-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-PR-2000-0004 JPCERT/CC JPCERT/CC 活動概要 [ 2000年7月1日 〜 2000年9月30日 ] 発行日: 2000-10-27 ====================================================================== 2000年7月1日から2000年9月30日までの間に JPCERT/CC が受領したコンピュー タセキュリティインシデントに関する報告の件数は 660 件でした。 注: ここにあげた件数は、JPCERT/CC が受け付けた報告の件数です。実際のア タックの発生件数や、被害件数を類推できるような数値ではありません。また 類型ごとの実際の発生比率を示すものでもありません。一定以上の期間に渡る アクセスの要約レポートも含まれるため、アクセスの回数と報告件数も一般に 対応しません。報告元には、国内外のサイトが含まれます。 I. プローブ、スキャン、その他不審なアクセスに関する報告 JPCERT/CCでは、防御に成功したアタックや、コンピュータ/サービス/弱点 の探査を意図したアクセス、その他の不審なアクセス等、システムのアクセス 権において影響を生じないか、無視できるアクセスについて 557 件の報告を 受領しています。 このような探査は、自動化ツールを用いて大規模かつ無差別的に行なわれて います。セキュリティ上の弱点を放置していると、弱点の存在を検出され、ホ ストへの侵入等さまざまなアタックを受ける可能性があります。参考文献 [1] [2] [3] [4] [5] [6] および、次の URL をご参照ください。 http://www.jpcert.or.jp/at/2000/at000007.txt 今回受領した報告に含まれるアクセスのうち、主なものを以下に紹介します (順不同)。 * 以下の TCP ポートに対するアクセス 21(ftp), 22(ssh), 23(telnet), 25(smtp), 53(domain), 79(finger), 80(http), 8080(http-alt), 98, 109(pop2), 110(pop3), 111(sunrpc) (*1), 139(netbios-ssn), 143(imap), 635, 1080(socks), 1243, 3128, 12345, 27374(asp) * 以下の UDP ポートに対するアクセス 53(domain), 111(sunrpc) (*1), 137(netbios-ns), 31337 * 以下の ICMP メッセージタイプによるアクセス 8 (Echo) * Web サーバの CGI プログラムに対するアクセス (*2) (*1) 通常、このアクセスは他の RPC サービスに対するアクセスの前段 階として行なわれます。この項目に分類されているアクセスについては、 他の RPC サービスへのアクセスを意図したアクセスである可能性もあ ります。参考文献 [7] をご参照下さい。 (*2) http://ホスト名/cgi-bin/... という URL へのアクセスが報告さ れています。参考文献 [8] [9] [10] [11] [12] [13] をご参照下さい。 II. 電子メール配送プログラムへのアクセス JPCERT/CCでは、電子メール配送プログラムへの、電子メールの中継を目的 としたアクセスについて 27 件の報告を受領しています。 この攻撃を受けたホストは、大量の電子メールの中継地点として計算機資源 を利用される可能性があります。電子メールの中継については、参考文献 [14] をご参照ください。 III. 電子メールの送信ヘッダを詐称したメールの配送 JPCERT/CCでは、電子メールの送信ヘッダを詐称した電子メールの配送につ いて 30 件の報告を受領しています。 電子メールの送信ヘッダーを詐称して、メールの中継には関与していない、 第三のサイトへのメールの配送が行なわれております。これらのメールが配送 された結果、多量のエラーメールが作成され、計算機資源やネットワーク領域 が消費される可能性があります。また、これらのメールの発信元であるという 疑いをもたれる可能性があります。送信ヘッダを詐称した電子メールの中継に ついては参考文献 [15] をご参照ください。 IV. システムへの侵入 JPCERT/CCでは、管理者権限の盗用が認められる場合を含め、システムへの 侵入について 24 件の報告を受領しています。侵入を受けた場合の対応につい ては、「コンピュータセキュリティインシデントへの対応」 の第 V. 章, 第 VI. 章を参照してください。 コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2000/ed000007.txt 今回受領した報告において、侵入の原因として指摘されている弱点のうち、 主なものを以下に紹介します。 DNS サーバプログラムに含まれる弱点 [16] [17] * named サーバプログラムに含まれる弱点については以下の URL も ご参照下さい。 named サーバプログラムを悪用したアタック http://www.jpcert.or.jp/at/2000/at000006.txt FTP サーバプログラムに含まれる弱点 [18] [19] [20] rpc.ttdbserverd サーバプログラムに含まれる弱点 [21] rpc.statd サーバプログラムに含まれる弱点 [22] [23] [24] * rpc.statd サーバプログラムに含まれる弱点については以下の URL もご参照下さい。 statd サーバプログラムを悪用したアタック http://www.jpcert.or.jp/at/2000/at000005.txt 今回受領した報告において、侵入後に行なわれた操作として指摘されている 行為のうち、主なものを以下に紹介します。 (1) 当該サイトを経由した他サイトへのアクセス (2) ファイルの置き換えやログの消去等のシステムの改ざん (3) サーバプログラムのインストール (4) ネットワークの傍受 V. ネットワークやコンピュータの運用を妨害しようとする攻撃 JPCERT/CCでは、大量のパケットや予期しないデータの送信によって、サイ トのネットワークやホストのサービス運用を妨害しようとするアクセスについ て 14 件の報告を受領しています。参考文献 [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] をご参照ください。また、参考文献 [6] もご参照くだ さい。このアクセスへの対応については、以下の URL をご参照下さい。 サービス運用妨害攻撃に対する防衛 http://www.jpcert.or.jp/ed/2000/ed000008.txt VI. その他 インターネットを介して伝播するワーム、トロイの木馬、コンピュータウィ ルス、IP アドレスを詐称したパケットの偽造、Web ページの改竄等について 14 件の報告を受領しています。 __________ Appendix. 参考文献 [1] IN-98.02: New Tools Used For Widespread Scans http://www.cert.org/incident_notes/IN-98.02.html [2] IN-98.04: Advanced Scanning http://www.cert.org/incident_notes/IN-98.04.html [3] IN-98.05: Probes with Spoofed IP Addresses http://www.cert.org/incident_notes/IN-98-05.html [4] IN-98.06: Automated Scanning and Exploitation http://www.cert.org/incident_notes/IN-98-06.html [5] IN-99-01: "sscan" Scanning Tool http://www.cert.org/incident_notes/IN-99-01.html [6] Packet Filtering for Firewall Systems http://www.cert.org/tech_tips/packet_filtering.html [7] IN-99-04: Similar Attacks Using Various RPC Services http://www.cert.org/incident_notes/IN-99-04.html [8] CA-1996-06 Vulnerability in NCSA/Apache CGI example code http://www.cert.org/advisories/CA-1996-06.html (日本語訳) http://www.jpcert.or.jp/tr/cert_advisories/CA-96.06.txt [9] CA-1996-11 Interpreters in CGI bin Directories http://www.cert.org/advisories/CA-1996-11.html (日本語訳) http://www.jpcert.or.jp/tr/cert_advisories/CA-96.11.txt [10] CA-1997-07 Vulnerability in the httpd nph-test-cgi script http://www.cert.org/advisories/CA-1997-07.html [11] CA-1997-12 Vulnerability in webdist.cgi http://www.cert.org/advisories/CA-1997-12.html [12] CA-1997-24 Buffer Overrun Vulnerability in Count.cgi cgi-bin Program http://www.cert.org/advisories/CA-1997-24.html [13] How To Remove Meta-characters From User-Supplied Data In CGI Scripts http://www.cert.org/tech_tips/cgi_metacharacters.html [14] Email Bombing and Spamming http://www.cert.org/tech_tips/email_bombing_spamming.html [15] Spoofed/Forged Email http://www.cert.org/tech_tips/email_spoofing.html [16] CA-1999-14 Multiple Vulnerabilities in BIND http://www.cert.org/advisories/CA-1999-14.html [17] CA-2000-03 Continuing Compromises of DNS servers http://www.cert.org/advisories/CA-2000-03.html [18] CA-1999-03 FTP Buffer Overflows http://www.cert.org/advisories/CA-1999-03.html [19] CA-1999-13 Multiple Vulnerabilities in WU-FTPD http://www.cert.org/advisories/CA-1999-13.html [20] CA-2000-13 Two Input Validation Problems In FTPD http://www.cert.org/advisories/CA-2000-13.html [21] CA-1998-11 Vulnerability in ToolTalk RPC Service http://www.cert.org/advisories/CA-1998-11.html [22] CA-1997-26 Buffer Overrun Vulnerability in statd(1M) Program http://www.cert.org/advisories/CA-1997-26.html [23] CA-1999-05 Vulnerability in statd exposes vulnerability in automountd http://www.cert.org/advisories/CA-1999-05.html [24] CA-2000-17 Input Validation Problem in rpc.statd http://www.cert.org/advisories/CA-2000-17.html [25] Denial of Service Attacks http://www.cert.org/tech_tips/denial_of_service.html [26] CA-1996-01 UDP Port Denial-of-Service Attack http://www.cert.org/advisories/CA-1996-01.html (日本語訳) http://www.jpcert.or.jp/tr/cert_advisories/CA-96.01.txt [27] CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks http://www.cert.org/advisories/CA-1996-21.html [28] CA-1996-26 Denial-of-Service Attack via ping http://www.cert.org/advisories/CA-1996-26.html [29] CA-1997-28 IP Denial-of-Service Attacks http://www.cert.org/advisories/CA-1997-28.html [30] CA-1998-01 Smurf IP Denial-of-Service Attacks http://www.cert.org/advisories/CA-1998-01.html [31] CA-1998-13 Vulnerability in Certain TCP/IP Implementations http://www.cert.org/advisories/CA-1998-13.html [32] CA-1999-17 Denial-of-Service Tools http://www.cert.org/advisories/CA-1999-17.html [33] CA-2000-01 Denial-of-Service Developments http://www.cert.org/advisories/CA-2000-01.html [34] IN-99-07: Distributed Denial of Service Tools http://www.cert.org/incident_notes/IN-99-07.html __________ <JPCERT/CC からのお知らせとお願い> 本文書で解説したコンピュータセキュリティインシデントも含め、インター ネット上で引き起こされるさまざまなコンピュータセキュリティインシデント に関する情報がありましたら、info@jpcert.or.jp までご提供くださいますよ うお願いします。JPCERT/CC の所定の報告様式は次の URL にございます。 http://www.jpcert.or.jp/form.txt 報告様式にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 JPCERT/CC では、コンピュータセキュリティインシデントに関する情報を迅 速にご提供するために、メーリングリストを開設しています。登録の方法等、 詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 __________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とし たものではありません。個別の問題に関するお問い合わせ等に対して必ずお答 えできるとは限らないことをあらかじめご了承ください。また、本件に関する ものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、 お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきくだ さい。 注: この文書は、コンピュータセキュリティインシデントに関する一般的な情 報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサル ティングを目的としたものではありません。また JPCERT/CC は、この文書に 記載された情報の内容が正確であることに努めておりますが、正確性を含め一 切の品質についてこれを保証するものではありません。この文書に記載された 情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかっ た行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与える ものではありません。 __________ 2000 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。また、最新情報につ いては JPCERT/CC の Web サイト http://www.jpcert.or.jp/ を参照してください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 http://www.jpcert.or.jp/jpcert.asc __________ 改訂履歴 2000-10-27 初版 (JPCERT-PR-2000-0004) -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv Comment: Processed by Mailcrypt 3.5b7, an Emacs/PGP interface iQCVAwUBOfjYgIx1ay4slNTtAQGEhgQAwt5U4yKocBZbqFqkN3xJl5z3mc55kYcD WhRLGrVvOifPLM2C1Wuemcrjbm/xmyZT/EejJmG5G/o/zLI1vSl9QBtHmsXgSVpx VnlVTUFFnF7lkS0+YEnyc0UoRhONAmPDVSwxRF49VaAhwAiVFMMBEEA+LamzNCL4 edClYdKKhvg= =q62V -----END PGP SIGNATURE-----