-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-PR-2001-0006 JPCERT/CC JPCERT/CC 活動概要 [ 2001年7月1日 〜 2001年9月30日 ] 初 版: 2001-10-23 (Ver.01) 発行日: 2002-05-09 (Ver.02) ====================================================================== §1. インシデント報告 2001年7月1日から2001年9月30日までの間に JPCERT/CC が受領したコンピュー タセキュリティインシデントに関する報告の件数は 589件でした。 注: ここにあげた数字は、JPCERT/CC が受け付けた報告の件数です。従って、 実際のアタックの発生件数や、被害件数を類推できるような数値ではあ りません。また類型ごとの実際の発生比率を示すものでもありません。 一定以上の期間に渡るアクセスの要約レポートも含まれるため、アクセ スの回数と報告件数も一般に対応しません。また、報告元には、国内外 のサイトが含まれます。 [インシデント報告の送信元による分類] JPCERT/CC が受領したインシデント報告の送信元をトップレベルドメイン で分類したもののうち、件数の多いものは以下の通りです。 .jp 235件 .au 99件 .fr 81件 .org 42件 .edu 37件 .com 32件 [インシデント報告より派生した通知連絡] JPCERT/CC が受領したインシデント報告に対して、JPCERT/CC から国内外の 関連サイトに通知連絡した件数は 242件です。 [インシデント報告のタイプ別分類] 注: 2001年9月30日の作業終了時点で継続中の案件については、本文書の執 筆時にタイプ別分類の作業が未処理であったため、タイプ別分類の合計 数が報告件数の総数より少なくなっています。 I. プローブ、スキャン、その他不審なアクセス JPCERT/CC では、防御に成功したアタックや、コンピュータ/サービス/弱点 の探査を意図したアクセス、その他の不審なアクセス等、システムのアクセス 権において影響が生じない、または、無視できるアクセスについて 452件の報 告を受領しています。 このような探査は、自動化ツールを用いて広範囲に渡る任意のホストに対し て行なわれています。セキュリティ上の弱点を放置していると、弱点の存在を 検出され、ホストへの侵入等さまざまなアタックを受ける可能性があります。 参考文献 [1] [2] [3] [4] [5] [6] および、次の URL をご参照ください。 ポートスキャンを用いた不正アクセス http://www.jpcert.or.jp/at/2000/at000007.txt 今回受領した報告に含まれるアクセスのうち、ポートごとの報告件数が 多いものを以下に列挙します。 80 (http) 178件 (*1) 111 (sunrpc) 79件 (*2) 53 (domain) 53件 21 (ftp) 46件 515 (printer) 29件 23 (telnet) 26件 (*1) http://ホスト名/cgi-bin/... という URL へのアクセスが報告さ れています。参考文献 [7] [8] [9] [10] [11] [12] をご参照下さい。 また、ワームによる感染の試みやワームなどによって設置されたバック ドアからの侵入の試みと思われるアクセスも報告されています。参考文 献 [13] [14] をご参照ください。また以下の URL もご参照ください。 Microsoft IIS の脆弱性を使って伝播するワーム http://www.jpcert.or.jp/at/2001/at010018.txt Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II" http://www.jpcert.or.jp/at/2001/at010020.txt 80番ポート (HTTP) へのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2001/at010023.txt (*2) 通常、このアクセスは他の RPC サービスに対するアクセスの前段 階として行なわれます。この項目に分類されているアクセスについては、 他の RPC サービスへのアクセスを意図したアクセスである可能性もあ ります。参考文献 [15] をご参照下さい。 II. サーバプログラムの不正中継 JPCERT/CC では、なりすましなどの目的で、電子メール配送プログラムやプ ロキシサーバなどを不正中継に使用したアクセスについて 4件の報告を受領し ています。 この攻撃を受けたホストは、大量の電子メールの中継地点として計算機資源 を利用されることがあります。電子メールの中継については、参考文献 [16] をご参照ください。また、掲示板への書き込みや Web サーバへのアクセスな どが、あたかもそのホストから行なわれたように見せかけられることがありま す。 III. 送信ヘッダを詐称した電子メールの配送 JPCERT/CC では、送信ヘッダを詐称した電子メールの配送について 2件の報 告を受領しています。 電子メールの送信ヘッダを詐称して、メールの中継には関与していない第三 のサイトへのメール配送が行なわれています。この結果、多量のエラーメール が作成され、計算機資源やネットワーク領域が消費される可能性があります。 また、これらのメールの発信元であるという疑いをもたれる可能性があります。 送信ヘッダを詐称した電子メールの中継については参考文献 [17] をご参照く ださい。 IV. システムへの侵入 JPCERT/CC では、管理者権限の盗用が認められる場合を含むシステムへの侵 入について 26件の報告を受領しています。侵入を受けた場合の対応について は、「コンピュータセキュリティインシデントへの対応」 の V. および VI. を参照してください。 コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2000/ed000007.txt 今回受領した報告において、侵入の原因として指摘されている弱点のうち、 主なものを以下に紹介します。 Microsoft IIS に含まれる弱点 [18] [19] [20] * Microsoft IIS に含まれる弱点については以下の URL もご参照下 さい。 Microsoft IIS バージョン5.0 のセキュリティ上の問題について http://www.jpcert.or.jp/at/2001/at010008.txt Microsoft IIS Index Server に含まれる脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2001/at010010.txt telnet サーバプログラムに含まれる弱点 [21] * telnet サーバプログラムに含まれる弱点については以下の URL も ご参照下さい。 telnetd に含まれる脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2001/at010016.txt Linux の telnetd に含まれる脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2001/at010021.txt 今回受領した報告において、侵入後に行なわれた操作として指摘されている 行為のうち、主なものを以下に紹介します。 (1) 当該サイトを経由した他サイトへのアクセス (ワームを含む) (2) システムの改ざん (ファイルの置き換え、ログの消去、Webページの 改ざんなど) (3) DDoS (分散型サービス運用妨害) ツールの設置 (4) サーバプログラムのインストール (バックドアの設置など) (5) ネットワークの傍受 今回受領した報告において、侵入に用いられたと思われるワームのうち、主 なものを以下に紹介します。 CodeRed ワーム [13] * CodeRed ワームについては以下の URL もご参照下さい。 Microsoft IIS の脆弱性を使って伝播するワーム http://www.jpcert.or.jp/at/2001/at010018.txt Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II" http://www.jpcert.or.jp/at/2001/at010020.txt W32/Nimda ワーム [14] * W32/Nimda ワームについては以下の URL もご参照下さい。 80番ポート (HTTP) へのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2001/at010023.txt V. サービス運用妨害につながる攻撃 JPCERT/CC では、サービス運用妨害につながるアクセスについて 20件の報 告を受領しています。これは、大量のパケットを送信してネットワーク資源を 浪費させたり、サーバプログラムの弱点を悪用してサービス自体を停止させ、 結果としてサイトのネットワーク運用やホストのサービス運用を妨害するもの です。参考文献 [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] をご 参照ください。また、参考文献 [6] もご参照ください。このアクセスへの対 応については、以下の URL をご参照下さい。 サービス運用妨害攻撃に対する防衛 http://www.jpcert.or.jp/ed/2000/ed000008.txt また、感染を大量に試みるワームにより運用妨害が行なわれたとの報告も受 領しています。参考文献 [13] [14] をご参照ください。以下の URL もご参照 ください。 Microsoft IIS の脆弱性を使って伝播するワーム http://www.jpcert.or.jp/at/2001/at010018.txt Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II" http://www.jpcert.or.jp/at/2001/at010020.txt 80番ポート (HTTP) へのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2001/at010023.txt VI. その他 JPCERT/CC では、上記 I. から V. に含まれないインシデント (コンピュー タウィルスや SPAM メールの受信など) について 67件の報告を受領していま す。 §2. 公開文書 2001年7月1日から2001年9月30日までの間に JPCERT/CC が発行した文書は、 注意喚起 9件、緊急報告 5件、JPCERT/CC レポート 14件、及び第2四半期の活 動概要です。詳細は以下の通りです。 I. 注意喚起 9件 http://www.jpcert.or.jp/at/ 2001-07-04 Solaris の NIS プログラム ypbind に含まれる脆弱性に関する注意喚起 2001-07-19 Microsoft IIS の脆弱性を使って伝播する Worm に関する注意喚起 2001-07-27 SSH のパスワード認証の脆弱性に関する注意喚起 2001-07-27 telnetd に含まれる脆弱性に関する注意喚起 2001-07-30 "Code Red" Worm の伝播活動再開に関する注意喚起 2001-08-06 "Code Red" Worm の変種に関する注意喚起 2001-08-21 Linux の telnetd に含まれる脆弱性に関する注意喚起 2001-08-31 BSD 系 OS の lpd に含まれる脆弱性に関する注意喚起 2001-09-19 80番ポート (HTTP) へのスキャンの増加に関する注意喚起 II. 緊急報告 5件 http://www.jpcert.or.jp/at/ 2001-07-25 Microsoft IIS の脆弱性を使って伝播するワーム 2001-07-31 Microsoft IIS の脆弱性を使って伝播するワーム (更新) 2001-08-08 Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II" 2001-08-10 Microsoft IIS の脆弱性を使って伝播するワーム (更新) 2001-08-10 Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II" (更新) III. JPCERT/CC レポート 14件 http://www.jpcert.or.jp/wr/ JPCERT/CC レポート内で扱ったセキュリティ関連情報の項目数は、合計して 60件です。 IV. 活動概要 http://www.jpcert.or.jp/pr/ 2001-07-26 JPCERT/CC 活動概要 [ 2001年4月1日 〜 2001年6月30日 ] http://www.jpcert.or.jp/pr/2001/pr010005.txt __________ Appendix. 参考文献 [1] IN-98.02: New Tools Used For Widespread Scans http://www.cert.org/incident_notes/IN-98.02.html [2] IN-98.04: Advanced Scanning http://www.cert.org/incident_notes/IN-98.04.html [3] IN-98.05: Probes with Spoofed IP Addresses http://www.cert.org/incident_notes/IN-98-05.html [4] IN-98.06: Automated Scanning and Exploitation http://www.cert.org/incident_notes/IN-98-06.html [5] IN-99-01: "sscan" Scanning Tool http://www.cert.org/incident_notes/IN-99-01.html [6] Packet Filtering for Firewall Systems http://www.cert.org/tech_tips/packet_filtering.html [7] CA-1996-06 Vulnerability in NCSA/Apache CGI example code http://www.cert.org/advisories/CA-1996-06.html (日本語訳) http://www.jpcert.or.jp/tr/cert_advisories/CA-96.06.txt [8] CA-1996-11 Interpreters in CGI bin Directories http://www.cert.org/advisories/CA-1996-11.html (日本語訳) http://www.jpcert.or.jp/tr/cert_advisories/CA-96.11.txt [9] CA-1997-07 Vulnerability in the httpd nph-test-cgi script http://www.cert.org/advisories/CA-1997-07.html [10] CA-1997-12 Vulnerability in webdist.cgi http://www.cert.org/advisories/CA-1997-12.html [11] CA-1997-24 Buffer Overrun Vulnerability in Count.cgi cgi-bin Program http://www.cert.org/advisories/CA-1997-24.html [12] How To Remove Meta-characters From User-Supplied Data In CGI Scripts http://www.cert.org/tech_tips/cgi_metacharacters.html [13] CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow in IIS Indexing Service DLL http://www.cert.org/advisories/CA-2001-19.html [14] CA-2001-26 Nimda Worm http://www.cert.org/advisories/CA-2001-26.html [15] IN-99-04: Similar Attacks Using Various RPC Services http://www.cert.org/incident_notes/IN-99-04.html [16] Email Bombing and Spamming http://www.cert.org/tech_tips/email_bombing_spamming.html [17] Spoofed/Forged Email http://www.cert.org/tech_tips/email_spoofing.html [18] CA-2001-10 Buffer Overflow Vulnerability in Microsoft IIS 5.0 http://www.cert.org/advisories/CA-2001-10.html [19] CA-2001-12 Superfluous Decoding Vulnerability in IIS http://www.cert.org/advisories/CA-2001-12.html [20] CA-2001-13 Buffer Overflow In IIS Indexing Service DLL http://www.cert.org/advisories/CA-2001-13.html [21] CA-2001-21 Buffer Overflow in telnetd http://www.cert.org/advisories/CA-2001-21.html [22] Denial of Service Attacks http://www.cert.org/tech_tips/denial_of_service.html [23] CA-1996-01 UDP Port Denial-of-Service Attack http://www.cert.org/advisories/CA-1996-01.html (日本語訳) http://www.jpcert.or.jp/tr/cert_advisories/CA-96.01.txt [24] CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks http://www.cert.org/advisories/CA-1996-21.html [25] CA-1996-26 Denial-of-Service Attack via ping http://www.cert.org/advisories/CA-1996-26.html [26] CA-1997-28 IP Denial-of-Service Attacks http://www.cert.org/advisories/CA-1997-28.html [27] CA-1998-01 Smurf IP Denial-of-Service Attacks http://www.cert.org/advisories/CA-1998-01.html [28] CA-1998-13 Vulnerability in Certain TCP/IP Implementations http://www.cert.org/advisories/CA-1998-13.html [29] CA-1999-17 Denial-of-Service Tools http://www.cert.org/advisories/CA-1999-17.html [30] CA-2000-01 Denial-of-Service Developments http://www.cert.org/advisories/CA-2000-01.html [31] IN-99-07: Distributed Denial of Service Tools http://www.cert.org/incident_notes/IN-99-07.html __________ <JPCERT/CC からのお知らせとお願い> 本文書で解説したコンピュータセキュリティインシデントも含め、インター ネット上で引き起こされるさまざまなコンピュータセキュリティインシデント に関する情報がありましたら、info@jpcert.or.jp までご提供くださいますよ うお願いします。報告様式に関しては以下の URL をご覧下さい http://www.jpcert.or.jp/form/ 報告様式にご記載のうえ、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 JPCERT/CC では、コンピュータセキュリティインシデントに関する情報を迅 速にご提供するために、メーリングリストを開設しています。登録の方法等、 詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 __________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とし たものではありません。個別の問題に関するお問い合わせ等に対して必ずお答 えできるとは限らないことをあらかじめご了承ください。また、本件に関する ものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、 お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきくだ さい。 注: この文書は、コンピュータセキュリティインシデントに関する一般的な情 報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサル ティングを目的としたものではありません。また JPCERT/CC は、この文書に 記載された情報の内容が正確であることに努めておりますが、正確性を含め一 切の品質についてこれを保証するものではありません。この文書に記載された 情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかっ た行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与える ものではありません。 __________ 2001, 2002 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。また、最新情報につ いては JPCERT/CC の Web サイト http://www.jpcert.or.jp/ を参照してください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 http://www.jpcert.or.jp/jpcert.asc __________ 改訂履歴 2002-05-09 参考文献の参照番号の修正 [インシデント報告のタイプ別分類] に注意書きを追加 2001-10-23 初版 (JPCERT-PR-2001-0006) -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPNnE04x1ay4slNTtAQHlHQP+PbhGVSjbvR8nrhVO9xV7kEk0LTaRkPAt LwRBwdgr0LbfA5Q97uIzThU9JPMQJ7hxMXhC/yZrNNajcp7xE7SZ0nraQ3O6Efrk XcT2JczGnPzEE6kZpgGfQk/tR/nbC2uiI+E0sIUtIaT3XjZlrzwfOAkOfJoOdkSN rmj8KJDxgmg= =+8xG -----END PGP SIGNATURE-----