--- インシデント報告のガイドライン ---
             JPCERT コーディネーションセンター(JPCERT/CC)             

                           2004 年 6 月 7 日

======================================================================

1. JPCERT/CC へのインシデント報告について

 1.1 JPCERT/CC について
 1.2 コンピュータセキュリティインシデントとは
 1.3 インシデント報告により JPCERT/CC から提供できるもの

2. インシデントを報告するにあたって

 2.1 報告の内容について
 2.2 報告の方法について
 2.3 報告者の対象について
 2.4 JPCERT/CC で対応できない要望について
 2.5 受領した情報の取り扱いについて
 2.6 報告様式の記入例

3. その他

 3.1 CSIRT について
 3.2 JPNIC 及び JPRS の WHOIS データベースについて
 3.3 世界各地域のレジストリ組織について

======================================================================

----------------------------------------------------------------------
1. JPCERT/CC へのインシデント報告について
----------------------------------------------------------------------

- 1.1 JPCERT/CC について ---------------------------------------------

  JPCERT/CC は、インターネットを介して発生するコンピュータセキュリティ
インシデントに対応することを目的とした組織 (CSIRT) です。特定の政府機
関や企業から独立した中立の組織として活動しています。主な活動として以下
のようなものがあります。

**********************************************************************

  A. コンピュータセキュリティインシデントに関する報告の受け付け、対応
     の支援、発生状況の把握、手口の分析、再発防止のための検討と助言


  B. 受領した報告や、各種セキュリティ情報に基づく以下の情報の提供

    (1) 日本国内において共通に発生する可能性のある問題の回避策や対策情
        報(緊急報告、注意喚起、 JPCERT/CC レポートなど)

    (2) 情報システムの運用管理に際しての留意事項等(技術メモ)

    (3) コンピュータセキュリティインシデントの傾向分析(活動概要等)


  C. コンピュータセキュリティインシデントに関する、海外の組織との連携

    (1) 世界的な、コンピュータセキュリティインシデント対応組織の協力体
        制を構築する目的で設立されたフォーラム FIRST (Forum of
        Incident Response and Security Teams) への参加

    (2) アジア太平洋地域における、コンピュータセキュリティインシデント
        対応組織の協力体制を構築する目的で設立されたフォーラム、 
        APCERT (Asia Pacific Computer Emergency Response Team) への参
        加と事務局の運営

**********************************************************************

- 1.2 コンピュータセキュリティインシデントとは------------------------

  コンピュータセキュリティインシデントとは、「情報システムの運用におけ
るセキュリティ上の問題として捉えられる事象」です。

  実際には影響が発生していない事象であっても何らかの影響を受けた疑いが
ある、もしくは放置しておくとセキュリティ上の影響が生じるおそれがある場
合であれば、コンピュータセキュリティインシデントと捉えます。

  この文書では、コンピュータセキュリティインシデントを「インシデント」
と呼びます。


- 1.3 インシデント報告により JPCERT/CC から提供できるもの ------------

  JPCERT/CC では、主に日本国内のサイトに関係するインシデントのご報告を
受け付けています。

  皆様からのご報告に基づいた最新のインシデントの傾向や統計情報などを
Web や電子メール等を通して公開することで、インターネットコミュニティ全
体の発展・維持に貢献することができると JPCERT/CC は考えています。

  また、日本国内及び世界各地からお寄せ頂いた情報を元に、インシデントに
関係している可能性のあるサイト(アクセス元のサイトなど)への連絡も行って
います。これは、インシデントの拡大の防止、原因の特定、再発の防止などを
目的としています。


----------------------------------------------------------------------
2. インシデントを報告するにあたって
----------------------------------------------------------------------

- 2.1 報告の内容について ---------------------------------------------

  インシデントを発見し、ご報告をお送り頂く場合には、インシデント報告様
式に必要事項をご記入の上、ご報告下さい。発生した事象がそのサイトにとっ
てインシデントであるかどうかは、サイト自身でご判断下さい。

  JPCERT/CC ではインシデントを以下の 6つのタイプに分類しています。

**********************************************************************

  1) [Scan]: プローブ、スキャン、そのほかの不審なアクセス
        o 弱点探索(サーバプログラムのバージョンのチェックなど)
        o 侵入行為の試み(未遂に終わったもの)
        o ワームの感染の試み(未遂に終わったもの)

  2) [Abuse]: サーバプログラムの機能を使用した不正中継など
        o 管理者が意図しないような、メールサーバやプロキシサーバなどの
          第三者による使用

  3) [Forged]: 送信ヘッダを詐称した電子メールの配送
        o From: 欄などの詐称

  4) [Intrusion]: システムへの侵入
        o システムへの侵入や改ざん
        o DDoS 用プログラムの設置(踏み台)
        o ワームの感染

  5) [DoS (Denial of Service)]: サービス運用妨害につながる攻撃
        o ネットワークの輻輳(混雑)による妨害
        o サーバプログラムの停止
        o OS の停止や再起動

  6) [Other]: その他
        o SPAM メールの受信
        o コンピュータウィルスの感染

**********************************************************************

JPCERT/CC では取り扱わないインシデントとして、以下のものがあります。こ
れらにつきましては、他の機関・組織にご相談下さい。

  - アカウント所有者によるアカウントの不正使用
  - 名誉毀損、侮辱、プライバシー侵害、著作権侵害、公序良俗違反など


- 2.2 報告の方法について ---------------------------------------------

  ご報告をお送り頂く際には、報告様式に必要事項を記入の上、電子メール又
は FAX にて以下までお送り下さい。電話によるインシデント報告は受け付け
ておりません。

  電子メール: info@jpcert.or.jp
  FAX       : 03-3518-2177

  報告様式にログ情報を添付する場合には、アプリケーションに依存しないテ
キスト形式にてお願いします。

  なお、ご報告の際の一般的な流れは以下のようになります。

**********************************************************************

  1) インシデント発見:
       貴サイトのセキュリティポリシーやマニュアルに従いインシデントの
       調査/対応を進めて下さい。

  2) インシデントへの対応後:
       対応を取られた上で報告様式(form.txt)に記入して下さい。

  3) JPCERT/CC への情報提供:
       電子メールもしくは FAX にて JPCERT/CC へお送り下さい。

  4) 受領確認:
       JPCERT/CC より受領を確認した旨を返信します。

  5) 受領確認後:
       ご要望などがある場合には JPCERT/CC から再度連絡します。内容によっ
       ては、対応が継続する場合もあります。

  6) 終了:
       何回かのやりとりのあと、対応を終了します。情報提供のみであれば、
       受領確認のみで終了させて頂きます。

**********************************************************************
       
  ご報告頂く内容を暗号化して送信する場合には PGP をご利用下さい。
JPCERT/CC の PGP の公開鍵は以下の URL から入手できます。

    http://www.jpcert.or.jp/jpcert.asc

  JPCERT/CC からの返信内容の暗号化を希望する場合には、ご報告と一緒に
PGP の公開鍵を添付してください。


- 2.3 報告者の対象について -------------------------------------------

  JPCERT/CC ではどなたからでもインシデント報告を受け付けておりますが、
ご報告を頂く際には、インシデントが発生したシステムの管理者など直接の関
係者の方がお送り下さい。これは、対象となっているサイトの予期せぬ情報の
開示の可能性や、当事者でないことによる事実誤認の可能性を減らすためです。

  インシデントが発生したサイトやホストの管理者など、関係者の方からのイ
ンシデント報告であれば、どのような情報でも受け付けています。特に本文書
の項目 2.1 における Scan に該当するご報告を広く受け付けています。詳細
につきましては、項目 2.6 報告様式の記入例をご覧下さい。


- 2.4 JPCERT/CC で対応できない要望について ---------------------------

  JPCERT/CC の活動は、自発意思による相互協力を前提としています。よって、
誰かに何か (調査や対策、情報の開示または秘匿、その他の対応等) を強制す
るものではありません。必ずしも期待する情報が得られたり、期待する対応が
取られることを保証するものではないことをご了承下さい。

  また、以下のような要望にはお応えしておりません。ご了承下さい。

 - 具体的な脆弱性情報や手口に関する、個別の情報開示
 - 個別の事象が類推できるような、インシデント情報の開示
 - 犯人や行為者の特定、取締り、捜査
 - インシデントが発生した際の行為者の懲罰、被害者の救済
 - インシデントが発生したサイトを訪問しての調査
 - 個別の製品やツールの紹介
 - 個別の製品の仕様、利用方法に関するコンサルティングや質問
 - 技術的な範疇を越える質問
 - その他、法的な問題など


- 2.5 受領した情報の取り扱いについて ---------------------------------

  JPCERT/CC では、お送り頂いたすべての情報について、機密保持を厳守して
います。何らかの理由により情報の開示が必要になった場合であっても、ご報
告頂いた方からの明確な開示の許諾を頂かない限り、個別の事象が類推できる
ような情報を開示することはありません。


- 2.6 報告様式の記入例 -----------------------------------------------

  JPCERT/CC へインシデント報告をお送り頂く際の報告様式の記入例などを以
下の URL にて紹介しています。インシデント報告の参考としてご利用下さい。

    JPCERT/CC へのインシデント報告様式の記入例
    http://www.jpcert.or.jp/form/samples/

また、インシデント報告様式記入の手引(HOWTO.txt)もご覧下さい。

    インシデント報告様式記入の手引き
    http://www.jpcert.or.jp/form/HOWTO.txt


----------------------------------------------------------------------
3. その他
----------------------------------------------------------------------


- 3.1 CSIRT について -------------------------------------------------

  JPCERT/CC は、日本国内の CSIRT の一つです。CSIRT とは、「Computer
Security Incident Response Team」の略で、コンピュータセキュリティイン
シデントに対応する活動をしている組織の一般名称です。このような組織は、
米国の CERT/CC を代表として世界各地域に様々な組織が存在します。例えば、
オーストラリアの AusCERT や韓国の CERTCC-KR、シンガポールの SingCERT、
マレーシアの MyCERT など、アジア太平洋地域にも多くの CSIRT があります。

  CSIRT の活動内容はその組織によって異なりますが、多くの CSIRT ではイ
ンシデントの対応をする対象範囲 (Constituency) を定め、様々な活動を行っ
ています。

  JPCERT/CC では、日本のサイトを主な対象範囲として、インシデントに関係
する可能性があるサイト同士の連絡の仲介や、他の CSIRT と連携した活動も
行っています。

  このような CSIRT 同士の連携と協力の促進を目的として設立された、世界
的な規模のフォーラムとして FIRST (Forum of Incident Response and
Security Teams) があります。FIRST の詳細については以下の URL をご覧下
さい。

    Forum of Incident Response and Security Teams
    http://www.first.org/


- 3.2 JPNIC 及び JPRS の WHOIS データベースについて ------------------

  JPCERT/CC から日本国内のサイトの管理者の方へ連絡をする際には、主に
JPNIC または JPRS の WHOIS データベースに登録されている情報を元に連絡
を行っています。詳細については、以下の URL をご覧下さい。

    JPNIC WHOIS
    http://www.nic.ad.jp/ja/whois/

    JPRS WHOIS
    http://whois.jprs.jp/

  一般的に、WHOIS データベースは、IP ネットワークアドレス等のインター
ネット資源の割り当てを受けている組織や個人への連絡先として使用される場
合があります。このため、WHOIS データベースに登録されている情報は常に最
新の内容に保たれていることが重要です。登録内容に変更があった場合には、
情報の更新をお願いします。


- 3.3 世界各地域のレジストリ組織について -----------------------------

  インターネット全体の IP アドレスの割り当て情報は、以下のような地域レ
ジストリ組織によって管理されています。(2004年 6月 7日現在)

    * ARIN  (北アメリカとサブサハラアフリカ)
    * APNIC (アジア太平洋地域)
    * LACNIC (南・中央アメリカとカリブ海地域)
    * RIPE NCC (ヨーロッパと北アフリカ)
    * AfriNIC (アフリカ)

  JPCERT/CC から、インシデントに関係する可能性のある海外のサイトへ連絡
する際には、上記のような地域レジストリが公開する WHOIS データベースを
参考にし、登録されている担当者に連絡を行っています。

  またその際に、その地域を活動の対象とするインシデント対応組織 (CSIRT) 
にも併せて連絡し、情報交換をする場合があります。海外のインシデント対応
組織への連絡を行う際には、 FIRST に加盟している組織(チーム)の情報を参
考にしています。

__________

Copyright (C) 2003-2004, by JPCERT/CC. All rights reserved.

  JPCERT/CC へのインシデント報告に関するお問い合わせ、ご質問については
info@jpcert.or.jp までご連絡下さい。
_________

改訂履歴

2004-06-07  現状追随及び報告様式改訂に伴う変更
2003-06-30  FAX 番号の変更
2003-05-01  初版  JPCERT/CC へのインシデント報告のガイドライン