Hitach Incident Response Team

■JVN に掲載されたクロスサイト・スクリプティング問題 (2007/06)

 JVNに掲載された2007年06月分のクロスサイト・スクリプティング問題は9件です。

 JVNには,これまでもクロスサイト・スクリプティングに関するぜい弱性は数多く報告されていること,NRIセキュアテクノロジーズのセキュリティ診断結果の傾向分析レポート2007年版によると,サービスを受けた42%のWebサイトに致命的な欠陥があると診断されたとしていること,Webサイトが悪意のあるIFRAMEを埋め込まれ,不正なWebサイトにリダイレクトされる事件(MPack:大量ハッキング・ツールの変わった例) などが発生していることを考えると,Web サイトのセキュリティ対策は,地道かつ継続的に進めていく必要があるようです。  2007年06月29日に情報処理推進機構から,「新版:セキュア・プログラミング講座:Webアプリケーション編」が公開されましたので,Webサイトのセキュリティ対策の技術情報のひとつとして活用していきたいものです。

 せっかくですので,クロスサイト・スクリプティング問題のCVSSを用いた深刻度算出についても触れておきましょう。CVSSを用いたぜい弱性の深刻度算出は,主に対象システムに直接的な影響を与えるぜい弱性を算出対象としています。

 クロスサイト・スクリプティング問題は,脆弱性の存在するシステムに影響を与えるというよりは,ユーザーのシステムに影響を与えることになります。これは,間接的な影響となることから,完全性への影響なし,可用性への影響なし,完全性については部分的な影響に留まるという前提で,基本値の算出を行なうことが慣習となっています。

 実際のクロスサイト・スクリプティング問題の基本評価値の分布を,NISTのぜい弱性対策情報データベースNVD(National Vulnerability Databese)が提供している基本評価値で見てみましょう。Webサイトのクロスサイト・スクリプティング問題の多くは,CVSS 2.0基本評価値 4.3(インターネットからぜい弱性を攻撃でき,攻撃条件の複雑さが中程度で,攻撃にあたり認証操作が不要である。機密性ならびに可用性への影響なし,完全性については部分的な影響に留まる)と評価されています。ただし,次に多い基本評価値は6.8で,機密性,可用性,完全性がなんらかの影響を受けると評価されています。


2001年から2007年までのぜい弱性 2876 件を対象としたクロスサイト・スクリプティング問題の基本評価値

 ぜい弱性の深刻度の評価値を合わせるための慣習は,危険性や脅威の問題意識を合わせる上で重要です。しかし,慣習では片付けられない危険性や脅威が常に存在していることを忘れないようにしたいものです。

【修正履歴】著者より,写真の追加など加筆・修正の要望があったため,一部を修正しました。(2007.7.10)

■マイクロソフト「2007年6月のセキュリティ情報」(2007/06/13)

2007年6月のセキュリティ情報」では,深刻度「緊急」を含むセキュリティ更新プログラム6件が公開されました。最も深刻な脆弱性としては,リモートの攻撃者による任意のコード実行を伴う可能性があります。

なお,ここ1カ月で,更新プログラムに大きな変更や動きはありませんでした。

■+Lhaca にぜい弱性(2007/06/24)

 +Lhaca のぜい弱性は,バッファ・オーバーフローに関わるぜい弱性です。日本国内で広く使われているアプリケーションでのぜい弱性に関わるインシデント事例として,関連するイベントの時間的な流れを追いかけておきましょう。

2007/06/22  シマンテックでは,入手したlzhファイルを解析した結果,+Lhacaのぜい弱性を悪用することを確認しました (Beware of LZH)。
2007/06/24  シマンテック Trojan.Lhdropper
2007/06/25  SecurityFocusにぜい弱性 BID 24604 Lhaca File Archiver Unspecified Stack Buffer Overflow Vulnerabilityとして登録されました。
2007/06/25   CVE(Common Vulnerabilities and Exposures), NVD に脆弱性 CVE-2007-3375として登録されました。CVSS 2.0基本値は6.8と評価されています。
2007/06/26  マカフィ Exploit-Lhaca.a
2007/06/26  トレンドマイクロ TROJ_LHDROPPER.A
2007/06/26  ITpro あの「Lhaca」がアブない,日本標的のゼロデイウイルス発見
2007/06/26  Lhaca121.exe リリース
2007/06/27  ITpro 「+Lhaca」の修正版がリリース,ウイルスが狙うぜい弱性を解消
2007/06/29  +Lhaca 1.21 に未修正のバッファ・オーバーフローの脆弱性が確認されました。
2007/07/01  Lhaca123.exe リリース
2007/07/02  ITpro +Lhacaの最新バージョン1.23が公開,新たな問題を解消

■リリース情報

Thunderbird 2.0.0.4 (2007/06/15)
Thunderbird 1.5.0.x のアップデート作業の終了も近いことから,Thunderbird 2へのアップグレードが推奨されています。

HIRT(Hitachi Incident Response Team)とは



HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。