-----BEGIN PGP SIGNED MESSAGE-----

======================================================================
                                                   JPCERT-PR-2001-0001
                                                             JPCERT/CC

JPCERT/CC 活動概要 [ 2000年10月1日 ～ 2000年12月31日 ]

発行日: 2001-01-30
======================================================================

2000年10月1日から2000年12月31日までの間に JPCERT/CC が受領したコンピュー
タセキュリティインシデントに関する報告の件数は 518 件でした。

注: ここにあげた件数は、JPCERT/CC が受け付けた報告の件数です。実際のア
    タックの発生件数や被害件数を類推できるような数値ではありません。ま
    た類型ごとの実際の発生比率を示すものでもありません。一定以上の期間
    に渡るアクセスの要約レポートも含まれるため、アクセスの回数と報告件
    数も一般に対応しません。報告元には、国内外のサイトが含まれます。

I. プローブ、スキャン、その他不審なアクセスに関する報告

  JPCERT/CC では、「防御に成功したアタック」や「コンピュータ/サービス/
弱点の探査を意図したアクセス」、「その他の不審なアクセス」等、システム
のアクセス権において影響を生じないか、無視できるアクセスについてのイン
シデント報告を 401 件受領しました。

  このような探査は、自動化ツールを用いて大規模かつ無差別的に行なわれて
います。セキュリティ上の弱点を放置していると、弱点の存在を検出され、ホ
ストへの侵入等さまざまなアタックを受ける可能性があります。参考文献 [1]
[2] [3] [4] [5] [6] および、次の URL をご参照下さい。

        http://www.jpcert.or.jp/at/2000/at000007.txt

  今回受領した報告に含まれるアクセスのうち、主なものを以下に紹介します
(順不同)。

      * 以下の TCP ポートに対するアクセス

          21(ftp), 22(ssh), 23(telnet), 25(smtp), 53(domain),
          79(finger), 80(http), 8080(http-alt), 98, 109(pop2),
          110(pop3), 111(sunrpc)(*1), 137(netbios-ns),
          139(netbios-ssn), 143(imap), 161(snmp), 515, 1080(socks),
          1243, 3128, 9704, 12345, 27374(asp), 31337

      * 以下の UDP ポートに対するアクセス

          53(domain), 111(sunrpc) (*1), 137(netbios-ns), 161(snmp),
          31789, 44767

      * 以下の ICMP メッセージタイプによるアクセス

          8(echo)

      * Web サーバの CGI プログラムに対するアクセス (*2)


      (*1) 通常、このアクセスは他の RPC サービスに対するアクセスの前段
      	   階として行なわれます。この項目に分類されているアクセスにつ
      	   いては、他の RPC サービスへのアクセスを意図したアクセスであ
      	   る可能性もあります。参考文献 [7] をご参照下さい。

      (*2) http://ホスト名/cgi-bin/... という URL へのアクセスが報告さ
      	   れています。参考文献 [8] [9] [10] [11] [12] [13] をご参照下
      	   さい。

II. 電子メール配送プログラムへのアクセス

  JPCERT/CC では、電子メール配送プログラムへの電子メールの中継を目的と
したアクセスについてのインシデント報告を 24 件受領しました。

  この攻撃を受けたホストは、大量の電子メールの中継地点として計算機資源
を利用される可能性があります。電子メールの中継については、参考文献
[14] をご参照下さい。


III. 電子メールの送信ヘッダを詐称したメールの配送

  JPCERT/CC では、電子メールの送信ヘッダを詐称した電子メールの配送につ
いてのインシデント報告を 39 件受領しました。

  メールの配送に関与していない第三者サイトから発信された、または第三者
サイトを経由したかのように詐称された送信ヘッダを持つ電子メールの配送が
行なわれています。これらのメールは宛先が必ずしも配送可能ではないため、
結果として多量のエラーメールが第三者サイトに配送され、計算機資源やネッ
トワーク帯域が消費される可能性があります。また、第三者サイトが、これら
のメールの発信元であるという疑いをもたれる可能性があります。送信ヘッダ
を詐称した電子メールの中継については参考文献 [15] をご参照下さい。


IV. システムへの侵入

  JPCERT/CC では、管理者権限の盗用が認められる場合を含め、システムへの
侵入についてのインシデント報告を 27 件受領しました。侵入を受けた場合の
対応については、「コンピュータセキュリティインシデントへの対応」の
第 V.章、 第 VI.章をご参照下さい。

        コンピュータセキュリティインシデントへの対応
        http://www.jpcert.or.jp/ed/2000/ed000007.txt

  今回受領した報告において侵入の原因として指摘されている弱点および侵入
後に行なわれた操作として指摘されている行為のうち、主なものを以下に紹介
します。

   1) 侵入の原因として指摘されている弱点

       DNS サーバプログラムに含まれる弱点 [16] [17]

	 * BIND に含まれる弱点については以下の URL も
	   ご参照下さい。

	   named サーバプログラムを悪用したアタック
	   http://www.jpcert.or.jp/at/2000/at000006.txt

       FTP サーバプログラムに含まれる弱点 [18] [19] [20] [21]

   2) 侵入後に行なわれた操作として指摘されている行為

       当該サイトを経由した他サイトへのアクセス
       ファイルの置き換えやログの消去等、システムの改ざん
       サーバプログラムのインストール
       ネットワークの傍受


V. ネットワークやコンピュータの運用妨害を目的としたアクセス

  JPCERT/CC では、大量のパケットや予期しないデータの送信によって、サイ
トのネットワークやホストのサービスの運用妨害を目的としたアクセスについ
てのインシデント報告を 6 件受領しました。参考文献 [6] [22] [23] [24]
[25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] をご参照下
さい。このアクセスへの対応については、以下の URL をご参照下さい。

        サービス運用妨害攻撃に対する防衛
        http://www.jpcert.or.jp/ed/2000/ed000008.txt


VI. その他

  インターネットを介して伝播するワーム、トロイの木馬、コンピュータウィ
ルス、管理者の意図しない中継を目的としたプロキシサーバへのアクセス、
Web ページの改ざん等についてのインシデント報告を 21 件受領しています。

__________

Appendix. 参考文献

[1] IN-98.02: New Tools Used For Widespread Scans

    http://www.cert.org/incident_notes/IN-98.02.html

[2] IN-98.04: Advanced Scanning

    http://www.cert.org/incident_notes/IN-98.04.html

[3] IN-98.05: Probes with Spoofed IP Addresses

    http://www.cert.org/incident_notes/IN-98-05.html

[4] IN-98.06: Automated Scanning and Exploitation

    http://www.cert.org/incident_notes/IN-98-06.html

[5] IN-99-01: "sscan" Scanning Tool

    http://www.cert.org/incident_notes/IN-99-01.html

[6] Packet Filtering for Firewall Systems

    http://www.cert.org/tech_tips/packet_filtering.html

[7] IN-99-04: Similar Attacks Using Various RPC Services

    http://www.cert.org/incident_notes/IN-99-04.html

[8] CA-1996-06 Vulnerability in NCSA/Apache CGI example code

    http://www.cert.org/advisories/CA-1996-06.html

   (日本語訳)
    http://www.jpcert.or.jp/tr/cert_advisories/CA-96.06.txt

[9] CA-1996-11 Interpreters in CGI bin Directories

    http://www.cert.org/advisories/CA-1996-11.html

   (日本語訳)
    http://www.jpcert.or.jp/tr/cert_advisories/CA-96.11.txt

[10] CA-1997-07 Vulnerability in the httpd nph-test-cgi script

    http://www.cert.org/advisories/CA-1997-07.html

[11] CA-1997-12 Vulnerability in webdist.cgi

    http://www.cert.org/advisories/CA-1997-12.html

[12] CA-1997-24 Buffer Overrun Vulnerability in Count.cgi cgi-bin Program

    http://www.cert.org/advisories/CA-1997-24.html

[13] How To Remove Meta-characters From User-Supplied Data In CGI Scripts

    http://www.cert.org/tech_tips/cgi_metacharacters.html

[14] Email Bombing and Spamming

    http://www.cert.org/tech_tips/email_bombing_spamming.html

[15] Spoofed/Forged Email

    http://www.cert.org/tech_tips/email_spoofing.html

[16] CA-1999-14 Multiple Vulnerabilities in BIND

    http://www.cert.org/advisories/CA-1999-14.html

[17] CA-2000-03 Continuing Compromises of DNS servers

    http://www.cert.org/advisories/CA-2000-03.html

[18] CA-1999-03 FTP Buffer Overflows

    http://www.cert.org/advisories/CA-1999-03.html

[19] CA-1999-13 Multiple Vulnerabilities in WU-FTPD

    http://www.cert.org/advisories/CA-1999-13.html

[20] CA-2000-13 Two Input Validation Problems In FTPD

    http://www.cert.org/advisories/CA-2000-13.html

[21] IN-2000-10: Widespread Exploitation of rpc.statd and wu-ftpd Vulnerabilities

    http://www.cert.org/incident_notes/IN-2000-10.html

[22] Denial of Service Attacks

    http://www.cert.org/tech_tips/denial_of_service.html

[23] CA-1996-01 UDP Port Denial-of-Service Attack

    http://www.cert.org/advisories/CA-1996-01.html

   (日本語訳)
    http://www.jpcert.or.jp/tr/cert_advisories/CA-96.01.txt

[24] CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks

    http://www.cert.org/advisories/CA-1996-21.html

[25] CA-1996-26 Denial-of-Service Attack via ping

    http://www.cert.org/advisories/CA-1996-26.html

[26] CA-1997-28 IP Denial-of-Service Attacks

    http://www.cert.org/advisories/CA-1997-28.html

[27] CA-1998-01 Smurf IP Denial-of-Service Attacks

    http://www.cert.org/advisories/CA-1998-01.html

[28] CA-1998-13 Vulnerability in Certain TCP/IP Implementations

    http://www.cert.org/advisories/CA-1998-13.html

[29] CA-1999-17 Denial-of-Service Tools

    http://www.cert.org/advisories/CA-1999-17.html

[30] CA-2000-01 Denial-of-Service Developments

    http://www.cert.org/advisories/CA-2000-01.html

[31] CA-2000-11 MIT Kerberos Vulnerable to Denial-of-Service Attacks

    http://www.cert.org/advisories/CA-2000-11.html

[32] CA-2000-20: Multiple Denial-of-Service Problems in ISC BIND

    http://www.cert.org/advisories/CA-2000-20.html

[33] CA-2000-21: Denial-of-Service Vulnerabilities in TCP/IP Stacks

    http://www.cert.org/advisories/CA-2000-21.html

[34] IN-99-07: Distributed Denial of Service Tools

    http://www.cert.org/incident_notes/IN-99-07.html

[35] IN-2000-04: Denial of Service Attacks using Nameservers

    http://www.cert.org/incident_notes/IN-2000-04.html

[36] IN-2000-05: "mstream" Distributed Denial of Service Tool

    http://www.cert.org/incident_notes/IN-2000-05.html


_____________________________________________________________________

＜JPCERT/CC からのお知らせとお願い＞

  本文書で解説したコンピュータセキュリティインシデントも含め、インター
ネット上で引き起こされるさまざまなコンピュータセキュリティインシデント
に関する情報がありましたら、info@jpcert.or.jp までご提供下さいますよう
お願いします。JPCERT/CC の所定の報告様式は以下の URL にございます。

    http://www.jpcert.or.jp/form.txt

報告様式にご記載のうえ、関連するログファイルのメッセージとともに、

    info@jpcert.or.jp

までお送り下さい。

  JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示
することはありません。JPCERT/CC の組織概要につきましては、次の URL
をご参照下さい。

    http://www.jpcert.or.jp/

  JPCERT/CC では、コンピュータセキュリティインシデントに関する情報を迅
速にご提供するために、メーリングリストを開設しています。登録の方法等、
詳しくは、次の URL をご参照下さい。

    http://www.jpcert.or.jp/announce.html

__________

<ご注意>

  JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とした
ものではありません。個別の問題に関するお問い合わせ等に対して必ずお答え
できるとは限らないことをあらかじめご了承下さい。また、本件に関するもの
も含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お
答えできる場合でもご回答が遅れる可能性があることを何卒ご承知下さい。

  この文書は、コンピュータセキュリティインシデントに関する一般的な情報
提供を目的とするものであり、特定の個人や組織に対する、個別のコンサルティ
ングを目的としたものではありません。また JPCERT/CC は、この文書に記載
された情報の内容が正確であることに努めておりますが、正確性を含め一切の
品質についてこれを保証するものではありません。この文書に記載された情報
に基づいて、貴方あるいは貴組織がとられる行動、または、とられなかった行
動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるもの
ではありません。
__________


2001 (c) JPCERT/CC

  この文書を転載する際には、全文を転載して下さい。また、最新情報につ
いては JPCERT/CC の Web サイトをご参照下さい。

        http://www.jpcert.or.jp/

  JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。

        http://www.jpcert.or.jp/jpcert.asc

__________

改訂履歴

2001-01-30  初版 (JPCERT-PR-2001-0001)

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv
Comment: Processed by Mailcrypt 3.5.5, an Emacs/PGP interface

iQCVAwUBOnZw6Ix1ay4slNTtAQHiXQP/UinBW1rH8RCSMCchmV3cW1z3U6r1FVWl
2AAQuYynuvwRmKjsK98M3d59a1Q21+rjiQSkjnB7LX+mX1aKTCOau7VLNQGv/STj
LXg7cA38bZ/nhoSacgXMo2008e8mm0ngo0YPC3mAIL91a73Lp2mECDAtzsdSdT4z
HFPXTKEQX3I=
=PpHH
-----END PGP SIGNATURE-----