NRI Secure SANS NewsBites 日本版

Vol.4 No.50 2009年12月28日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.4 No.50 2009年12月28日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

サイバーセキュリティの朗報をお探しなら、CNNビデオの、直ちに米国のサイ
バーガーディアンになってもよいほどの、頭脳明晰な子供たちをご覧いただき
たい。
ビデオは以下からアクセス可能。
http://www.cnn.com/video/#/video/tech/2009/12/21/meserve.hacker.tests.cnn

コンピューターとネットワーク。そう、そしてハッキングに特別な才能のある
若者をご存知なら、ネットウォーチャレンジで、そのスキルを試すように伝え
ていただきたい。(www.sans.org/netwars)

追伸: 実際にセキュリティの自動化に有効な、ユーザー確認済みツールのリス
トに、30の製品が追加された。ほとんどの種類の重要なセキュリティ自動化の
ショートリストとして十分に使用可能だ。
https://www.sans.org/critical-security-controls/user-tools.php

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
           ■SANS ウェブキャストシリーズ■
           2010年1月27日(水)19:30~20:30

           マルウェア発見のための最新手法
         - Advanced Methods for Finding Malware -

    スピーカー:Eric Cole(SANS Technology Institute フェロー)
            http://www.sans.org/info/51629
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.11 No.99-100
   (原版:2009年12月19日、23日配信)

◆米軍無人偵察機のビデオ傍受(2009.12.17)

報道によると、イラク武装組織は、ハッカーとUSD26ピースのソフトウェアを
使い、米国の無人偵察機のライブビデオを傍受していた。ハッカーまたは武装
組織が、無人偵察機を制御したことを示す証拠はないが、攻撃により、米軍が
どこで偵察を行っているかという情報は入手されている。この問題は、2008年
後半、米軍が捕まえたシーア派武装組織メンバーのノートパソコンに、傍受さ
れた偵察のファイルを発見したことで明らかになった。報道によると、米国は、
イラン、パキスタンおよびアフガニスタンからの無人偵察機のビデオ映像を暗
号化しようとしていた。悪用された脆弱性は、暗号化されていないダウンロー
ドリンクに存在する。米軍は10年以上前から脆弱性に気付いていたが、敵はそ
の脆弱性を利用できないと想定していた。

http://online.wsj.com/article/SB126102247889095011.html?mod=googlenews_wsj
http://www.wired.com/dangerroom/2009/12/insurgents-intercept-drone-video-in-king-sized-security-breach/
http://www.msnbc.msn.com/id/34465420/ns/technology_and_science-security/
ロイターは、問題は1年前に発覚した後、解決されたと報道。
http://www.reuters.com/article/idUSTRE5BG3RM20091217
別の記事では、米軍は予定されているアフガニスタンへの増派を支援するため
無人偵察機を追加購入する計画。
http://www.nextgov.com/nextgov/ng_20091217_6329.php?oref=topstory

【編集者メモ】(Pescatore)
モバイル環境で暗号化しないとか、弱い暗号化をするといった多くの同様な誤っ
た決定は、不名誉殿堂入りになるだろう。かつて2006年に、Visa、Mastercard、
Amexは、「カードリーダーに通さない」で使用するため、RFIDチップを付けた
クレジットカードを発行した。マサチューセッツ工科大学の研究者により、カー
ド会社は宣伝した暗号化をしていなかったことが発覚した。1999年、Windows
CEで、MicrosoftはPEGASUSを逆にスペルした言葉で単純にXOR演算することに
より、ユーザーパスワードを「暗号化」していたことが明らかになった。お喋
りするバービー人形が「暗号化は『大変』…」と言った通り。
────────────────

◆EPIC Facebookのプライバシー変更をFTCに告訴(2009.12.17)

電子プライバシー情報センター(EPIC)は、米連邦取引委員会(FTC)に、
Facebookが最近、デフォルトのプライバシー設定を変更し、Facebookメンバー
に関するより多くの情報を公開する決定をしたことを正式に告訴した。ユーザー
は自分に関する情報を閲覧する人を制限したい場合、マニュアルで変更しなけ
ればならない。Facebookは、その変更は、ユーザーが自分たちの情報を閲覧で
きる人をコントロールしやすくすることを目的としていると主張した。告訴内
容では、Facebookの変更は消費者保護法に反すると訴えている。

http://www.informationweek.com/news/security/app-security/showArticle.jhtml?articleID=222002613
http://www.msnbc.msn.com/id/34468521/ns/technology_and_science-tech_and_gadgets/
http://www.theregister.co.uk/2009/12/17/epic_facebook_privacy_complain/
http://bits.blogs.nytimes.com/2009/12/17/privacy-group-files-complaint-on-facebook-privacy-changes/?ref=technology

【編集者メモ】(Pescatore)
Facebookは、消費者の個人情報でゲームをしていることに、平手打ちを食らう
べきだ。ともあれ、ユーザーデータを広告宣伝に利用することから全ての収益
を得ているコンシューマグレードサービスを信頼する人たちは、おそらくサン
タクロースに本当にすてきなおもちゃを持って煙突から降りて来てもらうため
に、ミルクとクッキーも用意していただろう。
────────────────

◆ホワイトハウス Schmidtをサイバーセキュリティコーディネーターに任命
  (2009.12.22)

ワシントンポストとニューヨークタイムズは、ホワイトハウスは12月22日(火)
Howard A. Schmidtをサイバーセキュリティコーディネーターに任命すると報
道している。Schmidtは、ジョージ W ブッシュ政権で、2001年から2003年、サ
イバーセキュリティの特別顧問を務めた。それ以前、SchmidtはMicrosoftの最
高セキュリティ責任者であった。eBayで副社長および最高情報セキュリティ責
任者も務め、現在Information Security Forumの社長である。
http://www.washingtonpost.com/wp-dyn/content/article/2009/12/21/AR2009122103055_pf.html
http://www.nytimes.com/2009/12/22/technology/internet/22cyber.html

【編集者メモ】(Howard)
NewsBites編集者のフェローであるHoward が指名されたことに祝辞を述べたい。
やるべき仕事はたくさんあり、情報セキュリティ環境の改善に活躍されるよう
祈る。
────────────────

◆米国偵察機のビデオ映像、少なくとも2014年まで暗号化されない見通し
  (2009.12.19)

米国空軍当局者によると、少なくとも今後5年間は、米軍の無人偵察機
PredatorおよびReaperからのビデオ映像を、暗号化しないことが明らかになっ
た。今週初め、イラク武装組織が、偵察機の暗号化されていないビデオ偵察記
録に30ドル未満の市販のソフトウェアでアクセスしたことが報道された。軍は
10年以上前からその脆弱性に気付いていたが、偵察機から情報を得る利点のほ
うが、不正アクセスのリスクより重要であると述べた。
http://www.washingtonpost.com/wp-dyn/content/article/2009/12/18/AR2009121804281.html

【編集者メモ1】(Pescatore)
今日、「共有する必要」は「知る必要」に勝るという考え方が一般的になって
いる。これは、知る必要のない人には共有すべきでない情報に関して、その考
え方は危険である理由を示している。

【編集者メモ2】(Ullich)
セキュリティ専門家にとって、このような判断は理解しがたいときがある。し
かし、この場合、目的はセキュリティではなく、有用でタイムリーな情報の入
手であることに留意しなければならない。敵に情報の一部を奪われることは、
受容可能なリスクである。小売業者にとって、今週店じまいするより、数人の
顧客の記録を失う方が良いのと似ている。

【編集者メモ3】(Skoudis)
これは本当に間違っていると思う。5年間?しかも、その問題に気付いていた
10年間に上乗せするのだ。あらゆる種類のストリーミングや保存されたフォー
マットに対応可能な暗号化モジュールは容易に入手できる。ビデオがアナログ
であったとしても(それは疑わしいが)何トンものデジタル化ツールがある。
実に奇妙だ。

【編集者メモ4】(Schultz)
記事で説明された脆弱性が、まだ修正されておらず、数年間修正されないこと
に批判的な人もいる。しかし同時に、軍は、コスト対利益を比較し、この脆弱
性を直ちに修正することは合理的でないと判断した。脆弱性を修正するときは、
このようにするべきだ。
────────────────

◆BPIの調査からファイル共有は減少していないことが判明(2009.12.18-20)

British Phonographic Industry (BPI)の統計によると、政府が違法なファイ
ル共有を阻止するよう努力しているにもかかわらず、減少していない。BPIは、
英国で16歳から54歳の3,442人にインタビューを行った。1,012人が違法なファ
イル共有に関わったと述べた。調査によるとウェブベースのファイル共有は、
増加中である。
http://www.v3.co.uk/v3/news/2255317/illegal-file-sharing-rife
http://news.bbc.co.uk/2/hi/entertainment/8420484.stm
http://arstechnica.com/tech-policy/news/2009/12/music-damn-the-numbers-we-need-laws.ars
http://www.guardian.co.uk/business/2009/dec/18/bpi-survey-filesharing-piracy-thriving

【編集者メモ1】(Pescatore)
たぶん1972年には次のような見出しがあっただろう。「調査から、ラジオ音楽
放送のカセットテープへの録音は減少していないことが判明。」歯磨き粉は、
チューブには戻らない。実際、これは「知る必要」を考えずに、「共有(また
は配信)する必要」を考えると起こる現象を示すよい例である。

【編集者メモ2】(Ullrich)
問題は、どうやってファイル共有を防ぐかではなく、その業界がファイル共有
に対してどれくらい余裕があるか、ファイル共有をこの限界以下に保つために
使えるシステムをいかに探すかである。私はDVDを購入したばかりだが、映画
の「電子コピー」が付いていた。その映画を合法的に観られるようにするため
には「ハッキングのスキル」が必要であったと言わざるをえない。セキュリティ
は、使用可能でなくてはならない。面倒なDRM(デジタル著作権管理)のため
に販売されない映画は、違法に共有される映画同様、ほとんど儲からない。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年12月19日 Vol.8 No.51)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps           5(#3)
Linux                     3
Cross Platform                41(#1, #2, #4)
Web Application - Cross Site Scripting    16
Web Application - SQL Injection        8
Web Application               10
Network Device 2Windows            1
======================================================================

1.危険度【重大】: Adobe Reader とAcrobat 'newplayer()' リモートでコー
  ド実行の脆弱性

<影響のある製品>
Adobe Reader 9.2およびそれ以前
Adobe Acrobat 9.2およびそれ以前

<詳細>
Adobe Acrobatは、PDFを作成、管理、閲覧するためのプログラムであり、
Adobe Readerは、PDFを閲覧、印刷するのみである。Adobe readerとAcrobatに
脆弱性が報告され、細工されたPDFファイルを開くと引き起こされる可能性が
ある。具体的な欠陥は"Doc.media"オブジェクトの"newplayer()"メソードでの
use-after-freeのエラーである。悪用が実現すると攻撃者は、ログオンしたユー
ザーの権限で、任意のコードを実行できるようになる。この脆弱性は、現在、
野放しに悪用されている。PDFドキュメントは、ユーザーの許可無しに脆弱な
アプリケーションによって自動的に開かれることがよくある。この脆弱性の技
術的詳細は、公開された概念実証(poc)とともに公開されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Adobe Security Advisory (APSA09-07)
http://www.adobe.com/support/security/advisories/apsa09-07.html
US-CERT Vulnerability Notes
http://www.kb.cert.org/vuls/id/508357
ベンダーホームページ
http://www.adobe.com/
SecurityFocus BID
http://www.securityfocus.com/bid/37331
────────────────

2.危険度【重大】:複数のMozilla製品に複数の脆弱性

<影響のある製品>
Mozilla Firefox versions earlier to 3.5.6
Mozilla Firefox versions earlier to 3.0.16
Mozilla SeaMonkey versions earlier to 2.0.1

<詳細>
一般的なWebブラウザFirefox、internet suite SeaMonkey、およびEメールク
ライアントThunderbirdのようなMozilla Foundationのいくつかの製品に、複
数の脆弱性が報告された。JavaScriptおよびブラウザのエンジンに、メモリー
を破壊する可能性のある複数のエラーが存在する。"liboggplay"にメモリーを
破壊する複数のエラーが存在し、悪意のあるオーディオおよびビデオのデータ
を不適切に処理することにより引き起こされる。"Theora library"にインタジャー
オーバーフローのエラーが存在し、細工されたビデオファイルにより引き起こ
される可能性がある。ロケーションバーのスプーフィングの脆弱性が報告され、
それにより攻撃者は、ユーザーには正当と見えるロケーションバーに無効な
URLをセットし、さらにスプーフィングの攻撃ができるようになる。クローム
ウィンドウオープナー(chromewindow.opener)のエラーにより引き起こされ
る可能性のある、特権エスカレーションの脆弱性が報告されている。NTLMリフ
レクションの脆弱性があり、それにより、攻撃者はブラウザを通じて、1つの
アプリケーションから別のランダムなアプリケーションに証明書を送れる可能
性がある。"GeckoActiveXObject()"例外メッセージを生成する際のエラーが報
告されている。これにより、攻撃者は影響を受けたシステムにインストールさ
れたCOMオブジェクトのリストにアクセスできるようになる。これらの脆弱性
の詳細は、ソースコード分析により入手可能である。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Mozilla Security Advisories
http://www.mozilla.org/security/announce/2009/mfsa2009-65.html
http://www.mozilla.org/security/announce/2009/mfsa2009-66.html
http://www.mozilla.org/security/announce/2009/mfsa2009-67.html
http://www.mozilla.org/security/announce/2009/mfsa2009-68.html
http://www.mozilla.org/security/announce/2009/mfsa2009-69.html
http://www.mozilla.org/security/announce/2009/mfsa2009-70.html
http://www.mozilla.org/security/announce/2009/mfsa2009-71.html
ベンダーホームページ
http://www.mozilla.org
SecurityFocus BID's
http://www.securityfocus.com/bid/37360
http://www.securityfocus.com/bid/37361
http://www.securityfocus.com/bid/37362
http://www.securityfocus.com/bid/37363
http://www.securityfocus.com/bid/37364
http://www.securityfocus.com/bid/37365
http://www.securityfocus.com/bid/37366
http://www.securityfocus.com/bid/37367
http://www.securityfocus.com/bid/37368
http://www.securityfocus.com/bid/37369
http://www.securityfocus.com/bid/37370
────────────────

3.危険度【重大】:HP OpenView Network Node Managerに複数の脆弱性

<影響のある製品>
HP OpenView Network Node Manager (OV NNM) 7.x

<詳細>
HP OpenView Network Node Manager (OV NNM)は、エンタープライズネットワー
クおよび大規模なシステムを管理するアプリケーション一式である。複数の脆
弱性がHP OpenView Network Node Managerに報告されている。以下の実行ファ
イル"snmp.exe", "nnmRptConfig.exe","ovlogin.exe", "ovsessionmgr.exe",
"webappmon.exe", "OvWebHelp.exe","ovalarm.exe", "snmpviewer.exe",
"ovwebsnmpsrv.exe"は、バッファオーバーフローの脆弱性の影響を受けやすい。
非常に長い文字列を"Oid" パラメタ、"Template"パラメタ、"userid"および
"passwd" パラメタ(ovlogin.exe and ovsessionmgr.exe)、"Host" HTTPヘッダー、
"Topic" パラメタ、"Accept-Language" HTTP ヘッダー、"Host" HTTPヘッダー
および" arg" パラメタにそれぞれ送ることにより、悪用される可能性がある。
NNM HTTPサーバーの特定のPerl CGI 実行ファイルは、"hostname" HTTPヘッダー
に送られたデータを適切にサニタイズしない。さらに、バッファオーバーフロー
を引き起こす可能性のある不特定のエラーが存在し、細工されたHTTPリクエス
トにより悪用される可能性がある。これらの脆弱性の悪用が実現すると、攻撃
者は、脆弱なアプリケーションのコンテクストで、任意のコードを実行できる
ようになる。これらの脆弱性のいくつかの技術的詳細は、公開されている。

<現状>
ベンダーは、この問題を認めており、更新は公開されている。

<参考>
HP Security Bulletin (HPSBMA02483 SSRT090257)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01950877
Zero Day Initiative Advisories
http://www.zerodayinitiative.com/advisories/ZDI-09-094
http://www.zerodayinitiative.com/advisories/ZDI-09-095
http://www.zerodayinitiative.com/advisories/ZDI-09-096
http://www.zerodayinitiative.com/advisories/ZDI-09-097
TippingPoint DVLabs Security Advisories
http://dvlabs.tippingpoint.com/advisory/TPTI-09-08
http://dvlabs.tippingpoint.com/advisory/TPTI-09-09
http://dvlabs.tippingpoint.com/advisory/TPTI-09-10
http://dvlabs.tippingpoint.com/advisory/TPTI-09-11
http://dvlabs.tippingpoint.com/advisory/TPTI-09-12
http://dvlabs.tippingpoint.com/advisory/TPTI-09-13
http://dvlabs.tippingpoint.com/advisory/TPTI-09-14
製品ホームページ
http://www.openview.hp.com/products/nnm/
SecurityFocus BID's
http://www.securityfocus.com/bid/37298
http://www.securityfocus.com/bid/37294
http://www.securityfocus.com/bid/37295
http://www.securityfocus.com/bid/37296
http://www.securityfocus.com/bid/37299
http://www.securityfocus.com/bid/37300
http://www.securityfocus.com/bid/37330
http://www.securityfocus.com/bid/37340
http://www.securityfocus.com/bid/37341
http://www.securityfocus.com/bid/37343
http://www.securityfocus.com/bid/37345
http://www.securityfocus.com/bid/37347
http://www.securityfocus.com/bid/37348
────────────────

4.危険度【高】: Symantec複数の製品にリモートでコードを実行される脆弱性

<影響を受ける製品>
Symantec Backup Exec Continuous Protection Server (CPS)
Symantec Veritas NetBackup Operations Manager (NOM)
Symantec Veritas Backup Reporter (VBR)
Symantec Veritas Storage Foundation (SF)
Symantec Veritas Storage Foundation for Windows High Availability (SFWHA)
Symantec Veritas Storage Foundation for High Availability (SFHA)
Symantec Veritas Storage Foundation for Oracle (SFO)
Symantec Veritas Storage Foundation for DB2
Symantec Veritas Storage Foundation for Sybase 4.1, 5.0
Symantec Veritas Storage Foundation for Oracle Real Application Cluster (SFRAC)
Symantec Veritas Storage Foundation Manager (SFM)
Symantec Veritas Cluster Server (VCS)
Symantec Veritas Cluster Server One (VCSOne)
Symantec Veritas Application Director (VAD)
Symantec Veritas Cluster Server Management Console (VCSMC)
Symantec Veritas Storage Foundation Cluster File System (SFCFS) 3.5
Symantec Veritas Storage Foundation Cluster File System for Oracle RAC (SFCFS RAC)
Symantec Veritas Command Central Storage (CCS) 4.x, 5.0, 5.1
Symantec Veritas Command Central Enterprise Reporter (CC-ER)
Symantec Veritas Command Central Storage Change Manager (CC-SCM)
Symantec Veritas MicroMeasure 5.0

<詳細>
複数のSymantec製品に脆弱性が特定された。問題は、複数のSymantec製品とと
もに出荷されるWebサーバコンポーネント"VRTSweb.exe"のエラーにより引き起
こされる。このコンポーネントのエラーは、デフォルトではポート14300で
listenするが、このポートに適切に送られた受信認証リクエストを認証しない。
細工されたリクエストにより、攻撃者はセキュリティの制限をバイパスできる
ようになる。悪用が実現すると、攻撃者は、管理者権限で任意のコードを実行
できるようになる。この技術的詳細のいくつかは公開されている。

<現状>
ベンダーはこの問題を認めており、更新を公表している。

<参考>
Symantec製品に関するSecurity Advisories (SYM09-017)
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20091209_00
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-09-098/
ベンダーホームページ
http://www.symantec.com/
SecurityFocus BID
http://www.securityfocus.com/bid/37012/

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。