NRI Secure SANS NewsBites 日本版

Vol.5 No.10 2010年3月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.10 2010年3月16日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
3月19日、電力やその他のユーティリティ産業に携わる方々を、同産業の内部
に既に存在する高度で執拗な脅威に関する無償の、そして目を見張るようなウェ
ブキャストにご招待する。件名にMarch 19と記載の上、apaller@sans.orgまで
申し込んでいただきたい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS ローカルメンタープログラム 申込み受付中!
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    2010年5月11日からの全10回コース(毎週火・木曜 18:30~20:30)
!!業務後の時間を有効に利用して、高度なセキュリティスキルを習得!!

◆コース:SEC504 Hacker Techniques, Exploits & Incident Handling
  講師:Tyson Kopczynski
  会場:NRIセキュアテクノロジーズ 汐留オフィス

         ↓↓↓詳細&お申込みはこちら↓↓↓
       http://www.sans.org/mentor/details.php?nid=21594
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.18-19
   (原版:2010年3月5日、3月9日配信)

◆Auroraサイバー攻撃者 ソースコード管理システムを狙う(2010.3.3-4)
RSAカンファレンスでMcAfeeが公開した報告によると、Googleやその他企業の
システムを侵害した攻撃者は、ソースコード管理システムを追跡した。一度そ
のシステムへアクセスすると、攻撃者はソースコードを盗み、変更できるよう
になる。攻撃者は、ソフトウェアコンフィグレーション管理システム(SCM)は
「無防備」であることに気付いた。攻撃者は、「兵器化された電子メール(以
前はスピアフィッシングとして知られていた)攻撃」により、企業システムへ
の一番最初のアクセスを得ていた。
http://www.wired.com/threatlevel/2010/03/source-code-hacks/
http://www.zdnetasia.com/news/security/0,39044215,62061601,00.htm
http://www.crn.com/security/223101584;jsessionid=JWORUUYIMPJWRQE1GHPCKHWATMY32JVN
http://ibnlive.in.com/news/google-china-hackers-stole-source-code-researcher/111020-11.html?from=tn?from=rssfeed
────────────────

◆大規模なボットネット裁判 3人逮捕(2010.3. 2-4)
スペイン当局は、世界中の1,270万台のPCに影響を及ぼしたボットネットに関
わった3人を逮捕した。Mariposaボットネットは、フォーチュン1,000社、およ
び主要銀行40社のPCが含まれる。その焦点は、オンライン銀行口座のログイン
認証情報や電子メールサービスなどの情報を盗むことである。逮捕に続き、警
察は80万人以上の人々の個人情報を正常な状態に戻した。Mariposaは、2008年
12月に最初に検出され、2009年12月に閉鎖された。Mariposa Working Group
(セキュリティ専門家、研究者、および法執行機関で構成)の支援を受けて、
Mariposaは打倒された。グループは、侵害されたマシンとサイバー犯罪者との
間の通信を監視していた。3人はスペインで逮捕され、Mariposaの管理者とさ
れている。他の国での逮捕も間近と言われている。
http://edition.cnn.com/2010/TECH/03/03/spain.computer.virus.arrest/
http://www.mercurynews.com/business/ci_14498591?source=rss&nclick_check=1
http://www.mercurynews.com/business/ci_14504717?source=rss&nclick_check=1
http://www.theregister.co.uk/2010/03/03/mariposa_botnet_bust_analysis/
http://www.theregister.co.uk/2010/03/04/mariposa_police_hunt_more_botherders/
http://news.bbc.co.uk/2/hi/technology/8547453.stm
http://www.computerworld.com/s/article/9164838/Spanish_police_take_down_massive_Mariposa_botnet?taxonomyId=17
http://www.eweek.com/c/a/Security/Spain-IT-Security-Companies-Sting-Mariposa-Botnet-390027/
http://www.foxnews.com/scitech/2010/03/04/mastermind-worlds-worst-virus-large/
────────────────

◆FDICへの機密の銀行報告書 オンラインバンキング詐欺で3ケ月に1億2,000
  万ドルの損失(2010.3.8)
先日、連邦預金保険公社(FDIC)のDave Nelson審査官は、顧客のコンピュー
タへのマルウェア感染のため、昨年度(2009年7-9月のデータに基づく)に毎
月4,000万ドル以上の費用がかかったと報告した。金融機関から機密報告を受
け、このNelsonの概算は作成された。ハッカーは人々を騙して兵器化した電子
メール(weaponized email)を開かせたり、感染したWebサイトへ誘導する。
Nelsonは、企業は消費者のような返済保護を受けないので、多くの小規模企業
やNPOが多額の損失(2009年第3四半期には250万ドル)を被ったと述べている。
アタッカーはセキュリティコントロールが弱い小規模企業を狙っている。
http://www.computerworld.com/s/article/9167598/FDIC_Hackers_took_more_than_120M_in_three_months?source=rss_news
http://www.krebsonsecurity.com/2010/03/cyber-crooks-leave-bank-robbers-in-the-dust/
【編集者メモ】(Pescatore)
このことを文脈からとらえてみよう。NACHA(電子決済協会)によると、2009
年第3四半期には37.7億件の取引、7.3“兆”ドル相当がACH(Automated
Clearing House、自動決済システムの電子資金決済により処理された。不正取
引された1億2,000万ドルは、全体の0.00001%未満で、基本的には四捨五入に
よる誤差の範囲内である。

【編集者メモ】(Paller)
上記のJohn Pescatoreのメモから、オンライン銀行の不正取引は、ほとんど解
決する価値がないと私は確信した。ISPと金融機関は顧客を守る責任を負うと
きが来た。顧客自身では守れない。Brian Krebsは、これらの攻撃による損害
がどれほどひどかったかを示している。
http://www.krebsonsecurity.com/2010/02/n-y-firm-faces-bankruptcy-from-164000-e-banking-loss/]
────────────────

◆米国、英国、欧州連合でサイバー攻撃の懸念増加(2010.3.7-8)
NATOおよびEUのITシステムに対するサイバー攻撃が増加したため、情報の流れ
を制限する注意レベルが上げられた。中国は第一の攻撃源であると確信されて
いる。米国政府は、政府のシステムに対する攻撃の数が著しく増加したことを
指摘した。英国の保安相(Security Minister)は国内のコンピュータは、外国
やテロリストグループからの日々のサイバー攻撃にさらされていると述べてい
る。Lord Westは、去年、英国政府のシステムに「300件の重大な攻撃」があっ
たと述べた。攻撃を特定の国の責任にするのは難しいと認めている。英国は撤
退をしなければならないときがやってくるかもしれないと述べた。
http://www.guardian.co.uk/technology/2010/mar/07/britain-fends-off-cyber-attacks
http://technology.timesonline.co.uk/tol/news/tech_and_web/article7053254.ece

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年3月4日 Vol.9 No.10)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
Other Microsoft Products             1
Third Party Windows Apps             6 (#1)
Linux                      4
AIX                       1
Cross Platform                 24 (#2, #3)
Web Application - Cross Site Scripting     15
Web Application - SQL Injection         22
Web Application                 21
Network Device                  1
======================================================================
1.危険度【高】:IBM Lotus iNotes ActiveX Controlにバッファオーバーフロー
  の脆弱性

<影響を受ける製品>

IBM Lotus iNotes 8.5以前のバージョン
IBM Lotus iNotes 7.0.4以前のバージョン

<詳細>
IBM Lotus iNotes(以前はLotus Domino Web Accessとして知られている)は、
企業向けの一般的なウェブベースの電子メールソフトウェアである。これによ
り、ユーザーはビジネス情報をオンラインとオフラインの両方で管理できるよ
うになる。Lotus iNotesのWebベース機能は、Lotus iNotes ActiveX Control
により提供されるが、これにバッファオーバーフローの脆弱性が含まれると報
告されている。このActiveXコントロールのインスタンスを作成する細工され
たWebページを利用して、この脆弱性を引き起こすことができる。具体的な欠
陥はdwa8.dll, dwa8w.dllライブラリにあり、それらはユーザーが管理するURL
の長さを不適切にバウンダリチェックすることにより引き起こされる。攻撃者
は、その機能に非常に長いURLを送って脆弱性を引き起こすことにより、リモー
トでコードが実行できるようになる。その脆弱性に関するいくつかの技術的詳
細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。ユーザーは
CLSID用Microsoftのkill bitメカニズムを通じて、脆弱なコントロールを無効
にすることにより、この脆弱性の影響を緩和することができる。
{3BFFE033-BF43-11d5-A271-00A024A51325,
983A9C21-8207-4B58-BBB8-0EBC3D7C5505,
E008A543-CEFB-4559-912F-C27C2B89F13B,
75AA409D-05F9-4f27-BD53-C7339D4B1D0A}.
注意:これは通常のアプリケーション機能に影響する可能性がある。

参考:
iDefense Labs Security Advisory
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=857
IBM Security Advisory
http://www-01.ibm.com/support/docview.wss?uid=swg21421808
Microsoft Knowledge Base Article ("kill bit"メカニズムを詳述)
http://support.microsoft.com/kb/240797
製品ホームページ
http://www-01.ibm.com/software/lotus/products/inotes/
SecurityFocus BID
http://www.securityfocus.com/bid/38457
────────────────

2.危険度【高】:IBM Informixに複数のバッファオーバーフローの脆弱性

<影響を受ける製品>
IBM Informix IDS 11.10.xC2
IBM Informix IDS 11.10
IBM Informix IDS 10.00.xC8
IBM Informix IDS 10.00.xC7W1
IBM Informix IDS 10.00.xC11
IBM Informix IDS 10.0.xC4
IBM Informix IDS 10.0

<詳細>
IBM Informix Dynamic Server (IDS)は、IBMソフトウェアグループのリレーショ
ナルデータベースマネジメントシステムであり、オンライントランザクション
の処理性能が高いことで知られている。IBM Informix Database Serverに複数
のスタックベースバッファオーバーフローの脆弱性が報告されている。その欠
陥は"librpc.dll"に存在する。それはISM Portmapperサービス"portmap.exe"
によって使用されるRPCプロトコルパーシングライブラリであり、デフォルト
のTCPポート36890でリッスンする。その欠陥はユーザーが提供したデータを不
適切にバウンドチェックすることにより引き起こされる。悪用が実現すると、
攻撃者はリモートで任意のコードを実行できるようになる可能性がある。その
脆弱性に関するいくつかの技術的詳細は公開されている。

<状況>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-10-022
IBM Informix Dynamic Serverに関するWikipedia記事
http://en.wikipedia.org/wiki/IBM_Informix_Dynamic_Server
製品ホームページ
http://www-01.ibm.com/software/data/informix/
SecurityFocus BID
http://www.securityfocus.com/bid/38471
────────────────

3.危険度【高】:複数のベンダー"librpc.dll" Signednessエラーコード実行の
  脆弱性

<影響を受ける製品>
IBM Informix IDS 9.40 .UC3
IBM Informix IDS 9.40 .UC2
IBM Informix IDS 9.40 .UC1
IBM Informix IDS 9.3
IBM Informix IDS 9.40 xC7
IBM Informix IDS 9.40 .xD8
IBM Informix IDS 9.40 .UC5
IBM Informix IDS 9.40 .TC5
IBM Informix IDS 9.4
IBM Informix IDS 7.31 .xD9
IBM Informix IDS 7.31 .xD8
IBM Informix IDS 7.3
IBM Informix IDS 11.10.xC4
IBM Informix IDS 11.10.xC2
IBM Informix IDS 11.10
IBM Informix IDS 10.00.xC8
IBM Informix IDS 10.00.xC7W1
IBM Informix IDS 10.00.xC11
IBM Informix IDS 10.0.xC4
IBM Informix IDS 10.0
IBM Informix IDS 10.0
EMC Legato Networker 7.3.2
EMC Legato Networker 7.2.1
EMC Legato Networker 7.2 build 172
EMC Legato Networker 7.2
EMC Legato Networker 7.1.3
EMC Legato Networker 7.0
EMC Legato Networker 6.0 x

<詳細>
signednessエラーが"librpc.dll"(ISM Portmapper service "portmap.exe"に
よって利用されるRPCプロトコルパーライブラリ)に存在すると報告されてい
る。このサービスは、デフォルトではTCP ポート36890にバウンドされている。
IBM Informix Dynamic Server (IDS)およびEMC Legato Networkerのような複
数のベンダーがこのライブラリを利用し、この脆弱性に対して脆弱である。こ
の問題は、ユーザーが提供したパラメーターサイズのsignednessチェックを不
適切に行うことによって引き起こされる。TCPポート36890に送られた細工され
たRPCパケットにより、この脆弱性が引き起こされる可能性がある。悪用が実
現すると、攻撃者はSYSTEMユーザー権限で任意のコードを実行できるようにな
る。その脆弱性に関するいくつかの詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-10-023
製品ホームページ
http://www.emc.com/products/detail/software/networker.htm
http://www-01.ibm.com/software/data/informix/
SecurityFocus BID
http://www.securityfocus.com/bid/38472

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。