NRI Secure SANS NewsBites 日本版

Vol.5 No.20 2010年5月25日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.20 2010年5月25日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
自分(または部下)のサイバーフォレンジクスの熟練度を知りたければ、2010
DC3(Defense Cyber Crime Center)Digital Forensics Challengeに申し込ん
でいただきたい。評価の高い人は知名度が上がるチャンス、そして、National
Cyber Crime Conferenceへの旅費が無料になる。
登録先:http://www.dc3.mil/challenge/2010/
米国政府のセキュリティに関する2つの「朗報」が発表された。

(1)Greg Schaffer、DHS(米国国土安全保障省)の新しいサイバーセキュリティ
  ・通信担当次官補は、金融機関との情報共有を行うための新規プログラム、
  および業界が機密脅威情報にアクセスしやすくするその他いくつかの長期的
  改革を発表した。3番目の記事で取り上げている。

(2)2つめの朗報は、連邦ITおよびサイバーセキュリティサービスの契約で数百
  万ドルが変化する前触れがあるというもである。先日米国国務省は、ITサー
  ビスプロバイダー事業者に対し、はるかに高いレベルのセキュリティを組み
  込んだ、新しい5年の契約の獲得に向け、再び競争することになると告げた。
  国内の技術者の60%は契約者のため、これは大きな取り組みである。軍と政
  府の防衛を強化するためにこれは必要不可欠であるという全体的な合意があ
  る。あまりに多くの組織が、セキュリティやコンフィギュレーションマネジ
  メント(サーバー、ルーター、ファイアウォール、エンタープライズネット
  ワーク)の技術者をばらばらに主導してきた。国務省が行おうとしているこ
  とは、20年前のB1-B爆撃機の契約と同様、すべてのこれらの業務を、契約上
  拘束力があり、業績に連動している契約者契約と結びつけることである。当
  然のことながら、リスクダッシュボードで防衛サイバーセキュリティの業績
  が測られる。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 申込み受付開始!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■2010年 7月12日(月)~17日(土)■
    SEC401 Security Essentials Bootcamp Style

   ■2010年11月15日(月)~20日(土)■
    SEC401 Security Essentials Bootcamp Style
    SEC504 Hacker Techniques, Exploits and Incident Handling

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.38-39
   (原版:2010年5月14日、5月18日配信)

◆GoogleはWi-Fi情報収集の過失を認め、問題を修正(2010.5.14-17)

Googleは、ストリートビュー車がその地域の無線ネットワークのデータ伝送を
不注意で記録していたことを認めた。車は、日常的にWi-Fi SSIDとMACアドレ
スを収集しているが、時に「オープンのWi-Fiポイントからのペイロードデー
タ」までも記録していた。Google幹部は、2006年から行われていたその記録を
「過失」と称した。Googleのストリートビュー車は、記録に使用されたコード
が削除されるまでサービス停止となった。欧州の役人は、「いくつかの国では
プライバシー法の違反にあたる」とし、怒りを表明している。(ストリートビュー
車は、ストリートレベルの地図の合成画像を編集するために使用されている。)
http://www.securecomputing.net.au/News/174894,google-admits-harvesting-wifi-data-with-street-view-cars.aspx
http://www.nytimes.com/2010/05/16/technology/16google.html?partner=rss&emc=rss
http://www.wired.com/threatlevel/2010/05/google-street-view-cams/
http://news.bbc.co.uk/2/hi/technology/8684110.stm
http://money.cnn.com/2010/05/14/technology/Google_mistaken_wifi_collection/index.htm?cnn=yes

【編集者メモ】(Schultz)
私は、プライバシー主唱者とEUが、最終的に負け戦となる戦いをしていること
を懸念している。この情報化時代では、大量の情報、その多くは個人に関する
ものだが、今や日常的にいつでも作成されている。自動車を運転している時、
飛行機に乗っている時、またどこでも、個人の情報を収集することができる。
そして、人々は常に無意識のうちに、電子メール、IM(インスタントメッセー
ジ)、チャット、ソーシャルネットワーク、無線ネットワーク、その他の手段
で、プライバシーを危険にさらしている。一言でいえば、個人に関するあまり
に多くの情報が作成され、伝送されている。

【編集者メモ】(Ranum)
データ転送速度と保存量をかなり増加させるため、システム試験の際に容易に
気づくので、その種の「過失」は起こらないはずだ。Googleが意味しているの
は「捕まったのが過失だ」ということではないかと思う。
────────────────

◆研究員 自動車のコンピュータシステムのセキュリティ問題に関する論文提
  出予定(2010.5. 13-14)
ワシントン大学とカリフォルニア大学サンディエゴ校の研究員は、どうしたら
ハッカーが自動車に使用されているコンピュータプログラムを操作し、ブレー
キその他の重要なシステムをコントロールすることができるかを説明した論文
を提出する予定である。研究員は、盗聴し、コントローラエリアネットワーク
(CAN)システムにパケットを挿入でき、2008年以降に組み立てられたすべての
米国車に使用できる診断ツール、CarSharkと称されるツールを作った。サイバー
攻撃者は標的とする自動車の標準診断コンピュータポートへのアクセスが必要
になる。昨年のデモンストレーションで研究員は、標的とする自動車にノート
パソコンを接続し、すぐそばの自動車の中にある別のノートパソコンで、標的
とする自動車のコンピュータシステムを無線でコントロールした。研究員は人
々を脅かそうとしたのではなく、自動車メーカーに対し、新しい自動車に搭載
するコンピュータシステムにはセキュリティを装備しなければならないことを
知らしめた。その論文は5月19日にIEEE Symposium on Security and Privacy
で発表された。
http://www.nytimes.com/2010/05/14/science/14hack.html
http://www.theregister.co.uk/2010/05/14/car_security_risks/
http://www.pcworld.com/businesscenter/article/196293/car_hackers_can_kill_brakes_engine_and_more.html
http://news.cnet.com/8301-27080_3-20005047-245.html?tag=mncol;title
────────────────

◆DHS 新しいサイバー脅威情報共有プログラム開発中(2010.4.14)
国土安全保障省(DHS)と国防総省(DoD)はいくつかの金融サービス会社と提
携して新しいサイバー脅威情報共有モデルを試験している。そのプログラムに
よって、参加者はサイバー脅威情報をリアルタイムで共有し、ネットワークへ
の侵入や活動を調査できるようになる。長期目標は、(国の重要インフラの多
くは民間の組織で運用させているため)DHSが政府および民間部門にわたり、
サイバー脅威情報を把握できるようになること、およびすべての人のサイバー
セキュリティを改善することである。
http://www.federalnewsradio.com/index.php?nid=35&sid=1957093
────────────────

◆ドイツ裁判所 WiFi所有者にネットワークの保護を義務付ける
  (2010.5.12-13)

ドイツ最高刑事裁判所は、無線ネットワークを所有する人々は、それらをパス
ワードで保護しなければならず、保護していない場合、他人がそのネットワー
クを使用して違法にコンテンツをダウンロードすると罰金100ユーロ(126ドル)
を支払わなくてはならないという判決を下した。「個人ユーザーは、権限のな
い第三者が悪用し、著作権を侵害する危険に対し、無線の接続が適切に保護さ
れているか確認する義務がある」という判決は、著作権所有者が、自分の音楽
がダウンロードされ、後にファイル共有可能になったため、ネットワークオー
ナーを訴えたことに端を発する。そのネットワークオーナーは、音楽がダウン
ロードされたとき、自宅にはいなかったという証拠があった。
http://www.msnbc.msn.com/id/37107291/ns/technology_and_science-security/
http://www.theregister.co.uk/2010/05/13/open_wifi_fines_germany/
http://www.scmagazineuk.com/german-wifi-owners-are-now-liable-for-what-third-party-users-download-while-connected-to-their-network/article/170061/
【編集者メモ】(Northcutt)
私たちは皆、油断してはならない。アクセスポイントそのものにある脆弱性に
よってファイル共有が行われたら、誰に責任があるのだろうか?
Joshua Wright(InGuardians研究員、SANS Wireless Securityコースの開発者)
は、Verizon MiFiのアクセスポイントにはSSIDに基づく予測可能なWPAキーが
あり、それには予測可能なIDがあることを発見した。つまりVerizonに責任が
あるということがわかる。法律の条文に従い、ネットワークを「保護」し、誰
かがWPAキーを算出し、ネットワークからファイルをダウンロードしたら、誰
がどんな理由で訴えられるのだろうか?
────────────────

◆Alexander大将 国防総省米国サイバー指令部長官に承認される
  (2010.5.11-12)

米国上院は満場一致でKeith B. Alexander大将を米軍の米国サイバー指令部長
官に承認した。Alexander大将は国家安全保障局(NSA)の長官でもある。上院
はAlexanderを中将から大将に昇格した。確認公聴会の間、Alexanderは、サイ
バー指令部はサイバー防衛に重点を置くと述べたが、「条件によれば」攻撃的
なサイバー手段をとることもあると認めた。
http://www.washingtonpost.com/wp-dyn/content/article/2010/05/10/AR2010051005251_pf.html
http://www.computerworld.com/s/article/9176573/Update_Senate_confirms_Alexander_as_chief_of_U.S._Cyber_Command?taxonomyId=82
http://www.theregister.co.uk/2010/05/12/alexander_cyber_confirmation/
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=224701513
http://www.federalnewsradio.com/?nid=35&sid=1956202
────────────────

----------------------------------------------------------------------
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年5月13日 Vol.9 No.20)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品             2(#3, #4)
Third Party Windows Apps           14(#2)
Linux                     1
Unix                      1
Cross Platform                28(#1, #5, #6)
Web Application - Cross Site Scripting    17
Web Application - SQL Injection        26
Web Application                20
Network Device                 5
=====================================================================
1.危険度【重大】: Adobe Shockwave Playerに複数の脆弱性(APSB10-12)
<影響を受ける製品>
Shockwave Player 11.5.6.606以前

<詳細>
Adobe Shockwave player(一般的なマルチメディアプログラム)に複数の脆弱
性が特定された。最初の問題はShockwave 3Dブロックを処理する際のバウンダ
リエラーによって引き起こされる。2番目の問題は悪意のあるShockwaveファイ
ルを処理する際のsignednessエラーによって引き起こされるメモリー破損の脆
弱性である。3番目の問題は悪意のあるShockwaveファイルを処理する際の
array indexingエラーによって引き起こされるメモリー破損の脆弱性である。
4番目の問題は悪意のあるShockwaveファイルを処理する際のインテジャーオー
バーフローの脆弱性によって引き起こされる。5番目の問題はasset entryを処
理する際のエラーにより引き起こされるメモリー破損の脆弱性である。6番目
の問題は埋め込みフォントを処理する際のバッファオーバーフローの脆弱性に
より引き起こされる。7番目の問題はDirector ファイルを解析する際のバウン
ダリエラーによって引き起こされる。8番目の問題はメモリー破損の脆弱性で、
Directorファイル内に定義された3Dオブジェクト内のレコードタイプ
0xFFFFFF49内の4バイトフィールドを処理する際のエラーによって引き起こさ
れるメモリー破損の脆弱性である。9番目の問題は"pami" RIFFファイルを解析
する際、アプリケーションが符号付きの値に衝突する際に引き起こされる。10
番目の問題はメモリーを間接参照する間にDirectorファイルを処理する際のエ
ラーによって引き起こされる。11番目の問題は、Directorファイルを処理する
際のsignednessエラーによって引き起こされる。他にメモリー破損を引き起こ
すために悪用される可能性のある特定されていないエラーがいくつかある。

<現状>
ベンダーはこの問題を認めており、更新がリリースされている。

<参考>
Adobe Security Bulletin
http://www.adobe.com/support/security/bulletins/apsb10-12.html
Secunia Research Advisories
http://secunia.com/secunia_research/2010-17/
http://secunia.com/secunia_research/2010-19/
http://secunia.com/secunia_research/2010-20/
http://secunia.com/secunia_research/2010-22/
http://secunia.com/secunia_research/2010-34/
http://secunia.com/secunia_research/2010-50/
Zero Day Initiative Advisories
http://www.zerodayinitiative.com/advisories/ZDI-10-087/
http://www.zerodayinitiative.com/advisories/ZDI-10-088/
http://www.zerodayinitiative.com/advisories/ZDI-10-089/
iDefense Labs Advisory
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=869
Neohapsis Archives (Code Audit Labs)
http://archives.neohapsis.com/archives/fulldisclosure/2010-05/0137.html
http://archives.neohapsis.com/archives/fulldisclosure/2010-05/0138.html
http://archives.neohapsis.com/archives/fulldisclosure/2010-05/0139.html
製品ホームページ
http://www.adobe.com/products/shockwaveplayer/
SecurityFocus BID
http://www.securityfocus.com/bid/40091
────────────────

2.危険度【重要】: Apple Safariに複数の脆弱性

<影響を受ける製品>
Apple Safari version 4.0.5 for Windows

<詳細>
SafariはAppleのApple Mac OS XおよびMicrosoft Windows用のWebブラウザで
ある。さまざまなWebページの処理およびコンストラクトのスクリプティング
に2つの脆弱性がある。最初の問題はApple Safariがウィンドウオブジェクト
の参照を処理する際のuse-after-freeのエラーによって引き起こされる。細工
されたWebページを使用してこの脆弱性を引き起こすことが可能で、悪用が実
現するとリモートでコードが実行できるようになる。2番目の問題はSafariが
HTTPリクエストにおけるHTTP基本認証証明を処理する際に情報が漏洩する可能
性があることである。最初の問題に関する全技術的詳細が公開されている。

<現状>
ベンダーはこの問題を認めておらず、更新もリリースされていない。

<参考>
US-CERT Vulnerability Note VU#943165
http://www.kb.cert.org/vuls/id/943165
製品ホームページ
http://www.apple.com/safari/
Secunia Advisory
http://secunia.com/advisories/39670/
SecurityFocus BID
http://www.securityfocus.com/bid/39990
────────────────

3.危険度【高】: Microsoft Visual Basic for Applicationsにメモリー破損
  の脆弱性(MS10-031)

<影響を受ける製品>
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System Service Pack 1 および 2007 Microsoft Office System Service Pack 2

<詳細>
Microsoft Visual Basic for Applications(ほとんどのOfficeプログラムに
組み込まれている)は、コード実行の脆弱性がある。Microsoft Visual Basic
for ApplicationsはMicrosoft Officeアプリケーションに埋め込まれている
Microsoft Office Visual Basicのインプリメンテーションである。Microsoft
Visual Basic for Applicationsは許可を制限して動作するように設計されて
いるが、攻撃者はユーザーをMicrosoft Visual basic for Applications用に
細工されたファイルを開き実行するよう促すことにより、これらの制限を回避
することができる。攻撃者は現在ログインしているユーザーの権限で、任意の
コードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新がリリースされている。

<参考>
Microsoft Security Bulletin MS10-031
https://www.microsoft.com/technet/security/Bulletin/MS10-031.mspx
ベンダーホームページ
http://www.microsoft.com
SecurityFocus BID
http://www.securityfocus.com/bid/39931
────────────────

4.危険度【高】: Microsoft Outlook Express およびWindows Mailにインテジャー
  オーバーフローの脆弱性(MS10-030)
<影響を受ける製品>
Microsoft Outlook Express 5.5 Service Pack 2
Microsoft Outlook Express 6 Service Pack 1
Microsoft Outlook Express 6
Microsoft Windows Mail
Microsoft Windows Live Mail

<詳細>
Microsoft Outlook Express およびMicrosoft Mail(2つの広くデプロイされ
ている電子メールクライアント)はコード実行の脆弱性がある。ユーザーを悪
意のある電子メールサーバー(潜在的にman-in-the middle攻撃またはDNSキャッ
シュポイズニングにより潜在的に実行する可能性がある)攻撃者は脆弱性を悪
用し、現在ログインしているユーザーの権限で、任意のコードを実行できる可
能性がある。

<現状>
ベンダーはこの問題を認めており、更新がリリースされている。

<参考>
Microsoft Security Bulletin MS10-030
https://www.microsoft.com/technet/security/Bulletin/MS10-030.mspx
ベンダーホームページ
http://www.microsoft.com
SecurityFocus BID
http://www.securityfocus.com/bid/39927
────────────────

5.危険度【高】: HP OpenView Network Node Managerに複数の脆弱性

<影響を受ける製品>
HP OpenView Network Node Manager versions 7.01, 7.51, 7.53

<詳細>
HP OpenView Network Node Manager (NNM)(一般的な企業のネットワークおよ
びシステムマネジメントアプリケーション)に複数の脆弱性が特定されている。
sprintf()の呼び出しを用いて、コンテンツを固定長のバッファにコピーする
際、"getnnmdata.exe"に3つのバウンダリエラーの問題がある。非常に長いス
トリングを"MaxAge"、"iCount"および"Hostname"パラメータに送ることにより、
攻撃者はスタックベースのバッファオーバーフローを引き起こすことができる。
最初の問題は"ovet_demandpoll.exe"プロセスにおけるフォーマットストリン
グのエラーにより引き起こされ、細工されたストリングを"sel"パラメータに
送ることにより悪用することができる。2番目の問題は"netmon.exe"デーモン
におけるバウンダリエラーによって引き起こされ、非常に長いストリングを
"sel"パラメータに送ることにより引き起こされる。3番目の問題は
"snmpviewer.exe"デーモンにおけるバウンダリエラーによって引き起こされ、
非常に長いストリングを"act"および"app"パラメータに送ることにより悪用す
ることができる。すべてのケースで悪用が実現すると攻撃者はリモートで任意
のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新がリリースされている。

<参考>
HP Security Bulletin
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02153379
Zero Day Initiative Advisories
http://www.zerodayinitiative.com/advisories/ZDI-10-081
http://www.zerodayinitiative.com/advisories/ZDI-10-082
http://www.zerodayinitiative.com/advisories/ZDI-10-083
http://www.zerodayinitiative.com/advisories/ZDI-10-084
http://www.zerodayinitiative.com/advisories/ZDI-10-085
http://www.zerodayinitiative.com/advisories/ZDI-10-086
製品ホームページ
http://www.openview.hp.com/products/nnm/
SecurityFocus BID's
http://www.securityfocus.com/bid/40065
http://www.securityfocus.com/bid/40067
http://www.securityfocus.com/bid/40068
http://www.securityfocus.com/bid/40070
http://www.securityfocus.com/bid/40071
http://www.securityfocus.com/bid/40072
────────────────

6.危険度【高】: IrfanView PSD Image Parsingに複数の脆弱性

<影響を受ける製品>
IrfanView 4.25

<詳細>
IrfanViewはMicrosoft Windows用の軽量のビューワー/プレイヤーで、そのス
ピードと使いやすさで知られている。IrfanViewに2つの脆弱性が報告されて
いて、細工されたPSDファイルにより悪用することができる。最初の問題はPSD
ファイルを解析する際の符号拡張エラーである。攻撃者はこの問題を悪用して、
ヒープベースのバッファオーバーフローの脆弱性を引き起こすことができる。
2番目の問題は影響を受けたアプリケーションがRLE圧縮されたPSDイメージを
処理する際のバウンダリエラーによって引き起こされる。悪用が実現すると攻
撃者は影響を受けたアプリケーションを利用して、リモートで任意のコードを
実行できるようになる。この脆弱性に関するいくらかの技術的詳細は公開され
ている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Secunia Research Advisories
http://secunia.com/secunia_research/2010-41
http://secunia.com/secunia_research/2010-42
IrfanViewに関するWikipedia記事
http://en.wikipedia.org/wiki/Irfanview
ベンダーホームページ
http://www.irfanview.com/
Secunia Advisory
http://secunia.com/advisories/39036/
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。