コンピュータ緊急対応センター (JPCERT/CC) ====================================================================== JPCERT-E-NL-98-0002-01 JPCERT/CC 活動概要: 不正アクセスの動向 [ 1998年1月1日 〜 1998年3月31日 ] 発 行 日: 1998/04/22 (Ver.01) 最新情報: http://www.jpcert.or.jp/nl/98-0002/ ====================================================================== 不正アクセスの動向: 1998年1月1日から1998年3月31日までの間に JPCERT/CC が情報提供を受けた 不正アクセスの件数は 139 件であり、これらに関して情報提供や交換を行っ たサイト数は延べ 261 サイト(*)でした。それら不正アクセスのうち主なもの を類型化すると、おおよそ次のパターンに分類できます。 (*) 対応中のものもあるため最終的には件数が増加する場合もあります。 (1) Anonymous (匿名) FTP サービスを悪用したアタック JPCERT/CC は、Anonymous FTP サービスを悪用して、不正なファイルを交 換しようとするアタックについて、110 サイトに関する情報を受け取りま した。不正なファイルの流通は、さらに不正アクセスを増大させる温床と もなる可能性があります。Anonymous FTP サービスの各種設定の再確認、 転送ログの定期的な監視、不要な Anonymous FTP サービスの停止を推奨 致します。Anonymous FTP サービスの不正利用防止については、参考文献 [1] [2] もご参照ください。 (2) システムへの不正侵入および管理者権限詐取 ホストへの不正侵入および管理者権限詐取について 38 サイトに関する情 報を受け取りました。既知のセキュリティホールを悪用してパスワードファ イルを盗用しようとする攻撃やパケット盗聴プログラムによって得られた パスワードの不正利用が発生しています。 パスワードファイルが盗用されてしまうと、何らかの方法でパスワードが 破られ、システムに侵入されることがあります。また、クラッカはホスト に侵入すると、一般的に裏口 (back door) の設置を行います。よって、 パスワードの変更を行っても他の方法で再び侵入される可能性があります。 さらにシステムプログラム等のセキュリティホールを悪用して、不正にルー ト (システム管理者) の権限を入手するアタックが発生しています。ひと たび管理者権限を詐取されてしまうと、そのシステムはクラッカの意のま まに不正アクセスを受けてしまいます。管理者権限詐取については、参考 文献 [3] もご参照ください。 JPCERT/CC は、tcp_wrapper のようなツールの導入により、外界からの接 続を監視・規制することを推奨します。パスワードファイルの盗用につい ては、参考文献 [4] もご参照ください。tcp_wrapper は以下の URL か ら入手することができます。 ftp://ftp.jpcert.or.jp/pub/cert/tools/tcp_wrappers/ (3) 電子メールの不正な中継と電子メール爆撃 電子メールの不正な中継と電子メール爆撃について 30 サイトに関する情 報を受け取りました。これは、電子メール配送プログラム (sendmail) の 機能を悪用して、他サイトのホスト上で動いている sendmail プログラム に、不正に電子メールを中継させるという攻撃です。この攻撃を受けたホ ストは、計算機資源が大量に浪費され、メールの不正中継を行ったホスト が、メール爆撃の発信元であるという疑いをもたれる可能性があります。 電子メールの不正利用については、次の URL をご参照ください。 http://www.jpcert.or.jp/tech/97-0001/ もし、sendmail プログラムをバージョンアップする必要がある場合は、 次の URL をご参照ください。 http://www.jpcert.or.jp/tech/98-0001/ また、参考文献 [5] [6] もご参照ください。 (4) Web サーバの cgi-bin プログラムを悪用した攻撃 一部の Web サーバを標準構成でインストールしたままの状態で運用し続 けると、設定の誤りによって、外部から不正なコマンドを実行するように 仕向けられることがあります。JPCERT/CC は、このような Web サーバの セキュリティホールを悪用した不正アクセスについて 22 サイトに関する 情報を受け取りました。このセキュリティホールを悪用されると、パスワー ドファイルを盗用される等のアタックを受けることがあります。詳細は、 次の URL をご参照ください。 http://www.jpcert.or.jp/info/97-0003/ cgi-bin プログラムの悪用については、参考文献 [7] [8] [9] [10] [11] [12] [13] [14] もご参照ください。 (5) IMAP サーバプログラムを悪用したアタック IMAP サーバプログラムを悪用しようとする不正アクセスについて 11 サ イトに関する情報を受け取りました。この弱点が悪用されるとリモートか ら管理者権限で、任意のコマンドを実行されたり、あるいは任意のプログ ラムを送り込まれた上でそれらを実行される可能性があります。詳細は、 次の URL をご参照ください。 http://www.jpcert.or.jp/info/97-0004/ また、参考文献 [15] [16] [17] もご参照ください。 (6) ネットワークやホストの運用を妨害しようとする攻撃 大量のパケットや不正なパケット送信によって、サイトのネットワークや ホストのサービス運用を妨害しようとする攻撃について 7 サイトに関す る情報を受け取りました。この攻撃については、参考文献 [18] もご参照 ください。 (7) ネットワークニュースサーバ (INN) を悪用したアタック INN のセキュリティ上の弱点を悪用するアタックが、引き続き行われてい ます。JPCERT/CC は、INN に関する攻撃について 5 サイトに関する情報 を受け取りました。この攻撃は、INN のセキュリティ上の弱点を悪用して、 /etc/passwd ファイルや /etc/inetd.conf などの重要なシステムファイ ルを盗用したり、システムの運用状態を遠隔から盗み見ようとするもので す。詳細は、次の URL をご参照ください。 http://www.jpcert.or.jp/info/97-0002/ また、参考文献 [19] [20] もご参照ください。 (8) statd サーバを悪用した攻撃 statd サーバのセキュリティ上の弱点を悪用する攻撃について、いくつか の報告を受け取りました。このセキュリティ上の弱点が悪用されるとリモー トから管理者権限で、任意のコマンドを実行されたり、あるいは任意のプ ログラムを送り込まれた上でそれらを実行される可能性があります。さら に、パスワードファイル等のセキュリティ上重要なファイルを改ざんされ たり、その他さまざまな不正アクセスを管理者権限で実行される可能性も あります。詳細は、次の URL をご参照ください。 http://www.jpcert.or.jp/info/98-0001/ また、参考文献 [21] [22] [23] もご参照ください。 (9) パケット盗聴プログラムによる攻撃 JPCERT/CC は、ホストに侵入され、パケット盗聴プログラムを仕掛けられ るというアタックに関する報告を引き続き受け取っています。パケット盗 聴プログラムをインストールされてしまうと、そのホストに接続されてい るネットワーク上を流れるパケットが盗聴されます。盗聴によって、遠隔 ログイン時に入力するホスト名、ユーザ名、パスワード (平文) が盗用さ れるおそれがあります。パケット盗聴については、参考文献 [24] もご参 照ください。 注:ここにあげた件数は、JPCERT/CC が受け付けた報告の件数であり、実際の 不正アクセスの発生件数を類推できるような数値ではありません。また不正ア クセスのパターンごとの実際の発生比率を示すものでもありません。 __________ <参考文献> [1] Anonymous FTP Abuses (Original) ftp://info.cert.org/pub/tech_tips/anonymous_ftp_abuses (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/anonymous_ftp_abuses [2] ANONYMOUS FTP CONFIGURATION GUIDELINES (Original) ftp://info.cert.org/pub/tech_tips/anonymous_ftp_config (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/anonymous_ftp_config [3] Steps for Recovering from a UNIX Root Compromise (Original) ftp://info.cert.org/pub/cert_advisories/root_compromise (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/root_compromise [4] Protecting Yourself from Password File Attacks (Original) ftp://info.cert.org/pub/tech_tips/passwd_file_protection (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/passwd_file_protection [5] Email Bombing and Spamming (Original) ftp://info.cert.org/pub/tech_tips/email_bombing_spamming (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/email_bombing_spamming [6] Spoofed/Forged Email (Original) ftp://info.cert.org/pub/tech_tips/email_spoofing (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/email_spoofing [7] Vulnerability in NCSA/Apache CGI example code (Original) ftp://info.cert.org/pub/cert_advisories/CA-96.06.cgi_example_code (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-96.06.cgi_example_code [8] Interpreters in CGI bin Directories (Original) ftp://info.cert.org/pub/cert_advisories/ CA-96.11.interpreters_in_cgi_bin_dir (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-96.11.interpreters_in_cgi_bin_dir [9] Vulnerability in the httpd nph-test-cgi script (Original) ftp://info.cert.org/pub/cert_advisories/ CA-97.07.nph-test-cgi_script (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-97.07.nph-test-cgi_script [10] Vulnerability in webdist.cgi (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-97.12.webdist (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.12.webdist [11] Buffer Overrun Vulnerability in Count.cgi cgi-bin Program (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-97.24.Count_cgi (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.24.Count_cgi [12] Sanitizing User-Supplied Data in CGI Scripts (Original) ftp://ftp.cert.org/pub/cert_advisories/CA-97.25.CGI_metachar (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.25.CGI_metachar [13] How To Remove Meta-characters From User-Supplied Data In CGI Scripts (Original) ftp://info.cert.org/pub/tech_tips/cgi_metacharacters (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/cgi_metacharacters [14] Buffer Overflow in php.cgi http://www.secnet.com/sni-advisories/sni-11.php_overflow.advisory.html [15] Vulnerability in IMAP and POP (Original) ftp://info.cert.org/pub/cert_advisories/CA-97.09.imap_pop (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.09.imap_pop [16] CERT(sm) Summary CS-97.04 - SPECIAL EDITION (Original) ftp://info.cert.org/pub/cert_summaries/CS-97.04 (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-97.04 [17] Remote vulnerability in imapd and ipop3d http://www.secnet.com/sni-advisories/imap.advisory.03.02.97.html [18] Denial of Service (Original) ftp://info.cert.org/pub/tech_tips/denial_of_service (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/denial_of_service [19] Vulnerability in innd (Original) ftp://info.cert.org/pub/cert_advisories/CA-97.08.innd (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.08.innd [20] CERT(sm) Summary CS-97.02 - SPECIAL EDITION (Original) ftp://info.cert.org/pub/cert_summaries/CS-97.02 (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-97.02 [21] Buffer Overrun Vulnerability in statd(1M) Program [Original] ftp://info.cert.org/pub/cert_advisories/CA-97.26.statd [Mirror] ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.26.statd [22] CS-98.01 - SPECIAL EDITION [Original] ftp://info.cert.org/pub/cert_summaries/CS-98.01 [Mirror] ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-98.01 [23] Vulnerability in rpc.statd [Original] ftp://info.cert.org/pub/cert_advisories/CA-96.09.rpc.statd [Mirror] ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-96.09.rpc.statd [24] Ongoing Network Monitoring Attacks (Original) ftp://info.cert.org/pub/cert_advisories/ CA-94:01.network.monitoring.attacks (Mirror) ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ CA-94:01.network.monitoring.attacks __________ <JPCERT/CC からのお知らせとお願い> 本文書で解説した不正アクセスも含め、インターネット上で引き起こされる さまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp ま でご提供くださいますようお願いします。JPCERT/CC の所定の様式 http://www.jpcert.or.jp/form.html にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、 メーリングリストを開設しています。登録の方法等、詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 __________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と したものではありません。個別の問題に関するお問い合わせ等に対して必ずお 答えできるとは限らないことをあらかじめご了承ください。また、本件に関す るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき ください。 注: この文書は、不正アクセスに対する一般的な情報提供を目的とするもの であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも のではありません。また JPCERT/CC は、この文書に記載された情報の内容が 正確であることに努めておりますが、正確性を含め一切の品質についてこれを 保証するものではありません。この文書に記載された情報に基づいて、貴方あ るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起 こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。 __________ 1998 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。情報は更新されてい る可能性がありますので、最新情報については http://www.jpcert.or.jp/nl/98-0002/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key __________ 改訂履歴 1998/04/22 First Version.