NRI Secure SANS NewsBites 日本版

Vol.5 No.4 2010年2月2日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.4 2010年2月2日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
新しいサイバー小説
火曜日、「Fatal System Error」が出版された。スパイ小説のスリル感があり
途中でやめられない。しかし、これは全て真実だ。ロシアのサイバーマフィア
の手法を内側から覗いた貴重なもの。著者はJoe Menn、Financial Timesの
記者である。
http://www.amazon.com/Fatal-System-Error-Bringing-Internet/dp/1586487485/
Ed Skoudisからのコメント:今回のNewsBitesには多数の記事があり、いかに
早く脅威が進化しているかを示している。(忙しいとありがちだが)単にニュー
スをざっと読むだけでなく、NewsBites読者には、直面している問題をよりよ
く理解するため、数日中に1~2時間割いてこれらの記事を読むことを強くお
勧めする。これらの変化は組織にとって、どのような意味を持つのか、セキュ
リティの取り組みはどのようにしたらいいか、考える時間を取っていただきた
い。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2010 トレーニングイベント 開催迫る!!
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

         >>>早期割引 2月8日まで!!<<<
         ご検討中の方は、今すぐお申込みください

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.6-7
   (原版:2010年1月22日、1月26日配信)

◆クリントン長官 インターネットの検閲/Googleについて演説(2010.1.21)
ヒラリー クリントン米国務長官は、1月21日に行った演説で、国務省がインター
ネットの検閲を阻止するために、いくつかの戦略を導入することを述べた。コ
ンテンツが制限されている国の市民が、情報へ自由にアクセスできるよう、バ
リアを回避する支援を行う方法を模索する。クリントンは、人権活動家の電子
メールアカウントを標的とした攻撃に対し、米国は正式に抗議する意向である
ことを繰り返し述べ、「中国政府に目を向け、Googleに対する攻撃について徹
底的に調査する」と述べた。
http://www.nytimes.com/2010/01/22/world/asia/22diplo.html
http://www.computerworld.com/s/article/9146898/Clinton_U.S._gov_t_will_push_harder_against_Web_censorship?source=rss_security
http://www.wired.com/dangerroom/2010/01/secstate-clinton-on-net-freedom-tear-down-this-virtual-wall/
http://www.cnn.com/2010/TECH/01/21/clinton.internet/index.html
────────────────

◆インド 政府コンピュータへの攻撃は中国によるものと発表(2010.1.19)
インドのセキュリティアドバイザーは12月15日、インド政府のコンピュータ
が攻撃を受けたと述べた。同日、米国企業数社も攻撃を受けたと報じられた。
インドのコンピューターへの攻撃は、電子メールに添付された悪意のある細工
されたPDFファイルを通じて仕掛けられた。中国の外務省スポークスマンは、
「攻撃は中国から仕掛けられた」という主張は根拠がないと述べている。
http://www.cio.in/topstory/report-india-claims-it-was-also-hacked-chinese
http://news.yahoo.com/s/afp/20100119/tc_afp/chinaindiainternettechnologydiplomacy
────────────────

◆中国の検索エンジンBaidu DNS攻撃を受けドメインレジストラを告訴
  (2010.1.19 & 20)
中国の検索エンジン会社Baiduは、コンピュータユーザーをBaiduのサイトから、
あるページにリダイレクトするDNS攻撃を受け、米国のドメインレジストラを
相手取って訴訟を起こし、その攻撃は、昨年末Twitterに攻撃を仕掛けたグルー
プと同じイランのサイバー軍の仕業であると訴えた。その攻撃で、サイトその
ものに被害は及ばなかった。Baiduはその訴訟で、「重大な過失である」と訴
え、損害賠償を要求している。ドメインレジストラ(register.com)は、訴訟
は全く意味がないと述べている。
http://www.theregister.co.uk/2010/01/20/baidu_dns_hack_lawsuit/
http://www.computerworld.com/s/article/9146218/China_s_Baidu_sues_US_domain_registrar_after_hack?source=rss_security
http://news.cnet.com/8301-1023_3-10437763-93.html
────────────────

◆Heartland エンドツーエンド暗号化に移行(2010.1.20)
Heartland Payment Systemsは、加盟店がが暗号化されていないカードデータ
をコンピュータに保存しないように、エンドツーエンド暗号システムに移行し
つつある。昨年1月、Heartlandは大量のデータセキュリティ侵害を受け、多数
のペイメントカード情報が流出したことを認めた。エンドツーエンド暗号化は
新しいハードウェアの購入が必要なため、現在は加盟店の任意選択となってい
る。しかし、加盟店が新しい技術を正しく手に入れて展開してもなお、侵害を
被った場合は、Heartlandは責任を負うことになる。
http://www.computerworld.com/s/article/9146339/Heartland_moves_to_encrypted_payment_system?source=rss_security

【編集者メモ】(Pescatore)
移行中か解決後かにかかわらず、暗号化されない機密データを減らすことはい
いことだ。しかし、効果的で効率的な暗号化(特に鍵の管理)は容易ではない。
下手な暗号化は二つの世界で最悪な状況を作る可能性がある。

【編集者メモ】(Paller)
悲しいことだが、多くのアメリカ人に被害をもたらしたデータ盗用の攻撃が
Heartlandの提唱する暗号化によって阻止されることはないだろう。

【編集者メモ】(Ranum)
安全ではないエンドポイント間にエンドツーエンド暗号化を導入すれば、重要
なセキュリティの問題は解決されると考える人は、単にセキュリティを理解し
ていないだけだ。
────────────────

◆主要な米国石油会社のネットワークにスパイ侵入(2010.1.25)
3つの主要な米国石油会社は、2008年の巧妙なスパイ攻撃の標的となった。FBI
が2008年末および2009年に通知するまで、石油会社は問題を把握していなかっ
た。攻撃は「入札情報」へ行われ、世界中の石油の発掘場所と推定産出量に関
する貴重な機密情報の盗用を狙ったものと思われる。攻撃者は企業のネットワー
クを支配し、データをどこか別の場所のコンピュータに送ったようである。少
なくとも1件のデータは中国のコンピュータに流れていることが判明した。し
かし、中国政府を攻撃に結びつける確かな証拠はなかった。攻撃は巧妙かつ標
的型でひそかに行われており、攻撃の背景は、よく組織化されており、十分な
サポートを得ていることを示唆している。
http://www.csmonitor.com/USA/2010/0125/US-oil-industry-hit-by-cyberattacks-Was-China-involved

3月末Orlandoで開催されるSCADAセキュリティサミットでは、これら攻撃の詳
細や防御対策、運用方法について、詳細な情報を提供する。SCADAシステムの
ベンダーや他のほとんどのセキュリティベンダーによる現在のツールと技術で
は、薄くて役に立たない防御しか提供できないことを理解していただけるだろ
う。サミットの席は、以前のいかなる年より早く予約で埋まっている。参加を
希望する方は、以下からお申込みいただきたい。
http://www.sans.org/scada-security-summit-2010/
【編集者メモ】(Schultz)
私の石油産業での経験から、その情報セキュリティ対策は平均以上であると確
信している。私はこのインフラの他の重要な分野が、同様な攻撃の餌食となる
のは、単に時間の問題ではないかと懸念している。

【編集者メモ】(Ullrich)
貴社のIDS部署より先に、FBIから電話が来たらまずい。
────────────────

◆サイバー戦争の抑止は容易でない(2009.1.26)
New York TimesのレポーターであるThom Shanker、David Sanger、John
Markoffの3名は、広範な洞察力に富む内容で、米国の現在のサーバ攻撃抑止能
力を分析している。その能力は、決して心強いとは言えない。
http://www.nytimes.com/2010/01/26/world/26cyber.html?hp=&pagewanted=print
────────────────

◆中国の人権サイトにDDos攻撃(2010.1.25)
先週末、Chinese Human Rights Defendersなどの5つの中国人権擁護団体のWeb
サイトが攻撃された。それらのサイトはDDoS攻撃を受け、16時間アクセス不能
になった。攻撃の前にサイトに仕掛けられたマルウェアは、現在削除されてい
る。
http://news.cnet.com/8301-30685_3-10440342-264.html
http://www.computerworld.com/s/article/9147938/Chinese_human_rights_sites_hit_by_DDoS_attack?source=rss_security
http://www.thetechherald.com/article.php/201004/5140/Chinese-human-rights-domains-hit-by-Denial-of-Service-attack

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年1月21日 Vol.9 No.4)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     1
その他のMicrosoft製品              2(#1)
Third Party Windows Apps             3
Mac Os                      2
Linux                      5
BSD                       1
Cross Platform                 25(#2, #3, #4, #5, #6)
Web Application - Cross Site Scripting     15
Web Application - SQL Injection         22
Web Application                 23
Network Device                  2
======================================================================
1.危険度【重大】:Microsoft Internet Explorerにリモートコード実行の脆弱
  性

<影響を受ける製品>
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems
Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 for Windows XP Service Pack 2, Windows XP Service Pack 3, and Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 6 for Windows Server 2003 Service Pack 2, Windows Server 2003 with SP2 for Itanium-based Systems, and Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 7 for Windows XP Service Pack 2 and Windows XP Service Pack 3, and Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 7 for Windows Server 2003 Service Pack 2, Windows Server 2003 with SP2 for Itanium-based Systems, and Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 7 in Windows Vista, Windows Vista Service Pack 1, Windows Vista Service Pack 2, Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Internet Explorer 7 in Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Internet Explorer 7 in Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Internet Explorer 7 in Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Internet Explorer 8 for Windows XP Service Pack 2, Windows XP Service Pack 3, and Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 8 for Windows Server 2003 Service Pack 2, and Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 8 in Windows Vista, Windows Vista Service Pack 1, Windows Vista Service Pack 2, Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Internet Explorer 8 in Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Internet Explorer 8 in Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Internet Explorer 8 in Windows 7 for 32-bit Systems
Internet Explorer 8 in Windows 7 for x64-based Systems
Internet Explorer 8 in Windows Server 2008 R2 for x64-based Systems
Internet Explorer 8 in Windows Server 2008 R2 for Itanium-based Systems

<詳細>
Microsoft Internet Explorer (IE)にリモートコード実行の脆弱性が報告され
た。細工されたWebページを利用して、この脆弱性が引き起こされる可能性が
ある。この脆弱性は、Internet Explorerがイベントを処理する際、
use-after-freeのエラーにより引き起こされ、イベントを引き起こすエレメン
トが削除されてしまう。悪用に成功すると、攻撃者は影響を受けたアプリケー
ションを利用して任意のコードを実行できるようになる。この脆弱性は野放し
で盛んに悪用されているという証拠がある。Microsoftはこの問題を軽減する
次善策を推奨している。そのうちの1つは、Internet Explorerのすべてのバー
ジョンについて、Data Execution Protection (DEP)を有効にすることである。
この脆弱性に関するすべての技術的詳細は、概念実証とともに公開されている。

<現状>
ベンダーはこの問題を認めており、2010年1月21日に更新をリリースする予定
である。

<参考>
Microsoft Security Advisory (979352)
http://www.microsoft.com/technet/security/advisory/979352.mspx
製品ホームページ
http://www.microsoft.com/windows/ie/default.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/37815
────────────────

2.危険度【重大】: Adobe Shockwave Playerに複数の脆弱性

<影響を受ける製品>
Adobe Shockwave Player version 11.5.2.602およびそれ以前

<詳細>
Adobe Shockwave Playerは、約4億5,000万台のマシンにインストールされてい
るマルチメディアプレイヤーである。複数のオーバーフローの脆弱性がAdobe
Shockwave Playerに特定されている。最初の問題は、Shockwave 30モデルを処
理する際のShockwave Playerにおけるバッファオーバーフローのエラーである。
2番目の問題は、Shockwave 3Dモデルを処理する際のShockwave playerモデル
の2つのインテジャーオーバーフローのエラーである。3番目の問題は、特定の
ブロックタイプを不適切に処理することによって生じる4つのインテジャーオー
バーフローのエラーである。4番目の問題は、特定のShockwave 3Dブロックを
不適切に処理することによって引き起こされるインテジャーオーバーフローの
エラーである。これらの問題はすべて、細工されたShockwaveファイルにより
引き起こされる可能性がある。これらのケースで悪用が実現すると、攻撃者は
任意のコードを実行できるようになる。これらの脆弱性に関するいくつかの技
術的詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Adobe Security Advisory (APSB10-03)
http://www.adobe.com/support/security/bulletins/apsb10-03.html
Secunia Research Advisories
http://secunia.com/secunia_research/2009-61/
http://secunia.com/secunia_research/2009-62/
http://secunia.com/secunia_research/2009-63/
http://secunia.com/secunia_research/2010-1/
ベンダーホームページ
http://www.adobe.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/37870
http://www.securityfocus.com/bid/37872
────────────────

3.危険度【重大】:RealNetworks RealPlayerに複数の脆弱性

<影響を受ける製品>
RealPlayer SP 1.0.0 and 1.0.1
RealPlayer 11 (11.0.5 and higher)
RealPlayer 11 (11.0.1 - 11.0.4)
RealPlayer 11 (11.0.0)
RealPlayer 10.5 (6.0.12.1675) *
RealPlayer 10.5 (6.0.12.1040-6.0.12.1663, 6.0.12.1698, 6.0.12.1741)
RealPlayer 10
RealPlayer Enterprise
Mac RealPlayer 11.0.1
Mac RealPlayer 11.0
Mac RealPlayer 10 and 10.1
Linux RealPlayer 11.0.1
Helix Player (11.0.1)
Linux RealPlayer 11.0.0
Helix Player (11.0.0)
Linux RealPlayer 10
Helix Player (10.*)
<詳細>
RealPlayer は、さまざまなマルチメディアフォーマットを再生するための
RealNetworksの専用マルチメディアプレイヤーである。複数の脆弱性が
RealNetworks RealPlayerに報告されている。RealPlayerが不正形式のASM
Rulebook、不正形式のGIFファイル、不正形式のIVRファイル、不正形式の圧縮
GIFファイル、不正形式のSMILファイルおよび不正形式のSkinを処理する際、
ヒープベースオーバーフローのエラーが発生する。RealPlayerが、不正形式の
メディアファイル、不正形式のIVRファイルを処理する際、バッファオーバー
フローのエラーが発生する。RealPlayerが不正形式のASM RuleBookを解析する
際、アレイオバーフローエラーが引き起こされることが報告されている。
RealPlayer rtsp"set_parameter"にバッファオーバーフローのエラー、および
RealPlayerがSIPRコデックを処理する際に、ヒープオーバーフローのエラーが
発生する。これらの脆弱性の悪用が実現すると、攻撃者は、任意のコードを実
行できるようになる。これらの脆弱性に関する技術的詳細は公開されていない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
RealNetworks, Inc.は、セキュリティの脆弱性に対応するための更新をリリー
スしている。
http://service.real.com/realplayer/security/01192010_player/en/
RealPlayerに関するWikipediaの記事
http://en.wikipedia.org/wiki/RealPlayer
ベンダーホームページ
http://www.realnetworks.com/
Vupen Security Advisory
http://www.vupen.com/english/advisories/2010/0178
────────────────

4.危険度【高】:Google SketchUpに複数の脆弱性

<影響を受ける製品>
Google SketchUp 7.0.10247
Google SketchUp 7.1.4871
Google SketchUp 7.1.6087
Google SketchUp 7.6859

<現状>
Google SketchUpは、Googleがゲーム開発会社、建築家などに向けて開発した
3Dモデリングプログラムである。2つの脆弱性がGoogle SketchUpに特定されて
いる。最初の問題は、「lib3ds」(3DSファイルの処理に使用されるライブラリ)
におけるメモリー破損のエラーである。細工された3DSファイルを使用して、
この脆弱性が引き起こされる可能性がある。2番目の問題は、Google SketchUp
がSKPファイルを処理する際、インテジャーオーバーフローのエラーにより引
き起こされる。細工されたSKPファイルを用いて、この脆弱性が引き起こされ
る可能性がある。両方のケースで悪用が実現すると、攻撃者はログオンユーザー
を利用して、任意のコードを実行できるようになる。3DSの脆弱性に関する完
全な技術的詳細は、概念実証とともに公開されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
CoreLabs Research Advisory
http://www.coresecurity.com/content/google-sketchup-vulnerability
SketchUpに関するWikipediaの記事
http://en.wikipedia.org/wiki/SketchUp
製品ホームページ
http://sketchup.google.com/
SecurityFocus BID
http://www.securityfocus.com/bid/37708
────────────────

5.危険度【高】:Sun Javaシステムウェブサーバーに複数の脆弱性

<影響を受ける製品>
Sun Java System Web Server versions 7.x

<詳細>
Sun java System Web Serverは、Sun Microsystemsが中規模企業および大企業
向けにデザインしたWebサーバである。複数の脆弱性がSun Java System Web
Serverに報告されている。最初の問題は、Webサーバが「OPTIONS」のリクエス
トを処理する際のバウンダリエラーであり、非常に長いhttpリクエストにより、
この脆弱性が引き起こされる可能性がある。2番目の欠陥は、Webサーバが"TRACE"
リクエストを処理する際のバウンダリエラーである。不正形式のTRACEリクエ
ストを用いてこの脆弱性が引き起こされ、ヒープベースバッファオーバーフロー
になる可能性がある。3番目の問題は、Webサーバがhttpリクエストで、「認証」
ヘッダーを処理する際のバウンダリーエラーである。非常に長い「認証」ヘッ
ダーのある不正形式のhttpリクエストを用いて、この脆弱性が引き起こされる
可能性がある。いくつかのこれらの脆弱性の悪用が実現すると、攻撃者は任意
のコードを実行できるようになる。これらの脆弱性に関する完全な技術的詳細
が公開されている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースされていない。

<参考>
Intevydis blog's
http://intevydis.blogspot.com/2010/01/sun-java-system-web-server-70u7-webdav.html
http://intevydis.blogspot.com/2010/01/sun-java-system-web-server-70u7-trace.html
http://intevydis.blogspot.com/2010/01/sun-java-system-web-server-70u7-digest.html
Sun Java System Web Serverに関するzWikipediaの記事
http://en.wikipedia.org/wiki/Sun_Java_System_Web_Server
製品ホームページ
http://www.sun.com/software/products/web_srvr/index.xml
SecurityFocus BID
http://www.securityfocus.com/bid/37874
────────────────

6.危険度【高】:Zeus Web Server に複数の脆弱性

<影響を受ける製品>
Zeus Technology Zeus Web Server versions 4.x

<詳細>
Zeus Web Serverは、Zeus TechnologyがUnixおよびUnix系プラットフォーム向
けに開発した拡張可能で高性能のWebサーバである。2つの脆弱性がZeus Web
Serverに報告されている。最初の問題は、Zeus Web Server SSL2の実行
(SSL2_CLIENT_HELLO)におけるバウンダリエラーによって引き起こされるバッ
ファオーバーフローの脆弱性である。この場合、悪用が実現すると攻撃者はリ
モートでコードが実行できるようになる。2番目の問題は、TLSプロトコル、具
体的にはセッションのre-negotiationを処理する際のエラーである。これを悪
用して、Man-in-the-Middle攻撃により任意のデータを挿入することができる。
これらの脆弱性に関する技術的詳細は、概念実証とともに公開されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Intevydis blog
http://intevydis.blogspot.com/2010/01/zeus-web-server-ssl2clienthello.html
Zeus Web Serverに関するWikipedia記事
http://en.wikipedia.org/wiki/Zeus_Web_Server
ベンダーホームページ
http://www.zeus.co.uk/
SecurityFocus BID's
http://www.securityfocus.com/bid/37829
http://www.securityfocus.com/bid/36935

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。