NRI Secure SANS NewsBites 日本版

Vol.4 No.42 2009年10月22日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.4 No.42 2009年10月22日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

もしあなたがアプリケーションのセキュリティの改善を考えている組織の一員
なら、興味深い新しいイニシアチブがある。同僚と互いに書いたプログラミン
グを比較し、有効であるものを見つけようというものだ。
他者が有効だと思ったこと(もしくはそうでなかったこと)を見聞きすれば、
それがあなたの取組みの助けになるだろう。Cigitalが、BSIMM Begin modelの
ためのデータを収集している。ソフトウェアのセキュリティプログラムをお持
ちで、自身の組織を他と比較したい、もしくは調査結果をお知りになりたい方
はこのサイトへ: http://bsi-mm.com/begin

SANSは、米国サイバーチャレンジ(US Cyber Challenge)がモデルとなっている
英国のプログラムを支援している。このプログラムはサイバーセキュリティに
秀でている者の中でもトップクラスのトップの人間を新たに見出し、育成して
いくことを目的としている。
http://technology.timesonline.co.uk/tol/news/tech_and_web/article6865432.ece

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.82-83
   (原版:2009年10月10日、10月13日配信)

◆Comcast マルウェア警告サービスをテスト(2009.10.8)

先日、Comcastはブロードバンド加入者に対しマルウェアに感染したコンピュー
タ使用者へポップアップにより警告を発信するサービスのテストを始めた。こ
の警告を発動すべきと判断するための示唆的行動としては、夜間通信の急増な
どがある。この場合マシンは侵害され、スパムの送信に使用されたことを示す
という。また、Comcastはこの警告にマルウェアに感染したIPアドレスの研究
をしているグループからの情報も使用している。Comcastのテストプログラム
は、大手インターネットサービスプロバイダ(ISP)がセキュリティに問題があ
る可能性が高い顧客に対して個別に警告を行うものとしては、初めてのもので
ある。Comcast Constant Guardはデンバーで試験された。ポップアップ警告に
よってユーザーはComcastのアンチウィルスセンターに誘導され、そこでマシ
ンのマルウェアを一掃するための支援を受けることができるようになっている。
http://news.cnet.com/8301-27080_3-10370996-245.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.pcmag.com/article2/0,2817,2354001,00.asp

【編集者メモ】(Schultz)
Comcastは大きな一歩を踏み出したと言える。ここで問題になるのは、ウィル
ス感染の警告を受けたユーザーが何年もの間ひっきりなしにポップアップ広告
やWindows Vistaのユーザーアクセスコントロールの警告などを受けていたに
もかかわらず、Comcastのポップアップに反応するかどうかだ。
────────────────

◆日本の高等裁判所 ウィニーの作成者に対する著作権侵害の嫌疑に無罪判決
  (2009.10.8)

日本の法廷はウィニー・ファイル共有ソフトウェアの作成者に対し、そのユー
ザーに著作権侵害行為を促した嫌疑において無罪という判決を下した。 大阪
高等裁判所は下級裁判所の判決を覆しカネコ・イサムに対する嫌疑について、
「問題のソフトウェアを違法な目的で使うことを推進したわけではない」とい
う理由により無罪と宣言。裁判長のオグラ・マサゾウは、「ウィニーにはさま
ざまな用途があり、この技術は道徳的に中立に位置づけられるものと考えられ
るべきだ」と述べた。検察側は、この判決を上告するか否かを決断する前に吟
味する意向だという。カネコは、この判決によってソフトウェア開発によい影
響がもたらされると述べ、同判決を賞賛した。
http://www.asahi.com/english/Herald-asahi/TKY200910080350.html
http://news.smh.com.au/breaking-news-technology/japan-court-acquits-fileshare-software-creator-20091008-goql.html
────────────────

◆映画会社ら ファイル共有者に対して行動を起こさなかったオーストラリア
  のISPを訴える(2009.10.7)

オーストラリアのインターネットサービスプロバイダ(ISP)のiiNetは、違法に
ファイルを共有している疑いに対し何の行動も起こさなかったために裁判にか
けられている。報道によると、映画会社らが保持している映画の海賊版を、
BitTorrentを介して共有していた視聴者の接続をISPが外さなかったために、
映画会社らがこのISPを訴えた。オーストラリアの法律によれば、「ISPは習慣
的に著作権違反をしている加入者に対して、その接続を外すプラクティスを満
足のいく程度に導入していれば起訴されない」という免責が与えられるという。
これに対しiiNetは、「侵害の疑いがある」と「侵害の証拠がある」は同じと
は言えないため、自分の権利が侵害されたと考える著作権所有者らが判断を法
廷に仰ぎ、その判断内容をiiNetに提示すれば、そのユーザーの接続を外すと
いう姿勢を崩していない。
http://arstechnica.com/tech-policy/news/2009/10/australian-isp-in-court-for-not-disconnecting-users.ars?utm_source=rss&utm_medium=rss&utm_campaign=rss
────────────────

◆Sidekickの機能停止でデータ紛失・抗議殺到 (2009.10.10-12)

サーバの障害で莫大なデータ紛失が発生し、T-Mobile Sidekickの顧客に影響
を及ぼしているようだ。問題の機能停止は、Sidekickのデータサービスプロバ
イダであるMicrosoftの子会社Dangerで発生した。ユーザーらは連絡先情報、
画像、保存ししているメールメッセージなどを失ったという。データの中には
バックアップシステムで復元できるものもあるようだが、ほとんどは永久に失
われてしまったようだ。T-Mobileは今現在、Sidekicksの販売停止という処置
をとっている。同社は顧客に対しデータ紛失の補填として1ヶ月分のサービス
の無償化を提供している。今回のデータ紛失では、ハードウェアのリセット
(電話のバッテリを抜くか、もしくはリセットボタンを押すなど)を行った顧
客に影響が生じるという。影響を受けた顧客は皆、ハードウェアのリセットを
行おうと試みていたようだ。
http://www.msnbc.msn.com/id/33278150/ns/technology_and_science-security/
http://www.computerworld.com/s/article/9139261/T_Mobile_sidelines_Sidekick_in_wake_of_data_debacle?taxonomyId=1
http://www.usatoday.com/tech/wireless/phones/2009-10-12-sidekick-data_N.htm
http://www.informationweek.com/news/personal_tech/smartphones/showArticle.jhtml?articleID=220600351
http://voices.washingtonpost.com/fasterforward/2009/10/sidekick_users_see_their_data.html
http://www.washingtonpost.com/wp-dyn/content/article/2009/10/11/AR2009101100109_pf.html
http://www.cnn.com/video/#/video/tech/2009/10/12/tsr.tmobile.loses.data.cnn

【編集者メモ1】(Ullrich)
クラウドにデータを保管するのはもはやこれまで。ローカルでバックアップす
るのがよいアイデアのように思える。
【編集者メモ2】(Pescatore)
消費者レベルに対するサービスが事業クラスのニーズを満たすことはないと示
す、覚書が必要だ。
────────────────

◆研究報告:ボットネットはGoogle、YahooおよびBingから収益を盗み出す
  (2009.10.9)

Click Forensicsの研究者らはGoogle、Yahoo!およびBingからの広告収益を小
規模なネットワークに一部送り、抜き取っている新たなボットネット(bahama
botnet)の発見を申し立てた。このボットに感染したマシンを持つユーザーは、
正規のページを装う偽の検索ページに行き着くようになっている。このユーザー
らの接続は、若干の紹介料が支払われる小さな広告ネットワークにリダイレク
トされ、その後最終的に、ユーザーが定めたサイトに誘導されるという仕組み
だ。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年10月10日 Vol.8 No.41)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    1
その他のMicrosoft製品             1
サードパーティのWindowsアプリ         2(#2)
Mac Os                     1
Linux                     3
BSD                      3
Solaris                    1
Novell                     1
クロスプラットフォーム             13(#3)
Webアプリ - クロスサイトスクリプティング    5
Webアプリ - SQLインジェクション        2
Webアプリ                   10(#1,#4,#5)
根とワークデバイス               3
======================================================================

1.危険度【高】: Google Appsの"googleapps.url.mailto" URI処理にコマンド
  インジェクションの脆弱性

<影響の製品>
Google Apps 1.x

<詳細>
Google AppsはGmail、Google Calnedar、Google Tallk、カスタムのドメイン
名の付いたDocsなどのGoogle製品を使用できるGoogelのサービスだが、これに
はリモートのコマンドインジェクションの脆弱性がある。Webページが細工さ
れるとこの脆弱性が引き起こされる。この欠陥は"googleapps.url.mailto:"
URIを介して受け取った"--renderer-path"などの引数を処理する方法にあるエ
ラーだ。悪用が実現すると、アタッカーは悪意のあるバイナリやアプリケーショ
ンをリモートのロケーションから実行できるようになってしまう。この脆弱性
の技術的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため更新もリリースしていない。

<参考>
Retrogodのセキュリティアドバイザリ
http://retrogod.altervista.org/9sg_google_apps_uri.html
Google AppsについてのWikipediaの説明
http://en.wikipedia.org/wiki/Google_Apps
製品のホームページ
http://www.google.com/apps/
SecurityFocus BID
http://www.securityfocus.com/bid/36581
────────────────

2.危険度【高】: AOL SuperBuddyのActiveXコントロールにリモートのコード
  実行の脆弱性

<影響のある製品>
AOL のバージョン9.x
AOL SuperBuddy ActiveX 9.x

<詳細>
アメリカオンライン(AOL)のソフトウェアパックに同梱されている"SuperBuddy"
ActiveXコントロールは脆弱性がある。この脆弱性は悪意のあるWebページがこ
のコントロールをインスタンス化すると引き起こされる。この欠陥は
"Sb.SuperBuddy.1" (sb.dll) ActiveXコントロールの
"SetSuperBuddy()"ActiveXメソッドに生じるメモリ崩壊のエラーだ。悪意のあ
る引数を"SetSuperBuddy()"ActiveXメソッドに引き渡せば、アタッカーはこの
脆弱性を悪用できる。悪用が実現すると、アタッカーはログオンしたユーザー
の関連で任意のコードを実行できるようになってしまう。この脆弱性の全技術
的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
ユーザーは、Microsoftの"kill bit"機能を
CLSID"189504B8-50D1-4AA8-B4D6-95C8F58A6414"
に設定して問題のコントロールを無効にすればこれらの脆弱性の影響を軽減で
きる。

<参考>
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.aol.com/
SecurityFocus BID
http://www.securityfocus.com/bid/36580
────────────────

3.危険度【高】: IBM Informix製品のSetnet32ユーティリティの処理にバッファ
  オーバーフローの脆弱性

<影響のある製品>
IBM Informix CSDK 3.50
IBM Informix Connect 3.0

<詳細>
IBM Informix Client Software Development Kit (CSDK)は、アプリケーショ
ンプログラミングインタフェース(API)のパッケージ化に用いられるキットで
あるほか、Informixサーバ用のアプリケーションの開発にも使われている。
IBM Informix Connectは、IBM Informix CSDKのライブラリを持つランタイム
接続性製品である。しかし、IBM Informix CSDKとIBM Informix Connectにバッ
ファオーバーフローの脆弱性が発見された。これは".nfx" ファイルが細工さ
れると引き起こされるという。この欠陥は、悪意のあるフィールド(過剰に長
い"Hotlist" エントリーなど)を持つ".nfx" ファイルを正しく処理できない
ために、SetNet32のユーティリティに生じる境界誤差である。悪用が実現する
と、アタッカーは、任意のコードを実行できるようになってしまう。この脆弱
性の技術的詳細は公表されているエクスプロイトを介して入手できる。

<現状>
ベンダーはこの問題を認めていないため、更新をリリースしていない。

<参考>
Retrogodのセキュリティアドバイザリ
http://retrogod.altervista.org/9sg_ibm_setnet32.html
製品のホームページ
http://www-01.ibm.com/software/data/informix/tools/csdk/
SecurityFocus BID
http://www.securityfocus.com/bid/36588
────────────────

4.危険度【高】: Omni-NFS Enterprisにさまざまなバッファオーバーフローの
  脆弱性

<影響のある製品>
Xlink Technologies Omni-NFS Server 5.2

<詳細>
Xlink TechnologiesのOmni-NFS Enterpriseは、WindowsやUnixプラットフォー
ムのファイルを統合するためのNFS (Network File System)ソリューションと
して広範に使用されている。しかし、Omni-NFS Enterpriseにはさまざまなバッ
ファオーバーフロー脆弱性が報告されている。これらはFTPリクエストやレス
ポンスが細工されると引き起こされる。1つ目の問題は、TCP21番ポートへの
FTPリクエストの処理方法が原因で"ntpd.exe"に生じる境界誤差である。2つ目
の問題は、悪意のあるFTPサーバからのFTPレスポンスを処理する方法が原因で
"wftp.exe"に生じる協会誤差のエラーである。いずれの場合も悪用が実現する
とアタッカーは、この脆弱なアプリケーションを運用しているユーザーの関連
で任意のコードを実行できるようになってしまう。この脆弱性の技術的詳細は、
公表されている概念実証コードを介して入手できる。

<現状>
ベンダーはこの問題を認めていないため、更新は認めていない。

<参考>
Metasploitのエクスプロイト
http://trac.metasploit.com/browser/framework3/trunk/modules/exploits/windows/ftp/xlink_server.rb
http://trac.metasploit.com/browser/framework3/trunk/modules/exploits/windows/ftp/xlink_client.rb
製品音ホームページ
http://www.xlink.com/nfs_products/Omni-NFS_Enterprise2000/NFS_Enterprise_2000.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/36608
────────────────

5.危険度【高】: IBM AIX の'rpc.cmsd' Calendar Daemonにバッファオーバー
  フローの脆弱性

<影響のある製品>
IBM Virtual I/O Server (VIOS) 2.x
IBM Virtual I/O Server (VIOS) 1.x
IBM AIX 6.1
IBM AIX 5.3
IBM AIX 5.2

<詳細>
IBMのOS、IBM AIX (Advanced Interactive eXecutive)はPowerPC (PPC)構造で
動作するSystem VをベースにしたUNIXのOSである。しかし、このIBM AIXには
バッファオーバーフローの脆弱性が確認された。この脆弱性はCalendar
Manager Service Daemonの"rpc.cmsd"へのリクエストが細工され、それが送信
されると引き起こされる。この欠陥は、"rpc.cmsd"に向かう過剰に長いリモー
ト手順21の引数の付いたリクエストを処理できないためにcalendar daemon
library
"libcsa.a" に生じるバッファオーバーフローのエラーである。悪用が実現す
ると、アタッカーは、スーパーユーザーの権限で任意のコードを実行できるよ
うになってしまう。この脆弱性の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefense Labsのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=825
IBM AIXについてのWikipediaの説明
http://en.wikipedia.org/wiki/IBM_AIX
製品のホームページ
http://www-1.ibm.com/servers/aix/
SecurityFocus BID
http://www.securityfocus.com/bid/36615

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュー
スソースとして活用されています。組織のセキュリティ管理に関する参考情報
としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。