-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-PR-2004-0002 JPCERT/CC JPCERT/CC 活動概要 [ 2004年1月1日 〜 2004年3月31日 ] 発行日: 2004-04-15 ====================================================================== §1. インシデント報告 2004年1月1日から2004年3月31日までの間に JPCERT/CC が受領したコンピュー タセキュリティインシデントに関する報告の件数は 644件でした。 注: ここにあげた数字は、JPCERT/CC が受け付けた報告の件数です。従って、 実際のアタックの発生件数や、被害件数を類推できるような数値ではあ りません。また類型ごとの実際の発生比率を示すものでもありません。 一定以上の期間に渡るアクセスの要約レポートも含まれるため、アクセ スの回数と報告件数も一般に対応しません。また、報告元には、国内外 のサイトが含まれます。 [インシデント報告の送信元による分類] JPCERT/CC が受領したインシデント報告の送信元をトップレベルドメイン で分類したもののうち、件数の多いものは以下の通りです。 .au 237 件 .jp 188 件 .net 124 件 .fr 45 件 .br 35 件 .com 4 件 .mil 3 件 [インシデント報告より派生した通知連絡] JPCERT/CC から国内外の関連するサイトに通知連絡した件数は 287件です。 この通知連絡数は、アクセス元などへの連絡仲介依頼を含むインシデント報告 に基づいて行われたものです。 [インシデント報告のタイプ別分類] I. プローブ、スキャン、その他不審なアクセス JPCERT/CC では、防御に成功したアタックや、コンピュータ/サービス/弱点 の探査を意図したアクセス、その他の不審なアクセス等、システムのアクセス 権において影響が生じない、または、無視できるアクセスについて 591件の報 告を受領しています。 このような探査は、自動化ツールを用いて広範囲に渡る任意のホストに対し て行なわれています。セキュリティ上の弱点を放置していると、弱点の存在を 検出され、ホストへの侵入等さまざまなアタックを受ける可能性があります。 参考文献 [1] [2] [3] [4] [5] [6] をご参照ください。 今回受領した報告に含まれるアクセスのうち、ポートごとの報告件数が多い ものを以下に列挙します。 135 (epmap) 327件 (*1) 445 (microsoft-ds) 247件 (*1) 80 (http) 245件 (*1) 6129 (dameware) 202件 (*2) 139 (netbios-ssn) 199件 1080 (socks) 193件 (*1) 1434 (ms-sql-m) 188件 (*1) 137 (netbios-ns) 185件 (*1) 4899 (radmin-port) 179件 (*2) 1433 (ms-sql-s) 175件 (*1) 3389 173件 17300 171件 (*1) 901 (smpnameres) 165件 21 (ftp) 155件 443 (https) 151件 (*1) 3128 (squid-http) 124件 3127 (mydoom) 120件 (*1) icmp 120件 (*1) 1026 111件 8080 (webcache) 96件 24099 92件 138 (netbios-dgm) 92件 25 (smtp) 88件 (*3) 123 (ntp) 88件 20168 82件 (*1) ワームによる感染の試みやワームなどによって設置されたバックドア からの侵入の試みと思われるアクセスが報告されています。参考文献 [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] をご参照ください。また以下の URL もご参照ください。 Microsoft ASN.1 Library の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2004/at040001.txt TCP 139番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030007.txt Microsoft IIS 5.0 の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030003.txt TCP 135番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030005.txt Windows RPC の脆弱性を使用するワームに関する注意喚起 http://www.jpcert.or.jp/at/2003/at030006.txt UDP 1434番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030001.txt OpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム http://www.jpcert.or.jp/at/2002/at020006.txt TCP 1433番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2002/at020002.txt Microsoft IIS の脆弱性を使って伝播するワーム http://www.jpcert.or.jp/at/2001/at010018.txt Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II" http://www.jpcert.or.jp/at/2001/at010020.txt 80番ポート (HTTP) へのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2001/at010023.txt JPCERT/CC Vendor Status Note JVNCA-2004-02 大量に電子メールを配信するワーム http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2004-02.html (*2) リモートコントロールソフトへの接続を試みたと思われるアクセスの 可能性があります。参考文献 [22] をご参照ください。 (*3) なりすましや SPAM メールの送信などの目的で、電子メール配送プロ グラムの中継使用を試みたと思われるアクセスの可能性があります。 II. 送信ヘッダを詐称した電子メールの配送 JPCERT/CC では、差出人アドレスなどの送信ヘッダを詐称した電子メールの 配送について 15件の報告を受領しています。 電子メールの送信ヘッダを詐称して、メールの中継には関与していない第三 のサイトへのメール配送が行なわれています。この結果、多量のエラーメール が作成され、計算機資源やネットワーク領域が消費される可能性があります。 また、差出人アドレスを詐称された場合、これらのメールの発信元であると いう疑いをもたれる可能性があります。送信ヘッダを詐称した電子メールの配 送については参考文献 [23] [24] をご参照ください。 今回受領した報告において、送信ヘッダ詐称の原因として指摘されているウ イルス/ワームのうち、主なものを以下に紹介します。 MyDoom/Novarg [7] * Mydoom/Novarg については以下の URL もご参照ください。 JPCERT/CC Vendor Status Note JVNCA-2004-02 大量に電子メールを配信するワーム http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2004-02.html Netsky [25] Swen [26] III. システムへの侵入 JPCERT/CC では、管理者権限の盗用が認められる場合を含むシステムへの侵 入について 2件の報告を受領しています。侵入を受けた場合の対応については、 以下の URL で公開している文書「コンピュータセキュリティインシデントへ の対応」の V. および VI. を参照してください。 コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2002/ed020002.txt 今回受領した報告において、侵入後に行なわれた操作として指摘されている 行為のうち、主なものを以下に紹介します。 (1) 当該サイトを経由した他サイトへのアクセス (ワームを含む) (2) システムの改ざん (ファイルの置き換え、ログの消去、Webページの 改ざんなど) (3) DDoS (分散型サービス運用妨害) ツールの設置 (4) サーバプログラムのインストール (バックドアの設置など) (5) ファイルの不正な公開 IV. サービス運用妨害につながる攻撃 JPCERT/CC では、サービス運用妨害につながるアクセスについて 2件の報告 を受領しています。これは、大量のパケットを送信してネットワーク資源を浪 費させたり、サーバプログラムの弱点を悪用してサービス自体を停止させ、結 果としてサイトのネットワーク運用やホストのサービス運用を妨害するもので す。参考文献 [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] をご参 照ください。また、参考文献 [6] もご参照ください。このアクセスへの対応 については、以下の URL をご参照ください。 サービス運用妨害攻撃に対する防衛 http://www.jpcert.or.jp/ed/2001/ed010005.txt 今回受領した報告において、サービス運用妨害に用いられたと思われるワー ムのうち、主なものを以下に紹介します。 Witty ワーム [37] * Witty ワームについては以下の URL もご参照ください。 JPCERT/CC REPORT 2004-03-24 項目 [2] http://www.jpcert.or.jp/wr/2004/wr041201.txt V. その他 JPCERT/CC では、上記 I. から IV. に含まれないインシデント (コンピュー タウィルスや SPAM メールの受信、架空請求その他に関する問い合わせなど) について 38件の報告を受領しています。 §2. 公開文書 2004年1月1日から2004年3月31日までの間に JPCERT/CC が発行した文書は、 注意喚起 1件、JPCERT/CC レポート 13件、及び第4四半期の活動概要です。詳 細は以下の通りです。 I. 注意喚起 1件 http://www.jpcert.or.jp/at/ 2004-02-16 Microsoft ASN.1 Library の脆弱性に関する注意喚起 II. JPCERT/CC レポート 13件 http://www.jpcert.or.jp/wr/ JPCERT/CC レポート内で扱ったセキュリティ関連情報の項目数は、合計して 104件です。 III. 活動概要 1件 http://www.jpcert.or.jp/pr/ 2004-01-21 JPCERT/CC 活動概要 [ 2003年10月1日 〜 2003年12月31日 ] §3. 主催イベント 2004年1月1日から2004年3月31日までの間に JPCERT/CC が主催したイベント は以下の通りです。 I. JPNIC・JPCERT/CC セキュリティセミナー 2003 社団法人日本ネットワークインフォメーションセンター (JPNIC) との共催 で 2003年7月から行なっている、全4回のセミナーの第4回「復:〜インシデン トから復旧する〜」を 2月4日(水) に大手町サンケイプラザにおいて開催しま した。詳細は参考文献 [38] [39] をご参照ください。 II. APSIRC 2004 アジア太平洋地域の CSIRT (omputer Security Incident Response Team) の集まりである、APCERT (Asia Pacific Computer Emergency Response Team) の年次会合 APSIRC (Asia Pacific Security Incident Coordination Conference) を、2月23日(月) から 25日(水) にマレーシアのクアラルンプー ルで開催しました。詳細は参考文献 [40] [41] をご参照ください。 III. JPCERT/CC・CERT/CC 脆弱性情報ハンドリングワークショップ http://www.jpcert.or.jp/workshop.txt 日本国内ベンダを対象に、脆弱性情報の取り扱いに関するポリシーや手順を 説明するとともにベンダの方々からご意見を伺うワークショップを CERT/CC と共催で 3月9日(火) にホテルニューオータニ悠の間で開催しました。当日の 配布資料は以下の URL からご覧いただけます。 公開プレゼンテーション資料 http://www.jpcert.or.jp/present/ §4. その他の活動 2004年1月1日から2004年3月31日までの間に JPCERT/CC が実施した、上記 §1.〜3. 以外の活動は以下の通りです。 I. インターネット定点観測システム運用 http://www.jpcert.or.jp/isdas/ インターネット上に設置した複数のセンサーから得られる情報を解析すると ともに、世の中に流布するセキュリティ脆弱性情報などをあわせて総合的に評 価した上で、セキュリティ予防観測に関する情報を提供するサービスを行なっ ています。 またこのシステムで得られた情報を国別に解析して海外 CSIRT に 報告するシステムの運用を 3月に開始しました。以下の URL もご参照くださ い。 インシデント情報交換システムの稼動を開始 (プレス発表資料) http://www.jpcert.or.jp/press/2004/0317.txt II. JVN (JPCERT/CC Vendor Status Notes) 試験運用 http://jvn.doi.ics.keio.ac.jp/ 慶應義塾大学土居・高田研究室と共同のプロジェクトとして、国内で使われ ているソフトウェアやネットワーク機器などを対象に、 国内の各ベンダが提 供しているセキュリティ対策情報や更新情報を中心にまとめた Web サイトの 構築を目指した活動をしています。 III. APCERT 事務局運営 http://www.jpcert.or.jp/english/secretariat.html アジア太平洋地域の CSIRT の集まりである、APCERT (Asia Pacific Computer Emergency Response Team) の事務局を担当しています。詳細は参考 文献 [40] [41] をご参照ください。 IV. FIRST レプリカサーバの運用 FIRST (Forum of Incident Response and Security Teams) の Web サーバ www.first.org のレプリカサーバ (ミラーサーバ) を運用し、FIRST の活動に 貢献しています。FIRST の詳細については参考文献 [42] をご参照ください。 V. Web デザインの更新 JPCERT/CC の Web のデザインを一新しました。 __________ Appendix. 参考文献 [1] IN-98.02: New Tools Used For Widespread Scans http://www.cert.org/incident_notes/IN-98.02.html [2] IN-98.04: Advanced Scanning http://www.cert.org/incident_notes/IN-98.04.html [3] IN-98.05: Probes with Spoofed IP Addresses http://www.cert.org/incident_notes/IN-98-05.html [4] IN-98.06: Automated Scanning and Exploitation http://www.cert.org/incident_notes/IN-98-06.html [5] IN-99-01: "sscan" Scanning Tool http://www.cert.org/incident_notes/IN-99-01.html [6] Packet Filtering for Firewall Systems http://www.cert.org/tech_tips/packet_filtering.html [7] IN-2004-01: W32/Novarg.A Virus http://www.cert.org/incident_notes/IN-2004-01.html [8] CERT/CC Current Activity W32/Welchia Worm http://www.cert.org/current/archive/2003/08/18/archive.html#welchia [9] CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow in IIS Indexing Service DLL http://www.cert.org/advisories/CA-2001-19.html [10] CA-2001-26 Nimda Worm http://www.cert.org/advisories/CA-2001-26.html [11] IN-2002-04: Exploitation of Vulnerabilities in Microsoft SQL Server http://www.cert.org/incident_notes/IN-2002-04.html [12] CA-2002-27 Apache/mod_ssl Worm http://www.cert.org/advisories/CA-2002-27.html [13] AL-2002.12 W32/BUGBEAR@MM Virus http://www.auscert.org.au/render.html?it=2447 [14] AU-2002.008 Updated Information Regarding BugBear Virus http://www.auscert.org.au/render.html?it=2452 [15] IN-2002-06: W32/Lioten Malicious Code http://www.cert.org/incident_notes/IN-2002-06.html [16] CA-2003-08 Increased Activity Targeting Windows Shares http://www.cert.org/advisories/CA-2003-08.html [17] CA-2003-04 MS-SQL Server Worm http://www.cert.org/advisories/CA-2003-04.html [18] IN-2003-01: Malicious Code Propagation and Antivirus Software Updates http://www.cert.org/incident_notes/IN-2003-01.html [19] CA-2003-28 Buffer Overflow in Windows Workstation Service http://www.cert.org/advisories/CA-2003-28.html [20] TA04-041A: Multiple Vulnerabilities in Microsoft ASN.1 Library http://www.us-cert.gov/cas/techalerts/TA04-041A.html [21] CA-2003-09 Buffer Overflow in Core Microsoft Windows DLL http://www.cert.org/advisories/CA-2003-09.html [22] US-CERT Vulnerability Note VU#909678 http://www.kb.cert.org/vuls/id/909678 [23] Email Bombing and Spamming http://www.cert.org/tech_tips/email_bombing_spamming.html [24] Spoofed/Forged Email http://www.cert.org/tech_tips/email_spoofing.html [25] IN-2004-02: W32/Netsky.B Virus http://www.cert.org/incident_notes/IN-2004-02.html [26] AU-2003.015 New email virus/worm "Swen" masquerades as Microsoft Update http://national.auscert.org.au/render.html?it=3455 [27] Denial of Service Attacks http://www.cert.org/tech_tips/denial_of_service.html [28] CA-1996-01 UDP Port Denial-of-Service Attack http://www.cert.org/advisories/CA-1996-01.html (日本語訳) http://www.jpcert.or.jp/tr/cert_advisories/CA-96.01.txt [29] CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks http://www.cert.org/advisories/CA-1996-21.html [30] CA-1996-26 Denial-of-Service Attack via ping http://www.cert.org/advisories/CA-1996-26.html [31] CA-1997-28 IP Denial-of-Service Attacks http://www.cert.org/advisories/CA-1997-28.html [32] CA-1998-01 Smurf IP Denial-of-Service Attacks http://www.cert.org/advisories/CA-1998-01.html [33] CA-1998-13 Vulnerability in Certain TCP/IP Implementations http://www.cert.org/advisories/CA-1998-13.html [34] CA-1999-17 Denial-of-Service Tools http://www.cert.org/advisories/CA-1999-17.html [35] CA-2000-01 Denial-of-Service Developments http://www.cert.org/advisories/CA-2000-01.html [36] IN-99-07: Distributed Denial of Service Tools http://www.cert.org/incident_notes/IN-99-07.html [37] CERT/CC Current Activity Witty Worm http://www.cert.org/current/archive/2004/03/22/archive.html#witty [38] 社団法人日本ネットワークインフォメーションセンター (JPNIC) http://www.nic.ad.jp/ [39] JPNIC・JPCERT/CC セキュリティセミナー 2003 〜オペレータが知っておくべきインシデントハンドリングとは〜 http://www.nic.ad.jp/security-seminar/ [40] Asia Pacific Computer Emergency Response Team (APCERT) http://www.apcert.org/ [41] APSIRC 2004 http://www.apcert.org/apsirc2004/ [42] Forum of Incident Response and Security Teams (FIRST) http://www.first.org/ __________ <JPCERT/CC からのお知らせとお願い> 本文書で解説したコンピュータセキュリティインシデントも含め、インター ネット上で引き起こされるさまざまなコンピュータセキュリティインシデント に関する情報がありましたら、info@jpcert.or.jp までご提供くださいますよ うお願いします。報告様式に関しては以下の URL をご覧ください http://www.jpcert.or.jp/form/ 報告様式にご記載のうえ、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 JPCERT/CC では、コンピュータセキュリティインシデントに関する情報を迅 速にご提供するために、メーリングリストを開設しています。登録の方法等、 詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 __________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とし たものではありません。個別の問題に関するお問い合わせ等に対して必ずお答 えできるとは限らないことをあらかじめご了承ください。また、本件に関する ものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、 お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきくだ さい。 注: この文書は、コンピュータセキュリティインシデントに関する一般的な情 報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサル ティングを目的としたものではありません。また JPCERT/CC は、この文書に 記載された情報の内容が正確であることに努めておりますが、正確性を含め一 切の品質についてこれを保証するものではありません。この文書に記載された 情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかっ た行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与える ものではありません。 __________ 2004 (C) JPCERT/CC この文書を転載する際には、全文を転載してください。また、最新情報につ いては JPCERT/CC の Web サイト http://www.jpcert.or.jp/ を参照してください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 http://www.jpcert.or.jp/jpcert.asc __________ 改訂履歴 2004-04-15 「§1. インシデント報告」における番号の誤りの修正 2004-04-15 初版 (JPCERT-PR-2004-0002) -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQH4Gi4x1ay4slNTtAQGo3AQAvA8pnY7GY3bYt/iroLTHLPY90P+cm9VX nA5WFqyiHTO7FR5z6i1X6LjnT96MDtihegE+j62LXZoddbn1KAxz0+Qjm1+x8VkR B8B8yGEpw9k5AfSZhUcqm9WQeO2WAdNxlTAfu0RFjdnKL/2MUDZ8ZEaQ7TzEL75j 3ZSDz+INrbM= =vOoY -----END PGP SIGNATURE-----