0003hyo

２０００年３月の被害届出一覧
項目	届出概要	被害内容	対策・注意事項
侵入ケース１	侵入、組織内踏み台ネットワーク異常の調査を行って発見 DNSサーバにBindのセキュリティホールから侵入。プログラムの追加・実行により組織内の他のマシンへアクセスファイアウォールなを導入し、ネットワークの再設定を実施予定	プログラムインストール・実行アカウント追加組織内の他のマシンへアクセス	ポートのスキャンに関しては、以下を参照 http://www.jpcert.or.jp/at/199x/98-0004-01.txt ポートへのアクセスと侵入に対しては、不必要なポート及びサービスの閉鎖セキュリティホールの確認と閉鎖こまめなログの確認ファイアウォール等の導入の際には適切な設定を実施。外部からのアクセスが一般向けに許可されていないかどうか特に確認等により対処する BINDのセキュリティホールに関しては下記を参照 http://www.cert.org/advisories/CA-99-14-bind.html http://www.cert.org/current/current_activity.html ※：組織内のある機器へ侵入した場合、そこからさらに組織内外の別の機器へ侵入を計ることが予測される。組織内LANにおいては他の機器のユーザに対する認証機能を回避するような設定を行う場合があるが、その運用には十分注意が必要である。
侵入ケース２	侵入、組織内踏み台不審なファイルの存在とログの確認で判明パスワードが盗まれた模様一旦すべてのポートを閉鎖後、必要なポート及びサービスのみ再開。侵入検出システムを導入。	破壊的な実被害はなしプログラムインストール・実行組織内の他のマシンへアクセス
侵入ケース３	侵入(アカウント追加) ログの確認で判明 imapdのセキュリティホール利用の模様最新システムを再インストールして対応	破壊的な実被害はなしアカウント追加
スキャン等ケース１	スキャンもしくはプローブログにより判明	実被害はなし約９０件の不審アクセス
スキャン等ケース２	スキャンもしくはプローブログにより判明	実被害はなし１日に１０分程度集中アクセス
メール中継	spamメール中継中継可能リスト掲載サイトの警告で調査して判明。実際にメール中継に利用されたパッチを導入して対応し、中継可能リストからも削除した	実際に中継を行われたその後もアクセスはある	メール中継に関してはメールサーバソフトウェアにより対応は異なるが、sendmailの場合であれば、最新版へのバージョンアップと設定(sendmail.cf等)により対処する sendmailバージョンアップに関しては以下を参照http://www.jpcert.or.jp/ed/199x/98-0001-09.txt Microsoft(R) Exchange Serverの設定等に関しては製品サポート情報(下記等)を参照 http://www.microsoft.com/JAPAN/support/kb/articles/J046/8/50.htm メール中継可能なサイトのリスト(DB)を公開しているWebページが存在する。中にはアンダーグラウンド情報のものもあるが、いわゆるspam除けのための機能を提供しているページもある。下記はその例である ORBS　http://www.orbs.org/ MAPS/RSS　/www.mail-abuse.org/rss/

項目	届出概要	被害内容	対策・注意事項
侵入ケース１	侵入、組織内踏み台ネットワーク異常の調査を行って発見 DNSサーバにBindのセキュリティホールから侵入。プログラムの追加・実行により組織内の他のマシンへアクセスファイアウォールなを導入し、ネットワークの再設定を実施予定	プログラムインストール・実行アカウント追加組織内の他のマシンへアクセス	ポートのスキャンに関しては、以下を参照 http://www.jpcert.or.jp/at/199x/98-0004-01.txt ポートへのアクセスと侵入に対しては、不必要なポート及びサービスの閉鎖セキュリティホールの確認と閉鎖こまめなログの確認ファイアウォール等の導入の際には適切な設定を実施。外部からのアクセスが一般向けに許可されていないかどうか特に確認等により対処する BINDのセキュリティホールに関しては下記を参照 http://www.cert.org/advisories/CA-99-14-bind.html http://www.cert.org/current/current_activity.html ※：組織内のある機器へ侵入した場合、そこからさらに組織内外の別の機器へ侵入を計ることが予測される。組織内LANにおいては他の機器のユーザに対する認証機能を回避するような設定を行う場合があるが、その運用には十分注意が必要である。
侵入ケース２	侵入、組織内踏み台不審なファイルの存在とログの確認で判明パスワードが盗まれた模様一旦すべてのポートを閉鎖後、必要なポート及びサービスのみ再開。侵入検出システムを導入。	破壊的な実被害はなしプログラムインストール・実行組織内の他のマシンへアクセス
侵入ケース３	侵入(アカウント追加) ログの確認で判明 imapdのセキュリティホール利用の模様最新システムを再インストールして対応	破壊的な実被害はなしアカウント追加
スキャン等ケース１	スキャンもしくはプローブログにより判明	実被害はなし約９０件の不審アクセス
スキャン等ケース２	スキャンもしくはプローブログにより判明	実被害はなし１日に１０分程度集中アクセス
メール中継	spamメール中継中継可能リスト掲載サイトの警告で調査して判明。実際にメール中継に利用されたパッチを導入して対応し、中継可能リストからも削除した	実際に中継を行われたその後もアクセスはある	メール中継に関してはメールサーバソフトウェアにより対応は異なるが、sendmailの場合であれば、最新版へのバージョンアップと設定(sendmail.cf等)により対処する sendmailバージョンアップに関しては以下を参照http://www.jpcert.or.jp/ed/199x/98-0001-09.txt Microsoft(R) Exchange Serverの設定等に関しては製品サポート情報(下記等)を参照 http://www.microsoft.com/JAPAN/support/kb/articles/J046/8/50.htm メール中継可能なサイトのリスト(DB)を公開しているWebページが存在する。中にはアンダーグラウンド情報のものもあるが、いわゆるspam除けのための機能を提供しているページもある。下記はその例である ORBS　http://www.orbs.org/ MAPS/RSS　/www.mail-abuse.org/rss/