-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2003-0005 JPCERT/CC 2003-08-13 <<< JPCERT/CC Alert 2003-08-13 >>> TCP 135番ポートへのスキャンの増加に関する注意喚起 Increase in TCP Port 135 scanning activity http://www.jpcert.or.jp/at/2003/at030005.txt I. 概要 JPCERT/CC では、TCP 135番ポートへの大量のスキャンが広範囲に渡って行 なわれていることを確認しています。これらのスキャンは、Microsoft Windows の RPC (Remote Procedure Call) の実装に含まれる既知の脆弱性を 使用した侵入の試みである可能性があります。また、この脆弱性を使って伝播 するワーム「W32/Blaster」の存在が報告されており、TCP 135番ポートへのス キャンはこのワームによる感染の試みである可能性もあります。 JPCERT/CC Vendor Status Note JVNCA-2003-20 W32/Blaster ワーム http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-20.html CERT Advisory CA-2003-20 W32/Blaster worm http://www.cert.org/advisories/CA-2003-20.html CIAC Bulletin N-133 Blaster Worm (aka: W32.Blaster, MSBlast, Lovsan, Win32.Poza) http://www.ciac.org/ciac/bulletins/n-133.shtml マイクロソフト セキュリティ情報 Blaster に関する情報 http://www.microsoft.com/japan/technet/security/virus/blaster.asp II. 対象 2003年 7月に Microsoft が公開した Microsoft Windows の修正プログラム が適用されていないシステムは、侵入やワームによる感染などの被害を受ける 可能性があります。対象となるのは以下のバージョンの Microsoft Windows です。 - Microsoft Windows NT Server 4.0 - Microsoft Windows NT Server 4.0, Terminal Server Edition - Microsoft Windows 2000 - Microsoft Windows XP - Microsoft Windows Server 2003 詳細は以下の URL で示したページをご参照ください。 マイクロソフト セキュリティ情報 RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026) http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp JPCERT/CC Vendor Status Note JVNCA-2003-16 Microsoft Windows RPC にバッファオーバーフローの脆弱性 http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-16.html JPCERT/CC Vendor Status Note JVNCA-2003-19 Microsoft Windows RPC の脆弱性を対象とする侵害活動 http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-19.html III. ワーム感染の確認および対処方法 「W32/Blaster」ワームに感染しているホストは、タスクマネージャのプロ セス一覧の中に msblast.exe があります。この場合は、ホストをネットワー クから切り離し、タスクマネージャで msblast.exe のプロセスを終了します。 その後、以下の文書にしたがって、msblast.exe を削除するなどの対処をしま す。 マイクロソフト セキュリティ情報 Blaster に関する情報 http://www.microsoft.com/japan/technet/security/virus/blaster.asp CERT/CC: W32/Blaster Recovery Tips W32/Blaster Recovery Tips http://www.cert.org/tech_tips/w32_blaster.html ただし、msblast.exe のファイル名が異なるなどの亜種が存在する可能性も あるため、上記の方法では不充分な場合があることに注意してください。その 場合は、不審なプロセスが動いていないか、また不審な通信が行なわれていな いか注意深く確認してください。 もし不審なプロセスが存在していたり、不審な通信が行なわれている場合に は、まずそのホストをネットワークから切り離すことをご検討ください。これ によりワームの増殖などの被害の拡大を防ぐことができます。 システムを復旧するためには、まず必要なファイルのバックアップを取り、 ハードディスクをフォーマットした上で、OS を再インストールしてください。 その後、Microsoft が提供している修正プログラムを適用してください (詳細 は「IV. 予防方法および再発防止策」を参照)。 なお、システムの改竄が行われたと考えられるホストからのデータの移行や、 そのホストの OS の再インストールの際にバックアップテープ等を利用される 場合は、バックアップされた情報自体に、ワームなどによって置き換えられた ファイルやインストールされたプログラム等が記録されてしまっていないか、 十分にご注意頂くことをお勧めします。 IV. 予防方法および再発防止策 Microsoft Windows への侵入やワームの感染を防ぐために、Microsoft が提 供している修正プログラムを適用してください。詳細については以下の URL で示したページをご参照ください。 マイクロソフト セキュリティ情報 RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026) http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp 更に Windows RPC の脆弱性を使った侵入や「W32/Blaster」ワームによる感 染および増殖の被害を抑えるために、ルータなどのパケットフィルタリング機 能を使って、外部から内部、更に内部から外部への以下のポート宛の不要なパ ケットを制限することをお勧めします。 - 69/UDP - 135/TCP - 135/UDP - 139/TCP - 139/UDP - 445/TCP - 445/UDP - 4444/TCP 特に、修正プログラムを適用していないホストを使って、修正プログラムを ダウンロードする場合は、事前にそのホストの TCP 135番ポートへの外部から のアクセスが制限されていることを確認した上で行なってください。 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPzmPQYx1ay4slNTtAQEoOQP/a1wJ7s5HtyQn4secdcEtFHWUt341Vi8c 0ptT7M4PX+/HcwTO8ZRas9w9Qb6ZoBnkXemmtLtyMLaYA/GSeqcny+Gahnq3J9rv 7Sl5H7ocAizv6PiEs1TuQytPuuSELHCBYy8B1uD0YeL0KF5NOCT7DtBkFIuT9MZa KAC0GqaQwMc= =vQiu -----END PGP SIGNATURE-----