-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-PR-2005-0005 JPCERT/CC JPCERT/CC 活動概要 [ 2005年7月1日 〜 2005年9月30日 ] 初 版: 2005-10-12 (Ver.01) 発行日: 2006-02-22 (Ver.02) ====================================================================== §1. インシデント報告 http://www.jpcert.or.jp/ir/ 情報システムにおけるインシデントとは、正当な権限をもたない人がコン ピュータを不正に利用するようなコンピュータのセキュリティに関わる事件、 出来事の全般を指します。このようなインシデントが発生した場合、その被害 の拡大を最小限にするための行動を、我々はインシデント対応 (レスポンス) と呼んでいます。 JPCERT/CC では、広く皆様にインシデントに関する情報提供のご協力をお願い して、インシデント対応のサービスを行っております。 JPCERT/CC が 2005年7月1日から2005年9月30日までの間に受領したコンピュー タセキュリティインシデントに関する報告の件数は 667 件でした。 注: ここにあげた数字は、JPCERT/CC が受け付けた報告の件数です。従って、 実際のアタックの発生件数や、被害件数を類推できるような数値ではあ りません。また類型ごとの実際の発生比率を示すものでもありません。 一定以上の期間に渡るアクセスの要約レポートも含まれるため、アクセ スの回数と報告件数も一般に対応しません。また、報告元には、国内外 のサイトが含まれます。 I. インシデント報告の送信元による分類 JPCERT/CC が受領したインシデント報告の送信元をトップレベルドメインで 分類したもののうち、件数の多いものは以下の通りです。 .net 386 件 .jp 272 件 .br 116 件 .edu 78 件 .kr 40 件 .fr 38 件 .com 34 件 .dk 14 件 II. インシデント報告より派生した通知連絡 JPCERT/CC から国内外の関連するサイトに通知連絡した件数は 368件です。 この通知連絡数は、アクセス元などへの連絡仲介依頼を含むインシデント報告 に基づいて行われたものです。 III. インシデント報告のタイプ別分類 (1) プローブ、スキャン、その他不審なアクセス (scan) JPCERT/CC では、防御に成功したアタックや、コンピュータ/サービス/弱点 の探査を意図したアクセス、その他の不審なアクセス等、システムのアクセス 権において影響が生じない、または、無視できるアクセスについて 578件の 報告を受領しています。 7月 165件 8月 227件 9月 186件 このような探査は、自動化ツールを用いて広範囲に渡る任意のホストに対し て行なわれています。セキュリティ上の弱点を放置していると、弱点の存在を 検出され、ホストへの侵入等さまざまなアタックを受ける可能性があります。 参考文献 [1] [2] [3] [4] [5] [6] をご参照ください。 22 (ssh) 230件 (*1) 9898 (monkeycom) 53件 1023 51件 (*1) 1434 (ms-sql-m) 21件 5554 (sgi-esphttp) 21件 (*1) 445 (microsoft-ds) 20件 (*1) 21 14件 1433 (ms-sql-s) 10件 (*1) 80 (http) 6件 (*1) 139 (netbios-ssn) 5件 (*1) 1025 (blackjack) 5件 15118 5件 135 (epmap) 4件 (*1) 138 (netbios-dgm) 4件 3306 (mysql) 3件 25 (smtp) 3件 2100 (miganetfs) 3件 6129 3件 (*2) 2745 (urbisnet) 2件 5900 2件 11768 2件 総合的なプローブ、スキャン 91件 (*3) (*1) ワームによる感染の試みやワームなどによって設置されたバックドア からの侵入の試みと思われるアクセスが報告されています。参考文献 [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] をご参照ください。 また、以下の URL もご参照ください。 Microsoft 製品の脆弱性を使って伝播するワームに関する注意喚起 http://www.jpcert.or.jp/at/2005/at050008.txt Microsoft 製品に含まれる脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050007.txt TCP 1433番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050006.txt VERITAS Backup Exec に含まれる脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050004.txt OpenSSH の脆弱性を使ったシステムへの侵入に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050003.txt phpBB の脆弱性を使って伝播するワームに関する注意喚起 http://www.jpcert.or.jp/at/2004/at040011.txt Windows LSASS の脆弱性を使って伝播するワーム W32/Sasser http://www.jpcert.or.jp/at/2004/at040006.txt Status Tracking Note TRJVN-2004-02 W32/Sasser ワーム http://jvn.jp/tr/TRJVN-2004-02/ JP Vendor Status Note JVNCA-2004-02 大量に電子メールを配信するワーム http://jvn.jp/cert/JVNCA-2004-02/ Netsky.Q のサービス運用妨害攻撃に関する注意喚起 http://www.jpcert.or.jp/at/2004/at040002.txt Microsoft ASN.1 Library の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2004/at040001.txt TCP 139番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030007.txt Microsoft IIS 5.0 の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030003.txt TCP 135番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030005.txt Windows RPC の脆弱性を使用するワームに関する注意喚起 http://www.jpcert.or.jp/at/2003/at030006.txt OpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム http://www.jpcert.or.jp/at/2002/at020006.txt TCP 1433番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2002/at020002.txt Microsoft IIS の脆弱性を使って伝播するワーム http://www.jpcert.or.jp/at/2001/at010018.txt Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II" http://www.jpcert.or.jp/at/2001/at010020.txt 80番ポート (HTTP) へのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2001/at010023.txt (*2) リモートコントロールソフトへの接続を試みたと思われるアクセスの 可能性があります。参考文献 [26] をご参照ください。 (*3) 総合的なプローブスキャンとは、同一発信元からの複数ポートに対す るスキャンなど、いくつかのプローブスキャン情報をまとめてご報告 いただいたものです。 (2) 送信ヘッダを詐称した電子メールの配送 (forged) JPCERT/CC では、差出人アドレスなどの送信ヘッダを詐称した電子メールの 配送について 1件の報告を受領しています。 電子メールの送信ヘッダを詐称して、メールの中継には関与していない第三 のサイトへのメール配送が行なわれています。この結果、多量のエラーメール が作成され、計算機資源やネットワーク領域が消費される可能性があります。 また、差出人アドレスを詐称された場合、これらのメールの発信元であると いう疑いをもたれる可能性があります。送信ヘッダを詐称した電子メールの配 送については参考文献 [20] [22] [29] をご参照ください。 (3) システムへの侵入 (intrusion) JPCERT/CC では、管理者権限の盗用が認められる場合を含むシステムへの侵 入について 11件の報告を受領しています。 侵入を受けた場合の対応については、以下の URL で公開している文書「コ ンピュータセキュリティインシデントへの対応」の V. および VI. を参照し てください。 コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2002/ed020002.txt 今回受領した報告において、侵入後に行なわれた操作として指摘されている 行為のうち、主なものを以下に紹介します。 - 当該サイトを経由した他サイトへのアクセス (ワームを含む) - システムの改ざん (ファイルの置き換え、ログの消去、Webページの改 ざんなど) - ファイルの不正な公開 (4) Web 偽装詐欺 (phishing) JPCERT/CC では、銀行などのサイトであると詐称して、Web のフォームなど から入力された口座番号やキャッシュカードの暗証番号といった個人情報を盗 み取る Web 偽装詐欺について 75件の報告を受領しています。 Web 偽装詐欺に用いる Web サイトの構築を目的として、システムへの侵入 が行われたり、ドメインを乗っ取る行為があります。 Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起 http://www.jpcert.or.jp/at/2005/at050002.txt DNS サーバの設定とドメイン名の登録に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050005.txt システムが Web 偽装詐欺に用いられた場合の対応については、以下の URL で公開している文書「コンピュータセキュリティインシデントへの対応」の V. および VI.を参照してください。 コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2002/ed020002.txt また、Web 偽装詐欺に対する Web ブラウザの設定に関しては、以下の参考 文献 [30] をご参照ください。 (5) その他 (other) JPCERT/CC では、上記 (1) から (4) に含まれないインシデント (コンピュー タウィルスや SPAM メールの受信、架空請求、その他に関する問い合わせなど) について 11件の報告を受領しています。 以上 (1) から (5) をまとめたものが、以下の表です。 scan forged intrusion phishing other Total ----------------------------------------------------------------- 7月 165 0 3 22 2 192 8月 227 1 3 29 6 266 9月 186 0 5 24 3 218 ----------------------------------------------------------------- 578 1 11 75 11 676 scan : プローブ、スキャン、その他不審なアクセス forged : 送信ヘッダを詐称した電子メールの配送 intrusion : システムへの侵入 phishing : 認証情報等の不正取得 other : その他 §2. インターネット定点観測システム (ISDAS) 運用 http://www.jpcert.or.jp/isdas/ インターネット上に設置した複数のセンサーから得られる情報を解析すると ともに、世の中に流布するセキュリティ脆弱性情報などをあわせて総合的に評 価した上で、セキュリティ予防観測に関する情報を提供するサービスを行なっ ています。 I. ポートスキャン概況 インターネット定点観測システムの観測結果はスキャン推移を表すグラフと して JPCERT/CC の Web ページを通じて公開しています。2005年3月16日より 従来より公開していたアクセス先ポート別グラフに加え、アクセス元地域別グ ラフを公開しています。アクセス先ポート別グラフはスキャンログをアクセス 先ポート別に集計し、総計をセンサーの台数で割った平均値を用い作成してい ます。また、アクセス元地域別グラフはスキャンログをアクセス元地域別に集 計し、総計をセンサーの台数で割った平均値を用いています。 JPCERT/CCインターネット定点観測システムの説明 http://www.jpcert.or.jp/isdas/readme.html 2005年7月1日から2005年9月30日までの間に ISDAS で観測されたアクセス先 ポートおよびアクセス元地域に関する平均値の上位1位〜5位までの推移を以下 のグラフに示します。 - アクセス先ポートグラフ top1-5 http://www.jpcert.or.jp/isdas/2005/2005q3top1-5_port.png - アクセス元地域別グラフ top1-5 http://www.jpcert.or.jp/isdas/2005/2005q3top1-5_region.png また、より長期間のスキャン推移を表すグラフとして、2004年10月1日から 2005年9月30日までの期間における、アクセス先ポートおよびアクセス元地域 に関する平均値の上位1位〜5位までの推移を以下のグラフに示します。 - アクセス先ポートグラフ top1-5 http://www.jpcert.or.jp/isdas/2005/2004-2005q3top1-5_port.png - アクセス元地域別グラフ top1-5 http://www.jpcert.or.jp/isdas/2005/2004-2005q3top1-5_region.png II. おもなインシデントにおける観測状況 ISDAS システムおいて下記に記載するようなスキャン事例を観測したため、 ISDAS ページに注意文の掲載および注意喚起の発行等を行いました。 (1) TCP 1433番ポートへのスキャン増加 2005年7月10日から7月16日、7月22日から7月27日まで、TCP 1433番ポートへ のスキャン増加を観測したため、ISDAS ページに注意文の掲載および注意喚起 の発行を行いました。 - アクセス先ポート別グラフ TCP 1433番ポート (2005/7/1-2005/7/31) http://www.jpcert.or.jp/isdas/2005/20050701-0731_tcp1433_port.png - アクセス元地域別ポート指定グラフ TCP 1433番ポート (2005/7/1-2005/7/31) http://www.jpcert.or.jp/isdas/2005/20050701-0731_tcp1433_region.png (2) TCP 143番ポートへのスキャン増加 2005年8月3日より TCP 143番ポートへのスキャン増加を観測しました。現在 も同ポートへのスキャンを観測しています。 - アクセス元地域別ポート指定グラフ TCP 143番ポート (2005/7/1-2005/9/30) http://www.jpcert.or.jp/isdas/2005/20050701-0930_tcp143_region.png (3) TCP 135番ポート及び TCP 445番ポートへのスキャン増加 2005年8月17日から9月2日まで、TCP 135番ポートおよび TCP 445番ポートへの スキャン増加を観測したため、ISDAS ページに注意文を掲載しました。 - アクセス先ポート別グラフ TCP 135番ポートおよび TCP 445番ポート (2005/7/1-2005/9/30) http://www.jpcert.or.jp/isdas/2005/20050701-0930_tcp135-tcp445_port.png III. その他 (1) TCP 1433番ポートへのスキャンの増加に関する注意喚起のページへの リンクを追加 - TCP 1433番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050006.txt (2) eCSIRT.net IDS ネットワークへの協力 JPCERT/CC では、ヨーロッパの CSIRT コミュニティ TF-CSIRT で 行なわれている IDS ネットワークへの技術協力をしています。詳細につきましては 以下の参考文献 [31] [32] をご参照ください。 http://www.ecsirt.net/ §3. 脆弱性情報流通 http://www.jpcert.or.jp/vh/ I. コーディネーションを行い公開した脆弱性情報および対応状況 2005年7月1日から2005年9月30日までの間に、JPCERT/CC が日本国内の製品 開発者 (ベンダ) などの関連組織とのコーディネーションを行ない、公開した 脆弱性情報および対応状況は 31件です。 このうち、経済産業省告示「ソフトウェア等脆弱性関連情報取扱基準」に従っ て、独立行政法人情報処理推進機構 (IPA) に報告され、公開された脆弱性情 報および対応状況は 14件です。 JVN#79314822: Tomcat におけるリクエスト処理に関する脆弱性 JVN#76659792: WirelessIP5000 に複数の脆弱性 JVN#31226748: 複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性 JVN#79925E6F: unicode 版 msearch におけるクロスサイトスクリプティングの脆弱性 JVN#62914675: Ruby においてセーフレベル 4 がサンドボックスとして機能しない脆弱性 JVN#40940493: Webmin および Usermin における認証回避の脆弱性 JVN#97422426: ハイパー日記システムにおけるクロスサイト・リクエスト・フォージェリの脆弱性 JVN#42435855: FreeStyleWiki におけるコマンドインジェクションの脆弱性 JVN#23727054: Pochy におけるサービス運用妨害 (DoS) の脆弱性 JVN#8778A308: Common Management Agent 3.x における情報漏えいの脆弱性 JVN#38138980: Hiki におけるクロスサイトスクリプティングの脆弱性 JVN#29273468: QRcode Perl CGI & PHP scripts におけるサービス運用妨害の脆弱性 JVN#60776919: tDiary におけるクロスサイト・リクエスト・フォージェリの脆弱性 JVN#257C6F28: Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性 また、残りの 17件は海外 CSIRT とのパートナーシップに基づき、JPCERT/CC が日本国内のベンダのコーディネーションを行い、脆弱性情報を公開しました。 JVNVU#744929: mod_ssl にクライアント認証の回避が可能な脆弱性 JVNVU#102441: X server に複数の整数バッファオーバーフローの脆弱性 JVNVU#236045: Cisco IOS Firewall Authentication Proxy にバッファオーバーフローの脆弱性 JVNVU#139421: simpleproxy における書式文字列に関する脆弱性 JVNVU#778916: pam_ldap に認証回避が可能な脆弱性 JVNVU#407641: EMC Legato NetWorker の database service の認証機構に脆弱性 JVNVU#801089: EMC Legato NetWorker の portmapper にリモートからの要求を実行する脆弱性 JVNVU#606857: EMC Legato NetWorker の認証機構に関する脆弱性 JVNVU#930892: Cisco IOS に IPv6 パケットの処理に関する脆弱性 JVNVU#584505: VERITAS Backup Exec に遠隔からレジストリにアクセスされる脆弱性 JVNVU#352625: VERITAS Backup Exec Server Service にヒープオーバーフローの脆弱性 JVNVU#259798: MIT Kerberos5 Key Distribution Center にメモリのヒープ領域が破壊される脆弱性 JVNVU#623332: MIT Kerberos5 krb5_recvauth() におけるメモリ二重解放の脆弱性 JVNVU#885830: MIT Kerberos5 Key Distribution Center にヒープオーバフローの脆弱性 JVNVU#680620: データ圧縮ライブラリ zlib におけるバッファーオーバーフローの脆弱性 NISCC-688910: HP Ignite-UX に様々な脆弱性 NISCC-356752: MindAlign 製品に複数の脆弱性 II. 海外 CSIRT との脆弱性関連情報流通協力体制の構築、国際的な活動 JPCERT/CC では、国際的な枠組みにおける脆弱性関連情報の円滑な流通のため、 海外の CSIRT の協力関係を構築、強化しています。具体的には、報告された 脆弱性関連情報の共有、ベンダへの通知の共同オペレーション、公開日の調整、各 国ベンダ情報等公開情報の共有を行っています。また、情報流通を効率化する ための共通ガイドラインやシステム構築、データ交換フォーマット、アドバイ ザリの標準フォーマットの策定等を共同で進めています。 主な関係機関は米国 CERT/CC、英国 NISCC (UNIRAS) です。各機関の詳細に ついては参考文献 [33] [34] をご参照ください。また以下の URL もご参照く ださい。 脆弱性関連情報コーディネーション概要 http://www.jpcert.or.jp/vh/ 主な活動は以下の通りです。 (1) intERLab/AIT カンファレンスへの参加および脆弱性情報に関するプレゼンテー ションの実施 太平洋地域でのインターネット組織で承認された、インターネット人材育成の ための intERLab にて開催されているカンファレンスがタイで行なわれ、脆弱性 ハンドリングに関するプレゼンテーションを実施しました。 プレゼンテーションタイトル 「IT Security Policy Guidelines - Japanese framework」 III. 日本国内の脆弱性情報流通体制の整備 JPCERT/CC では、経済産業省告示「ソフトウェア等脆弱性関連情報取扱基準」 (以下、本基準) に従って、日本国内の脆弱性情報流通体制を整備しています。 本基準については参考文献 [35] をご参照ください。また以下の URL もご参 照ください。 脆弱性関連情報コーディネーション概要 http://www.jpcert.or.jp/vh/ 「情報セキュリティ早期警戒パートナーシップ」の運用を開始 http://www.jpcert.or.jp/press/2004/0708.txt 情報セキュリティ早期警戒パートナーシップガイドライン http://www.jpcert.or.jp/vh/partnership_guide.pdf JPCERT/CC 脆弱性関連情報取り扱いガイドライン http://www.jpcert.or.jp/vh/guideline.pdf 主な活動は以下の通りです。 (1) 受付機関である独立行政法人情報処理推進機構 (IPA) との連携 本基準では、受付機関に IPA、調整機関に JPCERT/CC が指定されています。 このことから、JPCERT/CC は IPA と緊密に情報交換を行っています。また、 脆弱性検証ツールに関しても IPA との連携のもと分析を行っています。IPA の詳細については参考文献 [36] をご参照ください。 本基準における IPA の活動および四半期毎の届出状況については、参考文 献 [37] をご参照ください。 (2) 日本国内ベンダとの連携 本基準では、JPCERT/CC が脆弱性情報を提供する先として日本国内のベンダ リスト(製品開発者リスト)として各ベンダの連絡先情報を整備しています。以 下の URL をご参照ください。 JPCERT コーディネーションセンター製品開発者リスト登録規約 http://www.jpcert.or.jp/vh/agreement.pdf (3) JP Vendor Status Notes (JVN) の運用 JPCERT/CC は IPA と共同で、JVN を運用しています。JVN は、JPCERT/CC が取り扱った脆弱性情報に関して日本国内の製品開発者の脆弱性への対応状況 を公開するサイトです。これらの脆弱性情報には、本枠組みに参加している日 本国内の製品開発者の対応状況も含まれております。JVN については以下の URL をご参照ください。 JP Vendor Status Notes (JVN) http://jvn.jp/ JVN では上記「I. コーディネーションを行い公開した脆弱性情報および対 策状況」以外に当該期間中に 9件の脆弱性情報を公開しました。 JVNVU#573857: Mozilla ベースのブラウザにおける、不正な IDN を含む URI 処理に関するバッファオーバーフロー脆弱性 JVNVU#619988: Computer Associates Message Queuing ソフトウェアに複数のバッファオーバーフローの脆弱性 JVNVU#740372: Microsoft DDS Library Shape Control(msdds.dll) COM オブジェクトにおける脆弱性 JVNTA05-229A: Apple 社の Mac 製品に複数の脆弱性 JVNTA05-224A: VERITAS Backup Exec の認証情報に関する脆弱性 JVNTA05-221A: Microsoft Windows と Internet Explorer に関する脆弱性 JVNTA05-210A: Cisco IOS IPv6 に関する脆弱性 JVNTA05-194A: Oracle 製品群に複数の脆弱性 JVNTA05-193A: Microsoft Windows、Internet Explorer および Word における脆弱性 また、JVN の脆弱性対策情報を JS (JavaScript) 形式および RSS(RDF Site Summary) 形式で配信するサービスを 2005年9月9日から開始しました。 (4) OSC2005-FALL カンファレンスへの参加  オープンソースコミュニティに対して、日本国内の脆弱性情報流通体制に対する 理解を深めていただくために、脆弱性関連情報ハンドリング業務や関連活動の最新 状況を紹介するとともに、どのように対応すべきかなどのノウハウを解説しました。 §4. 公開文書 2005年7月1日から2005年9月30日までの間に JPCERT/CC が公開した文書は、 注意喚起 3件、JPCERT/CC レポート 13件、及び第2四半期の活動概要です。詳 細は以下の通りです。 I. 注意喚起 3件 http://www.jpcert.or.jp/at/ 2005-07-15 TCP 1433番ポートへのスキャンの増加に関する注意喚起 2005-08-10 Microsoft 製品に含まれる脆弱性に関する注意喚起 2005-08-15 Microsoft 製品の脆弱性を使って伝播するワームに関する注意喚起 II. JPCERT/CC レポート 13件 http://www.jpcert.or.jp/wr/ JPCERT/CC レポート内で扱ったセキュリティ関連情報の項目数は合計して 72件です。そのうち 13件は「今週の一口メモ」のコーナーで情報した情報で す。 III. 活動概要 1件 http://www.jpcert.or.jp/pr/ 2005-07-19 JPCERT/CC 活動概要 [ 2005年4月1日 〜 2005年6月30日 ] §5. その他の活動 2005年7月1日から2005年9月30日までの間に JPCERT/CC が実施した、上記 §1.〜4. 以外の活動は以下の通りです。 I. JPCERT/CC & Telecom-ISAC Japan セミナー Telecom-ISAC Japan との共催で、「JPCERT/CC & Telecom-ISAC Japan セミ ナー」を 2005年7月27日(水) に京王プラザホテルエミネンスホールにおいて 開催しました。本セミナーでは JPCERT/CC と Telecom-ISAC Japan のパート ナーシップに基づいたこれまでの活動とその実績、今後の展望を紹介しました。 Telecom-ISAC Japan の詳細については参考文献 [38] をご参照ください。 II. APCERT 事務局運営 http://www.jpcert.or.jp/english/secretariat.html アジア太平洋地域の CSIRT の集まりである、APCERT (Asia Pacific Computer Emergency Response Team) の事務局を担当しています。詳細は参考 文献 [39] をご参照ください。 III. FIRST レプリカサーバの運用 FIRST (Forum of Incident Response and Security Teams) の Web サーバ www.first.org のレプリカサーバ (ミラーサーバ) を運用し、FIRST の活動に 貢献しています。FIRST の詳細については参考文献 [40] をご参照ください。 IV. FIRST Steering Committee への参画 FIRST Steering Committee のメンバーとして、JPCERT/CC の職員が選出さ れ、FIRST の運営に協力しています。FIRST Steering Committee については 参考文献 [41] をご参照ください。 V. FIRST Sponsorship 国内の CSIRT の FIRST への加盟を支援しています。FIRST 加盟チームにつ いては参考文献 [42] をご参照ください。 __________ Appendix. 参考文献 [1] IN-98.02: New Tools Used For Widespread Scans http://www.cert.org/incident_notes/IN-98.02.html [2] IN-98.04: Advanced Scanning http://www.cert.org/incident_notes/IN-98.04.html [3] IN-98.05: Probes with Spoofed IP Addresses http://www.cert.org/incident_notes/IN-98-05.html [4] IN-98.06: Automated Scanning and Exploitation http://www.cert.org/incident_notes/IN-98-06.html [5] IN-99-01: "sscan" Scanning Tool http://www.cert.org/incident_notes/IN-99-01.html [6] Packet Filtering for Firewall Systems http://www.cert.org/tech_tips/packet_filtering.html [7] CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow in IIS Indexing Service DLL http://www.cert.org/advisories/CA-2001-19.html [8] CA-2001-26 Nimda Worm http://www.cert.org/advisories/CA-2001-26.html [9] IN-2002-04: Exploitation of Vulnerabilities in Microsoft SQL Server http://www.cert.org/incident_notes/IN-2002-04.html [10] CA-2002-27 Apache/mod_ssl Worm http://www.cert.org/advisories/CA-2002-27.html [11] AL-2002.12 W32/BUGBEAR@MM Virus http://www.auscert.org.au/render.html?it=2447 [12] AU-2002.008 Updated Information Regarding BugBear Virus http://www.auscert.org.au/render.html?it=2452 [13] IN-2002-06: W32/Lioten Malicious Code http://www.cert.org/incident_notes/IN-2002-06.html [14] IN-2003-01: Malicious Code Propagation and Antivirus Software Updates http://www.cert.org/incident_notes/IN-2003-01.html [15] CA-2003-04 MS-SQL Server Worm http://www.cert.org/advisories/CA-2003-04.html [16] CA-2003-08 Increased Activity Targeting Windows Shares http://www.cert.org/advisories/CA-2003-08.html [17] CA-2003-09 Buffer Overflow in Core Microsoft Windows DLL http://www.cert.org/advisories/CA-2003-09.html [18] CA-2003-28 Buffer Overflow in Windows Workstation Service http://www.cert.org/advisories/CA-2003-28.html [19] CERT/CC Current Activity W32/Welchia Worm http://www.cert.org/current/archive/2003/08/18/archive.html#welchia [20] IN-2004-01: W32/Novarg.A Virus http://www.cert.org/incident_notes/IN-2004-01.html [21] TA04-041A: Multiple Vulnerabilities in Microsoft ASN.1 Library http://www.us-cert.gov/cas/techalerts/TA04-041A.html [22] TA04-028A: W32/MyDoom.B Virus http://www.us-cert.gov/cas/techalerts/TA04-028A.html [23] Sasser ワームについてのお知らせ http://www.microsoft.com/japan/security/incident/sasser.mspx [24] Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.mspx [25] US-CERT Current Activity: W32/Sasser http://www.us-cert.gov/current/archive/2004/06/24/archive.html#sasser [26] US-CERT Vulnerability Note VU#909678 http://www.kb.cert.org/vuls/id/909678 [27] US-CERT Current Activity: Santy Worm http://www.us-cert.gov/current/archive/2004/12/21/archive.html#Santy [28] US-CERT Vulnerability Note VU#497400 http://www.kb.cert.org/vuls/id/497400 [29] Email Bombing and Spamming http://www.cert.org/tech_tips/email_bombing_spamming.html [30] Frequently Asked Questions About Malicious Web Scripts Redirected by Web Sites http://www.cert.org/tech_tips/malicious_code_FAQ.html [31] TERENA - TF-CSIRT - Collaboration of Security Incident Response Teams http://www.terena.nl/tech/task-forces/tf-csirt/ [32] The European CSIRT Network http://www.ecsirt.net/ [33] CERT Coordination Center (CERT/CC) http://www.cert.org/ [34] National Infrastructure Security Co-ordination Centre (NISCC) http://www.niscc.gov.uk/ [35] 脆弱性関連情報取扱体制について http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html [36] 独立行政法人情報処理推進機構 http://www.ipa.go.jp/ [37] 情報処理推進機構セキュリティセンター 脆弱性関連情報の取扱い http://www.ipa.go.jp/security/vuln/ [38] Telecom-ISAC Japan https://www.telecom-isac.jp/ [39] Asia Pacific Computer Emergency Response Team (APCERT) http://www.apcert.org/ [40] Forum of Incident Response and Security Teams (FIRST) https://www.first.org/ [41] FIRST Steering Committee https://www.first.org/about/organization/sc.html [42] FIRST Member Teams https://www.first.org/about/organization/teams/ __________ <JPCERT/CC からのお知らせとお願い> 本文書で解説したコンピュータセキュリティインシデントも含め、インター ネット上で引き起こされるさまざまなコンピュータセキュリティインシデント に関する情報がありましたら、info@jpcert.or.jp までご提供くださいますよ うお願いします。報告様式に関しては以下の URL をご覧ください http://www.jpcert.or.jp/form/ 報告様式にご記載のうえ、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 JPCERT/CC では、コンピュータセキュリティインシデントに関する情報を迅 速にご提供するために、メーリングリストを開設しています。登録の方法等、 詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 __________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とし たものではありません。個別の問題に関するお問い合わせ等に対して必ずお答 えできるとは限らないことをあらかじめご了承ください。また、本件に関する ものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、 お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきくだ さい。 注: この文書は、コンピュータセキュリティインシデントに関する一般的な情 報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサル ティングを目的としたものではありません。また JPCERT/CC は、この文書に 記載された情報の内容が正確であることに努めておりますが、正確性を含め一 切の品質についてこれを保証するものではありません。この文書に記載された 情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかっ た行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与える ものではありません。 __________ 2005 (C) JPCERT/CC この文書を転載する際には、全文を転載してください。また、最新情報につ いては JPCERT/CC の Web サイト http://www.jpcert.or.jp/ を参照してください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 http://www.jpcert.or.jp/jpcert.asc __________ 改訂履歴 2006-02-22 「§1. インシデント報告」タイプ別分類表計算ミスの修正 2005-10-12 初版 (JPCERT-PR-2005-0005) -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQ/vrOIx1ay4slNTtAQHlzQQAnPXWnOf3ctNkgPQJ4quIxAa2rQw5ikrn 7VySnsVG/axESXB3UDKJAPR4JyNFTStIzG35yJYSwqM14jUwvknyVrQJczuzpaYE UBg3zfzmX9Fpi9fki93NG6jiM/MF8/Z8emK4R/kU3FBM1DsQbwRE0SHX2CP2n8oT jdMw1B/NOHI= =K0p2 -----END PGP SIGNATURE-----