--- 報告様式の項目別記入例 --- JPCERT コーディネーションセンター(JPCERT/CC) 2004 年 6 月 7 日 ====================================================================== 報告様式の項目別の記入例について [1. 連絡先] の記入例 [2. この報告の目的] の記入例 [3. 発生したインシデントの概要] の記入例 ====================================================================== - [1. 連絡先] の記入例 ----------------------------------------------- === 1-1 お名前、組織名称、部署名をご記入下さい。 <例: 組織に所属している場合> 名前: 駆出 流宇人 組織名称: JPCERT コーディネーションセンター 部署名: システム管理本部第一ネットワーク課 <例: 個人の場合> 名前: 駆出 流宇人 組織名称: 部署名: === 1-2 連絡先の指定のある方はご記入下さい。指定がなければ、お送り頂いた 電子メールアドレス、もしくは FAX の発信元に返信致します。 <例: 送信先電子メールの指定を指定する場合> 電子メール: example@jpcert.or.jp FAX: <例: 送信先として FAX を指定する場合> 電子メール: FAX: 03-3518-2177 - [2. この報告の目的] の記入例 --------------------------------------- 2-1 JPCERT/CC の対応について、以下の [1] 以外をご希望の場合は、項目 「2-2」 に具体的な内容をご記入下さい。 1: 情報提供 2: 質問 3: 関係サイトへの連絡を希望 4: その他 <例: 情報提供の場合> 選択番号 [1] <例: 質問がある場合> 選択番号 [2] <例: 関係サイトへの連絡を希望する場合> 選択番号 [3] === 2-2 上記にて 2, 3, 4 を選択された方は具体的なご要望をご記入下さい。 受領を確認したのち、こちらから折り返し連絡致します。 <例: 選択番号 [2] の場合> - アクセス元と思われるサイトへの連絡方法を教えて欲しい。 - インシデントが発生した際の注意事項を教えて欲しい。 - DoS 対策方法を教えてほしい。 <例: 選択番号 [3] の場合> - 添付したログの情報を元に、アクセス元へ連絡して欲しい。添付した ログ等の情報は、そのまま公開しても問題ない。 - [3. 発生したインシデントの概要] の記入例 --------------------------- === 3-1 アクセス元に関する情報をご記入下さい。 「IP アドレス 又は ホスト名の記入例」 <例: アクセス元が IP アドレスの場合> IP アドレス、ホスト名など: 10.123.123.123 <例: アクセス元がホスト名の場合> IP アドレス、ホスト名など: w3.example.net <例: アクセス元が複数の場合> IP アドレス、ホスト名など: 10.123.123.123 IP アドレス、ホスト名など: 10.123.123.132 IP アドレス、ホスト名など: k2.example.net === 3-2 インシデントの内容、発見方法、対処などについてご記入下さい。 「概要の記入例」 ※ インシデントの分類の詳細については、以下の URL をご覧下さい。 インシデント報告のガイドライン http://www.jpcert.or.jp/form/GUIDELINE.txt <例: Scan の場合> - 弱点探索が目的であると思われるアクセスがあった - 特定のサイトから外部に公開していないポートへのアクセスが来る - 複数のアドレスに対して不審なアクセスがあった - 172.34.56.0/24 の全てのアドレスに対してアクセスがあった <例: Abuse の場合> - 公開 FTP サーバにファイルを設置された - 外部のユーザがメールサーバを使用してメールを配送している - 外部のユーザがプロキシサーバを使用している <例: Forged の場合> - 自分のメールアドレスを送信元アドレスとして他者に使用された - 送信元を偽られ、結果として発生したエラーメールが届いた <例: Intrusion の場合> - 管理者権限の盗用によってシステムに侵入された - Web サイトの内容を改ざんされた - プログラムに脆弱性があり、システムに侵入された - 起動した覚えのないサービスが起動されていた - システムがワームに感染した - 意図しない大量のパケットを外部ネットワークに送信している <例: DoS の場合> - 大量のパケットを受信しネットワーク資源を浪費している - 大量のパケットを受信した結果、サービスが停止した - 管理者が意図せず、頻繁に OS が再起動する <例: Other の場合> - ウイルスと思われるプログラムを添付した電子メールが特定のサイト から送られてくる - メールヘッダが詐称されたと思われる広告メールを頻繁に受信する 「発見方法の記入例」 <例: 保守作業中に発見した場合> - ログの確認時に発見した - IDS が知らせてくれた - サービスしていないはずのポートで待ち受けをしていた - 作成していないはずのユーザが存在していた <例: 外部からの連絡によって発見した場合> - 海外のセキュリティ対応組織からの連絡 - 他のサイトの管理者からの連絡 - 外部のサーバからのエラーメール - システムの利用者から指摘された <例: サービスやシステムの停止によって発見の場合> - サービスやシステムが停止していた - サービスやシステムが頻繁に再起動する - 本来アクセスが少ない時間帯に頻繁にシステムへのアクセスがある - 外部ネットワークへのルータが停止した 「アクセス頻度の記入例」 <例:> - 平常時の10倍程度のログ増加 - 23時から 2時までの間にアクセスが集中している - 1日に数回 「対処状況の記述例」 <例:> - アクセス元と思われる関係サイトの管理者へ連絡した - 調査のため当該システムをネットワークから切り離した - 当該システムを停止した - 不要なサービスを停止し、パッチを適用した - 特定のアドレス、ポートに対しパケットフィルタリングを適用した - ソフトウェアを最新のバージョンにアップグレードした - OS を再インストールし、パッチを再適用した - 作成されていたユーザアカウントを削除した - 監視体制を強化し、セキュリティポリシーの見直しを行った - 現在、原因を調査中 - まだ対応していない - システムに影響がないので現状のまま === 3-3 インシデントが発生したシステムについてご記入下さい。 「IP アドレス 又は ホスト名の記入例」 <例: 単一のホストが影響を受けた場合> IP アドレス 又は ホスト名: 172.16.0.1 (w3.jpcert.or.jp) <例: 複数のホストが影響を受けた場合> IP アドレス 又は ホスト名: 172.16.0.1 (w3.jpcert.or.jp) IP アドレス 又は ホスト名: 172.16.0.2 (mailhost.jpcert.or.jp) IP アドレス 又は ホスト名: 172.16.0.3 (dns.jpcert.or.jp) <例: ネットワーク全体が影響を受けた場合> IP アドレス 又は ホスト名: 172.16.0.0/24 (jpcert.or.jp) 「プロトコル又はポートの記入例」 <例: 単一のプロトコルが影響を受けた場合> プロトコル(ポート): 445/tcp (または 161/udp, 8.0/icmp など) <例: 複数のプロトコルが影響を受けた場合> プロトコル(ポート): 21/tcp, 25/tcp, 80/tcp, 139/udp プロトコル(ポート): 32767-33600/tcp 「関連ソフトウェアの記入例」 <例: 単一のソフトウェアが影響を受けた場合> 関連ソフトウェア: apache 1.3.24 + mod_ssl 2.8.8 <例: 複数のソフトウェアが影響を受けた場合> 関連ソフトウェア: apache 1.3.24 関連ソフトウェア: sendmail 8.12.8 関連ソフトウェア: bind 9.2.1 関連ソフトウェア: OpenSSH 3.4p1 「ハードウェア/OS の記入例」 <例: 単一のホストが影響を受けた場合> ハードウェア/OS: PC/AT互換機 / OpenBSD 2.8 <例: 複数のホストが影響を受けた場合> ハードウェア/OS: iMac / NetBSD 1.5 ハードウェア/OS: PC/AT互換機 / Windows 2000 Server SP3 ハードウェア/OS: PC/AT互換機 / Debian GNU/Linux 2.2 ハードウェア/OS: Sun Ultra 5 / Solaris 8 ハードウェア/OS: RS6000 / AIX 4.3.3 「発生日時の記入例」 <例:> 発生日時: 2003/05/01 09:35 <例: インシデントが継続中の場合> 発生日時: 2003/05/01 09:35 [継続中] 「タイムゾーン(時間帯)の記入例」 <例: 日本国内の場合> タイムゾーン(時間帯): UTC+0900 (又は JST) 「ログ情報の記入例」 <例: ログ情報を報告様式に挿入する場合> ____________________________________________________________ [アクセス元 IPアドレス : - : - : アクセス日時 : リクエスト : ステータスコード : 転送バイト数 : - : -] 10.123.123.123 - - [01/May/2003:09:35:24 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-" 10.123.123.123 - - [01/May/2003:09:35:27 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 288 "-" "-" 10.123.123.123 - - [01/May/2003:09:35:28 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 288 "-" "-" ※ NTP にて同期を取っているので、時刻情報はほぼ正確 ____________________________________________________________ __________ Copyright (C) 2003-2004, by JPCERT/CC. All rights reserved. JPCERT/CC へのインシデント報告に関するお問い合わせ、ご質問については info@jpcert.or.jp までご連絡下さい。 _________ 改訂履歴 2004-06-07 報告様式改訂に伴う変更 2003-06-30 FAX 番号の変更 2003-05-01 初版 報告様式の項目別記入例