-----BEGIN PGP SIGNED MESSAGE-----

======================================================================
                                               JPCERT-E-INF-98-0003-03
                                                             JPCERT/CC

緊急報告  - POP サーバプログラムを悪用したアタック

初    版: 1998/07/01  (Ver.01)
発 行 日: 1999/04/27  (Ver.03)
有効期限: 1999/05/06
最新情報: http://www.jpcert.or.jp/info/98-0003/
======================================================================

I. 状況説明

  代表的な POP サーバプログラムである QPopper のいくつかのバージョンに
は、セキュリティ上の弱点が含まれています。JPCERT/CC は、これらの弱点に
関連した不正アクセスについて、報告を受け取っています。

  セキュリティ上の弱点を含むバージョンの QPopper がインストールされて
おり、かつサービスを受けつける設定になっているシステムでは、リモートか
ら管理者 (root) 権限で、任意のコマンドを実行されたり、あるいは任意のプ
ログラムを送り込まれた上でそれらを実行される可能性があります。この弱点
が悪用されると、ホストのパスワードファイル等のセキュリティ上重要なファ
イルを改ざんされたり、その他さまざまな不正アクセスを管理者権限で実行さ
れる可能性もあります。

  JPCERT/CC は、セキュリティ上の弱点を含むバージョンの QPopper を直ち
にバージョンアップするか、またはサービスを使用不能にすることを推奨しま
す。


II. 想定される影響

  直接の影響としては、

    ・攻撃者にリモートから管理者権限を不正に入手される

可能性があります。その際に、

    ・不正なプログラムを送り込まれ、それを管理者権限で実行される

可能性があります。また、それらを利用して、ホストのパスワードファイル等
セキュリティ上重要なファイルの改ざん、裏口の設置など、さまざまな不正ア
クセスを管理者権限で実行される可能性があります。さらに侵入されたまま放
置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあ
ります。


III. POP サーバの確認方法

  OS によっては、標準的な設定で QPopper が POP サーバとしてインストー
ルされている場合もあります。POP サーバを利用していなくとも、既にインス
トールされ利用できる状態になっていないかどうか、改めて確認されることを
推奨します。典型的な環境では、以下のコマンドを入力することにより確認す
ることが可能です。

    % telnet localhost 110

POP サーバが動作していない場合には、以下のような出力が得られます。

    Trying 127.0.0.1...
    telnet: Unable to connect to remote host: Connection refused

POP サーバが動作している場合には、たとえば以下のような出力が得られます。

    Trying 127.0.0.1...
    Connected to localhost.
    Escape character is '^]'.
    +OK QPOP (version 2.52) at host.somewhere.jp starting.

POP サーバの名称やバージョンにより、出力されるメッセージは異なります。

  メッセージ中に「QPOP」ないし「QUALCOMM Pop server」という文字列が含
まれている場合には、QPopper がインストールされており、利用できる状態に
なっています。メッセージ中にこれらの文字列が見当たらない場合でも、サー
バの名称やバージョンに確証がない場合には、念のため IV 章の対策を構じら
れることを推奨します。


IV. 対策

  セキュリティ上の弱点を含む QPopper がシステムにインストールされてい
る場合には、早急に次の (1)(2) いずれかの対策をとられることを強く推奨し
ます。

  また、すでに攻撃を受け、管理者権限を悪用された可能性が否定できない場
合には、上記の対策に加え、再発防止のため (3)(4) の対策をとられることを
推奨します。

  いずれの場合においても、念のため (5) の予防策をあわせて実行されるこ
とを推奨します。

  (1) QPopper のバージョンアップ

    POP サーバプログラムを利用しており、サービスを停止できない場合には、
    直ちに OS のベンダが提供するパッチを当てるか、バージョン 2.5 以降
    にアップグレードすることを推奨します。

    QPopper の最新版は以下から入手できます。

        ftp://ftp.qualcomm.com/eudora/servers/unix/popper/

    直ちにバージョンアップすることができない場合には、一時的にサービス
    を停止するか、あるいは (5) に述べるソフトウェアを用いて POP プロト
    コルによるサービスの利用を特定のマシンのみに規制することを推奨しま
    す。

  (2) POP プロトコルによるサービスの停止

    サービスを停止することが可能な場合には、直ちに POP プロトコルによ
    るサービスを停止することを強く推奨します。

    典型的なシステムでは、/etc/inetd.conf ファイル中にある pop (ないし
    pop3 等) の設定行を無効にしたうえで、inetd プロセスに -HUP シグナ
    ルを送るか、あるいはシステムを再起動することにより、サービスを停止
    することができます。

  (3) 全ユーザのパスワード変更と不要なアカウントの削除

    この不正アクセスが成功した場合には、当該ホストに登録されているユー
    ザのアカウント名とパスワードが流出している可能性があります。そこで、
    登録している全ユーザのパスワードを変更します。パスワードを設定する
    際には、容易に類推されないようなパスワード文字列を選択します。また
    不要なアカウントが登録されている場合には、それらのアカウントを削除
    します。

  (4) システムの再構築

    管理者権限が悪用されると、セキュリティ上重要なファイルを改ざんされ
    たり、裏口やトロイの木馬などをシステム内部に仕掛けられたりする可能
    性があります。外部からのアクセスログ等を確認し、ホストへの不正侵入
    の可能性が否定できない場合には、システムの再構築を行なう必要があり
    ます。

  (5) 監視用ソフトウェアのインストール

    監視用ソフトウェアとして、tcp_wrapper のようなツールをインストール
    し、外界からの接続を監視・規制することは、不正アクセス対策として効
    果的です。また tcp_wrapper では、アクセス制御機能だけでなく、「ド
    メイン somewhere.co.jp からリモートログインの接続があったときに、
    管理者にメールを送信する」といった設定も可能です。

    tcp_wrapper は以下の URL から入手することができます。

        ftp://ftp.jpcert.or.jp/pub/cert/tools/tcp_wrappers/

________

＜JPCERT/CC からのお知らせとお願い＞

  今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな
不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供く
ださいますようお願いします。JPCERT/CC の所定の様式

    http://www.jpcert.or.jp/form.html

にご記載のうえ、関連するログファイルのメッセージとともに、

    info@jpcert.or.jp

までお送りください。

  JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示
することはありません。JPCERT/CC の組織概要につきましては、

    http://www.jpcert.or.jp/

をご参照ください。
_________

注： JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と
したものではありません。個別の問題に関するお問い合わせ等に対して必ずお
答えできるとは限らないことをあらかじめご了承ください。また、本件に関す
るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた
め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき
ください。

注： この文書は、不正アクセスに対する一般的な情報提供を目的とするもの
であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも
のではありません。また JPCERT/CC は、この文書に記載された情報の内容が
正確であることに努めておりますが、正確性を含め一切の品質についてこれを
保証するものではありません。この文書に記載された情報に基づいて、貴方あ
るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起
こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。
_________

1998,1999 (c) JPCERT/CC

  この文書を転載する際には、全文を転載してください。また、転載は1999年
5月6日以降は行なわないようにしてください。なお、これは、この文書の内容
が1999年5月6日まで有効であることを保障するものではありません。情報は随
時更新されている可能性がありますので、最新情報については

        http://www.jpcert.or.jp/info/98-0003/

を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原
典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。

  JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。

        ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key

_________

更新履歴

1999/04/27  「III. POP サーバの確認方法」の記述を修正
1998/07/02  QPopper のバージョンアップに関する記述を修正
1998/07/01  First Version.

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i

iQCVAwUBNyVk0ox1ay4slNTtAQEA6gP8CrS4Ta8SJimUWauYRk00XKesmkF7kLZZ
v4aN/X9cUuyV9ij7JnMXlRzpfgTtFuIo45j2dbOLj3O7D3XaX2MQM4HI6kknARIS
5aaB4zNy/pXwha+/nhf4KoY4GsVPBsAg3AWP8PyqwgvkW5ApBDQ7/ZQE2yWit+TV
Lvbt5M5AIJ4=
=eY3p
-----END PGP SIGNATURE-----