NRI Secure SANS NewsBites 日本版

Vol.6 No.17 2011年4月27日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.17 2011年4月27日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込み開始!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.30-31
(原版:2011年4月15日、4月20日)

◆Coreflood制圧に向けて(2011.4.13-14)
連邦判事は司法省に対し、「Corefloodボットネットの制御を可能にし、感染したマシンに同マルウェアを停止させるメッセージを送信する」許可を下した。 これを受けて、司法省は、Corefloodに関連している5つのC&Cサーバー(command-and-control sever)と29のドメイン名の差し押さえに踏みきった。 司法省には、問題のサーバを他のサーバと入れ替えられるように一時的差し止め命令が与えられた。 これにより、新しいサーバから米国内の感染したマシンに向けて、ボットネット・マルウェアの運用を停止させるコマンドを送信できるようになる。 Corefloodは、2010年の前半の時点で、230万台以上のWindowsマシンに感染したと考えられている。 同マルウェアによって個人の機密情報が盗み出され、その後、その情報が銀行口座からの資金窃盗に利用された。 これに関連して、米国コネチカット地区連邦検事局(US Attorney's Office for the District of Connecticut)は、有線通信不正行為、銀行詐欺、電子通信の違法傍受を行ったとして、13人の男性に対する民事訴訟を起こしている。

http://www.wired.com/threatlevel/2011/04/coreflood/
http://news.cnet.com/8301-27080_3-20053708-245.html?tag=mncol;title
http://www.informationweek.com/news/security/government/229401614

【編集者メモ】(Northcutt)
これで政策が大幅に変更された。ボットネット用マシンにコマンドを送信する ためにサーバを入れ替える行為は、ハッキングに相当する。私は反対こそしな いが、倫理的観点で見ると、厄介な問題が提起されることになろう。Blaster の脆弱性にパッチを適用するワーム「Nachi」の出現以来、政府はそのような 行動に異を唱えてきた。どちらにしても、この件では関係者の逮捕と起訴が行 われることが望ましい。

http://articles.cnn.com/2003-08-15/tech/microsoft.blaster_1_blaster-worm-latest-worm-lovesan?_s=PM:TECH
────────────────

◆ニュージーランド 三振アウト法の著作権侵害対策法を可決(2011.4.14)
ニュージーランド議会は、三振アウト法の著作権侵害対策法を可決した。 緑の党(Green Party)と無所属の国会議員に激しい反対を受けたこの法、「著作権およびファイルの違法共有対策法案(Copyright and Infringing File Sharing bill)」では、違法なファイル共有が2回行われると警告が発せられる仕組みになっている。 侵害行為が6回におよぶと、権利所有者には、侵害者を監督機関の裁判にかけ、最高で1万5000NZドル(1万2000米ドル)の罰金を科す機会が与えられる。 引き続き違法行為が行われれば、侵害者のインターネット・アカウントを停止する命令を発する可能性もある。 同法の反対者らは、「不正行為におよんだという証拠が不十分なままでもアカウントが閉鎖されてしまうおそれがある」と述べている

http://www.nzherald.co.nz/technology/news/article.cfm?c_id=5&objectid=10719201
http://www.itnews.com.au/News/254485,new-zealand-passes-three-strikes-law.aspx

────────────────

◆「無駄な訴訟費用の支払い責任がACS:Lawにあるか」を問う聴聞会(2011.4.18)
英国判事は、「違法なファイル共有を行った疑いのある者に対して発行された推測的な請求書に関する裁判で生じてしまった無駄な費用については、ACS:Lawと同事務所の事務弁護士Andrew Crossleyに支払い責任がある可能性がある」という裁定を下した。 同事務所は、「違法なファイル共有の疑惑を解決するためには、500ポンド(813ドル)を支払いなさい。 さもなくば法的訴訟を起こす」と脅す内容の書状を数千件送付していた。 当初、法廷は裁判の審理をACS:Lawから依頼されていたが、裁判を行う直前の段階で、同事務所はそれを棄却するように求めてきた。 しかし、判事はその要求を却下した。すでにこの裁判の準備のために費用が生じていたため、今回は無駄となってしまったし、その費用の支払い責任がACS:LawとCrossleyにあるかどうかを問う聴聞会を6月に開く予定だ。

http://www.bbc.co.uk/news/technology-13116796
http://www.techwatch.co.uk/2011/04/18/acslaw-faces-potential-court-costs-bill/

────────────────

◆Coreflood停止の戦術 問題視される (2011.4.15)
Corefloodのボットネットがなくなったことは喜ばしいが、最近、これを停止 させるために使われた戦術に対して懸念の声が出ている。連邦検察官は、複数 のCorefloodの指令統制サーバ(C&C:command-and-control)を特定し、それらを 他のサーバに差し替え、新しいサーバを使ってCorefloodのマルウェアに感染 しているマシンへ停止コマンド(stop command)を送信した。これについて、電 子フロンティア財団(EFF:Electronic Frontier Foundation)の技術責任者、 Chris Palmerは、このやり方は「マルウェアの無効化を実行するのに安全な方 法ではなく、常識からかけ離れている」と述べている。以前も、C&Cサーバを 使用してボットネットを停止したが、その際は、新しいC&Cサーバが設置され るまでの間、ボットネットをサイレント状態にしておく方法がとられた。今回 の停止劇については、それで生じた影響よりも、今後のための前例を作ってし まったということの方を強く憂えるべきことだという声もある。また、今回用 いられたテクニックは、マルウェアに運用停止を命じただけなので、侵害的で はないという意見もある。

http://www.scmagazineus.com/coreflood-style-takedowns-may-lead-to-trouble/article/200784/

【編集者メモ】(Schultz & Paller)
我々がその方法を好ましいと思うにしろ、思わないにしろ、サイバー犯罪が日 々悪化していくことを踏まえると、ますます警察は、さらに手厳しい措置をと らざるを得ない。

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年4月15日 Vol.10 No.16)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows 
6 (#2)Microsoft Office
3
Other Microsoft Products
8
Third Party Windows Apps
1
Linux
1
HP-UX
1
Cross Platform
8 (#1,#3)Web Application - Cross Site Scripting
1
Web Application
1
======================================================================
1.危険度【高】: Adobe Flash Playerにメモリ崩壊の脆弱性

<影響を受ける製品>
ISC dhclient 3.1-ESV-R1より前のバージョン,4.1-ESV-R2 もしくは 4.2.1-P1以前のバージョン

<詳細>
Adobe Flash Playerには、巷で活発に悪用されているメモリ崩壊の脆弱性がある。 攻撃者は、悪意のあるサイトを閲覧するか、flashコンテンツが組み込まれた悪意のあるPDFファイルを開くようにターゲットを仕向ければ、 この脆弱性を悪用してターゲットのマシンに任意のコードを実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
ベンダーのサイト http://www.adobe.com
Adobeのセキュリティアドバイザリ http://www.adobe.com/support/security/advisories/apsa11-02.html
SecurityFocus Bugtraq IDs http://www.securityfocus.com/bid/47314

────────────────

2.危険度【高】:Microsoft 火曜更新でさまざまな脆弱性

<影響を受ける製品>
Microsoft Internet Explorer 6、 7、および、8
Microsoft Office
Windowsのすべてのバージョン

<詳細> 月例パッチプログラム(patch Tuesday program)の一環として、Microsoftは、さまざまなMicrosoft製品にある脆弱性にパッチをリリースした。パッチが適用された脆弱性の中には、システムレベルの権限でターゲットのマシンを完全に制御するために用いられるものもある。ターゲット側が操作を行う必要がある脆弱性もあるが、そうでないものもある。脆弱性の多くにおいて、リモートの攻撃手法が用いられるようになっている。

SMB(server message block)プロトコル(Windowsシステムでプリンタやファイル共有を導入するプロトコル)の実装にある脆弱性については、権限昇格ができるようになってしまう可能性がある。

WindowsのシステムにSMBを導入するクライアント・コードに2つの脆弱性がある。特に、不正形式のブラウザメッセージが関係している1つ目の脆弱性は、システムレベルの許可付きでコードに発生する。しかし、Microsoft Security Response Center (MSRC)は、「脆弱とされているコードは、悪用発生時にバグチェックを起動する可能性が高いため、この脆弱性を使用してコードを実行するのは難しいと考える」と発表した。

また、同じプロトコルを実装するサーバのコードにも詳細不明の脆弱性があり、これによって、ターゲット側の操作がなくとも、システム権限でコードが実行されてしまうおそれが生じる。Microsoftは、安全なネットワークの境界でSMB通信をブロックするように推奨している。

DNS分解に用いられるコードにも問題があり、脆弱なソフトウェアを運用しているターゲットに対して悪意のあるメッセージを放送すれば、それを悪用できてしまうおそれがある。この場合、攻撃者は、ユーザーの操作なしにこの脆弱性を悪用し、NetworkServiceアカウントの権限でターゲットのマシンに任意のコードを実行できるようになってしまう。同脆弱性の悪用を実現する際に、ターゲット側の操作は必要ない。

ほか、攻撃者は、悪意のあるサイトを閲覧するようにターゲットを誘い込めば、今月リストアップされた複数の脆弱性を悪用することができるようになってしまう。

Internet Explorerにおいては、不正なページ・レイアウトの処理など、さまざまな問題がパッチによって対処された。再利用可能なソフトウェアモジュールを使用するためのMicrosoftのフレームワーク、 ActiveXも、ある攻撃手法に脆弱だったが、これもMicrosoftのパッチで対処された。Internet Explorerを使えば、ActiveXコントロールをWebサイトに組み込むことができるが、Microsoftは、それを行うのに安全でないコントロールをいくつかリストアップしている。

MicrosoftのWebスクリプト言語のJScript と VBScriptを実装するエンジンにも脆弱性があり、これはコードの悪用に利用されるおそれがある。

MicrosoftのGDI (graphics device interface)ライブラリには、EMF(enhanced metafile)画像の処理に脆弱性があったが、これにもパッチが適用された。この脆弱性には、Webベースの攻撃など悪用できるアタック手法が数多くあった可能性がある。

これらの脆弱性は全て、悪意のあるサイトを閲覧するようにターゲットを仕向けられれば、悪用可能なものである。

Excel、PowerPoint、および、 Fax Cover Page EditorなどのMicrosoft Office製品にも複数の脆弱性が報告されている。

さまざまなOffice製品に影響を及ぼす脆弱性が2つある。これらは、Officeがグラフィック・オブジェクトを処理する方法やDLLをロードする方法が原因で発生する。
WordPadのテキスト・コンバータ(text converter)には、不正形式で悪意のあるおそれがあるWord文書の処理に問題があったが、これにもパッチが適用された。

今月パッチが適用された脆弱性も含め、Officeの脆弱性のほとんどにおいては、攻撃者が悪用を実現するには、悪意のあるファイルを開くようにターゲットを仕向けなければならない。これらの脆弱性は、現在ログインしているユーザーの関連でコードの実行を実現してしまう可能性がある。

<現状> ベンダーはこの問題を認めており、更新をリリースしている。

ベンダーのサイト
http://www.microsoft.com

Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS11-018.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-019.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-020.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-021.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-022.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-023.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-024.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-025.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-026.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-027.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-028.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-029.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-030.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-031.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-032.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-033.mspx

Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-119
http://www.zerodayinitiative.com/advisories/ZDI-11-120
http://www.zerodayinitiative.com/advisories/ZDI-11-121
http://www.zerodayinitiative.com/advisories/ZDI-11-123
http://www.zerodayinitiative.com/advisories/ZDI-11-124
http://www.zerodayinitiative.com/advisories/ZDI-11-125

SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/40490
http://www.securityfocus.com/bid/45546
http://www.securityfocus.com/bid/45583
http://www.securityfocus.com/bid/45639
http://www.securityfocus.com/bid/46225
http://www.securityfocus.com/bid/46226
http://www.securityfocus.com/bid/46227
http://www.securityfocus.com/bid/46228
http://www.securityfocus.com/bid/46229
http://www.securityfocus.com/bid/46360
http://www.securityfocus.com/bid/46821
http://www.securityfocus.com/bid/47179
http://www.securityfocus.com/bid/47190
http://www.securityfocus.com/bid/47191
http://www.securityfocus.com/bid/47192
http://www.securityfocus.com/bid/47197
http://www.securityfocus.com/bid/47198
http://www.securityfocus.com/bid/47201
http://www.securityfocus.com/bid/47223
http://www.securityfocus.com/bid/47235
http://www.securityfocus.com/bid/47236
http://www.securityfocus.com/bid/47239
http://www.securityfocus.com/bid/47242
http://www.securityfocus.com/bid/47243
http://www.securityfocus.com/bid/47244
http://www.securityfocus.com/bid/47245
http://www.securityfocus.com/bid/47246
http://www.securityfocus.com/bid/47249
http://www.securityfocus.com/bid/47250
http://www.securityfocus.com/bid/47251
http://www.securityfocus.com/bid/47252
http://www.securityfocus.com/bid/47256

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。