-----BEGIN PGP SIGNED MESSAGE-----

======================================================================
                                                JPCERT-E-NL-99-0001-01
                                                             JPCERT/CC

活動概要: 不正アクセスの動向 [ 1998年10月1日 〜 1998年12月31日 ]

発 行 日: 1999/01/29  (Ver.01)
最新情報: http://www.jpcert.or.jp/nl/99-0001/
======================================================================

不正アクセスの動向:

  1998年10月1日から1998年12月31日までの間に JPCERT/CC が情報提供を受け
た不正アクセスの件数は 288 件であり、これらに関して情報提供や情報交換
を行ったサイト数は延べ 317 サイト(*)でした。それら不正アクセスのうち主
なものを類型化すると、おおよそ次のパターンに分類できます。

(*) 対応中のものもあるため最終的には件数が増加する場合もあります。

  (1) システムに存在するサービス/弱点の探査 (プローブ、スキャン)

    ホストで運用されているサービスや、それらに含まれるセキュリティ上の
    弱点の存在をリモートから探査しようとする不正アクセスについて、163
    サイトに関する情報を受け取りました。

    このような探査は、不正アクセスを目的とした自動化ツールを用いて大規
    模かつ無差別的に行なわれることがあります。セキュリティ上の弱点を放
    置していると、弱点の存在を検出され、ホストへの不正侵入等さまざまな
    不正アクセスを受ける可能性があります。自動化ツールを用いた不正アク
    セスにつきましては、次の URL および参考文献 [1] をご参照ください。

        http://www.jpcert.or.jp/info/98-0004/

    また、参考文献 [2] [3] [4] [5] もご参照ください。

  (2) 電子メールの不正な中継、電子メール爆撃等

    電子メールの不正利用について、49 サイトに関する情報を受け取りまし
    た。無関係なサイトのホスト上で動いている電子メール配送プログラム
    (sendmail 等) を悪用して、不正に電子メールを中継させる攻撃が行われ
    ています。この攻撃を受けると、計算機資源が大量に浪費され、また、電
    子メール爆撃等、不正なメールの発信元であるという疑いをもたれる可能
    性もあります。電子メールの不正な中継については、次の URL をご参照
    ください。

        http://www.jpcert.or.jp/tech/97-0001/

    もし、sendmail プログラムをバージョンアップする必要がある場合は、
    次の URL をご参照ください。

        http://www.jpcert.or.jp/tech/98-0001/

    また、参考文献 [6] [7] もご参照ください。

  (3) システムへの不正侵入および管理者権限詐取

    ホストへの不正侵入および管理者権限詐取について 44 サイトに関する情
    報を受け取りました。パスワードファイルが盗用されると、何らかの方法
    でパスワードが破られ、システムに侵入されることがあります。また、シ
    ステムに侵入されると、システムプログラム等のセキュリティホールを悪
    用し、システム管理者 (root) の権限を搾取されるおそれもあります。ひ
    とたび管理者権限を搾取されると、そのシステムは侵入者の意のままに不
    正アクセスを受けてしまいます。

    一般的に、侵入者は管理者権限を搾取すると、裏口 (back door) を設置
    します。よって、パスワードを変更しても、裏口から再び侵入される可能
    性があります。管理者権限詐取、パスワードファイルの盗用については、
    参考文献 [8] [9] もご参照ください。

    JPCERT/CC は、ファイアウォール、tcp_wrappers 等の導入により、外界
    からの接続を監視・規制することを推奨します。tcp_wrappers は以下の 
    URL から入手することができます。

        ftp://ftp.jpcert.or.jp/pub/security/tools/tcp_wrappers/

    tcp_wrappers については参考文献 [10] もご参照ください。


  (4) Web サーバの cgi-bin プログラムを悪用した攻撃

    cgi-bin プログラムに関連した不正アクセスについて、15 サイトに関す
    る情報を受け取りました。セキュリティ上の弱点が含まれている cgi-bin
    プログラムが動作する状態で Web サーバを運用していると、外部から不
    正なコマンドの実行を仕向けられることがあります。弱点を含む cgi-bin
    プログラムは、Web サーバの配布キットに含まれている場合もあります。
    この弱点を悪用されると、パスワードファイルを盗用される等の可能性が
    あります。詳細につきましては、次の URL をご参照ください。

        http://www.jpcert.or.jp/info/97-0003/

    cgi-bin プログラムについては、参考文献 [11] [12] [13] [14] [15]
    [16] [17] [18] もご参照ください。

  (5) POP サーバを悪用した攻撃

    POP サーバプログラムのセキュリティ上の弱点を悪用しようとする攻撃に
    ついて、11 サイトに関する情報を受け取りました。この弱点が悪用され
    ると、リモートから管理者権限で、任意のコマンドを実行されたり、ある
    いは任意のプログラムを送り込まれた上でそれらを実行される可能性があ
    ります。詳細は、次の URL をご参照ください。

        http://www.jpcert.or.jp/info/98-0003/

    また、参考文献 [19] もご参照ください。

  (6) ネットワークやホストの運用を妨害しようとする攻撃

    大量のパケットや不正なデータの送信によって、サイトのネットワークや
    ホストのサービス運用を妨害しようとする攻撃について、10 サイトに関
    する情報を受け取りました。この攻撃については、参考文献 [20] をご参
    照ください。また、参考文献 [2] [21] [22] [23] [24] [25] もご参照く
    ださい。

  (7) IMAP サーバプログラムを悪用した攻撃

    IMAP サーバプログラムのセキュリティ上の弱点を悪用しようとする攻撃
    について、10 サイトに関する情報を受け取りました。この弱点が悪用さ
    れると、リモートから管理者権限で、任意のコマンドを実行されたり、あ
    るいは任意のプログラムを送り込まれた上でそれらを実行される可能性が
    あります。詳細は、次の URL をご参照ください。

        http://www.jpcert.or.jp/info/97-0004/

    また、参考文献 [26] [27] [28] [29] もご参照ください。

  (8) パケット盗聴プログラムによる攻撃

    ホストに侵入され、パケット盗聴プログラムを仕掛けられるという不正ア
    クセスに関する情報を引き続き受け取っています。パケット盗聴プログラ
    ムをインストールされてしまうと、そのホストに接続されているネットワー
    ク上を流れるパケットが盗聴されます。盗聴によって、遠隔ログイン時に
    入力するホスト名、ユーザ名、パスワード (平文) が盗用されるおそれが
    あります。パケット盗聴については、参考文献 [30] もご参照ください。

  (9) statd サーバを悪用した攻撃

    statd サーバプログラムのセキュリティ上の弱点を悪用しようとする攻撃
    について、引き続き情報を受け取っています。この弱点が悪用されると、
    パスワードファイル等のセキュリティ上重要なファイルを改ざんされたり、
    その他さまざまな不正アクセスを管理者 (root) 権限で実行される可能性
    があります。詳細は、次の URL をご参照ください。

        http://www.jpcert.or.jp/info/98-0001/

    また、参考文献 [31] [32] [33] もご参照ください。


注：ここにあげた件数は、JPCERT/CC が受け付けた報告の件数であり、実際の
不正アクセスの発生件数を類推できるような数値ではありません。また不正ア
クセスのパターンごとの実際の発生比率を示すものでもありません。

__________

＜参考文献＞

[1] New Tools Used For Widespread Scans

    http://www.cert.org/incident_notes/IN-98.02.html

[2] Packet Filtering for Firewall Systems

  (Original)
    ftp://info.cert.org/pub/tech_tips/packet_filtering
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/packet_filtering

[3] Advanced Scanning

    http://www.cert.org/incident_notes/IN-98.04.html

[4] Probes with Spoofed IP Addresses

    http://www.cert.org/incident_notes/IN-98-05.html

[5] Automated Scanning and Exploitation

    http://www.cert.org/incident_notes/IN-98-06.html

[6] Email Bombing and Spamming

  (Original)
    ftp://info.cert.org/pub/tech_tips/email_bombing_spamming
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/email_bombing_spamming

[7] Spoofed/Forged Email

  (Original)
    ftp://info.cert.org/pub/tech_tips/email_spoofing
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/email_spoofing

[8] Steps for Recovering from a UNIX Root Compromise

  (Original)
    ftp://info.cert.org/pub/tech_tips/root_compromise
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/root_compromise

[9] Protecting Yourself from Password File Attacks

  (Original)
    ftp://info.cert.org/pub/tech_tips/passwd_file_protection
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/passwd_file_protection

[10] Trojan horse version of TCP Wrappers

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-99-01-Trojan-TCP-Wrappers.txt
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/
                                            CA-99-01-Trojan-TCP-Wrappers.txt

[11] Vulnerability in NCSA/Apache CGI example code

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-96.06.cgi_example_code
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/
                                            CA-96.06.cgi_example_code

  (日本語訳)
    http://www.jpcert.or.jp/ESA/CA-96.06.jis.txt

[12] Interpreters in CGI bin Directories

  (Original)
    ftp://info.cert.org/pub/cert_advisories/
                                   CA-96.11.interpreters_in_cgi_bin_dir
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/
                                   CA-96.11.interpreters_in_cgi_bin_dir

[13] Vulnerability in the httpd nph-test-cgi script

  (Original)
    ftp://info.cert.org/pub/cert_advisories/
                                           CA-97.07.nph-test-cgi_script
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/
                                           CA-97.07.nph-test-cgi_script

[14] Vulnerability in webdist.cgi

  (Original)
    ftp://ftp.cert.org/pub/cert_advisories/CA-97.12.webdist
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.12.webdist

[15] Buffer Overrun Vulnerability in Count.cgi cgi-bin Program

  (Original)
    ftp://ftp.cert.org/pub/cert_advisories/CA-97.24.Count_cgi
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.24.Count_cgi

[16] Sanitizing User-Supplied Data in CGI Scripts

  (Original)
    ftp://ftp.cert.org/pub/cert_advisories/CA-97.25.CGI_metachar
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.25.CGI_metachar

[17] How To Remove Meta-characters From User-Supplied Data In CGI Scripts

  (Original)
    ftp://info.cert.org/pub/tech_tips/cgi_metacharacters

  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/cgi_metacharacters

[18] Buffer Overflow in php.cgi

    http://www.nai.com/products/security/advisory/12_php_overflow_adv.asp

[19] Buffer overflows in some POP servers

  (Original)
    ftp://ftp.cert.org/pub/cert_advisories/CA-98.08.qpopper_vul
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-98.08.qpopper_vul

[20] Denial of Service

  (Original)
    ftp://info.cert.org/pub/tech_tips/denial_of_service
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/denial_of_service

[21] UDP Port Denial-of-Service Attack

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-96.01.UDP_service_denial
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-96.01.UDP_service_denial

  (日本語訳)
    http://www.jpcert.or.jp/ESA/CA-96.01.jis.txt

[22] TCP SYN Flooding and IP Spoofing Attacks

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-96.21.tcp_syn_flooding
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-96.21.tcp_syn_flooding

[23] Denial-of-Service Attack via ping

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-96.26.ping
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-96.26.ping

[24] IP Denial-of-Service Attacks

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-97.28.Teardrop_Land
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.28.Teardrop_Land

[25] "smurf" IP Denial-of-Service Attacks

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-98.01.smurf
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-98.01.smurf

[26] Buffer Overflow in Some Implementations of IMAP Servers

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-98.09.imapd
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-98.09.imapd

[27] Vulnerability in IMAP and POP

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-97.09.imap_pop
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.09.imap_pop

[28] CERT(sm) Summary CS-97.04 - SPECIAL EDITION

  (Original)
    ftp://info.cert.org/pub/cert_summaries/CS-97.04
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-97.04

[29] Remote vulnerability in imapd and ipop3d

    http://www.nai.com/products/security/advisory/21_imap_adv.asp

[30] Ongoing Network Monitoring Attacks

  (Original)
    ftp://info.cert.org/pub/cert_advisories/
                                    CA-94:01.network.monitoring.attacks
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/
                                    CA-94:01.network.monitoring.attacks

[31] Buffer Overrun Vulnerability in statd(1M) Program

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-97.26.statd
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.26.statd

[32] CS-98.01 - SPECIAL EDITION

  (Original)
    ftp://info.cert.org/pub/cert_summaries/CS-98.01
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-98.01

[33] Vulnerability in rpc.statd

  (Original)
    ftp://info.cert.org/pub/cert_advisories/CA-96.09.rpc.statd
  (Mirror)
    ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-96.09.rpc.statd

  (日本語訳)
    http://www.jpcert.or.jp/ESA/CA-96.09.jis.txt

__________

＜JPCERT/CC からのお知らせとお願い＞

  本文書で解説した不正アクセスも含め、インターネット上で引き起こされる
さまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp ま
でご提供くださいますようお願いします。JPCERT/CC の所定の様式

    http://www.jpcert.or.jp/form.html

にご記載のうえ、関連するログファイルのメッセージとともに、

    info@jpcert.or.jp

までお送りください。

  JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示
することはありません。JPCERT/CC の組織概要につきましては、

    http://www.jpcert.or.jp/

をご参照ください。

  JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、
メーリングリストを開設しています。登録の方法等、詳しくは、

    http://www.jpcert.or.jp/announce.html

をご参照ください。

__________

注： JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と
したものではありません。個別の問題に関するお問い合わせ等に対して必ずお
答えできるとは限らないことをあらかじめご了承ください。また、本件に関す
るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた
め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき
ください。

注： この文書は、不正アクセスに対する一般的な情報提供を目的とするもの
であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも
のではありません。また JPCERT/CC は、この文書に記載された情報の内容が
正確であることに努めておりますが、正確性を含め一切の品質についてこれを
保証するものではありません。この文書に記載された情報に基づいて、貴方あ
るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起
こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。

__________

1999 (c) JPCERT/CC

  この文書を転載する際には、全文を転載してください。情報は更新されてい
る可能性がありますので、最新情報については

        http://www.jpcert.or.jp/nl/99-0001/

を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原
典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。

  JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。

        ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key

__________

改訂履歴

1999/01/29  First Version.

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i

iQCVAwUBNrF4B4x1ay4slNTtAQF3rAP/bxqOgU5/Dg+zh/lVebRCaWrti+XZvDZh
uz0k8cKtjsesiebrXwUFDWlEp9ZjeuTNOwrChk2szPzra8g8GY578gIIoNe1+MLd
VaGMUeO4HiHXPIHqjU9LCBPUfCnXz4gX+XAkQSMrN14sr0atmOe8CS8VlQSn4vp/
9ue3pM+Mnmo=
=uEwv
-----END PGP SIGNATURE-----