【公開情報】
◆JPCERT/CC 活動概要 [ 2002年10月1日 ~ 2002年12月31日 ] (JPCERT/CC, 2003/01/17)
http://www.jpcert.or.jp/pr/2003/pr030001.txt
【関連まとめ記事】
◆JPCERT/CC 活動概要 (まとめ)
http://malware-log.hatenablog.com/entry/JPCERT_Report
◆資料・報告書 (TT Malware Log)
http://malware-log.hatenablog.com/report.html
【報告書内容】
======================================================================
JPCERT-PR-2003-0001
JPCERT/CCJPCERT/CC 活動概要 [ 2002年10月1日 ~ 2002年12月31日 ]
発行日: 2003-01-17
======================================================================§1. インシデント報告
2002年10月1日から2002年12月31日までの間に JPCERT/CC が受領したコン
ピュータセキュリティインシデントに関する報告の件数は 439件でした。注: ここにあげた数字は、JPCERT/CC が受け付けた報告の件数です。従って、
実際のアタックの発生件数や、被害件数を類推できるような数値ではあ
りません。また類型ごとの実際の発生比率を示すものでもありません。
一定以上の期間に渡るアクセスの要約レポートも含まれるため、アクセ
スの回数と報告件数も一般に対応しません。また、報告元には、国内外
のサイトが含まれます。
[インシデント報告の送信元による分類]
JPCERT/CC が受領したインシデント報告の送信元をトップレベルドメイン
で分類したもののうち、件数の多いものは以下の通りです。.jp 166件
.au 92件
.net 55件
.fr 50件
.com 24件
.edu 17件
.br 13件
[インシデント報告より派生した通知連絡]
アクセス元などへの連絡仲介依頼に基づいて、JPCERT/CC から国内外の関連
するサイトに通知連絡した件数は 274件です。
[インシデント報告のタイプ別分類]
I. プローブ、スキャン、その他不審なアクセス
JPCERT/CC では、防御に成功したアタックや、コンピュータ/サービス/弱点
の探査を意図したアクセス、その他の不審なアクセス等、システムのアクセス
権において影響が生じない、または、無視できるアクセスについて 368件の報
告を受領しています。このような探査は、自動化ツールを用いて広範囲に渡る任意のホストに対し
て行なわれています。セキュリティ上の弱点を放置していると、弱点の存在を
検出され、ホストへの侵入等さまざまなアタックを受ける可能性があります。
参考文献 [1] [2] [3] [4] [5] [6] をご参照ください。今回受領した報告に含まれるアクセスのうち、ポートごとの報告件数が
多いものを以下に列挙します。80 (http) 133件 (*1)
137 (netbios-ns) 131件 (*1)
21 (ftp) 93件
1433 (ms-sql-s) 86件 (*1)
443 (https) 72件 (*1)
8080 65件
1080 (socks) 55件
37852 55件
3128 53件
445 (microsoft-ds) 51件 (*1)
139 (netbios-ssn) 43件
3389 39件
57 (mtp) 37件
111 (sunrpc) 36件 (*2)
25 (smtp) 24件 (*3)
27374 22件 (*4)
8000 22件
53 (domain) 22件
22 (ssh) 20件(*1) ワームによる感染の試みやワームなどによって設置されたバックドア
からの侵入の試みと思われるアクセスが報告されています。参考文献
[7] [8] [9] [10] [11] [12] [13] をご参照ください。また以下の
URL もご参照ください。Microsoft IIS の脆弱性を使って伝播するワーム
http://www.jpcert.or.jp/at/2001/at010018.txtMicrosoft IIS の脆弱性を使って伝播するワーム "Code Red II"
http://www.jpcert.or.jp/at/2001/at010020.txt80番ポート (HTTP) へのスキャンの増加に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010023.txtTCP 1433番ポートへのスキャンの増加に関する注意喚起
http://www.jpcert.or.jp/at/2002/at020002.txtOpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム
http://www.jpcert.or.jp/at/2002/at020006.txt(*2) 通常、このアクセスは他の RPC サービスに対するアクセスの前段階
として行なわれます。この項目に分類されているアクセスについては、
他の RPC サービスへのアクセスを意図したものである可能性もあり
ます。参考文献 [14] をご参照ください。(*3) なりすましや SPAM メールの送信などの目的で、電子メール配送プロ
グラムの中継使用を試みたと思われるアクセスが報告されています。(*4) 通常、このアクセスはコンピュータウィルスによって設置されたバッ
クドアからの侵入の試みと考えられます。参考文献 [15] [16] をご
参照ください。
II. 送信ヘッダを詐称した電子メールの配送
JPCERT/CC では、送信ヘッダを詐称した電子メールの配送について 8件の報
告を受領しています。電子メールの送信ヘッダを詐称して、メールの中継には関与していない第三
のサイトへのメール配送が行なわれています。この結果、多量のエラーメール
が作成され、計算機資源やネットワーク領域が消費される可能性があります。
また、これらのメールの発信元であるという疑いをもたれる可能性があります。
送信ヘッダを詐称した電子メールの中継については参考文献 [17] をご参照く
ださい。
III. システムへの侵入
JPCERT/CC では、管理者権限の盗用が認められる場合を含むシステムへの侵
入について 10件の報告を受領しています。侵入を受けた場合の対応について
は、以下の URL で公開している文書「コンピュータセキュリティインシデン
トへの対応」の V. および VI. を参照してください。コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt今回受領した報告において、侵入の原因として指摘されている弱点のうち、
主なものを以下に紹介します。OpenSSL に含まれる弱点 [18]
Apache Web サーバプログラムに含まれる弱点 [19]
* Apache Web サーバプログラムに含まれる弱点については以下の URL
もご参照ください。Apache Web サーバプログラムの脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2002/at020003.txtSSH サーバプログラムに含まれる弱点 [20] [21] [22] [23]
* SSH サーバプログラムに含まれる弱点については以下の URL も
ご参照ください。OpenSSH サーバプログラムの脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2002/at020004.txt今回受領した報告において、侵入後に行なわれた操作として指摘されている
行為のうち、主なものを以下に紹介します。(1) 当該サイトを経由した他サイトへのアクセス (ワームを含む)
(2) システムの改ざん (ファイルの置き換え、ログの消去、Webページの
改ざんなど)(3) DDoS (分散型サービス運用妨害) ツールの設置
(4) サーバプログラムのインストール (バックドアの設置など)
(5) ネットワークの傍受
今回受領した報告において、侵入に用いられたと思われるワームのうち、主
なものを以下に紹介します。SQLSPIDA ワーム [9]
* SQLSPIDA ワームについては以下の URL もご参照ください。
TCP 1433番ポートへのスキャンの増加に関する注意喚起
http://www.jpcert.or.jp/at/2002/at020002.txtApache/mod_ssl ワーム [10]
* Apache/mod_ssl ワームについては以下の URL もご参照ください。
OpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム
http://www.jpcert.or.jp/at/2002/at020006.txtW32/Lioten [13]
IV. サービス運用妨害につながる攻撃
JPCERT/CC では、サービス運用妨害につながるアクセスについて 6件の報告
を受領しています。これは、大量のパケットを送信してネットワーク資源を浪
費させたり、サーバプログラムの弱点を悪用してサービス自体を停止させ、結
果としてサイトのネットワーク運用やホストのサービス運用を妨害するもので
す。参考文献 [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] をご参
照ください。また、参考文献 [6] もご参照ください。このアクセスへの対応
については、以下の URL をご参照ください。サービス運用妨害攻撃に対する防衛
http://www.jpcert.or.jp/ed/2001/ed010005.txtまた、ワームによる感染の試みによって運用妨害が行なわれたとの報告も受
領しています。参考文献 [10] をご参照ください。以下の URL もご参照くだ
さい。OpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム
http://www.jpcert.or.jp/at/2002/at020006.txt
V. その他
JPCERT/CC では、上記 I. から IV. に含まれないインシデント (コンピュー
タウィルスや SPAM メールの受信など) について 50件の報告を受領していま
す。
§2. 公開文書
2002年10月1日から2002年12月31日までの間に JPCERT/CC が発行した文書は、
JPCERT/CC レポート 13件、及び第3四半期の活動概要です。詳細は以下の通り
です。I. JPCERT/CC レポート 13件
JPCERT/CC レポート内で扱ったセキュリティ関連情報の項目数は、合計して
53件です。
II. 活動概要 1件
2002-10-18 JPCERT/CC 活動概要 [ 2002年7月1日 ~ 2002年9月30日 ]
§3. 主催イベント
2002年10月1日から2002年12月31日までの間に JPCERT/CC が主催したイベン
トは Internet Week 2002 (パシフィコ横浜 12/16~12/20) における以下のプ
ログラムです。参考文献 [34] をご参照ください。(1) メインプログラム「JPCERT/CC Seminar 2002」
12/19(木) 14:00~17:00 (room 501)第一部「JPCERT/CC 活動報告」
第二部「国内 CSIRT の連携」
(2) JPCERT/CC BOF
12/19(木) 18:00~20:30 (room 501)
§4. その他の活動
2002年10月1日から2002年12月31日までの間に JPCERT/CC が実施した、上記
§1.~3. 以外の活動は以下の通りです。I. @IT 連載
Web マガジン「@IT (アットマークアイティ)」の「Security&Trustフォー
ラム」にて、「管理者のためのセキュリティ推進室~インシデントレスポンス入門~」
の連載を行ないました。詳細は以下の URL をご参照ください。
管理者のためのセキュリティ推進室
http://www.jpcert.or.jp/magazine/atmarkit/
II. FIRST レプリカサーバの運用
FIRST (Forum of Incident Response and Security Teams) の Web サーバ
www.first.org のレプリカサーバ (ミラーサーバ) を運用し、FIRST の活動に
貢献しています。FIRST の詳細については参考文献 [35] をご参照ください。
__________
Appendix. 参考文献
[1] IN-98.02: New Tools Used For Widespread Scans
http://www.cert.org/incident_notes/IN-98.02.html
[2] IN-98.04: Advanced Scanning
http://www.cert.org/incident_notes/IN-98.04.html
[3] IN-98.05: Probes with Spoofed IP Addresses
http://www.cert.org/incident_notes/IN-98-05.html
[4] IN-98.06: Automated Scanning and Exploitation
http://www.cert.org/incident_notes/IN-98-06.html
[5] IN-99-01: "sscan" Scanning Tool
http://www.cert.org/incident_notes/IN-99-01.html
[6] Packet Filtering for Firewall Systems
http://www.cert.org/tech_tips/packet_filtering.html
[7] CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow in IIS Indexing Service DLL
http://www.cert.org/advisories/CA-2001-19.html
[8] CA-2001-26 Nimda Worm
http://www.cert.org/advisories/CA-2001-26.html
[9] IN-2002-04: Exploitation of Vulnerabilities in Microsoft SQL Server
http://www.cert.org/incident_notes/IN-2002-04.html
[10] CA-2002-27 Apache/mod_ssl Worm
http://www.cert.org/advisories/CA-2002-27.html
[11] AL-2002.12 W32/BUGBEAR@MM Virus
http://www.auscert.org.au/render.html?it=2447
[12] AU-2002.008 Updated Information Regarding BugBear Virus
http://www.auscert.org.au/render.html?it=2452
[13] IN-2002-06: W32/Lioten Malicious Code
http://www.cert.org/incident_notes/IN-2002-06.html
[14] IN-99-04: Similar Attacks Using Various RPC Services
http://www.cert.org/incident_notes/IN-99-04.html
[15] CA-1999-02 Trojan Horses
http://www.cert.org/advisories/CA-1999-02.html
[16] IN-2001-07: W32/Leaves: Exploitation of previously installed SubSeven Trojan Horses
http://www.cert.org/incident_notes/IN-2001-07.html
[17] Spoofed/Forged Email
http://www.cert.org/tech_tips/email_spoofing.html
[18] CA-2002-23 Multiple Vulnerabilities In OpenSSL
http://www.cert.org/advisories/CA-2002-23.html
[19] CA-2002-17 Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html
[20] CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling
http://www.cert.org/advisories/CA-2002-18.html
[21] CA-2001-35 Recent Activity Against Secure Shell Daemons
http://www.cert.org/advisories/CA-2001-35.html
[22] IN-2001-12: Exploitation of vulnerability in SSH1 CRC-32 compensation attack detector
http://www.cert.org/incident_notes/IN-2001-12.html
[23] CIACTech02-001 Understanding the SSH CRC32 Exploit
http://www.ciac.org/ciac/techbull/CIACTech02-001.shtml
[24] Denial of Service Attacks
http://www.cert.org/tech_tips/denial_of_service.html
[25] CA-1996-01 UDP Port Denial-of-Service Attack
http://www.cert.org/advisories/CA-1996-01.html
(日本語訳)
http://www.jpcert.or.jp/tr/cert_advisories/CA-96.01.txt[26] CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks
http://www.cert.org/advisories/CA-1996-21.html
[27] CA-1996-26 Denial-of-Service Attack via ping
http://www.cert.org/advisories/CA-1996-26.html
[28] CA-1997-28 IP Denial-of-Service Attacks
http://www.cert.org/advisories/CA-1997-28.html
[29] CA-1998-01 Smurf IP Denial-of-Service Attacks
http://www.cert.org/advisories/CA-1998-01.html
[30] CA-1998-13 Vulnerability in Certain TCP/IP Implementations
http://www.cert.org/advisories/CA-1998-13.html
[31] CA-1999-17 Denial-of-Service Tools
http://www.cert.org/advisories/CA-1999-17.html
[32] CA-2000-01 Denial-of-Service Developments
http://www.cert.org/advisories/CA-2000-01.html
[33] IN-99-07: Distributed Denial of Service Tools
http://www.cert.org/incident_notes/IN-99-07.html
[34] Internet Week 2002
[35] Forum of Incident Response and Security Teams
__________
<JPCERT/CC からのお知らせとお願い>
本文書で解説したコンピュータセキュリティインシデントも含め、インター
ネット上で引き起こされるさまざまなコンピュータセキュリティインシデント
に関する情報がありましたら、info@jpcert.or.jp までご提供くださいますよ
うお願いします。報告様式に関しては以下の URL をご覧ください報告様式にご記載のうえ、
info@jpcert.or.jp
までお送りください。
JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示
することはありません。JPCERT/CC の組織概要につきましては、をご参照ください。
JPCERT/CC では、コンピュータセキュリティインシデントに関する情報を迅
速にご提供するために、メーリングリストを開設しています。登録の方法等、
詳しくは、http://www.jpcert.or.jp/announce.html
をご参照ください。
__________
注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とし
たものではありません。個別の問題に関するお問い合わせ等に対して必ずお答
えできるとは限らないことをあらかじめご了承ください。また、本件に関する
ものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、
お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきくだ
さい。注: この文書は、コンピュータセキュリティインシデントに関する一般的な情
報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサル
ティングを目的としたものではありません。また JPCERT/CC は、この文書に
記載された情報の内容が正確であることに努めておりますが、正確性を含め一
切の品質についてこれを保証するものではありません。この文書に記載された
情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかっ
た行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与える
ものではありません。
__________2003 (C) JPCERT/CC
この文書を転載する際には、全文を転載してください。また、最新情報につ
いては JPCERT/CC の Web サイトを参照してください。
JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。
http://www.jpcert.or.jp/jpcert.asc
__________改訂履歴
2003-01-17 初版 (JPCERT-PR-2003-0001)