-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-PR-2000-0003 JPCERT/CC JPCERT/CC 活動概要 [ 2000年4月1日 〜 2000年6月30日 ] 発行日: 2000-07-31 ====================================================================== 2000年4月1日から2000年6月30日までの間に JPCERT/CC が受領したコンピュー タセキュリティインシデントに関する報告の件数は 718 件でした。 注: ここにあげた件数は、JPCERT/CC が受け付けた報告の件数です。実際のア タックの発生件数や、被害件数を類推できるような数値ではありません。また 類型ごとの実際の発生比率を示すものでもありません。一定以上の期間に渡る アクセスの要約レポートも含まれるため、アクセスの回数と報告件数も一般に 対応しません。報告元には、国内外のサイトが含まれます。 I. プローブ、スキャン、その他不審なアクセスに関する報告 JPCERT/CCでは、防御に成功したアタックや、コンピュータ/サービス/弱点 の探査を意図したアクセス、その他の不審なアクセス等、システムのアクセス 権において影響を生じないか、無視できるアクセスについて 610 件の報告を 受領しています。 このような探査は、自動化ツールを用いて大規模かつ無差別的に行なわれて います。セキュリティ上の弱点を放置していると、弱点の存在を検出され、ホ ストへの侵入等さまざまなアタックを受ける可能性があります。参考文献 [1] [2] [3] [4] [5] [6] および、次の URL をご参照ください。 http://www.jpcert.or.jp/at/199x/98-0004-01.txt 今回受領した報告に含まれるアクセスのうち、主なものを以下に紹介します (順不同)。 * 以下の TCP ポートに対するアクセス 21(ftp), 22(ssh), 23(telnet), 53(domain), 109(pop2), 25(smtp), 110(pop3), 111(sunrpc) (*1), 143(imap), 514(shell), 12345, 1080(socks), 3128, 80(http), 8080(http-alt), 1114(mini-sql), 513(login), 79(finger), 2425(fjitsuappmgr), 1243, 2140(qencp) 98, 31337 * 以下の UDP ポートに対するアクセス 111 (sunrpc) (*1), 137 (netbios-ns) * 以下の ICMP メッセージタイプによるアクセス 8 (Echo) * Web サーバの CGI プログラムに対するアクセス (*2) (*1) 通常、このアクセスは他の RPC サービスに対するアクセスの前段 階として行なわれます。この項目に分類されているアクセスについては、 他の RPC サービスへのアクセスを意図したアクセスである可能性もあ ります。参考文献 [7] をご参照下さい。 (*2) http://ホスト名/cgi-bin/... という URL へのアクセスが報告さ れています。参考文献 [8] [9] [10] [11] [12] [13] [14] をご参照下 さい。 II. 電子メール配送プログラムへのアクセス JPCERT/CCでは、電子メール配送プログラムへの、電子メールの中継を目的 としたアクセスについて 27 件の報告を受領しています。 この攻撃を受けたホストは、大量の電子メールの中継地点として計算機資源 を利用される可能性があります。電子メールの中継については、参考文献 [15] をご参照ください。 III. 電子メールの送信ヘッダを詐称したメールの配送 JPCERT/CCでは、電子メールの送信ヘッダを詐称した電子メールの配送につ いて 30 件の報告を受領しています。 電子メールの送信ヘッダーを詐称して、メールの中継には関与していない、 第三のサイトへのメールの配送が行なわれております。これらのメールが配送 された結果、多量のエラーメールが作成され、計算機資源やネットワーク領域 が消費される可能性があります。また、これらのメールの発信元であるという 疑いをもたれる可能性があります。送信ヘッダを詐称した電子メールの中継に ついては参考文献 [16] をご参照ください。 IV. システムへの侵入 JPCERT/CCでは、管理者権限の盗用が認められる場合を含め、システムへの 侵入について 32 件の報告を受領しています。侵入を受けた場合の対応につい ては、「コンピュータセキュリティインシデントへの対応」 の第 V. 章, 第 VI. 章を参照してください。 コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/199x/99-0002-01.txt 今回受領した報告において、侵入の原因として指摘されている弱点のうち、 主なものを以下に紹介します。 DNS サーバプログラムに含まれる弱点 [17] [18] POP サーバプログラムに含まれる弱点 [19] [20] [21] [22] * POP サーバプログラムに含まれる弱点については以下の URL もご参 照下さい。 POP サーバプログラムを悪用したアタック http://www.jpcert.or.jp/at/199x/98-0003-03.txt 今回受領した報告において、侵入後に行なわれた操作として指摘されている 行為のうち、主なものを以下に紹介します。 (1) 当該サイトを経由した他サイトへのアクセス (2) ファイルの置き換えやログの消去等のシステムの改ざん (3) サーバプログラムのインストール (4) ネットワークの傍受 V. ネットワークやコンピュータの運用を妨害しようとする攻撃 JPCERT/CCでは、大量のパケットや予期しないデータの送信によって、サイ トのネットワークやホストのサービス運用を妨害しようとするアクセスについ て 8 件の報告を受領しています。参考文献 [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] をご参照ください。また、参考文献 [6] もご参照ください。 このアクセスへの対応については、以下の URL をご参照下さい。 サービス運用妨害攻撃に対する防衛 http://www.jpcert.or.jp/ed/2000/ed000002.txt VI. ワーム、トロイの木馬等 インターネットを介して伝播するワーム、トロイの木馬、コンピュータウィ ルス等について 4 件の報告を受領しています。 __________ Appendix. 参考文献 [1] IN-98.02: New Tools Used For Widespread Scans http://www.cert.org/incident_notes/IN-98.02.html [2] IN-98.04: Advanced Scanning http://www.cert.org/incident_notes/IN-98.04.html [3] IN-98.05: Probes with Spoofed IP Addresses http://www.cert.org/incident_notes/IN-98-05.html [4] IN-98.06: Automated Scanning and Exploitation http://www.cert.org/incident_notes/IN-98-06.html [5] IN-99-01: "sscan" Scanning Tool http://www.cert.org/incident_notes/IN-99-01.html [6] Packet Filtering for Firewall Systems http://www.cert.org/tech_tips/packet_filtering.html [7] IN-99-04: Similar Attacks Using Various RPC Services http://www.cert.org/incident_notes/IN-99-04.html [8] CA-96.06.cgi_example_code http://www.cert.org/advisories/CA-96.06.cgi_example_code.html (日本語訳) http://www.jpcert.or.jp/tr/cert_advisories/CA-96.06.txt [9] CA-96.11.interpreters_in_cgi_bin_dir http://www.cert.org/advisories/CA-96.11.interpreters_in_cgi_bin_dir.html (日本語訳) http://www.jpcert.or.jp/tr/cert_advisories/CA-96.11.txt [10] CA-97.07.nph-test-cgi_script http://www.cert.org/advisories/CA-97.07.nph-test-cgi_script.html [11] CA-97.12.webdist http://www.cert.org/advisories/CA-97.12.webdist.html [12] CA-97.24.Count_cgi http://www.cert.org/advisories/CA-97.24.Count_cgi.html [13] How To Remove Meta-characters From User-Supplied Data In CGI Scripts http://www.cert.org/tech_tips/cgi_metacharacters.html [14] Buffer Overflow in php.cgi http://www.nai.com/products/security/advisory/12_php_overflow_adv.asp [15] Email Bombing and Spamming http://www.cert.org/tech_tips/email_bombing_spamming.html [16] Spoofed/Forged Email http://www.cert.org/tech_tips/email_spoofing.html [17] CA-99-14 Multiple Vulnerabilities in BIND http://www.cert.org/advisories/CA-99-14-bind.html [18] CA-2000-03 Continuing Compromises of DNS servers http://www.cert.org/advisories/CA-2000-03.html [19] CA-97.09.imap_pop http://www.cert.org/advisories/CA-97.09.imap_pop.html [20] Remote vulnerability in imapd and ipop3d http://www.nai.com/products/security/advisory/21_imap_adv.asp [21] CA-98.08.qpopper_vul http://www.cert.org/advisories/CA-98.08.qpopper_vul.html [22] AusCERT Advisory AL-1999.005 Buffer overflow in qpopper ftp://ftp.auscert.org.au/pub/auscert/advisory/AL-1999.005.buffer.overflow.qpopper [23] Denial of Service Attacks http://www.cert.org/tech_tips/denial_of_service.html [24] CA-96.01.UDP_service_denial http://www.cert.org/advisories/CA-96.01.UDP_service_denial.html (日本語訳) http://www.jpcert.or.jp/tr/cert_advisories/CA-96.01.txt [25] CA-96.21.tcp_syn_flooding http://www.cert.org/advisories/CA-96.21.tcp_syn_flooding.html [26] CA-96.26.ping http://www.cert.org/advisories/CA-96.26.ping.html [27] CA-97.28.Teardrop_Land http://www.cert.org/advisories/CA-97.28.Teardrop_Land.html [28] CA-98.01.smurf http://www.cert.org/advisories/CA-98.01.smurf.html [29] CA-98-13 tcp denial of service http://www.cert.org/advisories/CA-98-13-tcp-denial-of-service.html [30] CA-99-17 Denial-of-Service Tools http://www.cert.org/advisories/CA-99-17-denial-of-service-tools.html [31] CA-2000-01 Denial-of-Service Developments http://www.cert.org/advisories/CA-2000-01.html [32] IN-99-07: Distributed Denial of Service Tools http://www.cert.org/incident_notes/IN-99-07.html __________ <JPCERT/CC からのお知らせとお願い> 本文書で解説したコンピュータセキュリティインシデントも含め、インター ネット上で引き起こされるさまざまなコンピュータセキュリティインシデント に関する情報がありましたら、info@jpcert.or.jp までご提供くださいますよ うお願いします。JPCERT/CC の所定の報告様式は次の URL にございます。 http://www.jpcert.or.jp/form.txt 報告様式にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 JPCERT/CC では、コンピュータセキュリティインシデントに関する情報を迅 速にご提供するために、メーリングリストを開設しています。登録の方法等、 詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 __________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とし たものではありません。個別の問題に関するお問い合わせ等に対して必ずお答 えできるとは限らないことをあらかじめご了承ください。また、本件に関する ものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、 お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきくだ さい。 注: この文書は、コンピュータセキュリティインシデントに関する一般的な情 報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサル ティングを目的としたものではありません。また JPCERT/CC は、この文書に 記載された情報の内容が正確であることに努めておりますが、正確性を含め一 切の品質についてこれを保証するものではありません。この文書に記載された 情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかっ た行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与える ものではありません。 __________ 2000 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。また、最新情報につ いては JPCERT/CC の Web サイト http://www.jpcert.or.jp/ を参照してください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 http://www.jpcert.or.jp/jpcert.asc __________ 改訂履歴 2000-07-31 初版 (JPCERT-PR-2000-0003) -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBOYTUVYx1ay4slNTtAQFxHQP/W9e/F8pQRtV98ODMRODS9SegXLr3ULhO jmxuZ85Qe/u/3Fp2DxTB8WWJQ6hH49aCFqFmPZHHAKlUP2eeQgAJ9TeBK//AnKUc USyLKrqf/6Oy4xEcbOZI80lwz3NJkViDjmE14lGED8+BhBK4ZkktEWiNWzs3PV/J Yrde3tZWnGo= =O5oO -----END PGP SIGNATURE-----