NRI Secure SANS NewsBites 日本版

Vol.4 No.45 2009年11月18日発

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.4 No.45 2009年11月18日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.88-89
   (原版:2009年11月7日、11月11日配信)

◆欧州連合議会 インターネットアクセスの権利と違法ダウンロードについて
  合意に達す(2009.11.5)

欧州連合(EU)議会は、市民のインターネットアクセスの権利と著作権所有者の
利益の保護との均衡を維持する合意に達した。違法にファイル共有を行ってい
る疑いがある者と見なされた場合、アクセスを独断的に切断されるという保護
対策が与えられた。インターネットアクセスは、国の当局によってユーザーが
違法にダウンロードした著作物を保持しているという証拠を押さえさえすれば、
切断される。現在承認待ちとなっているEUの合意内容によると、疑いのある違
反者をインターネットから切断する前に、裁判所命令の獲得を必要としないと
いう。フランスはすでに違法にダウンロードを行う者に対し、スリーストライ
クアウト政策を施行しているが、接続に関しては判事の命令なしではシビアに
はなれない。英国も、現在同様のルールを考えているところだ。スペインは、
違法にダウンロードを行っている者のインターネット接続を切断するつもりは
ないと述べている。
http://www.net-security.org/secworld.php?id=8472
http://www.msnbc.msn.com/id/33655437/ns/technology_and_science-security/
http://www.computerworld.com/s/article/9140364/EU_breaks_deadlock_in_debate_over_right_to_Internet_access?source=rss_security
http://www.nytimes.com/2009/11/06/technology/internet/06net.html?_r=1&ref=technology
http://www.theregister.co.uk/2009/11/05/span_does_not_intend_to_pursue_web_disconnection/
────────────────

◆FBI 自動決済システム詐欺で1億ドル以上が盗まれていると警告
  (2009.11.3-4)

FBIのインターネット犯罪苦情センターは、自動決済システム詐欺の不正使用
がますます増え、中小企業や地方自治体、学校から1億ドル以上が盗み出され
ているとする警告をリリースした。一般的にオンラインアタックでは、ソーシャ
ルエンジニアリング技術でユーザーを騙し、財務取引に使われているコンピュー
タにマルウェアをインストールする手法がとられる。このようにして犯罪者は
攻撃先の組織の銀行口座にアクセスし、「マネー・ミュール」(若干の手数料
で海外の口座に送金することに合意している人間)が度々開くとされているよ
うな口座に資金を送金していた。送金金額は、通貨取引レポートの生成を防ぐ
ために、1万ドル以内に留められていたという。
http://www.ic3.gov/media/2009/091103-1.aspx
http://www.networkworld.com/news/2009/110309-fbi-warns-of-100m-cyber-threat.html
http://news.cnet.com/8301-27080_3-10390118-245.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.securityfocus.com/brief/1032
http://www.scmagazineus.com/FBI-Money-mule-scams-top-100-million/article/157066/
────────────────

◆米国上院司法委員会 2つの侵害通知法案を可決(2009.11.5-6)

先日、米国上院司法委員会は、個人情報プライバシーおよびセキュリティ2009
年法案とデータ侵害通知法案を可決。これらの法案は、これから上院本会議の
審議にかけられる。個人情報プライバシーおよびセキュリティ法では、組織は、
消費者データを保持し、データプライバシーおよびセキュリティプログラムを
設置するように義務付けられる。また、データ侵害の情報公開を行わなかった
場合には多額の罰金が科せられるほか、データセキュリティ侵害が発生した団
体は情報を侵害された人間や司法機関に対し、侵害発生の旨を通知することが
義務付けられる。データ侵害通知法では、同法によってデータ侵害通知を義務
付ける連邦法が設けられる。成立すれば、この連邦法が既存の州レベルの侵害
通知法の全てに取って変わることになる。また、同法案によって組織は大規模
な侵害発生時に侵害の旨を米国シークレットサービスに報告することを義務付
けられるようになる。
http://www.computerworld.com/s/article/9140408/Federal_data_protection_law_inches_forward?source=rss_security
http://www.pcworld.com/article/181549/senate_panel_approves_databreach_notification_bills.html
http://www.nextgov.com/nextgov/ng_20091105_7308.php?oref=topnews
http://computerworld.co.nz/news.nsf/scrt/6402CA6D786CBA34CC25766500775C35?opendocument&utm_source=security&utm_medium=email&utm_campaign=security

【編集者メモ】(Schultz)
この2つの法案は両方とも、上院本会議でかなりの反対意見をぶつけられるだ
ろう。反対議員らはきっと、それらの法案が可決すると、企業に多大な費用負
担を負わせることになると主張してくるにちがいない。
────────────────

◆iPhoneのワーム 初めて検知される(2009.11.9)

iPhoneに感染したとされるワームが初めて検知されたが、そのワームは、デバ
イスのロックモードの壁紙を変更してしまうという。サードパーティのアプリ
を運用する目的で自分のiPhoneをジェイルブレイクし、かつ、デフォルトの
Secure Shell(SSH)のログインパスワードを変更していないユーザーは、この
マルウェアに脆弱である。"ikee"と呼ばれる問題のワームは悪ふざけとして始
まったが、その作成者の意図よりもさらに広範に広がってしまった模様。また、
ikeeはユーザーの写真を他のiPhoneユーザーに送信してしまうが、悪意のある
ペイロードを運ぶことはない。しかしながら、悪意のあるVariant型が続きそ
うだ。

http://www.scmagazineuk.com/Apple-iPhones-hit-by-major-worm-attack-after-a-Rick-Astley-joke-spirals-out-of-control/article/157359/
http://www.wired.com/threatlevel/2009/11/iphone-worm/
http://voices.washingtonpost.com/securityfix/2009/11/first_iphone_worm_targets_modi.html
http://news.bbc.co.uk/2/hi/technology/8349905.stm
http://www.h-online.com/security/news/item/First-iPhone-worm-features-Rick-Astley-854085.html

【編集者メモ】 (Pescatore)
信頼できないソフトウェアを運用しようとして誰かが電話のOSを改変したのだ
とすれば、その人の電話がマルウェアにやられてしまっても、気の毒だとは思
いがたい。Windowsのデスクトップに何が起こるかわかるだろう?
────────────────

◆英国内務省 ISPにユーザーの通信データ保持を義務付け
  (2009.11.9-10)

英国内務省は、テレコム企業に対し、インスタントメッセージ、メール、その
他さまざまな電子通信(ソーシャルネットワーキング、オンラインゲーム上で
のチャット)など、顧客のインターネット使用に関する情報保持を義務付ける
計画を推進する意向を明らかにした。対象のデータは、単一の集中管理データ
ベースではなく、そのテレコム企業に保管されることになる。通信の中身につ
いての情報は保持されない。当局は、情報を保持することによって、捜査上の
容疑者同士が連絡をとったアクセス記録やその方法を把握したい意向。内務大
臣David Hansonは、今回検討しているプロセスによる、「プライバシーと警察
・セキュリティサービスの機能維持との良好なバランスを保つ」要求を認めな
がらも、「通信情報は、犯罪と戦い、人々の安全を確保するうえで必要不可欠」
であると述べている。
http://news.bbc.co.uk/2/hi/uk_news/politics/8350660.stm
http://computerworld.co.nz/news.nsf/scrt/6D1820A7BE892EF5CC257669006CA00F?opendocument&utm_source=topnews&utm_medium=email&utm_campaign=topnews

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
<11月26日開催>
情報セキュリティソリューションセミナー(より使いやすいセキュリティ特集)
----------------------------------------------------------------------
~セキュリティの向上と利便性の両立~
http://www.nri-secure.co.jp/seminar/2009/1126.html?aid=a00050260000156

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年11月7日 Vol.8 No.45)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ         6 (#2, #3, #6)
Linux                     2
BSD                      3
Solaris                    1
Cross Platform                17 (#1, #4, #5)
Webアプリ - クロスサイトスクリプティング    4
Webアプリ - SQLインジェクション        2
Webアプリ                   10 (#7)
ネットワークデバイス              1
ハードウェア                  1
======================================================================

1.危険度【重大】: Adobe Shockwave Player にさまざまな脆弱性

<影響のある製品>
Adobe Shockwave Player 11.x

<詳細>
4億5000万人が使用するAdobe Shockwave Playerは、Adobe Directorアプリで
の発行、閲覧をShockwave plug-inでインストールしたブラウザによって可能
にしたマルチメディアプレイヤーだ。Adobe Shockwave Playerには、
Shockwaveのコンテンツが細工されるおそれのあるさまざまな脆弱性が報告さ
れている。不正形式のインデックスが使用される方法にエラーがある。また、
不正形式のポインタが正しい方法で使用されないために生じる問題もいくつか
ある。そして最後の問題として、文字列長の処理にメモリ崩壊のエラーがある。
全てのケースにおいて、悪用が実現すれば、アタッカーはログインしたユーザー
の関連で任意のコードを実行できるようになってしまう。これらの脆弱性につ
いては、まだ十分な情報が公表されていない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Adobeのセキュリティ警告 (APSB09-16)
http://www.adobe.com/support/security/bulletins/apsb09-16.html
Adobe ShockwaveについてのWikipediaの説明
http://en.wikipedia.org/wiki/Adobe_Shockwave
製品のホームページ
http://www.adobe.com/products/shockwaveplayer/
SecurityFocus BID
http://www.securityfocus.com/bid/36905
────────────────

2.危険度【高】: BlackBerry Desktop SoftwareのLotus Notes Intellisync
  ActiveXコントロールに脆弱性

<影響のある製品>
Research In Motion Blackberry Desktop Manager 4.2.2
Research In Motion Blackberry Desktop Manager 5.0
Research In Motion Blackberry Desktop Manager 4.7
Research In Motion Blackberry Desktop Manager

<詳細>
BlackBerryデスクトップソフトウェアは、BlackBerryハンドヘルドデバイスの
管理に使用されるデスクトップソフトウェアである。このBlackberryデスクトッ
プソフトウェアに、脆弱性が発見された。この脆弱性は無防備なユーザーによっ
て閲覧された際に作成されたWebサイト上で特に引き起こされる。この問題は、
"lnsresobject.dll"によって利用可能になったLotus Notes Intellisyncのコ
ンポーネントにある詳細不明のエラーと言える。Blackberry Dectop Software
機能の一部は、Lotus Notes Intellisync Activeコントロールによって提供さ
れている。悪用の実現は、アタッカーに脆弱なアプリの文章内にある任意のコー
ドの実行を許可してしまう可能性がある。この脆弱性の技術的詳細のいくつか
が公表されている。

<現状>
ベンダーはこの問題を認めており更新をリリースしている。ユーザーは、
Microsoftの"kill bit"機能を介して問題のコントロールを無効にすれば、こ
れらの脆弱性の影響を軽減できる。

<参考>
BlackBerryのアドバイザリ
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19701
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.rim.net/
SecurityFocus BID
http://www.securityfocus.com/bid/36903
────────────────

3.危険度【高】: Sun Java Runtime Environmentにさまざまな脆弱性

<影響のある製品>
JDKおよびJRE 6の更新版16まで
JDKおよびJRE 5.0更新版 21まで
SDKおよびJRE 1.4.2_23まで
SDKおよびJRE 1.3.1_26まで

<詳細>
Java Runtime Environment (JRE)のSun実装とJava Web Startには、さまざま
な脆弱性がある。Javaアプリが細工されると、オーディオファイルや画像ファ
イル、アプレットによってこれらの脆弱性のどれかが引き起こされ、現在のユー
ザーの権限での任意のコード実行や、DoS、セキュリティ制限の回避などを招
いてしまう。設定によっては、Webページに組み込まれているJavaアプレット
は、そのページをロードしただけですぐに自動的に開かれてしまうおそれがあ
るので注意が必要だ。1つ目のエラーは、英語版でないWindowsのバージョンを
運用すると更新機能によってJREが更新されなくなることである。2つ目は、
DERのエンコードデータを解読するとき、およびHTTPヘッダーの解析時に生じ
る複数のエラーによって、メモリの使い果たしに至るおそれがあるという問題
だ。3つ目は、HMACダイジェストの検証時にJREに生じる認証回避の脆弱性だ。
ほか、細工されたオーディオファイルや画像ファイルの処理時にJREに生じる
バッファオーバーフローとinteger overflowが複数報告されている。また、
Webページが細工されるとJREにコマンド実行の脆弱性が引き起こされる。さら
に、Java Web Start Installerには、セキュリティモデルパーミッションの実
装に欠陥がある。これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-076
http://www.zerodayinitiative.com/advisories/ZDI-09-077
http://www.zerodayinitiative.com/advisories/ZDI-09-078
http://www.zerodayinitiative.com/advisories/ZDI-09-079
http://www.zerodayinitiative.com/advisories/ZDI-09-080
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-66-270476-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-270475-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-270474-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-269870-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-269869-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-269868-1
製品のホームページ
http://java.sun.com
SecurityFocus BID
http://www.securityfocus.com/bid/36881
────────────────

4.危険度【高】: Symantec Altiris ConsoleUtilitiesのActiveXコントロール
  にバッファオーバーフローの脆弱性

<影響のある製品>
Symantec Management Platform 7.0 SP1
Symantec Management Platform 7.0
Symantec Altiris Notification Server 6.0 SP3 R7
Symantec Altiris Notification Server 6.0 SP3
Symantec Altiris Notification Server 6.0 SP2
Symantec Altiris Notification Server 6.0 SP1
Symantec Altiris Notification Server 6.0
Symantec Altiris Deployment Solution 6.9.355 SP1
Symantec Altiris Deployment Solution 6.9.355
Symantec Altiris Deployment Solution 6.9.176
Symantec Altiris Deployment Solution 6.9.164
Symantec Altiris Deployment Solution 6.9 SP3 Build 430
Symantec Altiris Deployment Solution 6.9 SP1
Symantec Altiris Deployment Solution 6.9

<詳細>
Symantec Altirisはサービス中心の管理ソフトウェアで、企業の情報技術資産
の管理に使用されている。しかし、Symantec Altirisには細工された悪意のあ
るWebサイトを閲覧すると引き起こされる脆弱性が報告されている。また、管
理Webサイトに最初に訪問した際にインストールされるConsoleUtilities
ActiveXコントロールの"AeXNSConsoleUtilities.dll"に、バッファオーバーフ
ローの脆弱性が生じると報告されている。 これは、"BrowseAndSaveFile()"
メソッドに生じるスタックベースのバッファオーバーフローで、過剰に長い引
数が引き渡されると悪用されるおそれがある。悪用が実現すると、アタッカー
はログオンしたユーザーの関連で任意のコードを実行できるようになってしま
う。この脆弱性の全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており更新をリリースしている。ユーザーは、
Microsoftの"kill bit"機能を介して問題のコントロールを無効にすれば、こ
れらの脆弱性の影響を軽減できる。

<参考>
Symantecのセキュリティアドバイザリ
https://kb.altiris.com/display/1n/articleDirect/index.asp?aid=49389&r=0.9810602
SecurityアドバイザリNSOADV-2009-001
http://sotiriu.de/adv/NSOADV-2009-001.txt
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
AltirisについてのWikipediaの記事
http://en.wikipedia.org/wiki/Altiris
ベンダーのホームページ
http://www.symantec.com/
SecurityFocus BID
http://www.securityfocus.com/bid/36698
────────────────

5.危険度【高】: IBM Tivoli Storage Managerにさまざまな脆弱性

<影響のある製品>
IBM Tivoli Storage Manager 5.x
IBM Tivoli Storage Manager 6.x

<詳細>
IBM Tivoli Storage Managerは、IBMの集中管理型およびポリシーベースの企
業用ストレージ管理ソリューションである。しかし、このアプリのクライアン
ト・コンポーネントにはさまざまな脆弱性がある。1つ目の問題は、ユーザー
が提供するインプットにあるクライアント・アクセプタ・デーモン
(CAD:client accpetor daemon)スケジューラが適正なチェックを行わないため
に引き起こされる、バッファオーバーフローのエラーである。2つ目の問題は、
従来のクライアント・スケジューラに生じる境界誤差である。これらの悪用が
実現すると、アタッカーは悪意のあるコードを挿入するか、TSMクライアント
をクラッシュできるようになってしまう。3つ目の問題は、UNIXやLinuxのバッ
クアップ・アーカイブ・クライアントにある未承認アクセスのエラーである。
これによって、アタッカーはクライアントマシンにあるファイルを未承認で読
み取り、コピー、削除ができるようになってしまう。これらの脆弱性の技術的
詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
IBMのセキュリティアドバイザリ
http://www-01.ibm.com/support/docview.wss?uid=swg21405562
IBM Tivoli Storage ManagerについてのWikipediaの説明
http://en.wikipedia.org/wiki/IBM_Tivoli_Storage_Manager
製品のホームページ
http://ibm.com/software/tivoli/products/storage-mgr/
SecurityFocus BID
http://www.securityfocus.com/bid/36916
────────────────

6.危険度【高】: さまざまなベンダーの Hummingbird STRサービスにバッファ
  オーバーフローの脆弱性

<影響のある製品>
OpenText Search Server 6.x
EMC Documentum eRoom 7.4.1

<詳細>
EMC Documentum eRoom、OpenText Hummingbird および OpenText Search
Serverには、脆弱性が報告されている。この欠陥は、Hummingbird STR サービ
スの"STRsvc.exe"に使用されている"STRlib.dll"モジュールにある。このサー
ビスは、デフォルトではTCP10500番ポートで聞き取りを行い、"STRlib.dll"モ
ジュールは、スタティックバッファに向かうネットワークからデータを受け取
る。TCP10500番ポートに向かうパケットが過剰に長い状態に細工されると、こ
の脆弱性が引き起こされるおそれがある。悪用が実現すると、アタッカーは
SYSTEMユーザーの関連で任意のコードを実行できるようになってしまう。この
脆弱性を悪用するのに認証は必要ない。この脆弱性の技術的詳細のいくつかが
公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-074/
ベンダーのホームページ
http://www.emc.com/products/detail/software/eroom.htm
http://connectivity.opentext.com/
http://www.opentext.com/2/global/sol-products/sol-pro-edocs-products2/pro-llecm-edocs-searchserver.htm
SecurityFocus BID
http://www.securityfocus.com/bid/36868
────────────────

7.危険度【高】: RhinoSoft Serv-U File Serverにバッファオーバーフロー
  の脆弱性

<影響のある製品>
Serv-U 9.x

<詳細>
RhinoSoft Serv-U File ServerはWindowsプラットフォーム用の FTP、SFTPお
よび HTTPサーバである。しかし、Serv-U File ServerにHTTPリクエストが細
工されると生じる脆弱性が発見された。この欠陥は、HTTPリクエストのクッキー
を処理する方法が原因でHTTPサーバに生じるバッファオーバーフローの脆弱性
である。過剰に長いセッション・クッキーをServ-UのWebクライアントに送信
すると、この脆弱性が引き起こされる。悪用が実現すると、アタッカーは脆弱
なアプリの関連で任意のコードを実行できるようになってしまう。この脆弱性
の全技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
KC セキュリティのパブリックアドバイザリ
http://www.rangos.de/ServU-ADV.txt
Serv-U File ServerについてのWikipediaの説明
http://en.wikipedia.org/wiki/Serv-U_FTP_Server
製品のホームページ
http://www.serv-u.com/Browser-Transfer-Client.asp
SecurityFocus BID
http://www.securityfocus.com/bid/36895

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。