-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-PR-2000-0001 JPCERT/CC 活動概要: 不正アクセスの動向 [ 1999年10月1日 〜 1999年12月31日 ] 発行日: 2000-01-28 ====================================================================== 不正アクセスの動向: 1999年10月1日から1999年12月31日までの間に JPCERT/CC が情報提供を受け た不正アクセスの件数は 150 件であり、これらに関して情報提供や情報交換 を行ったサイト数は延べ 207 サイト(*) でした。それら不正アクセスのうち 主なものを類型化すると、おおよそ次のパターンに分類できます。 (*) 対応中のものもあるため最終的には件数が増加する場合もあります。 (1) システムへの不正侵入および管理者権限詐取 ホストへの不正侵入および管理者権限詐取について 72 サイトに関する情 報を受け取りました。 出荷時のパスワードのまま変更せずに使用していたり、パスワードが付与 されていないアカウントや、その他容易に推測されるパスワードが付与さ れているアカウントがあると、リモートから検出され、侵入されることが あります。また、パスワードファイルが盗用されると、何らかの方法でパ スワードが破られ、システムに侵入されることがあります。 システムに侵入されると、システムプログラム等のセキュリティ上の弱点 を悪用され、システム管理者 (root) の権限を詐取されるおそれもありま す。ひとたび管理者権限を詐取されると、そのシステムは侵入者の意のま まに不正アクセスを受けてしまいます。一般的に、侵入者は管理者権限を 入手すると、裏口 (back door) やトロイの木馬プログラムを設置します。 パスワードの変更等を行なったとしても、これらを完全に除去しない限り 再び侵入される可能性があります。 管理者権限詐取、パスワードファイルの盗用、トロイの木馬プログラムに ついては、参考文献 [1] [2] [3] を、出荷時のパスワードについては、 参考文献 [4] をご参照ください。 JPCERT/CC は、ファイアウォール、監視ツール等々の導入により、外界 からの接続を監視・規制することを推奨します。 (2) システムに存在するサービス/弱点の探査 (プローブ、スキャン) ホストで運用されているサービスや、それらに含まれるセキュリティ上の 弱点の存在をリモートから探査しようとする不正アクセスについて、37 サイトに関する情報を受け取りました。 このような探査は、不正アクセスを目的とした自動化ツールを用いて大規 模かつ無差別的に行なわれることがあります。セキュリティ上の弱点を放 置していると、弱点の存在を検出され、ホストへの不正侵入等さまざまな 不正アクセスを受ける可能性があります。参考文献 [5] [6] [7] [8] [9] および、次の URL をご参照ください。 http://www.jpcert.or.jp/info/98-0004/ また、参考文献 [10] もご参照ください。 (3) 電子メールの不正な利用 電子メールの不正利用について、37 サイトに関する情報を受け取りまし た。 無関係なサイトのホスト上で動いている電子メール配送プログラム (sendmail 等) を悪用して、不正に電子メールを中継させる攻撃が行われ ています。また、電子メール爆撃や、送信ヘッダーを詐称することにより メールの中継には関与していない第三のサイトにメールを配送する攻撃が 行なわれております。この攻撃を受けると、計算機資源が大量に消費され たり、不正なメールの発信元であるという疑いをもたれる可能性がありま す。電子メールの不正中継については、次の URL をご参照ください。 http://www.jpcert.or.jp/tech/97-0001/ sendmail プログラムをバージョンアップする必要がある場合は、次の URL をご参照ください。 http://www.jpcert.or.jp/tech/98-0001/ また、参考文献 [11] [12] もご参照ください。 (4) プロキシサーバの不正利用 プロキシサーバの不正利用について、14 サイトに関する情報を受け取り ました。アクセス制御を行なっていないプロキシサーバは、不特定多数か ら探索を受けるおそれがあります。存在を探知されると、予期しないアク セスの中継に悪用される可能性があります。アクセス制御の実施も含め、 プロキシサーバの悪用を防止するための対策を検討されることを推奨しま す。 (5) RPC サーバを悪用した攻撃 RPC サービスに対する攻撃について、11 サイトに関する情報を受け取り ました。rpc.cmsd, rpc.ttdbserverd 等のサーバプログラムに含まれる弱 点が悪用されると、リモートから管理者権限で、任意のコマンドを実行さ れたり、あるいは任意のプログラムを送り込まれた上でそれらを実行され る可能性があります。rpc.cmsd, rpc.ttdbserverd サーバを悪用した攻撃 については、参考文献 [13] [14] [15] [16] をご参照下さい。 (6) IMAP サーバプログラムを悪用した攻撃 IMAP サーバプログラムのセキュリティ上の弱点を悪用しようとする攻撃 について、引き続き情報を受け取っています。この弱点が悪用されると、 リモートから管理者権限で、任意のコマンドを実行されたり、あるいは任 意のプログラムを送り込まれた上でそれらを実行される可能性があります。 参考文献 [17] [18] [19] および、次の URL をご参照ください。 http://www.jpcert.or.jp/info/97-0004/ (7) POP サーバを悪用した攻撃 POP サーバプログラムのセキュリティ上の弱点を悪用しようとする攻撃に ついて情報を受け取っています。この弱点が悪用されると、リモートから 管理者権限で、任意のコマンドを実行されたり、あるいは任意のプログラ ムを送り込まれた上でそれらを実行される可能性があります。この攻撃に つきましては、参考文献 [17] [19] [20] [21] をご参照ください。また、 次の URL もご参照ください。 http://www.jpcert.or.jp/info/98-0003/ (8) Web サーバの cgi-bin プログラムを悪用した攻撃 cgi-bin プログラムに関連した不正アクセスについて、引き続き情報を受 け取っています。セキュリティ上の弱点が含まれている cgi-bin プログ ラムが動作する状態で Web サーバを運用していると、外部から不正なコ マンドの実行を仕向けられることがあります。弱点を含む cgi-bin プロ グラムは、Web サーバの配布キットに含まれている場合もあります。この 弱点を悪用されると、パスワードファイルを盗用される等の可能性があり ます。詳細につきましては、次の URL をご参照ください。 http://www.jpcert.or.jp/info/97-0003/ また、cgi-bin プログラムについては、参考文献 [22] [23] [24] [25] [26] [27] [28] もご参照ください。 (9) ネットワークやホストの運用を妨害しようとする攻撃 大量のパケットや不正なデータの送信によって、サイトのネットワークや ホストのサービス運用を妨害しようとする攻撃について、引き続き情報を 受け取っています。この攻撃については、参考文献 [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] をご参照ください。また、参考文献 [10] もご参照ください。 (10) パケット盗聴プログラムによる攻撃 パケット盗聴プログラムにより入手されたアカウント情報により侵入され たという情報を受け取りました。パケット盗聴プログラムをインストール されてしまうと、そのホストに接続されているネットワーク上を流れるパ ケットが盗聴されます。盗聴によって、遠隔ログイン時に入力するホスト 名、ユーザ名、パスワード (平文) が盗用されるおそれがあります。パケッ ト盗聴については、参考文献 [39] [40] もご参照ください。 (11) ワーム、トロイの木馬等 インターネットを介して伝播するワーム、トロイの木馬、コンピュータウィ ルス等について、JPCERT/CC でも情報を受け取っています。参考文献 [41] [42] をご参照ください。 注: ここにあげた件数は、JPCERT/CC が受け付けた報告の件数であり、実際の 不正アクセスの発生件数を類推できるような数値ではありません。また不正ア クセスのパターンごとの実際の発生比率を示すものでもありません。 __________ <参考文献> [1] Steps for Recovering from a UNIX Root Compromise http://www.cert.org/tech_tips/root_compromise.html [2] Protecting Yourself from Password File Attacks http://www.cert.org/tech_tips/passwd_file_protection.html [3] CA-99-02 Trojan Horses http://www.cert.org/advisories/CA-99-02-Trojan-Horses.html [4] CA-95.15.SGI.lp.vul http://www.cert.org/advisories/CA-95.15.SGI.lp.vul.html [5] IN-98.02: New Tools Used For Widespread Scans http://www.cert.org/incident_notes/IN-98.02.html [6] IN-98.04: Advanced Scanning http://www.cert.org/incident_notes/IN-98.04.html [7] IN-98.05: Probes with Spoofed IP Addresses http://www.cert.org/incident_notes/IN-98-05.html [8] IN-98.06: Automated Scanning and Exploitation http://www.cert.org/incident_notes/IN-98-06.html [9] IN-99-01: "sscan" Scanning Tool http://www.cert.org/incident_notes/IN-99-01.html [10] Packet Filtering for Firewall Systems http://www.cert.org/tech_tips/packet_filtering.html [11] Email Bombing and Spamming http://www.cert.org/tech_tips/email_bombing_spamming.html [12] Spoofed/Forged Email http://www.cert.org/tech_tips/email_spoofing.html [13] IN-99-04: Similar Attacks Using Various RPC Services http://www.cert.org/incident_notes/IN-99-04.html [14] CA-98.11.tooltalk http://www.cert.org/advisories/CA-98.11.tooltalk.html [15] CA-99-05 Vulnerability in statd exposes vulnerability automountd http://www.cert.org/advisories/CA-99-05-statd-automountd.html [16] CA-99-08 Buffer overflow vulnerability in rpc.cmsd http://www.cert.org/advisories/CA-99-08-cmsd.html [17] CA-97.09.imap_pop http://www.cert.org/advisories/CA-97.09.imap_pop.html [18] CA-98.09.imapd http://www.cert.org/advisories/CA-98.09.imapd.html [19] Remote vulnerability in imapd and ipop3d http://www.nai.com/products/security/advisory/21_imap_adv.asp [20] CA-98.08.qpopper_vul http://www.cert.org/advisories/CA-98.08.qpopper_vul.html [21] AusCERT Advisory AL-1999.005 Buffer overflow in qpopper ftp://ftp.auscert.org.au/pub/auscert/advisory/AL-1999.005.buffer.overflow.qpopper [22] CA-96.06.cgi_example_code http://www.cert.org/advisories/CA-96.06.cgi_example_code.html (日本語訳) http://www.jpcert.or.jp/ESA/CA-96.06.jis.txt [23] CA-96.11.interpreters_in_cgi_bin_dir http://www.cert.org/advisories/CA-96.11.interpreters_in_cgi_bin_dir.html (日本語訳) http://www.jpcert.or.jp/ESA/CA-96.11.jis.txt [24] CA-97.07.nph-test-cgi_script http://www.cert.org/advisories/CA-97.07.nph-test-cgi_script.html [25] CA-97.12.webdist http://www.cert.org/advisories/CA-97.12.webdist.html [26] CA-97.24.Count_cgi http://www.cert.org/advisories/CA-97.24.Count_cgi.html [27] How To Remove Meta-characters From User-Supplied Data In CGI Scripts http://www.cert.org/tech_tips/cgi_metacharacters.html [28] Buffer Overflow in php.cgi http://www.nai.com/products/security/advisory/12_php_overflow_adv.asp [29] Denial of Service Attacks http://www.cert.org/tech_tips/denial_of_service.html [30] CA-96.01.UDP_service_denial http://www.cert.org/advisories/CA-96.01.UDP_service_denial.html (日本語訳) http://www.jpcert.or.jp/ESA/CA-96.01.jis.txt [31] CA-96.21.tcp_syn_flooding http://www.cert.org/advisories/CA-96.21.tcp_syn_flooding.html [32] CA-96.26.ping http://www.cert.org/advisories/CA-96.26.ping.html [33] CA-97.28.Teardrop_Land http://www.cert.org/advisories/CA-97.28.Teardrop_Land.html [34] CA-98.01.smurf http://www.cert.org/advisories/CA-98.01.smurf.html [35] CA-98-13 tcp denial of service http://www.cert.org/advisories/CA-98-13-tcp-denial-of-service.html [36] CA-99-17 Denial-of-Service Tools http://www.cert.org/advisories/CA-99-17-denial-of-service-tools.html [37] CA-2000-01 Denial-of-Service Developments http://www.cert.org/advisories/CA-2000-01.html [38] IN-99-07: Distributed Denial of Service Tools http://www.cert.org/incident_notes/IN-99-07.html [39] CA-94.01.ongoing.network.monitoring.attacks http://www.cert.org/advisories/CA-94.01.ongoing.network.monitoring.attacks.html [40] IN-99-06: Distributed Network Sniffer http://www.cert.org/incident_notes/IN-99-06.html [41] Protecting Yourself from Email-born Viruses and Other Malicious Code During Y2K and Beyond http://www.cert.org/tech_tips/virusprotection.html [42] W32/ExploreZipに関する情報 http://www.ipa.go.jp/SECURITY/topics/exp.html __________ <JPCERT/CC からのお知らせとお願い> 本文書で解説した不正アクセスも含め、インターネット上で引き起こされる さまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp ま でご提供くださいますようお願いします。JPCERT/CC の所定の報告様式は次の URL にございます。 http://www.jpcert.or.jp/contact.html 報告様式にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、 メーリングリストを開設しています。登録の方法等、詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 __________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とし たものではありません。個別の問題に関するお問い合わせ等に対して必ずお答 えできるとは限らないことをあらかじめご了承ください。また、本件に関する ものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、 お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきくだ さい。 注: この文書は、コンピュータセキュリティインシデントに関する一般的な情 報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサル ティングを目的としたものではありません。また JPCERT/CC は、この文書に 記載された情報の内容が正確であることに努めておりますが、正確性を含め一 切の品質についてこれを保証するものではありません。この文書に記載された 情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかっ た行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与える ものではありません。 __________ 2000 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。また、最新情報につ いては JPCERT/CC の Web サイト http://www.jpcert.or.jp/ を参照してください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key __________ 改訂履歴 2000-01-28 初版 (JPCERT-PR-2000-0001) -----BEGIN PGP SIGNATURE----- Version: 2.6.3i iQCVAwUBOJEe6ox1ay4slNTtAQEGXAQAzWA/pWZGuOvMnmPMl4icx/eSWRZN69n2 1Mp3jQENrdHmI/7xSLeuwRfrhSrBm1YmKW4+nhwyEXVsUBFA+TxtnoU1NgKstvzq GbfcqrrTEfptcAWbHQKqCYNh5aAmbD+BSMK7kFqHMdxPo8mV3mneYqbCcsfjShIF 4JdhnZDbxn4= =d7n/ -----END PGP SIGNATURE-----