing-auditors-wont-solve-the-data-breach-epidemic/1244068439?awesm=betane.ws_13&utm_campaign=betanews&utm_content=api&utm_medium=betane.ws-twitter&utm_source=direct-betane.ws

【編集者メ】(Schultz)
このニュースの最後の一文が、実態を物語っていると思う。そうでなければ、
監査人が暗号化されていないクレジットカードデータを見落とすなどという事
態が発生するわけがない。
────────────────

◆判事 連邦取引委員会の求め(悪質ISPの営業停止命令)を認める
  (2009.6.4)

連邦判事は、スパマーやその他のサイバー犯罪者らをホスティングしている疑
いのある悪質インターネットサービスプロバイダ(ISP)に営業停止命令を言
い渡した。問題となっているISPは、Pricewert(またの名をTriple Fiber
Networkもしくは3FN.net)、APS Telcom、APX Telecomで、スパマーやマルウェ
ア販売者、ポルノ画像業者らを募り、違法ホスティングに加担していた。その
ため、上流プロバイダやデータセンターは、これら悪質ISPの接続を排除する
措置をとっていた。営業停止命令は、米国連邦取引委員会(FTC)の訴えによ
り発せられたものである。一連の動きは、「FTCが議会の基準を使用して、米
国の顧客を守るため、初めて違法活動の疑いがあるISPを閉鎖に追い込んだ」
ことから、たいへん重要であると言える。対象とされた会社の資産も凍結され
る。公聴会は6月15日の予定。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9133966
http://voices.washingtonpost.com/securityfix/2009/06/ftc_sues_shuts_down_n_calif_we.html?hpid=sec-tech
http://www.wired.com/threatlevel/2009/06/feds-shutter-black-hat-isp/
http://www.theregister.co.uk/2009/06/04/3fn_shut_down/
http://www.informationweek.com/news/security/cybercrime/showArticle.jhtml?articleID=217701956
http://www.ftc.gov/os/caselist/0923148/0906043fncmpt.pdf
http://www.wired.com/images_blogs/threatlevel/2009/06/judgeorder.pdf

【編集者メモ】(Northcutt)
FTCの権限で詐欺的な商慣習に歯止めをかける素晴らしい方策だ。しかし、私
がいろいろな記事を読んでいる限り、悪い輩は拠点をどんどん移転しているよ
うである。我々は短期間でSPAMを減らさなくてはならない。これが何らかの抑
止力になり、少なくともあやしいげな活動を行っていると思われる米国のISP
に対して、目覚しい効果をあげることができるだろう。Googleのキャッシュや
インターネットアーカイブにより、悪質ISPの以前のWebサイトをこちらで見る
ことができる。
http://web.archive.org/web/20080210154708/http://www.3fn.net/
────────────────

◆政府局 インターネットの安全性を高めるためにICANNと連携(2009.6.4)

米国商務省の米国電気通信情報庁(National Telecommunications and
Information Administration)と米国立標準技術研究所(NIST)は、今年中に
DNSのルートゾーンをDNSSECに対応させる取り組みを行うよう、ICANN(The
Internet Corporation for Assigned Names and Numbers:インターネットの
ドメインネームとIPアドレスを世界規模で管理している組織)に求めた。
http://www.theregister.co.uk/2009/06/04/dnssec_coming/
http://www.nextgov.com/nextgov/ng_20090604_5533.php

【編集者メモ1】(Pescatore)
この動きは、政府によるサイバースペースセキュリティの強化対策の好例であ
る。このような実例をもっと多く目にしたいものだ。目的を遂げたアタックの
統計をとるための政府戦略の数々よりも……。
【編集者メモ2】(Northcutt)
DNSSECに関する大きなニュースは、.orgのドメインが加えられたことであろう。
Public Interest Registry(.orgトップレベルドメインを管理するレジストリ)
を称えたい。
http://blog.pir.org/?p=349
http://gcn.com/articles/2009/06/03/dnssec-for-dot-org-domain.aspx
────────────────

◆証券口座のトロイの木馬詐欺で有罪(2009.6.5-6)

Alexey Mineevは、オンライン証券口座から数千ドルを騙しとる役割を担って
いたとし、米国に対する共謀罪のうち資金洗浄による有罪を認めた。この起訴
では、他に2人の男が関係していると見られており、グループでターゲットの
コンピュータにキーストロークロギングプログラムをインストールし、証券口
座のログインクレデンシャルを盗み出した嫌疑がかけられている。彼らは侵害
した口座から詐欺目的で設置した銀行口座に資金を移動。それをロシアに電子
送金していたようだ。Mineevは、最高2年の懲役および4万ドルの罰金を科され
る可能性がある。司法取引によれば、詐欺に加担して受け取った11万2,000ド
ルを払い戻すことになっている。共犯と見られるAleksey Volynskiyに対する
容疑の追及はまだ。さらにもう1人のメンバーとされているAlexander Bobnev
は逮捕されていない。MineevとVolynskiyは米国市民権を得ているが、Bonevは
ロシア国籍である。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9134041
http://www.theregister.co.uk/2009/06/05/money_mule_cops_plea/
http://www.scmagazineus.com/Defendant-pleads-guilty-in-brokerage-keylogger-case/article/138180/
http://www.networkworld.com/news/2009/060609-man-made-112000-in-bank.html
────────────────

◆Webホスティングプロバイダへのアタック 10万件のサイトを破壊
  (2009.6.8)

英国のWebホスティングプロバイダであるVaservに対するアタックで、およそ
10万件のWebサイトのデータが破壊されたという。アタッカーらは、HyperVMと
いう仮想化アプリケーションにあるゼロデイ脆弱性を悪用していたもよう。こ
の欠陥を使って、侵入者はシステムへのルートアクセスを獲得し、全ファイル
の削除を繰り返し行わせる'rm -rf'など、不安定なUnixコマンドを実行した。
Vaserv顧客の半数が、データのバックアップを含まないサービスの契約者だっ
たという。
http://www.theregister.co.uk/2009/06/08/webhost_attack/
http://www.thewhir.com/web-hosting-news/060809_Web_Host_Hack_Deletes_100k_Sites
http://www.vaserv.com/

【編集者メモ1】(Schultz)
10万件のWebサイトというのは大量だ。これらのサイトのオーナーには、Webホ
スティングと仮想環境の組み合わせで引き起こされるリスクについて、何の知
識もなかったのだろう。
【編集者メモ2】(Northcutt)
このように破壊的であることが新しいトレンドのようだ。これらのサイトのい
くつかには全くバックアップがなく、データは永久に消えてしまったことだろ
う。何が起きたとしても、バックアップを取っていない者の責任だと叱ること
はできるが、壊すという行為自体は間違っている。このような事件を議員に報
告し、データの破壊行為に対する法的懲罰を厳格化する必要があると思う。デー
タを破壊したために終身刑にかけられた、などという事例を目の当たりにすれ
ば抑止力になるだろう。こうでもしなければ、今後似たようなことがたくさん
起こる。爆弾に耐え得るような強力なバックアップも装備せずに、まるで雲を
つかもうとしてあえいでいるかのような私たち……何と悲しきことか……。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
     SANS Tokyo 2009-2010 トレーニングイベント 開催決定!
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
      http://www.entryweb.jp/sans/training/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年6月6日 Vol.8 No.23)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     2
サードパーティのWindowsアプリ          4 (#1, #5)
Mac Os                     1 (#3)
Linux                      3
Unix                      1 (#6)
クロスプラットフォーム             31 (#2, #4)
Webアプリ - クロスサイトスクリプティング    7
Webアプリ - SQLインジェクション         7
Webアプリ                   11
ネットワークデバイス              2
======================================================================

今週真っ先に対処すべきは、Microsoft DirectX DirectShow、Apple
QuickTimeおよびApple iTunesである。
────────────────

1.危険度【重大】:Microsoft DirectX DirectShowにリモートでコードが実行
  される脆弱性

<影響のある製品>
Microsoft Windows 2000 Service Pack 4 上のDirectX 7.0
Microsoft Windows 2000 Service Pack 4 DirectX 8.1
Microsoft Windows 2000 Service Pack 4 DirectX 9.0x
Windows XP Service Pack 2およびWindows XP Service Pack 3上のDirectX 9.0x
Windows XP Professional x64 Edition Service Pack 2上のDirectX 9.0x
Windows Server 2003 Service Pack 2上のDirectX 9.0x
Windows Server 2003 x64 Edition Service Pack 2上のDirectX 9.0x
Itaniumベースのシステム用のWindows Server 2003(SP2付withSP2)上のDirectX 9.0x

<詳細>
Microsoft DirectXは、Windows OS用のマルチメディア・フレームワークであ
る。Microsoft Direct XのコンポーネントであるDirectShowは、Windows上の
ストリーミングメディア用に使用され、それを使えば高品質のストリームをキャ
プチャーおよび再生できる。しかし、Microsoft DirectShowのプラットフォー
ムの一部であるMicrosoftのquartz.dllには、QuickTime形式のファイルを処理
する方法に脆弱性がある。QuickTimeが悪意のあるファイルに細工されて
Windows Media Playerで開かれると、引き起こされる。アタッカーが悪意のあ
るQuickTimeファイルを再生する機能を使うWebページを作成した場所でも、ブ
ラウザのメディア再生プラグインがアタックに使われることがある。悪用され
ると、任意のコード実行に至るおそれがある。Windows VistaとWindows
Server 2008のすべてのバージョンが影響を受ける。この脆弱性の技術的詳細
はまだ公表されていない。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
Microsoftのセキュリティアドバイザリ(971778)
http://www.microsoft.com/technet/security/advisory/971778.mspx
Security Research & Defense : quartz.dll QuickTime解析にある新脆弱性
http://blogs.technet.com/srd/archive/2009/05/28/new-vulnerability-in-quicktime-parsing.aspx
製品のホームページ
http://msdn.microsoft.com/en-us/directx/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/35139
────────────────

2.危険度【重大】:Apple QuickTimeにさまざまな脆弱性

<影響のある製品>
Apple QuickTime player 7.6.2より前のバージョン

<詳細>
QuickTimeは、Mac OS X版とWindows版のあるAppleのストリーミングメディア
・フレームワークである。しかし、これにはさまざまなメディアおよび画像ファ
イルの処理に、以下のような複数の脆弱性がある。
a)デルタにエンコードされたチャンクの解凍に脆弱性
b)不正形式の.PSD画像ファイル、.qts内のPICTファイル、Jopen2000画像ファ
  イルの解析にヒープオーバーフローの脆弱性
c)QuickTime画像ファイル内のクリッピング領域のアトムタイプの解析にヒー
  プオーバーフローの脆弱性。
これらが悪用されると、現在のユーザー権限で任意オンコードを実行されてし
まう。QuickTimeがサポートしているファイルは、ユーザーへのプロンプトな
しに開かれるので注意が必要だ。また、QuickTimeは全Apple Mac OSシステム
にはデフォルトで、iTunesなどWindows版のさまざまなApple製品には一部にイ
ンストールされている。これらの脆弱性の技術的詳細がいくつか公表されてい
る。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-09-025
http://zerodayinitiative.com/advisories/ZDI-09-026
http://zerodayinitiative.com/advisories/ZDI-09-027
http://zerodayinitiative.com/advisories/ZDI-09-028
http://zerodayinitiative.com/advisories/ZDI-09-029
http://zerodayinitiative.com/advisories/ZDI-09-030
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3591
製品のホームページ
http://www.apple.com/quicktime
SecurityFocus BIDs
http://www.securityfocus.com/bid/35161
http://www.securityfocus.com/bid/35164
http://www.securityfocus.com/bid/35165
http://www.securityfocus.com/bid/35166
http://www.securityfocus.com/bid/35167
http://www.securityfocus.com/bid/35168
────────────────

3.危険度【重大】:Apple iTunesのさまざまなプロトコルハンドラにバッファ
  オーバーフローの脆弱性

<影響のある製品>
Apple iTunes 8.2より前のバージョン

<参考>
iTunesは、音楽やメディアの管理に使用される、Apple Incによるデジタルメ
ディアプレーヤである。しかし、iTunesに関連しているURIハンドラにはスタッ
クオーバーフローの脆弱性がある。ここで脆弱とされているURLハンドラは、
"itms"、"itmss"、"daap"、"pcast"および"itpc"で、URLがこれらのプロトコ
ルハンドラを介して処理されるときに悪用可能な状態に陥ってしまう。悪用さ
れると、ログインしたユーザーコンテキストで任意のコード実行に至るおそれ
がある。この脆弱性の技術的詳細は、現在公表されている概念実証コードを見
ればわかるようになっている。悪用するには、疑いを持っていないユーザーを
悪意のあるページをホストしているWebサイトに訪問させるよう仕向けなけれ
ばならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-09-03
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3592
iTunesについてのWikipediaの説明
http://en.wikipedia.org/wiki/ITunes
製品のホームページ
http://www.apple.com/itunes/
SecurityFocus BID
http://www.securityfocus.com/bid/35157/
────────────────

4.危険度【重大】:Apple Terminal WindowのResizeコマンドにインテジャーオー
  バーフローの脆弱性

<影響のある製品>
Apple Mac OS X Server 10.5.6までのバージョン
Apple Mac OS X 10.5.6までのバージョン

<詳細>
Apple Terminalは、Apple Mac OS Xに含まれているターミナルエミュレータで
ある。これを使えば、コマンドラインインタフェースによりOSと交信できる。
しかし、Terminalのウィンドウサイズの処理に、インテジャーオーバーフロー
の脆弱性がある。この欠陥は、ウィンドウのサイズ変更を処理するシーケンス
のxtermエスケープシーケンス'CSI[4'の処理時にTerminal.appに生じる。
(x,y)サイズであまりに小さいマイナス数値が設定されるとインテジャーオー
バーフローが生じ、メモリ崩壊に至る。悪用されると、ログインしたユーザー
権限で任意のコードを実行される状態になる。悪用するには、疑いを持ってい
ないユーザーを悪意のあるページをホストしているWebサイトに訪問させるよ
う仕向けなければならない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-09-04
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3549
Apple Terminal についてのWikipediaの説明
http://en.wikipedia.org/wiki/Apple_Terminal
製品のホームページ
http://www.apple.com/macosx/
SecurityFocus BID
http://www.securityfocus.com/bid/35182
────────────────

5.危険度【重大】:SafeNet SoftRemoteのIKEサービスにバッファオーバーフロー
  の脆弱性

<影響のある製品>
SafeNet SoftRemote 10.8.6より前のバージョン

<詳細>
SafeNetは、個人情報を保護し、安全なコミュニケーションと知的財産権を提
供する暗号化技術のサプライヤーだ。SafeNet SoftRemoteは、SafeNetのリモー
トアクセスのクライアントアプリケーションで、企業のVirtual Private
Network(VPN)へユーザーをリモートで接続するときに用いられる。しかし、
SoftRemoteの実装のいくつかに、スタックベースのオーバーフローの脆弱性が
ある。この欠陥は、"ireIke.exe"プロセスが長いリクエストを適正に処理でき
ないために、同サービスに存在する。このサービスは、UDP62514番ポートでリッ
スンする。そのため、過剰に長いリクエストをUDP62514番ポートで送信される
と、この脆弱性が悪用されてSYSTEMの信用証明書で任意のコードを実行される
可能性がある。攻撃にあたって認証は必要ない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-09-024
製品のホームページ
http://www.safenet-inc.com/products/vpn/softRemote.asp
SecurityFocus BID
http://www.securityfocus.com/bid/35154
────────────────

6.危険度【高】:CUPSにさまざまなインテジャーオーバーフローの脆弱性とDoS
  の脆弱性

<影響のある製品>
CUPS 1.1.x
CUPS 1.3.x

<参考>
CUPSはCommon UNIX Printing Systemのことであり、さまざまな種類のUnix、
およびUnixやLinuxのようなOSの標準印刷システムになっている。これは、Mac
OS X用にAppleが開発したオープンソースの印刷システムで、Macのデフォルト
のプリンタになっている。しかし、PDFをPostScriptに変換するのに使用され
るCUPS"pdftops"フィルタに複数のインテジャーオーバーフローが確認された。
PDFファイルが細工されてそれが印刷されると、"pdftops"がクラッシュするか、
"lp"ユーザーとして任意のコードを実行される可能性がある。"ippReadIO()"
機能、および"cups/ipp.c"にあるDoSの脆弱性は、2つの連続した
"IPP_TAG_UNSUPPORTED"タグがあるように細工されたInternet Printing
Protocol(IPP)を処理すると引き起こされる。これらの脆弱性の全技術的詳
細は、ソースコードを解析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Red Hat Bugzilla Bug 491840
https://bugzilla.redhat.com/show_bug.cgi?id=491840
Core Security Technologiesのアドバイザリ
http://www.coresecurity.com/content/AppleCUPS-null-pointer-vulnerability
製品のホームページ
http://www.cups.org
SecurityFocus BID's
http://www.securityfocus.com/bid/35195
http://www.securityfocus.com/bid/35169

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。