-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-E-NL-97-0001-01 JPCERT/CC JPCERT/CC 活動報告 [ 1996年10月1日 〜 1997年3月31日 ] 発 行 日: 1997/05/01 (Ver.01) 最新情報: http://www.jpcert.or.jp/nl/97-0001/ ====================================================================== 本文書では、1996年10月1日に事務所を開設してから 1997年3月31日までの 6ヶ月間に、JPCERT/CC が実施してきた、不正アクセス対策に関連するさまざま な活動について概括します。 I. 不正アクセスへの対応 JPCERT/CC では、不正アクセスを受けた方から情報を提供していただくため に、電子メール、電話、FAX による情報の受付を行っています。 E-mail : info@jpcert.or.jp TEL : 03(5575)7762 FAX : 03(5575)7764 また、JPCERT/CC への情報伝達を迅速に行うため、定型の様式を用意してい ます。 http://www.jpcert.or.jp/form.html ご提供いただいた情報に基づいて、不正アクセスに対する次のような緊急の 情報提供を行いました。 (1) 緊急報告 - 年末年始休暇中に多発した攻撃について - 文書番号:[JPCERT-E-INF-97-0001] (2) 緊急報告に関連して JPCERT/CC が受け付けた届出について 文書番号:[JPCERT-E-ANM-97-0001] (3) 緊急報告 - ネットワークニュースのサービスを悪用したアタック - 文書番号:[JPCERT-E-INF-97-0002] ###################################################################### 情報をご提供頂いたり、JPCERT/CC の活動にご協力頂いたみなさまに、この場 をお借りして深く御礼申しあげます。 - JPCERT/CC スタッフ一同 - ###################################################################### II. 広報活動 (1) セミナー等 - 情報化月間 [96/10/1: 東京] - 不正アクセス対策基準特別講演会 [96/11/15: 東京] [96/12/3: 大阪] - 不正アクセス対策基準説明会 [96/12/2: 名古屋] [97/1/20: 沖縄] [97/1/21: 福岡] [97/1/31: 仙台] [97/2/3: 札幌] [97/2/26: 広島] [97/2/27: 高松] [97/3/3: 大宮] - (財)日本情報処理開発協会 賛助会員研究会 [96/12/18: 東京] - 日本セキュリティ・マネジメント学会 [96/12/25: 東京] - セキュリティ・ショー [97/3/4: 東京] - Network Users'97 [97/3/5-97/3/7: 千葉] (2) 寄稿 - IAJ News [Jan 1997, Vol.3, No.4] - Internet Magazine [May 1997] (3) 報道 全国紙・地方紙・専門紙・通信社・雑誌社・放送局等、合計で 24 社の各 社よりお問い合わせ等を頂きました。 III. 情報提供サービス Web サーバ / FTP サーバ、メーリングリスト等を通じて、情報提供を行って います。Web サーバ / FTP サーバの URL は次の通りです。 http://www.jpcert.or.jp/ ftp://ftp.jpcert.or.jp/ メーリングリストのご紹介は、次の URL で行っています。 http://www.jpcert.or.jp/announce.html IV. 不正アクセスの動向 1996年10月1日から1997年3月31日までの間に JPCERT/CC が情報提供を受けた 不正アクセスの件数は 215 件でした。それら不正アクセスのうち主なものを類 型化すると、おおよそ次のパターンに分類できます。 (1) 電子メール配送プログラム (sendmail) への攻撃 JPCERT/CC は、電子メールの配送プログラム (sendmail) を悪用したアタ ックについて、131 件の報告を受けました。このアタックは、sendmail の 古いバージョン (R5) に残されていたセキュリティ・ホールを悪用しよう とするものです。このアタックが成功すると /etc/passwd ファイル等の重 要なファイルが盗用されるおそれがあります。詳細は、次の URL をご参照 ください。 http://www.jpcert.or.jp/info/97-0001/ (2) ネットワークニュース・サーバ (INN) を悪用した攻撃 JPCERT/CC は、ネットワークニュースのサーバ・プログラムを悪用したア タックについて、49 件の報告を受けました。このアタックは、INN のセキ ュリティ・ホールを悪用して、/etc/passwd ファイルや /etc/inetd.conf などの重要なシステム・ファイルを盗用したり、システムの運用状態を遠 隔から盗み見ようとするものです。詳細は、次の URL をご参照ください。 http://www.jpcert.or.jp/info/97-0002/ (3) パケット盗聴プログラムによる攻撃 JPCERT/CC は、ホストに不正に侵入され、パケット盗聴プログラムを仕掛 けられるというアタックについて 7 件の報告を受けました。現在も引き続 き、同様の攻撃に関する報告を受けています。パケット盗聴プログラムを インストールされてしまうと、そのホストに接続されているネットワーク 上を流れるパケットが盗聴されます。盗聴によって、遠隔ログイン時に入 力するホスト名、ユーザ名、パスワード (平文) が盗用されるおそれがあ ります。パケット盗聴については、参考文献 [1] もご参照ください。 (4) 電子メールの不正な中継と電子メール爆撃 電子メール配送プログラム (sendmail) の機能を悪用して、見ず知らずの サイト内のホスト上で動いている sendmail プログラムに、不正に電子メ ールを中継させるというアタックが行われています。このアタックは、電 子メールの発信人を偽造したり (電子メールの偽造) 、発信人がわからな いように電子メール爆撃を行ったりするために悪用されるおそれがありま す。電子メールの不正利用については、参考文献 [2] [3] もご参照くださ い。 (5) Web サーバの cgi-bin プログラムを悪用した攻撃 一部の Web サーバを標準構成でインストールしたままの状態で運用し続け ると、設定の誤りによって、外部から不正なコマンドを実行するように仕 向けられることがあります。このセキュリティ・ホールを悪用されると、 /etc/passwd ファイルを盗用される等のアタックを受けることがあります。 cgi-bin プログラムの悪用については、参考文献 [4] [5] [6] もご参照く ださい。 (6) トロイの木馬プログラムのインストール トロイの木馬と呼ばれる不正なプログラムをインストールし、それらを悪 用するアタックが行われています。トロイの木馬をインストールされると、 パスワードを盗まれたり、システムの運用記録 (ログ) を改ざん・破壊さ れて不正侵入の痕跡を消されたり、不正なプログラムの実行を隠蔽された りすることがあります。トロイの木馬プログラムについては、参考文献 [1] もご参照ください。 (7) パスワードの推測、パスワード破り 見破られやすいパスワードを推測することでシステムに侵入するというア タックが引き続き発生しています。パスワードの付け忘れ、見破られ易い パスワード、使用していないアカウント等がないか定期的にチェックし、 推測されにくいパスワードへの変更や不要なアカウントの削除等を実施さ れることを推奨します。 また (1)(2)(5) のパターンを含め、既知のセキュリティ・ホールを悪用し てパスワードファイルを盗用しようとするアタックが発生しています。パ スワードファイルが盗用されてしまうと、何らかの方法でパスワードが破 られ、システムに侵入されることがあります。パスワードファイルの盗用 については、参考文献 [7] もご参照ください。 (8) ルート権限詐取 システム・プログラム等のセキュリティ・ホールを悪用して、不正にルー ト (システム管理者) の権限を入手するアタックが発生しています。ひと たびルート権限を詐取されてしまうと、そのシステムはクラッカーの意の ままに不正アクセスを受けてしまいます。ルート権限詐取については、参 考文献 [8] もご参照ください。 注:ここにあげた件数は、JPCERT/CC が受け付けた報告の件数であり、実際の 不正アクセスの発生件数を類推できるような数値ではありません。また不正ア クセスのパターンごとの実際の発生比率を示すものでもありません。 - ---------- <参考文献> [1] Ongoing Network Monitoring Attacks (Original) ftp://info.cert.org/pub/cert_advisories/ CA-94:01.network.monitoring.attacks (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-94:01.network.monitoring.attacks [2] Email Bombing and Spamming (Original) ftp://info.cert.org/pub/tech_tips/email_bombing_spamming (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/email_bombing_spamming [3] Spoofed/Forged Email (Original) ftp://info.cert.org/pub/tech_tips/email_spoofing (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/email_spoofing [4] Vulnerability in NCSA/Apache CGI example code (Original) ftp://info.cert.org/pub/cert_advisories/CA-96.06.cgi_example_code (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-96.06.cgi_example_code [5] Interpreters in CGI bin Directories (Original) ftp://info.cert.org/pub/cert_advisories/ CA-96.11.interpreters_in_cgi_bin_dir (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-96.11.interpreters_in_cgi_bin_dir [6] Vulnerability in the httpd nph-test-cgi script (Original) ftp://info.cert.org/pub/cert_advisories/ CA-97.07.nph-test-cgi_script (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-97.07.nph-test-cgi_script [7] Protecting Yourself from Password File Attacks (Original) ftp://info.cert.org/pub/cert_advisories/passwd_file_protection (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/      passwd_file_protection [8] Steps for Recovering from a UNIX Root Compromise (Original) ftp://info.cert.org/pub/cert_advisories/root_compromise (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/root_compromise - ---------- <JPCERT/CC からのお知らせとお願い> 本文書で解説した不正アクセスも含め、インターネット上で引き起こされる さまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp ま でご提供くださいますようお願いします。JPCERT/CC の所定の様式 http://www.jpcert.or.jp/form.html にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、 メーリングリストを開設しています。登録の方法等、詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 - ---------- 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と したものではありません。個別の問題に関するお問い合わせ等に対して必ずお 答えできるとは限らないことをあらかじめご了承ください。また、本件に関す るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき ください。 注: この文書は、不正アクセスに対する一般的な情報提供を目的とするもの であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも のではありません。また JPCERT/CC は、この文書に記載された情報の内容が 正確であることに努めておりますが、正確性を含め一切の品質についてこれを 保証するものではありません。この文書に記載された情報に基づいて、貴方あ るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起 こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。 - ---------- 1997 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。情報は更新されてい る可能性がありますので、最新情報については http://www.jpcert.or.jp/nl/97-0001/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key - ---------- 更新履歴 1997/05/01 First Version. -----BEGIN PGP SIGNATURE----- Version: 2.6.3i iQCVAwUBM2gwUYx1ay4slNTtAQElLAP/bKCHalPy/9O51YzLQExpx1B3tGK0e65a tA3wBYa+0iNtenRVsMiibsFfp8QWwaYOs43IaJ5/mdzxGj7cji1X+m1QY+6rd898 cqTvuRsh7f3BG3UwvEtNspiXtVA9UEBnZmKoUjAbcxbHIV0bCoxllWyodM3JCz9n vegnWeRBjB8= =53cM -----END PGP SIGNATURE-----