NRI Secure SANS NewsBites 日本版

Vol.4 No.33 2009年8月18日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.33 2009年8月18日発行
**********************************************************************

■はじめに

重要コントロール20(CAG)に関する新情報:

(1)「効果的なサイバー防御に関する重要コントロール20」のバージョン2.1が、
  CSISサイトでリリースされた。原案をレビューした100組織以上の意見が反
  映されており、重要コントロール20から米国立標準技術研究所(NIST)のリク
  エストによって改正されたNIST 800-53へのマッピングも含まれている。

(2)今回のリリースにより、複数のコントロールを自動化するツールの模索が
  始まったことが示唆された。リリース文書作成メンバーは、すでに複数のベン
  ダーから7件の提案を受け取っている。いずれも、自社ツールによって複数の
  コントロールの導入や継続的な監視の自動化が効果的にできるようになる、と
  いう提案だ。模索活動は8月31日まで続けられる。重要コントロール20を自動
  化したユーザーや、自動化を可能にするベンダーは、8月31日までに
  cag@sans.orgへご提案を。実際に有効であると実証された場合は、公表される
  ほか、11月にレーガンセンターで開催される「第1回 National Summit on
  Planning and Implementing the 20 Critical Controls(重要コントロール20
  の計画・実装についての全米サミット)」で紹介される可能性もある。あなた
  のツールが要件を満たしているどうかを調べたい方は、以下のリンクでご確認
  を
  http://www.sans.org/cag/guidelines.php

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   SANS Tokyo 2009-2010 トレーニングイベント 好評申込み受付中!
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        ●アプリケーションエンジニアのための●
         セキュアプログラミング講座 9月開講!
         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■AEのための情報セキュリティ技術基礎 <9月9日>■
   ■セキュアプログラミング演習(Java) <9月10日-11日>■
   ■セキュアプログラミング演習(C言語) <9月28日-29日>■
                 会場:野村総合研究所 セミナールーム

   !!セキュアプログラミングスキル認定のGSSP試験にも対応!!
        ↓↓↓詳細&お申込みはこちら↓↓↓
   http://www.nri-secure.co.jp/seminar/2009/0909_29_index_.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.64-65
   (原版:2008年8月8日、8月13日配信)

◆議員のWebサイト 脆弱なパスワードが原因で改変される(2009.8.6)

少なくとも米下院議員18人のWebサイトにデジタル落書きが多発しており、そ
の原因はサードパーティのベンダーが設置した脆弱な管理パスワードにあると
非難されている。その後、改ざんの痕跡は一掃された。今のところ、実際に損
害が発生したわけではないもよう。このインシデントを受けて、パスワードを
堅牢なものに変更したケースもあるという。このアタックは8月の第一週に発
生した。下院最高総務責任者(CAO)のDan Beardは、取引業者であるバージニ
ア州アレクサンドリアのGovTrend社に対し、取引関係の見直しを求めている。
http://voices.washingtonpost.com/securityfix/2009/08/hackers_target_housegov_sites.html

【編集者メモ】(Weatherford)
このような事態の発生により、我々の仕事に終わりがないことが証明された。
私は堅牢なパスワードについて、何年も口うるさく言ってきたはずだ。話をす
る機会があれば言及しないことはない、というくらいに…。それでもまだ、理
解するどころか「自分にはそんなことは起こらない」とまで思っている。
────────────────

◆海兵隊 SNSの使用を禁じられる(2009.8.4)

8月3日の命令で米海兵隊は、セキュリティ上の懸念から、FacebookとTwitter
など、ソーシャルネットワーキングサービス(SNS)への隊員のアクセスを禁
じることとなった。問題のSNSサイトは、「悪意のある者にとって天国である
ことが証明されており、ユーザー発信のコンテンツや悪意者の仕掛けなどから
発生する情報漏えいを発端に、高いリスクが生じる」という。海兵隊は、海兵
隊組織ネットワーク(Marine Corps Enterprise Netowok)から、安全でない
インターネットプロトコルやルータによるネットワーク、VPNの接続を介して
問題のサイトへアクセスすることを禁じられた。しかし、内部のネットワーク
にある国防省運営のソーシャルネットワーキングサイトであればアクセスして
もよいことになっている。また、非番時に個人PCからSNSサイトにアクセスす
る分にはかまわないようだ。
http://www.msnbc.msn.com/id/32283587/ns/technology_and_science-security/
http://fcw.com/articles/2009/08/04/marines-ban-social-networking.aspx
http://www.marines.mil/news/messages/Pages/MARADMIN0458-09.aspx
────────────────

◆Twitter 分散DoS攻撃でダウン(2009.8.6)

Twitterは、8月6日の分散DoS攻撃によるダメージからの復旧作業を行っている
ところである。このインシデントで、マイクロブロギングサービスが、数時間
オフライン状態に陥った。8月6日の東部夏時間午後1時30分の時点でTwitterの
ステータスのページを見ると、「分散DoS攻撃の復旧作業を行っておりますの
で、ロード時間が長い、もしくはスピードが遅いという症状に見舞われるおそ
れがあります。APIクライアントに対するタイムアウトが発生する場合もある
でしょう。出来る限り早く100%復旧できるよう、弊社一同ただいま取り組み
中です」と表示されている。また、Facebookにも一見すると分散DoS攻撃のよ
うな問題が生じたようだ。
http://www.wired.com/epicenter/2009/08/facebook-apparently-attacked-in-addition-to-twitter/
http://www.usatoday.com/tech/news/2009-08-06-twitter-attack_N.htm
http://www.nextgov.com/nextgov/ng_20090806_7624.php?oref=topnews
http://www.theregister.co.uk/2009/08/06/twitter_outage/
http://www.siliconrepublic.com/news/article/13562/comms/twitter-suffers-denial-of-service-attack
http://www.computerworld.com/s/article/9136321/Update_Twitter_limps_back_to_life_after_DDoS_attack?source=rss_security
http://news.bbc.co.uk/2/hi/technology/8188201.stm
http://bits.blogs.nytimes.com/2009/08/06/twitter-overwhelmed-by-web-attack/?ref=technology
http://www.washingtonpost.com/wp-dyn/content/article/2009/08/06/AR2009080602341_pf.html
http://status.twitter.com/

【編集者メモ】(Pescatore)
Twitterなしで2時間過ごせるなんて! これはまるで、海岸線をドライブする
ときに、「まだ、着かないかな?岩がある~。あ、あれはかもめ? 私、塩キャ
ラメル好きなの~。シャキール・オニールってほんと背高いよね。で、着いた?」
とひっきりなりにしゃべりまくる同乗者なしで、退屈なで時間を過ごすのに似
ている。
────────────────

◆US-CERTのディレクター 辞職(2009.8.8-10)

国土安全保障省(DHS)のコンピュータ緊急事態対策チーム(US-CERT)ディレ
クター、Mischel Kwonが辞職した。彼女は、この5年間で4人目のディレクター
だった。先週、米サイバーセキュリティコーディネータを目下勤めている
Melissa Hathawayが、フルタイムでその役職を担う候補者のリストから自身の
名を退けた。この役職の新設は数ヶ月前に発表されたが、実際には誰もその任
に付いていない。今年はじめ、Rob Beckstormも予算不足とコントロールに関
して他局と言い争わざるを得ない状況を理由に、DHSのサイバーセキュリティ
センターを辞職している。
http://www.washingtonpost.com/wp-dyn/content/article/2009/08/07/AR2009080702805_pf.html
http://www.theregister.co.uk/2009/08/10/us_cert_boss_quits/
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=219100611
http://fcw.com/Articles/2009/08/10/Web-Kwon-Resignation-USCERT.aspx
http://blogs.usatoday.com/ondeadline/2009/08/head-of-us-computeremergency-agency-quits.html

【編集者メモ1】(Schultz)
米政府内のサイバーセキュリティ専門家が、業務上好ましくない環境にあるこ
と、何らかの障壁があることがよく表れている。政府内のサイバーセキュリティ
専門家が退いてしまうという衝撃的な出来事が起きたのは、今回が初めてでは
ない。
【編集者メモ2】(Paller)
Kwonの辞職は、米国のポリシー上の問題としてはそう重大ではない。これは、
先の政権でDHSに脆弱なスタッフが配置されていたこと、および芳しくないパ
フォーマンスという結果に対する失意を表しているだけである。DHSのサイバー
分野の新マネージャら(Reitinger、McConnell、Schaffer、Brown、Coose)は、
もちろん大変素晴らしい資質を持っており、政府のサイバーセキュリティを大
きく向上させるための資質も十分である。彼らが政府をリーダー的存在にして
くれれば、ホワイトハウスのサイバー分野の権威、もしくはそれなしでも、きっ
と重要インフラの残り部分を改善してくれる。しかしながら、マネジメントの
下方レベルの役職や法的見解など、効率の悪い人員に対する堪忍袋の緒は切れ
てしまったようだ。彼女がその役職に配置されたことは、ここ数年間DHSで
起きたことの中で、最も喜ばしいことだったのに、まことに残念である。
────────────────

◆控訴裁判所 スパム容疑者に対する訴えを棄却する判決を維持(2009.8.8)

第9巡回控訴裁判所は、原告がインターネットサービスプロバイダの要件を満
たしていなければ、CAN-SPAM法の下で個人がスパマーを訴えることはできない
という下級裁判所の判決を支持した。下級裁判所は、James S. Gordon Jr.が
Virtumundo, Inc.から迷惑メールを数千件受け取ったため、同社に対して1,000
万ドルの損害賠償を求めたケースを棄却している。Gordonは訴えを起こすため
に必要な資格を満たしていないとし、控訴裁判所は裁定を下している。Gordon
は、受信トレーに迷惑メールが届かないようにする対策を施していなかったよ
うだ。そのため判決で、Gordonはスパムを収集してしまうような状態にしてい
たにも関わらず訴えを起こした、と見なされたようだ。
http://www.theregister.co.uk/2009/08/08/spam_suit_torpedoed/
http://www.scmagazineus.com/Federal-court-spurns-anti-spammer/article/141422/
http://blogs.findlaw.com/courtside/2009/08/9th-circuit-puts-can-spam-lawsuit-in-the-junk-folder.html
http://www.ca9.uscourts.gov/datastore/opinions/2009/08/06/07-35487.pdf
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年8月7日 Vol.8 No.32)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              1
Linux                      3
Solaris                     1
Aix                       1
クロスプラットフォーム             33(#1, #2, #3, #5, #6)
Web アプリ - クロスサイトスクリプティング    8
Web アプリ - SQL インジェクション        4
Web アプリ                   14
ネットワークデバイス              1(#4)
ハードウェア                  1
======================================================================

今回は、Microsoftが問題ではない。今週は、AppleのMacにある多数の脆弱性
にパッチが発行された。SunのJava JREとJDKにも、複数の重大な脆弱性がある。
────────────────

1.危険度【重大】:Apple Mac OS Xにさまざまな脆弱性

<影響のある製品>
Mac OS X v10.4.11までのバージョン
Mac OS X v10.5からv10.5.7までのバージョン
Mac OS X Server v10.4.11までのバージョン
Mac OS X Server v10.5から10.5.7までのバージョン

<詳細>
AppleのMac OS Xのサブシステムの多くにさまざまな脆弱性がある。これらの
コンポーネントによって処理される入力データが細工されると脆弱性が引き起
こされ、悪用が可能なさまざまな状態に陥ってしまう。そのほか、bzip2にと
んでもないエラーがある。さらに、CFNetworkのレイヤーにあるエラーによっ
て、アタッカーは証明書の警告に表示されるWebサイトのURLをコントロールで
きるようになってしまう。ColorSyncプロフィールが組み込まれている画像の
処理時に、ヒープオーバーフローのエラーが引き起こされる。Canon RAW画像
の処理時にも、スタックオーバーフローのエラーが生じる。そのほか、
OpenEXR画像の処理時に、ImageIO内でヒープオーバーフローのエラー、さまざ
まなインテジャーオーバーフローのエラー、メモリアクセスがイニシャライズ
されないエラーが生じることが確認されている。EXIFメタデータの処理時にも、
ImageIOにスタックオーバーフローのエラーが生じる。特定のPNG画像の処理時
に、ポインタがイニシャライズされないという問題も発生する。また、kernel
にある複数の実装に関する問題は、ローカルのユーザーに昇格された権限を与
えるおそれがあるという。そのほか、intedベースのlaunchdサービスにDoS状
態が発生する問題がある。特定のアプリケーション名をLogin Windowsが処理
する方法が原因で、書式文字列の問題も生じる。AppleTalkのレスポンス・パ
ケットを処理する方法がもとで、kernelにバッファオーバーフローの問題が生
じる。正規表現にある文字クラスの処理が原因で、XQueryにバッファオーバー
フローが引き起こされる。そのほか、深刻度は落ちるものの、これら以外の脆
弱性もいくつか存在している。前述の脆弱性の多くは、現在のユーザーや脆弱
なプロセスの権限で任意のコードを実行するのに悪用されるおそれがある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleナレッジベースの記事
http://support.apple.com/kb/HT3757
製品のホームページ
http://www.apple.com/macosx/
SecurityFocus BID
http://www.securityfocus.com/bid/35954
────────────────

2.危険度【重大】:Sun Java Runtime EnvironmentおよびJava Development
  Kitにさまざまな脆弱性

<影響のある製品>
Sun JDKおよびJRE 6 Update 14までのバージョン
Sun JDKおよびJRE 5.0 Update 19までのバージョン
Sun SDKおよびJRE 1.4.2_21までのバージョン
Sun SDKおよびJRE 1.3.1_25までのバージョン

<詳細>
The Sun Java Runtime Environment(JRE)およびJava Development Kit(JDK)
には、さまざまな脆弱性がある。Java Web Startのアプリケーションもしくは
アプレットが細工されると、これらの脆弱性のいずれかが引き起こされ、現在
のユーザー権限による任意のコード実行から、DoS、セキュリティ制限の回避、
情報開示まで、いろいろな事態に陥るおそれが生じる。また、Java Web Start
のActiveXコントロールで使用されるMicrosoft Visual StudioのActive
Template Library(ATL)には、リモートでコードが実行される脆弱性
(MS09-035)がある。そのほか、unpack200のJARユーティリティ内のJREには、
JPEG画像の解析時にインテジャーオーバーフローのエラーが生じる。設定によっ
ては、Webページに組みこまれているJavaアプレットはページのロード時に自
動的に開かれるので、注意が必要だ。SunのJava Runtime Environmentは、デ
フォルトでMac OS Xのシステム、SunのSolarisシステムの全てに、その他Unix
やLinuxベースのOSの多くにはデフォルトで、あるいはMicrosoft Windowsにも
インストールされている場合が多い。これらの脆弱性の技術的詳細のいくつか
が、公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-049
http://www.zerodayinitiative.com/advisories/ZDI-09-050
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263408-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263409-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263428-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263429-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-264648-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263488-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263489-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263490-1
製品のホームページ
http://java.sun.com
SecurityFocus BID's
http://www.securityfocus.com/bid/35939/
http://www.securityfocus.com/bid/35942/
http://www.securityfocus.com/bid/35943/
http://www.securityfocus.com/bid/35944/
http://www.securityfocus.com/bid/35945/
────────────────

3.危険度【高】:Network Security Serviceにさまざまな脆弱性

<影響のある製品>
NSS 3.12.3より以前のバージョン

<詳細>
Network Security Service(NSS)は、SSLやS/MIMEなどのセキュリティに類似
したものをサポートするサーバとクライアント両アプリのクロスプラットフォー
ム実装をサポートするためのライブラリ・セットで、Mozilla Public License
のもとで使用が認可されている。証明書が細工されると、NSSにはさまざまな
脆弱性が生じる。1つ目の問題は、証明書のホスト名の中にある不正形式の
NULL文字を処理するときに生じるエラーである。これは、中間者攻撃につなが
るおそれがある。2つ目の問題は、ユーザーが訪問したサイトのホスト名が、
証明書のCommon Name(CN)フィールドにマッチするかどうかをチェックする
際に使用されるNSSライブラリの中の正規表現に、ヒープベースのバッファオー
バーフローが生じることである。これらの悪用が実現すると、任意にコードが
実行されるおそれがある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Red Hat Bugzilla - Bug 512912
https://bugzilla.redhat.com/show_bug.cgi?id=512912
Red Hat Bugzilla - Bug 510251
https://bugzilla.redhat.com/show_bug.cgi?id=510251
Mozillaのセキュリティアドバイザリ
http://www.mozilla.org/security/announce/2009/mfsa2009-42.html
http://www.mozilla.org/security/announce/2009/mfsa2009-43.html
製品のホームページ
http://www.mozilla.org/projects/security/pki/nss/
SecurityFocus BID's
http://www.securityfocus.com/bid/35888
http://www.securityfocus.com/bid/35891
────────────────

4.危険度【高】:Apple iPhone SMSアプリにメモリ崩壊の脆弱性

<影響のある製品>
Apple iPhone 2.2.1
Apple iPhone 2.0.x
Apple iPhone 1.1.x
Apple iPhone 1.0.x
Apple iPhone 3.0
Apple iPhone 2.x
Apple iPhone 1.1
Apple iPhone 1

<詳細>
Apple iPhoneは、Apple Inc.のマルチメディアGSMスマートフォンで広範に使
用されているが、脆弱性がある。Short Message Service(SMS)メッセージが
細工されると、影響のあるシステムにメモリ崩壊の脆弱性が引き起こされる。
SMSメッセージのデコードにエラーがあるため、この欠陥が引き起こされる。
悪用が実現すると、サービスに支障が出たり、任意のコード実行に至る場合も
ある。この脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3754
Phoneのファジング
http://www.blackhat.com/presentations/bh-usa-09/MILLER/BHUSA09-Miller-FuzzingPhone-PAPER.pdf
製品のホームページ
http://www.apple.com/iphone/
SecurityFocus BID
http://www.securityfocus.com/bid/35569
────────────────

5.危険度【高】:SAP Business Oneのライセンスマネージャにバッファオーバー
  フローの脆弱性

<影響のある製品>
SAP Business One 2005-A 6.80.x

<詳細>
SAP Business Oneは、SAP AGによる企業用リソースプラニング(ERP)の統合
ソリューションで、中小企業のソフトウェア要件のターゲティングに用いられ
る。しかし、SAP Business Oneにバッファオーバーフローの脆弱性が確認され
た。TCP30000番ポートに向かうリクエストが細工されると、この脆弱性が引き
起こされる。この欠陥はTCP30000番ポートに向かうリクエストの処理時に、
"NT_Naming_Service.exe"のライセンスマネージャサービスに生じる境界誤差
だ。悪用が実現すると、アタッカーがシステムをクラッシュさせたり、権限を
昇格して任意のコードを実行する可能性がある。この脆弱性の概念実証コード
と全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
SAP Business OneについてのWikipediaの説明
http://en.wikipedia.org/wiki/SAP_Business_One
Milw0rmのエクスプロイト
http://milw0rm.com/exploits/9319
ベンダーのホームページ
http://www.sap.com/
SecurityFocus BID
http://www.securityfocus.com/bid/35933
────────────────

6.【高】:SILCに書式文字列の脆弱性

<影響のある製品>
SILC Clientの1.1.7までのバージョン

<詳細>
Secure Internet Live Conferencing(SILC)は、インターネット上で安全な
カンファレンシングサービスを提供するためのプロトコルである。しかし、
SILCクライアントには、さまざまな書式文字列の脆弱性がある。ニックネーム
が細工されると、これらの脆弱性のいずれかが引き起こされる。これは、ニッ
クネームの処理時に、"lib/silcclient/client_entries.c"内に書式文字列の
エラーとして引き起こされる欠陥だ。悪用が実現すると、アタッカーが影響を
受けるクライアントをクラッシュしたり、任意のコードを実行したりする可能
性がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
SILCについてのWikipediaの説明
http://en.wikipedia.org/wiki/SILC_%28protocol%29
ベンダーのホームページ
http://silcnet.org
SecurityFocus BID
http://www.securityfocus.com/bid/35940

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。