-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-PR-2007-0004 JPCERT/CC JPCERT/CC 活動概要 [ 2007年1月1日 〜 2007年3月31日 ] 発行日: 2007-04-19 ====================================================================== §1. インシデント報告 http://www.jpcert.or.jp/ir/ 情報システムにおけるインシデントとは、正当な権限をもたない人がコン ピュータを不正に利用するようなコンピュータのセキュリティに関わる事件、 出来事の全般を指します。このようなインシデントが発生した場合、その被害 の拡大を最小限にするための行動を、我々はインシデント対応 (レスポンス) と呼んでいます。 JPCERT/CC では、広く皆様にインシデントに関する情報提供のご協力をお願 いして、インシデント対応のサービスを行っております。 JPCERT/CC が 2007年1月1日から2007年3月31日までの間に受領したコンピュ ータセキュリティインシデントに関する報告の件数は 505件でした。 注: ここにあげた数字は、JPCERT/CC が受け付けた報告 (メール、FAX) の 件数です。従って、実際のアタックの発生件数や、被害件数を類推でき るような数値ではありません。また類型ごとの実際の発生比率を示すも のでもありません。一定以上の期間に渡るアクセスの要約レポートも含 まれるため、アクセスの回数と報告件数も一般に対応しません。また、 報告元には、国内外のサイトが含まれます。 I. インシデント報告の送信元による分類 JPCERT/CC が受領したインシデント報告の送信元をトップレベルドメインで 分類したもののうち、件数の多いものは以下の通りです。 .com 204 件 .jp 184 件 .br 49 件 .net 27 件 .edu 18 件 .dk 10 件 II. インシデント報告より派生した通知連絡 JPCERT/CC から国内外の関連するサイトに通知連絡した件数は 256件です。 この通知連絡数は、アクセス元などへの連絡仲介依頼を含むインシデント報告 に基づいて行われたものです。 III. インシデント報告のタイプ別分類 (1) プローブ、スキャン、その他不審なアクセス (scan) JPCERT/CC では、防御に成功したアタックや、コンピュータ/サービス/弱点 の探査を意図したアクセス、その他の不審なアクセス等、システムのアクセス 権において影響が生じない、または、無視できるアクセスについて 215件の報 告を受領しています。 このような探査は、自動化ツールを用いて広範囲に渡る任意のホストに対し て行なわれています。セキュリティ上の弱点を放置していると、弱点の存在を 検出され、ホストへの侵入等さまざまなアタックを受ける可能性があります。 参考文献 [1] [2] [3] [4] [5] [6] をご参照ください。 22 (ssh) 63件 (*1) 21 (ftp) 9件 (*1) 23 (telnet) 9件 (*1) 6346 (gnutella-svc) 7件 445 (microsoft-ds) 6件 (*1) 4899 (radmin-port) 5件 1023 4件 (*1) 5554 (sgi-esphttp) 4件 (*1) 9898 (monkeycom) 4件 1433 (ms-sql-s) 3件 (*1) 総合的なプローブ、スキャン 101件 (*2) (*1) ワームによる感染の試みやワームなどによって設置されたバックドア からの侵入の試みと思われるアクセスが報告されています。参考文献 [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] をご参照くださ い。 また、以下の URL もご参照ください。 TCP 1025番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050012.txt Microsoft 製品の脆弱性を使って伝播するワームに関する注意喚起 http://www.jpcert.or.jp/at/2005/at050008.txt Microsoft 製品に含まれる脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050007.txt TCP 1433番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050006.txt VERITAS Backup Exec に含まれる脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050004.txt OpenSSH の脆弱性を使ったシステムへの侵入に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050003.txt phpBB の脆弱性を使って伝播するワームに関する注意喚起 http://www.jpcert.or.jp/at/2004/at040011.txt Windows LSASS の脆弱性を使って伝播するワーム W32/Sasser http://www.jpcert.or.jp/at/2004/at040006.txt Status Tracking Note TRJVN-2004-02 W32/Sasser ワーム http://jvn.jp/tr/TRJVN-2004-02/ JP Vendor Status Note JVNCA-2004-02 大量に電子メールを配信するワーム http://jvn.jp/cert/JVNCA-2004-02/ Netsky.Q のサービス運用妨害攻撃に関する注意喚起 http://www.jpcert.or.jp/at/2004/at040002.txt Microsoft ASN.1 Library の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2004/at040001.txt TCP 139番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030007.txt Microsoft IIS 5.0 の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030003.txt TCP 135番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030005.txt Windows RPC の脆弱性を使用するワームに関する注意喚起 http://www.jpcert.or.jp/at/2003/at030006.txt OpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム http://www.jpcert.or.jp/at/2002/at020006.txt TCP 1433番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2002/at020002.txt Microsoft IIS の脆弱性を使って伝播するワーム http://www.jpcert.or.jp/at/2001/at010018.txt Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II" http://www.jpcert.or.jp/at/2001/at010020.txt 80番ポート (HTTP) へのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2001/at010023.txt (*2) 総合的なプローブ、スキャンとは、同一発信元からの複数ポートに対 するスキャンなど、いくつかのプローブ、スキャン情報をまとめてご 報告いただいたものです。 (2) 送信ヘッダを詐称した電子メールの配送 (forged) JPCERT/CC では、差出人アドレスなどの送信ヘッダを詐称した電子メールの 配送について 5件の報告を受領しています。 電子メールの送信ヘッダを詐称して、メールの中継には関与していない第三 のサイトへのメール配送が行なわれています。この結果、多量のエラーメール が作成され、計算機資源やネットワーク帯域が消費される可能性があります。 また、差出人アドレスを詐称された場合、これらのメールの発信元であると いう疑いをもたれる可能性があります。送信ヘッダを詐称した電子メールの配 送については参考文献 [20] [22] [29] をご参照ください。 (3) システムへの侵入 (intrusion) JPCERT/CC では、管理者権限の盗用が認められる場合を含むシステムへの侵 入について 4件の報告を受領しています。 侵入方法としては、次のような事例が報告されています。 - 脆弱なパスワードを総当り攻撃、辞書攻撃で解読され侵入された など 侵入を受けた場合の対応については、以下の URL で公開している文書「コ ンピュータセキュリティインシデントへの対応」の V. および VI. を参照し てください。 コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2002/ed020002.txt 今回受領した報告において、侵入後に行なわれた操作のうち、主なものを以 下に紹介します。 - 当該サイトを経由した他サイトへのアクセス (ワームを含む) - システムの改ざん (ファイルの置き換え、ログの消去、Web ページの改 ざんなど) (4) フィッシング (phishing) JPCERT/CC では、銀行などのサイトであると詐称して、Web のフォームなど から入力された口座番号やキャッシュカードの暗証番号といった重要情報を盗 み取るフィッシング (Web 偽装詐欺) について 208件の報告を受領していま す。 フィッシングに用いる Web サイトの構築を目的とした行為には、システム へ侵入する、ドメインを乗っ取るなどの行為があります。 Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起 http://www.jpcert.or.jp/at/2005/at050002.txt DNS サーバの設定とドメイン名の登録に関する注意喚起 http://www.jpcert.or.jp/at/2005/at050005.txt 国内金融機関を装ったフィッシングサイトに関する注意喚起 http://www.jpcert.or.jp/at/2007/at070009.txt システムがフィッシングに用いられた場合の対応については、以下の URL で公開している文書「コンピュータセキュリティインシデントへの対応」の V. および VI.を参照してください。 コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2002/ed020002.txt また、フィッシングに対する Web ブラウザの設定に関しては、参考文献 [30] をご参照ください。 (5) その他 (other) JPCERT/CC では、上記 (1) から (4) に含まれないインシデント (サービス 運用妨害 "DoS"、コンピュータウイルスや SPAM メールの受信、架空請求、そ の他に関する問い合わせなど) について 92件の報告を受領しています。 DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起 http://www.jpcert.or.jp/at/2006/at060004.txt 以上 (1) から (5) をまとめたものが、以下の表です。 scan forged intrusion phishing other Total ----------------------------------------------------------------- 1月 81 5 1 48 29 164 2月 57 0 0 102 32 191 3月 77 0 3 58 31 169 ----------------------------------------------------------------- 215 5 4 208 92 524 scan : プローブ、スキャン、その他不審なアクセス forged : 送信ヘッダを詐称した電子メールの配送 intrusion : システムへの侵入 phishing : 認証情報等の不正取得 other : その他 注: これらの数字の合計は、報告に含まれるインシデントの件数です。報告 件数 1件につき、複数のインシデントが含まれることがあるため、報告 の件数とインシデントの件数は一致しません。 §2. インターネット定点観測システム (ISDAS) 運用 http://www.jpcert.or.jp/isdas/ インターネット上に設置した複数のセンサーから得られる情報を収集すると ともに、世の中に流布する脆弱性情報などとあわせて総合的に評価を行い、イ ンターネット上の状況を把握するための情報を提供するサービスを行なってい ます。 I. ポートスキャン概況 インターネット定点観測システムの観測結果はスキャン推移を表すグラフと して JPCERT/CC の Web ページを通じて公開しています。 アクセス先ポート 別グラフはスキャンログをアクセス先ポート別に集計し、総計をセンサーの台 数で割った平均値を用い作成しています。 JPCERT/CCインターネット定点観測システムの説明 http://www.jpcert.or.jp/isdas/readme.html 2007年1月1日から 2007年3月31日までの間に ISDAS で観測されたアクセ ス先ポートに関する平均値の上位1位〜5位、6位〜10位までの推移を以下のグ ラフに示します。 - アクセス先ポート別グラフ top1-5 (2007年1月1日-3月31日) http://www.jpcert.or.jp/isdas/2007/2007q1top1-5_port.png - アクセス先ポート別グラフ top6-10 (2007年1月1日-3月31日) http://www.jpcert.or.jp/isdas/2007/2007q1top6-10_port.png また、より長期間のスキャン推移を表すグラフとして、2006年4月1日から 2007年3月31日までの期間における、アクセス先ポートに関する平均値の上位1 位〜5位、6位〜10位までの推移を以下のグラフに示します。 - アクセス先ポート別グラフ top1-5 (2006年4月1日-2007年3月31日) http://www.jpcert.or.jp/isdas/2007/2007q1top1-5_port_year.png - アクセス先ポート別グラフ top6-10 (2006年4月1日-2007年3月31日) http://www.jpcert.or.jp/isdas/2007/2007q1top6-10_port_year.png II. おもなインシデントにおける観測状況 ISDAS システムにおいて下記に記載するようなスキャン事例を観測しました。 (1) TCP 2967番ポートへのスキャンを継続的に観測 2006年12月中旬よりスキャン増加を観測している TCP 2967番ポートへのス キャンについて、現在も継続してスキャンを観測しています。2007年3月31 日頃より再度増加を観測しており、引き続き注意が必要です。 - アクセス先ポート別グラフ TCP 2967番ポート (2006/11/01-2007/3/31) http://www.jpcert.or.jp/isdas/2007/2007q1_2967_tcp_port.png - TCP 2967番ポートへのスキャン増加に関する注意喚起 http://www.jpcert.or.jp/at/2006/at060021.txt (2) TCP 5900番ポートへのスキャン増加を観測 TCP 5900番ポートへのスキャンを引き続き観測しています。本観測につい ては同ポートを使用したサービスである RealVNC の脆弱性を狙ったスキャン の可能性が考えられます。2007年3月中旬より再度増加を観測しており、引き 続き注意が必要です。 - アクセス先ポート別グラフ TCP 5900番ポート (2006/4/1-2007/3/31) http://www.jpcert.or.jp/isdas/2007/2007q1_5900_tcp_port.png - RealVNC サーバの認証が回避される脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2006/at060005.txt III. その他 (1) eCSIRT.net IDS ネットワークへの協力 JPCERT/CC では、ヨーロッパの CSIRT コミュニティ TF-CSIRT で行なわれ ている IDS ネットワークへの技術協力をしています。詳細につきましては以 下の参考文献 [31] [32] をご参照ください。 §3. 脆弱性情報流通 http://www.jpcert.or.jp/vh/ JPCERT/CC では、脆弱性関連情報を適切な範囲に開示し、対策の促進を図る ための活動を行なっています。国内では、経済産業省告示「ソフトウェア等脆 弱性関連情報取扱基準」において、製品開発者とのコーディネーションを行な う調整機関として指定されています。また、米国 CERT/CC や英国 CPNI との 協力関係を結び、国内のみならず世界的な規模で脆弱性関連情報の流通対策業 務を進めています。 I. コーディネーションを行い公開した脆弱性情報および対応状況 2007年01月01日から 2007年03月31日までの間に、JPCERT/CC が日本国内の 製品開発者 (ベンダ) などの関連組織とのコーディネーションを行ない、公開 した脆弱性情報および対応状況は 34件です。 このうち、経済産業省告示「ソフトウェア等脆弱性関連情報取扱基準」に従っ て、独立行政法人情報処理推進機構 (IPA) に報告され、公開された脆弱性情 報および対応状況は 28件です。 JVN#40511721 MailDwarf におけるクロスサイトスクリプティングの脆弱性 JVN#08951968 MailDwarf においてメールの不正送信が可能な脆弱性 JVN#62399483 Overlay Weaver におけるクロスサイトスクリプティングの脆 弱性 JVN#73258608 「CruiseWorks」および「みんなでオフィス」におけるアクセ ス制限回避の脆弱性 JVN#86092776 BASP21 においてメールの不正送信が可能な脆弱性 JVN#64227086 「NewsGlue」と「いきなり事情通」において任意のスクリプト が実行される脆弱性 JVN#83832818 Interstage Application Server におけるクロスサイトスクリ プティングの脆弱性 JVN#19795972 FENCE-Pro および Systemwalker Desktop Encryption の自己 復号型ファイルにおける脆弱性 JVN#91706484 Trac におけるクロスサイトスクリプティングの脆弱性 JVN#80126589 CCCクリーナーにおける UPX 圧縮実行ファイル検索処理にゼロ 除算の脆弱性 JVN#84746611 アリエル・エアワン・シリーズにおけるクロスサイトスクリプ ティングの脆弱性 JVN#14243645 Adobe JRun におけるクロスサイトスクリプティングの脆弱性 JVN#48566866 ColdFusion のエラー画面におけるクロスサイトスクリプティ ングの脆弱性 JVN#28356427 ColdFusion におけるクロスサイトスクリプティングの脆弱性 JVN#77366274 CCCクリーナーにおけるバッファオーバーフローの脆弱性 JVN#84430861 Sage において任意のスクリプトが実行される脆弱性 JVN#80271113 MODx におけるクロスサイトスクリプティングの脆弱性 JVN#93700808 Sleipnir の RSSバーにおけるセキュリティゾーンの扱いに関 する脆弱性 JVN#64354801 b2evolution におけるクロスサイトスクリプティングの脆弱性 JVN#05088443 CGI RESCUE 製 WebFORM における HTTP ヘッダ インジェク ションの脆弱性 JVN#05123538 CGI RESCUE 製 WebFORM におけるクロスサイトスクリプティン グの脆弱性 JVN#24879092 CGI RESCUE 製 WebFORM におけるメール内容欠落の脆弱性 JVN#82258242 ショッピングバスケットプロにおける OS コマンドインジェク ションの脆弱性 JVN#32985115 Movable Type におけるクロスサイトスクリプティングの脆弱 性 JVN#07274813 phpAdsNew におけるクロスサイトスクリプティングの脆弱性 JVN#95249468 フレッシュリーダーにおける RSS フィード クロスサイトスク リプティングの脆弱性 JVN#13939411 Drupal におけるクロスサイトスクリプティングの脆弱性 JVN#65500885 Serene Bach におけるクロスサイトスクリプティングの脆弱性 また、残りの 6件は海外 CSIRT とのパートナーシップに基づき、JPCERT/CC が日本国内のベンダのコーディネーションを行い、脆弱性情報を公開しました。 JVNVU#202345 デバイスエクスプローラ MELSEC OPC サーバにバッファオー バーフローの脆弱性 JVNVU#346577 デバイスエクスプローラ MODBUS OPC サーバにバッファオー バーフローの脆弱性 JVNVU#926551 デバイスエクスプローラ TOYOPUC OPC サーバにバッファオー バーフローの脆弱性 JVNVU#581889 デバイスエクスプローラ SYSMAC OPC サーバにバッファオー バーフローの脆弱性 JVNVU#907049 デバイスエクスプローラ FA-M3 OPC サーバにバッファオー バーフローの脆弱性 JVNVU#347105 デバイスエクスプローラ HIDIC OPC サーバにバッファオー バーフローの脆弱性 II. 海外 CSIRT との脆弱性関連情報流通協力体制の構築、国際的な活動 JPCERT/CC では、国際的な枠組みにおける脆弱性関連情報の円滑な流通のた め、海外の CSIRT との協力関係を構築、強化しています。具体的には、報告 された脆弱性関連情報の共有、ベンダへの通知の共同オペレーション、公開日 の調整、各国ベンダ情報等公開情報の共有を行っています。また、情報流通を 効率化するための共通ガイドラインやシステム構築、データ交換フォーマット、 アドバイザリの標準フォーマットの策定等を共同で進めています。 主な関係機関は米国 CERT/CC、英国 CPNI です。なお、NISCCは2月1日より CPNI に組織変更されました。各機関の詳細については参考文献 [33] [34] を ご参照ください。また以下の URL もご参照ください。 脆弱性関連情報コーディネーション概要 http://www.jpcert.or.jp/vh/ III. 日本国内の脆弱性情報流通体制の整備 JPCERT/CC では、経済産業省告示「ソフトウェア等脆弱性関連情報取扱基準」 (以下、本基準) に従って、日本国内の脆弱性情報流通体制を整備しています。 本基準については参考文献 [35] をご参照ください。また以下の URL もご参 照ください。 脆弱性関連情報コーディネーション概要 http://www.jpcert.or.jp/vh/ 「情報セキュリティ早期警戒パートナーシップ」の運用を開始 http://www.jpcert.or.jp/press/2004/0708.txt 情報セキュリティ早期警戒パートナーシップガイドライン http://www.jpcert.or.jp/vh/partnership_guide.pdf 情報セキュリティ早期警戒パートナーシップガイドライン(改訂版) http://www.jpcert.or.jp/vh/partnership_guide2005.pdf JPCERT/CC 脆弱性関連情報取り扱いガイドライン http://www.jpcert.or.jp/vh/guideline.pdf 主な活動は以下の通りです。 (1) 受付機関である独立行政法人情報処理推進機構 (IPA) との連携 本基準では、受付機関に IPA、調整機関に JPCERT/CC が指定されています。 このことから、JPCERT/CC は IPA と緊密に情報交換を行っています。また、 脆弱性検証ツールに関しても IPA との連携のもと分析を行っています。IPAの 詳細については参考文献 [36] をご参照ください。 本基準における IPA の活動および四半期毎の届出状況については、参考文 献 [37] をご参照ください。 (2) 日本国内ベンダとの連携 本基準では、JPCERT/CC が脆弱性情報を提供する先として、日本国内のベン ダリスト(製品開発者リスト)を作成し、各ベンダの連絡先情報を整備すること が示されています。JPCERT/CC では、連絡先情報の整備に際し、ベンダの皆様 に製品開発者としての登録をお願いしています。登録の詳細については、以下 の URL をご参照ください。なお、2007年03月31日の時点で 174社のベンダの 皆様に、ご登録をいただいています。 JPCERT コーディネーションセンター製品開発者リスト登録規約 http://www.jpcert.or.jp/vh/agreement.pdf (3) JP Vendor Status Notes (JVN) の運用 JPCERT/CC は IPA と共同で、JVN を運用しています。JVN は、JPCERT/CC が取り扱った脆弱性情報に関して日本国内の製品開発者の脆弱性への対応状況 を公開するサイトです。これらの脆弱性情報には、本枠組みに参加している日 本国内の製品開発者の対応状況も含まれています。JVN については以下の URL をご参照ください。 JP Vendor Status Notes (JVN) http://jvn.jp/ JVN では上記「I. コーディネーションを行い公開した脆弱性情報および対 策状況」以外に当該期間中に 29件の脆弱性情報を公開しました。 JVNVU#191609 Microsoft Windows アニメーションカーソル ANI ヘッダにおけ るスタックバッファオーバーフローの脆弱性 JVNVU#296593 NETxAutomation 社製 NETxEIB OPC Server にOPC server handle を適切に処理できない脆弱性 JVNVU#986425 OpenBSD の IPv6 パケット処理にバッファオーバフローの脆弱 性 JVNTA07-072A Apple の Mac 製品に複数の脆弱性 JVNTA07-065A Apple QuickTime に複数の脆弱性 JVNTA07-059A Sun Solaris Telnet Worm JVNTA07-050A Snort DCE/RPC プリプロセッサにバッファオーバーフローの脆 弱性 JVNVU#308087 ベリサインの ActiveX コントロールにおけるバッファオーバー フローの脆弱性 JVNTA07-047A Apple の Mac 製品に複数の脆弱性 JVNVU#332404 Microsoft Word に文字列を適切に処理できない脆弱性 JVNTA07-044A Microsoft 製品における複数の脆弱性 JVNVU#276432 Trend Micro AntiVirus が細工された UPX 圧縮実行ファイル を適切に処理できない脆弱性 JVNVU#613740 Microsoft Office 製品において任意のコードが実行される脆 弱性 NISCC-462660 X-Kryptor Secure Client における権限昇格の脆弱性 JVNVU#438176 Cisco IOS における SIP パケットの処理に関する脆弱性 JVNVU#412225 Microsoft Word 2000 に文字列処理に関する脆弱性 JVNVU#217912 Cisco IOS における TCP パケットを適切に処理できない問題 JVNVU#274760 Cisco IOS が不正な IPv6 パケットを適切に処理できない問題 JVNTA07-024A Cisco IOS に複数の脆弱性 JVNVU#341288 Cisco IOS が細工された IP オプションを含むパケットを適切 に処理できない問題 JVNTA07-022A Sun Java Runtime Environment に複数の脆弱性 JVNTA07-017A Oracle 製品に複数の脆弱性 NISCC-870760 Cisco Secure Access Control Server における複数の脆弱性 JVNTA07-009B MIT Kerberos に複数の脆弱性 JVNVU#831452 Kerberos administration daemon が初期化されていないポイ ンタを解放する問題 JVNVU#481564 Kerberos administration daemon が適切に関数ポインタを初 期化しない問題 JVNTA07-009A Microsoft 製品における複数の脆弱性 JVNTA07-005A Apple QuickTime の Real Time Streaming Protocol (RTSP) 処理にバッファオーバーフローの脆弱性 JVNVU#442497 Apple QuickTime の Real Time Streaming Protocol (RTSP) 処理にバッファオーバーフローの脆弱性 (4) 脆弱性情報ハンドリングワークショップの開催 JPCERT/CC 製品開発者リストに登録いただいている国内ベンダの連絡担当者 にお集まりいただき、2月20日に脆弱性関連情報ハンドリングワークショップ を開催しました。ここでは脆弱性関連情報ハンドリング業務や関連活動の最新 状況を紹介するとともに、ベンダ担当者との意見交換を行ないました。 (5) 大阪市立大学創造都市研究科都市情報学専攻ワークショップでの講演 大阪市立大学創造都市研究科都市情報学専攻ワークショップの講師として、 2007年1月25日に、大阪市立大学学術情報総合センターにおいて、「脆弱性流 通の過去・現在・未来」と題して、脆弱性関連情報の種類の解説から脆弱性関 連情報の流通方式の移り変わり、今後の脆弱性関連情報の流通などについての 講演を行いました。 (6) JPNIC・JPCERT/CC セキュリティセミナー 2007 での講演 2007年3月13日に開催された JPNIC・JPCERT/CC セキュリティセミナー 2007 において、「脆弱性対策情報の上手な活用方法」と題して、脆弱性対策情報に ついて、主な聴衆となるシステム管理者に向けて、JPCERT/CC などから公表さ れる脆弱性対策情報の活用方法についての講演を行いました。 (7) OSC2007Tokyo/Spring オープンソースソフトウェアの開発者およびコミュニティに対して、日本国 内の脆弱性情報流通体制の認知を向上し、相互理解を深めるため、2007年3月 16日〜17日に開催された OSC2007 Tokyo/Spring に参加しました。脆弱性関連 情報ハンドリング業務や活動の最新状況を紹介し、オープンソースソフトウェ ア分野に対する。JPCERT/CC のプレゼンスの向上、及び、現状の脆弱性情報流 通体制に関しての意見交換、情報交換を行いました。 §4. 公開文書 2007年1月1日から2007年3月31日までの間に JPCERT/CC が公開した文書は、 注意喚起 8件、JPCERT/CC レポート 12件、及びプレスリリース 2件です。詳 細は以下の通りです。 I. 注意喚起 8件 http://www.jpcert.or.jp/at/ 2007-01-10 2007年1月 Microsoft セキュリティ情報 (緊急3件含) に関する 注意喚起 (公開) 2007-01-25 Cisco IOS に複数の脆弱性 (公開) 2007-01-31 Cisco IOS の SIP パケットの処理に関する脆弱性 (公開) 2007-02-10 「CCCクリーナー」の脆弱性に関する注意喚起 (公開) 2007-02-14 2007年2月 Microsoft セキュリティ情報 (緊急6件含) に関する注 意喚起 (公開) 2007-02-19 ベリサイン マネージド PKI サービスに使用される ActiveX コン トロールの脆弱性に関する注意喚起 (公開) 2007-03-01 Sun Solaris in.telnetd の脆弱性を使用するワームに関する注意 喚起 (公開) 2007-03-30 Windows アニメーション カーソル処理の未修正の脆弱性に関する 注意喚起 (公開) II. JPCERT/CC レポート 12件 http://www.jpcert.or.jp/wr/ JPCERT/CC レポート内で扱ったセキュリティ関連情報の項目数は合計して 99件、「今週の一口メモ」のコーナーで紹介した情報は12件です。 III.プレスリリース 2件 http://www.jpcert.or.jp/press/ 2007-01-17 ソフトウエア等の脆弱性関連情報に関する届出状況 [2006年第4 四半期 (10月〜12月)] 2007-02-16 重要インフラセキュリティセミナー開催報告 §5. その他の活動 2007年1月1日から 2007年3月31日までの間に JPCERT/CC が実施した、上記 §1.〜4. 以外の活動は以下の通りです。 I. APCERT 事務局運営 アジア太平洋地域の CSIRT の集まりである、APCERT (Asia Pacific Computer Emergency Response Team) の事務局を担当しています。 http://www.jpcert.or.jp/english/apcert/ II. FIRST レプリカサーバの運用 FIRST (Forum of Incident Response and Security Teams) の Web サーバ www.first.org のレプリカサーバ (ミラーサーバ) を運用し、FIRST の活動に 貢献しています。 https://www.first.org/ III. FIRST Steering Committee への参画 FIRST Steering Committee のメンバーとして、JPCERT/CC の職員が選出さ れ、FIRST の運営に協力しています。 https://www.first.org/about/organization/sc.html IV.重要インフラセキュリティセミナー2007 (2007年2月14日) JPCERT/CC、独立行政法人情報処理推進機構(IPA)、及び財団法人日本デー タ通信協会テレ コム・アイ ザック推進会議 (Telecom-ISAC Japan) 共催、 「重要インフラセキュリティセミナー〜管理と技術 的対策〜」を開催しま し た。 http://www.jpcert.or.jp/event/ci-seminar2007.html V. CSIRT Training For CAMBODIA,LAOS&MYANMAR (2007年3月12日〜16日) JPCERT/CC、MyCERT 及び Malaysian Cyber Security Agency 共催、CSIRT Training をカンボジアにおいて開催しました。 VI.JPNIC・JPCERT/CC セキュリティセミナー2007(2007年3月13日) JPCERT/CC、社団法人日本ネットワークインフォメーションセンター(JPNIC) 共催「知っておくべき不正アクセス対 策 〜総集編〜」を開催しました。 http://www.jpcert.or.jp/event/sec-seminar.html VII.その他講演など (1) 大阪市立大学 (2007年1月25日) 大阪市立大学大学院創造都市研究科主催第15回ワークショップにおいて、 「ソフトウェアの脆弱性情報流通:過去、現在、未来」を講演 http://www.osaka-cu.ac.jp/ (2) 脆弱性ガイダンス普及セミナー (2007年1月26日) (社)情報サービス産業協会主催の脆弱性ガイダンス普及セミナーにおいて、 「SI事業者に期待するソフトウエア等の脆弱性対応−SI事業者の脆弱性対 応を支援するJPCERT/CCの取組み」を講演 http://www.jisa.or.jp/index.html (3) 富士通システム技術分科会 (2007年1月31日) 富士通株式会社システム技術分科会主催の第2回会合 セキュリティ〜対策 ソフトをどこまで守れるか〜において、「コーディネーションセンターか ら見た情報セキュリティの最新動向と対応体制のベストプラクティスにつ いて」を講演 http://www.ssken.gr.jp/index.shtml (4) 第19回ECOMセミナー (2007年2月6日) 次世代電子商取引推進協議会主催の「情報セキュリティの日」創設記念特 別セミナーにおいて、「コンピュータセキュリティ早期警戒体制の整備 ‐ボット対策事業- 」を講演 http://www.ecom.jp/seminar/seminar19.html (5) 総務省フィッシング対策推進連絡会 (2007年2月8日) 総務省フィッシング対策推進連絡会において「フィッシング 現状と対策」 を講演 (6) 第3回情報セキュリティシンポジウム (2007年2月9日) 東京大学情報セキュリティコミュニティ主催のITガバナンス時代に求めら れる情報セキュリティにおいて、「インシデント対応の最前線」を講演 http://www.sp.ccr.u-tokyo.ac.jp/ (7) 平成18年度国際協力機構「青年招へい事業」(2007年2月15日) 独立行政法人国際協力機構および(財)ユースワーカー能力開発協会主催の 「青年招へい事業」フィリピンITグループ研修において、 「CyberIncident Trend & JPCERT/CC Approach」を講演 (8) 第3回日経セキュリティ会議 (2007年3月9日) 日本経済新聞社主催の第3回日経セキュリティ会議「次世代情報セキュリ ティ〜企業の情報セキュリティ対策のこれからを考える」において最近の 情報セキュリティインシデントの傾向」の講演とパネルディスカッション に参加 http://www.secucon.jp/ =============================================================== Appendix. 参考文献 [1] IN-98.02: New Tools Used For Widespread Scans http://www.cert.org/incident_notes/IN-98.02.html [2] IN-98.04: Advanced Scanning http://www.cert.org/incident_notes/IN-98.04.html [3] IN-98.05: Probes with Spoofed IP Addresses http://www.cert.org/incident_notes/IN-98-05.html [4] IN-98.06: Automated Scanning and Exploitation http://www.cert.org/incident_notes/IN-98-06.html [5] IN-99-01: "sscan" Scanning Tool http://www.cert.org/incident_notes/IN-99-01.html [6] Packet Filtering for Firewall Systems http://www.cert.org/tech_tips/packet_filtering.html [7] CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow in IIS Indexing Service DLL http://www.cert.org/advisories/CA-2001-19.html [8] CA-2001-26 Nimda Worm http://www.cert.org/advisories/CA-2001-26.html [9] IN-2002-04: Exploitation of Vulnerabilities in Microsoft SQL Server http://www.cert.org/incident_notes/IN-2002-04.html [10] CA-2002-27 Apache/mod_ssl Worm http://www.cert.org/advisories/CA-2002-27.html [11] AL-2002.12 W32/BUGBEAR@MM Virus http://www.auscert.org.au/render.html?it=2447 [12] AU-2002.008 Updated Information Regarding BugBear Virus http://www.auscert.org.au/render.html?it=2452 [13] IN-2002-06: W32/Lioten Malicious Code http://www.cert.org/incident_notes/IN-2002-06.html [14] IN-2003-01: Malicious Code Propagation and Antivirus Software Updates http://www.cert.org/incident_notes/IN-2003-01.html [15] CA-2003-04 MS-SQL Server Worm http://www.cert.org/advisories/CA-2003-04.html [16] CA-2003-08 Increased Activity Targeting Windows Shares http://www.cert.org/advisories/CA-2003-08.html [17] CA-2003-09 Buffer Overflow in Core Microsoft Windows DLL http://www.cert.org/advisories/CA-2003-09.html [18] CA-2003-28 Buffer Overflow in Windows Workstation Service http://www.cert.org/advisories/CA-2003-28.html [19] CERT/CC Current Activity W32/Welchia Worm http://www.cert.org/current/archive/2003/08/18/archive.html#welchia [20] IN-2004-01: W32/Novarg.A Virus http://www.cert.org/incident_notes/IN-2004-01.html [21] TA04-041A: Multiple Vulnerabilities in Microsoft ASN.1 Library http://www.us-cert.gov/cas/techalerts/TA04-041A.html [22] TA04-028A: W32/MyDoom.B Virus http://www.us-cert.gov/cas/techalerts/TA04-028A.html [23] Sasser ワームについてのお知らせ http://www.microsoft.com/japan/security/incident/sasser.mspx [24] Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.mspx [25] US-CERT Current Activity: W32/Sasser http://www.us-cert.gov/current/archive/2004/06/24/archive.html#sasser [26] US-CERT Vulnerability Note VU#909678 http://www.kb.cert.org/vuls/id/909678 [27] US-CERT Current Activity: Santy Worm http://www.us-cert.gov/current/archive/2004/12/21/archive.html#Santy [28] US-CERT Vulnerability Note VU#497400 http://www.kb.cert.org/vuls/id/497400 [29] Email Bombing and Spamming http://www.cert.org/tech_tips/email_bombing_spamming.html [30] Frequently Asked Questions About Malicious Web Scripts Redirected by Web Sites http://www.cert.org/tech_tips/malicious_code_FAQ.html [31] TERENA - TF-CSIRT - Collaboration of Security Incident Response Teams http://www.terena.nl/tech/task-forces/tf-csirt/ [32] The European CSIRT Network http://www.ecsirt.net/ [33] CERT Coordination Center (CERT/CC) http://www.cert.org/ [34] Centre for the Protection of National Infrastructure (CPNI) http://www.cpni.gov.uk/ [35] 脆弱性関連情報取扱体制について http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html [36] 独立行政法人情報処理推進機構 http://www.ipa.go.jp/ [37] 情報処理推進機構セキュリティセンター 脆弱性関連情報の取扱い http://www.ipa.go.jp/security/vuln/ __________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とし たものではありません。個別の問題に関するお問い合わせ等に対して必ずお答 えできるとは限らないことをあらかじめご了承ください。また、本件に関する ものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、 お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきくだ さい。 注: この文書は、コンピュータセキュリティインシデントに関する一般的な情 報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサル ティングを目的としたものではありません。また JPCERT/CC は、この文書に 記載された情報の内容が正確であることに努めておりますが、正確性を含め一 切の品質についてこれを保証するものではありません。この文書に記載された 情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかっ た行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与える ものではありません。 __________ 2007 (C) JPCERT/CC この文書を転載する際には、全文を転載してください。また、最新情報につ いては JPCERT/CC の Web サイト http://www.jpcert.or.jp/ を参照してください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 http://www.jpcert.or.jp/jpcert.asc __________ 改訂履歴 2007-04-19 初版 (JPCERT-PR-2007-0004) -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRib3Aox1ay4slNTtAQFHdQQArD2w6wWOKf3HByWOL1aCZm1kMn8gTbuA K+siNRsaB+hzia5Qi1nEfp+odyYMdi6rXcajpNt76hQaPqbNPS1Qvj/QEUuvVvWI NNd6sw1DUE/ntNF5mohC74eh2zdAjVEEPGshLb0FzSEcPAewIJKTo9I32gZvEBAj bWjgYxu12xE= =x/89 -----END PGP SIGNATURE-----