未公開 (未修正) の脆弱性を使った攻撃、いわゆる「0 day attack」が発生する場合があります。この場合は、まず以下のような手順で対応することをお勧めします。 - 情報収集 JPCERT/CC などの CSIRT (Computer Security Incident ResponseTeam) が提供する情報など、複数の情報源から情報を収集し、以下のようなポイントで内容を確認しましょう。 o 対象となるソフトウェアとそのバージョンを確認 対象となっているソフトウェアを使用している場合、当該ソフトウェアの使用停止やサービス停止を検討することをお勧めします。 o 攻撃手法を確認 例えば特定のポートが狙われている場合、当該ポートへの外部からのアクセスの遮断または制限を検討することをお勧めします。 - 監視体制の強化 外部からのアクセス状況だけでなく、内部のシステムから外部のシステ ムへのアクセスも併せて監視しましょう。 - 情報収集体制の強化 対象となるソフトウェアやバージョンなどが、検証の結果、追加されることがあるので、最新の情報を収集するよう努めましょう。また修正プログラムの提供 (公開) に関する情報にも注意しましょう。
参考文書(日本語)
-
JPCERT/CC REPORT 2005-07-06号 [今週の一口メモ]
http://www.jpcert.or.jp/wr/2005/wr052601.txt
Weekly Report 2005-11-30号 に掲載