-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-E-NL-99-0003-01 JPCERT/CC 活動概要: 不正アクセスの動向 [ 1999年4月1日 〜 1999年6月30日 ] 発 行 日: 1999/07/27 (Ver.01) 最新情報: http://www.jpcert.or.jp/nl/99-0003/ ====================================================================== 不正アクセスの動向: 1999年4月1日から1999年6月30日までの間に JPCERT/CC が情報提供を受けた 不正アクセスの件数は 192 件であり、これらに関して情報提供や情報交換を 行ったサイト数は延べ 240 サイト(*)でした。それら不正アクセスのうち主な ものを類型化すると、おおよそ次のパターンに分類できます。 (*) 対応中のものもあるため最終的には件数が増加する場合もあります。 (1) システムに存在するサービス/弱点の探査 (プローブ、スキャン) ホストで運用されているサービスや、それらに含まれるセキュリティ上の 弱点の存在をリモートから探査しようとする不正アクセスについて、103 サイトに関する情報を受け取りました。 このような探査は、不正アクセスを目的とした自動化ツールを用いて大規 模かつ無差別的に行なわれることがあります。セキュリティ上の弱点を放 置していると、弱点の存在を検出され、ホストへの不正侵入等さまざまな 不正アクセスを受ける可能性があります。自動化ツールを用いた不正アク セスにつきましては、次の URL および参考文献 [1] [2] をご参照くださ い。 http://www.jpcert.or.jp/info/98-0004/ また、参考文献 [3] [4] [5] [6] もご参照ください。 (2) 電子メールの不正な中継、電子メール爆撃等 電子メールの不正利用について、35 サイトに関する情報を受け取りまし た。 無関係なサイトのホスト上で動いている電子メール配送プログラム (sendmail 等) を悪用して、不正に電子メールを中継させる攻撃が行われ ています。この攻撃を受けると、計算機資源が大量に浪費され、また、電 子メール爆撃等、不正なメールの発信元であるという疑いをもたれる可能 性もあります。電子メールの不正な中継については、次の URL をご参照 ください。 http://www.jpcert.or.jp/tech/97-0001/ もし、sendmail プログラムをバージョンアップする必要がある場合は、 次の URL をご参照ください。 http://www.jpcert.or.jp/tech/98-0001/ また、参考文献 [7] [8] もご参照ください。 (3) システムへの不正侵入および管理者権限詐取 ホストへの不正侵入および管理者権限詐取について 25 サイトに関する情 報を受け取りました。 出荷時のパスワードのまま変更せずに使用していたり、パスワードが付与 されていないアカウントや、その他容易に推測されるパスワードが付与さ れているアカウントがあると、リモートから検出され、侵入されることが あります。また、パスワードファイルが盗用されると、何らかの方法でパ スワードが破られ、システムに侵入されることがあります。 システムに侵入されると、システムプログラム等のセキュリティホールを 悪用され、システム管理者 (root) の権限を搾取されるおそれもあります。 ひとたび管理者権限を搾取されると、そのシステムは侵入者の意のままに 不正アクセスを受けてしまいます。一般的に、侵入者は管理者権限を入手 すると、裏口 (back door) やトロイの木馬プログラムを設置します。パ スワードの変更等を行なったとしても、これらを完全に除去しない限り再 び侵入される可能性があります。 管理者権限詐取、パスワードファイルの盗用、トロイの木馬プログラムに ついては、参考文献 [9] [10] [11] を、出荷時のパスワードについては、 参考文献 [12] をご参照ください。 JPCERT/CC は、ファイアウォール、tcp_wrappers 等の導入により、外界 からの接続を監視・規制することを推奨します。tcp_wrappers は以下の URL から入手することができます。 ftp://ftp.jpcert.or.jp/pub/security/tools/tcp_wrappers/ また、tcp_wrappers については参考文献 [13] もご参照ください。 (4) mountd サーバを悪用した攻撃 mountd サーバプログラムのセキュリティ上の弱点を悪用しようとする攻 撃について、19 サイトに関する情報を受け取りました。この弱点が悪用 されると、リモートから管理者権限で、任意のコマンドを実行されたり、 あるいは任意のプログラムを送り込まれた上でそれらを実行される可能性 があります。詳細は、次の URL をご参照ください。 http://www.jpcert.or.jp/info/99-0001/ また、参考文献 [14] もご参照ください。 (5) ネットワークやホストの運用を妨害しようとする攻撃 大量のパケットや不正なデータの送信によって、サイトのネットワークや ホストのサービス運用を妨害しようとする攻撃について、10 サイトに関 する情報を受け取りました。この攻撃については、参考文献 [15] をご参 照ください。また、参考文献 [3] [16] [17] [18] [19] [20] [21] もご 参照ください。 (6) Web サーバの cgi-bin プログラムを悪用した攻撃 cgi-bin プログラムに関連した不正アクセスについて、引き続き情報を受 け取っています。セキュリティ上の弱点が含まれている cgi-bin プログ ラムが動作する状態で Web サーバを運用していると、外部から不正なコ マンドの実行を仕向けられることがあります。弱点を含む cgi-bin プロ グラムは、Web サーバの配布キットに含まれている場合もあります。この 弱点を悪用されると、パスワードファイルを盗用される等の可能性があり ます。詳細につきましては、次の URL をご参照ください。 http://www.jpcert.or.jp/info/97-0003/ また、cgi-bin プログラムについては、参考文献 [22] [23] [24] [25] [26] [27] [28] [29] もご参照ください。 (7) プロキシサーバの不正利用 プロキシサーバの不正利用について情報を受け取っています。アクセス制 御を行なっていないプロキシサーバは、予期しないアクセスの中継に悪用 される可能性があります。 無関係なサイトのホスト上で動いている Web プロキシサーバを用いて、 Web のアクセスを中継させようとする行為が行なわれています。この行為 は、何らかの不正を意図したアクセスの発信元を偽装する目的で行なわれ る場合があります。 アクセス制御を行なっていないプロキシサーバは、不特定多数から探索さ れ、存在を探知される可能性があります。多数のホストからアクセスを受 けると、ネットワーク帯域やその他の計算機資源が占有され、システムの 正常な運用が妨げられるおそれがあります。 JPCERT/CC は、予期しないユーザによるプロキシサーバの利用を禁止する ようなアクセス制御の実施を推奨します。 (8) POP サーバを悪用した攻撃 POP サーバプログラムのセキュリティ上の弱点を悪用しようとする攻撃に ついて、引き続き情報を受け取っています。この弱点が悪用されると、リ モートから管理者権限で、任意のコマンドを実行されたり、あるいは任意 のプログラムを送り込まれた上でそれらを実行される可能性があります。 この攻撃につきましては、次の URL をご参照ください。 http://www.jpcert.or.jp/info/98-0003/ また、参考文献 [30] もご参照ください。 (9) automountd を悪用した攻撃 automountd プログラムのセキュリティ上の弱点を悪用しようとする攻撃 について、引き続き情報を受け取っています。この弱点が悪用されると、 パスワードファイル等のセキュリティ上重要なファイルを改ざんされたり、 その他さまざまな不正アクセスを管理者権限で実行される可能性がありま す。この攻撃につきましては、次の URL をご参照ください。 http://www.jpcert.or.jp/info/99-0002/ また、参考文献 [31] もご参照ください。 (10) Anonymous FTP サービスの不正利用 Anonymous FTP サービスを悪用して、不正なファイルを交換しようとする 不正アクセスに関する情報を引き続き受け取っています。不正なファイル の流通は、さらに不正アクセスを増大させる温床ともなる可能性がありま す。Anonymous FTP サービスの各種設定の再確認、転送ログの定期的な監 視、不要な Anonymous FTP サービスの停止を推奨致します。Anonymous FTP サービスの不正利用防止については、参考文献 [32] [33] もご参照く ださい。 (11) IMAP サーバプログラムを悪用した攻撃 IMAP サーバプログラムのセキュリティ上の弱点を悪用しようとする攻撃 について、引き続き情報を受け取っています。この弱点が悪用されると、 リモートから管理者権限で、任意のコマンドを実行されたり、あるいは 任意のプログラムを送り込まれた上でそれらを実行される可能性があり ます。詳細は、次の URL をご参照ください。 http://www.jpcert.or.jp/info/97-0004/ また、参考文献 [34] [35] [36] [37] もご参照ください。 (12) ウィルス、トロイの木馬 コンピュータウィルスやトロイの木馬等が起動された結果として、インター ネットに対してユーザの予期しないアクセス (電子メールの送信やスキャ ンの実行等) が行なわれたとの情報を受け取っています。参考文献 [11] [38] をご参照ください。また、参考文献 [39] [40] もご参照ください。 注:ここにあげた件数は、JPCERT/CC が受け付けた報告の件数であり、実際の 不正アクセスの発生件数を類推できるような数値ではありません。また不正ア クセスのパターンごとの実際の発生比率を示すものでもありません。 __________ <参考文献> [1] New Tools Used For Widespread Scans http://www.cert.org/incident_notes/IN-98.02.html [2] "sscan" Scanning Tool http://www.cert.org/incident_notes/IN-99-01.html [3] Packet Filtering for Firewall Systems (Original) ftp://ftp.cert.org/pub/tech_tips/packet_filtering (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/packet_filtering [4] Advanced Scanning http://www.cert.org/incident_notes/IN-98.04.html [5] Probes with Spoofed IP Addresses http://www.cert.org/incident_notes/IN-98-05.html [6] Automated Scanning and Exploitation http://www.cert.org/incident_notes/IN-98-06.html [7] Email Bombing and Spamming (Original) ftp://ftp.cert.org/pub/tech_tips/email_bombing_spamming (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/email_bombing_spamming [8] Spoofed/Forged Email (Original) ftp://ftp.cert.org/pub/tech_tips/email_spoofing (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/email_spoofing [9] Steps for Recovering from a UNIX Root Compromise (Original) ftp://ftp.cert.org/pub/tech_tips/root_compromise (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/root_compromise [10] Protecting Yourself from Password File Attacks (Original) ftp://ftp.cert.org/pub/tech_tips/passwd_file_protection (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/passwd_file_protection [11] CERT Advisory CA-99-02-Trojan-Horses (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-99-02-Trojan-Horses (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-99-02-Trojan-Horses [12] SGI lp Vulnerability (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-95%3A15.SGI.lp.vul (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-95%3A15.SGI.lp.vul [13] Trojan horse version of TCP Wrappers (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-99-01-Trojan-TCP-Wrappers.txt (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-99-01-Trojan-TCP-Wrappers.txt (日本語訳) http://www.jpcert.or.jp/ESA/CA-99-01.jis.txt [14] Remotely Exploitable Buffer Overflow Vulnerability in mountd (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-98.12.mountd (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-98.12.mountd [15] Denial of Service (Original) ftp://ftp.cert.org/pub/tech_tips/denial_of_service (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/denial_of_service [16] UDP Port Denial-of-Service Attack (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-96.01.UDP_service_denial (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-96.01.UDP_service_denial (日本語訳) http://www.jpcert.or.jp/ESA/CA-96.01.jis.txt [17] TCP SYN Flooding and IP Spoofing Attacks (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-96.21.tcp_syn_flooding (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-96.21.tcp_syn_flooding [18] Denial-of-Service Attack via ping (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-96.26.ping (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-96.26.ping [19] IP Denial-of-Service Attacks (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-97.28.Teardrop_Land (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.28.Teardrop_Land [20] "smurf" IP Denial-of-Service Attacks (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-98.01.smurf (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-98.01.smurf [21] Vulnerability in Certain TCP/IP Implementations (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-98-13-tcp-denial-of-service (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-98-13-tcp-denial-of-service [22] Vulnerability in NCSA/Apache CGI example code (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-96.06.cgi_example_code (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-96.06.cgi_example_code (日本語訳) http://www.jpcert.or.jp/ESA/CA-96.06.jis.txt [23] Interpreters in CGI bin Directories (Original) ftp://ftp.cert.org/pub/cert_advisories/ CA-96.11.interpreters_in_cgi_bin_dir (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-96.11.interpreters_in_cgi_bin_dir (日本語訳) http://www.jpcert.or.jp/ESA/CA-96.11.jis.txt [24] Vulnerability in the httpd nph-test-cgi script (Original) ftp://ftp.cert.org/pub/cert_advisories/ CA-97.07.nph-test-cgi_script (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-97.07.nph-test-cgi_script [25] Vulnerability in webdist.cgi (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-97.12.webdist (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.12.webdist [26] Buffer Overrun Vulnerability in Count.cgi cgi-bin Program (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-97.24.Count_cgi (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.24.Count_cgi [27] Sanitizing User-Supplied Data in CGI Scripts (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-97.25.CGI_metachar (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.25.CGI_metachar [28] How To Remove Meta-characters From User-Supplied Data In CGI Scripts (Original) ftp://ftp.cert.org/pub/tech_tips/cgi_metacharacters (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/cgi_metacharacters [29] Buffer Overflow in php.cgi http://www.nai.com/products/security/advisory/12_php_overflow_adv.asp [30] Buffer overflows in some POP servers (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-98.08.qpopper_vul (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-98.08.qpopper_vul [31] Vulnerability in statd exposes vulnerability in automountd (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-99-05-statd-automountd.txt (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-99-05-statd-automountd.txt (日本語訳) http://www.jpcert.or.jp/ESA/CA-99-05.jis.txt [32] Anonymous FTP Abuses (Original) ftp://ftp.cert.org/pub/tech_tips/anonymous_ftp_abuses (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/anonymous_ftp_abuses [33] ANONYMOUS FTP CONFIGURATION GUIDELINES (Original) ftp://ftp.cert.org/pub/tech_tips/anonymous_ftp_config (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/anonymous_ftp_config [34] Buffer Overflow in Some Implementations of IMAP Servers (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-98.09.imapd (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-98.09.imapd [35] Vulnerability in IMAP and POP (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-97.09.imap_pop (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.09.imap_pop [36] CERT(sm) Summary CS-97.04 - SPECIAL EDITION (Original) ftp://ftp.cert.org/pub/cert_summaries/CS-97.04 (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-97.04 [37] Remote vulnerability in imapd and ipop3d http://www.nai.com/products/security/advisory/21_imap_adv.asp [38] Happy99.exe Trojan Horse http://www.cert.org/incident_notes/IN-99-02.html [39] CERT Advisory CA-99-04-Melissa-Macro-Virus (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-99-04-Melissa-Macro-Virus.txt (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-99-04-Melissa-Macro-Virus.txt (日本語訳) http://www.jpcert.or.jp/ESA/CA-99-04.jis.txt [40] CERT Advisory CA-99-06-explorezip (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-99-06-explorezip.txt (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-99-06-explorezip.txt __________ <JPCERT/CC からのお知らせとお願い> 本文書で解説した不正アクセスも含め、インターネット上で引き起こされる さまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp ま でご提供くださいますようお願いします。JPCERT/CC の所定の報告様式は次の URL にございます。 http://www.jpcert.or.jp/contact.html 報告様式にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、 メーリングリストを開設しています。登録の方法等、詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 __________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と したものではありません。個別の問題に関するお問い合わせ等に対して必ずお 答えできるとは限らないことをあらかじめご了承ください。また、本件に関す るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき ください。 注: この文書は、不正アクセスに対する一般的な情報提供を目的とするもの であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも のではありません。また JPCERT/CC は、この文書に記載された情報の内容が 正確であることに努めておりますが、正確性を含め一切の品質についてこれを 保証するものではありません。この文書に記載された情報に基づいて、貴方あ るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起 こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。 __________ 1999 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。情報は更新されてい る可能性がありますので、最新情報については http://www.jpcert.or.jp/nl/99-0003/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key __________ 改訂履歴 1999/07/27 First Version. -----BEGIN PGP SIGNATURE----- Version: 2.6.3i iQCVAwUBN50iAIx1ay4slNTtAQF6CQQAioleMtqPcrRnPVx8xqTN76Up7WW+wO1Z IqI5beUTK1if4xESmCt7uWXJ1qmJ04QySwhqBboXCnUNxmzSlfAurfVQowh9Mxbr PxDMh8xPYrLHhQk3pDUMXACmEz1f+r6we1RITRmyktXOWGDevfv+4lPJNJFHuRg7 7Ja8ni3Jeu0= =jKK5 -----END PGP SIGNATURE-----