対 日本サイトアタック情報掲示板( http://blue.blue.ac/bbs/cyclamen.cgi )に寄せられた情報のまとめ
▼Scan編集部より━━━━━━━━━━━━━━━━━━━━━━━━━━━
この1ヶ月あまりで、日本国内のサイトが多数改竄された。この被害は一向に減少する傾向にない。
そこで、Scan編集部ではボランティアベースでネットワークセキュリティの知識を有する有志が
製品・サービス・業界動向
業界動向
この1ヶ月あまりで、日本国内のサイトが多数改竄された。この被害は一向に減少する傾向にない。
そこで、Scan編集部ではボランティアベースでネットワークセキュリティの知識を有する有志が運営している「対 日本サイトアタック情報掲示板」の管理者であるsugim氏に、同掲示板に寄せられる情報を整理して頂き、読者に有益な情報を提供していただくこととしました。
■本掲示板設立経緯
2月16日18:00から1週間(実際には1週間経過後も)の日本サイトに対する攻撃予告が中国の掲示板にて書き込みがされたらしい。この情報が、19日にセキュリティ情報のホームページを運営していたはまもと氏の主宰するメーリングリストに同メーリングリストのメンバーである長尾氏によって投稿され事の次第が発覚する。
この中国人グループは、HUC(Honker Union of China)と名乗り、声明のとおりに、日本のサイトをねらって改竄を次々と行った。
19日。20日の両日でかなりのWebサイトが、このHUCからのクラックと思われる改竄が発生し、事態を重く見たネットワークに関する知識のある有志がボランティアベースで集まり、機器対応の情報収集を目的として、既に設立されていたはまもと氏のメーリングリストと、その別館として掲示板を設立した。
これは、その掲示板に寄せられた情報のまとめである。
設立した2月20日22:00から数えて、現時点で33700のアクセスがあったことを記しておく。
■事前対策に関する情報
1.攻撃方法
確認されている攻撃方法は以下の2種類。
i)各利用サービスで使われているソフトの脆弱性をついたもの。
ii)DoS攻撃(※1)による対象サイトのダウンを狙うもの。
i)に関しては、ソフトのアップグレード・パッチの適用を施せば、対応できるので、早急に対応するべきである。
2.攻撃対象OS
・当初は、WindowsNTが多かったが、途中から脆弱性のある「サーバー」へ方針が転換された模様で、Linux,*BSD,SolarisなどのUNIXもやられている。
3.攻撃対象サービス
□ポートスキャンされた結果から、以下のサービスの脆弱性を狙った攻撃がされている模様である。
対象サービス:DNS,FTP,NetBIOS,sunRPC,WWW,Proxy
4.攻撃対象詳細
○脆弱性のあるBIND(攻撃方法を確認)
・8.2.3より前のバージョン
・4.9.8-RELより前のバージョン
○脆弱性のあるFTPサービス(攻撃結果は未確認)
・wu-ftp 2.6.0以前
・ProFTPD 1.2.0rc2以前
○NetBIOS(攻撃結果は未確認)
・Windowsのファイル共有サービス
○SunRPC Portmap(攻撃結果は未確認)
・NFSなどのディスクマウントサービス
○WWW(攻撃方法は未確認だが、Windowsの場合は、IISが狙われている)
・Apache
・IIS 3.0
・IIS 4.0
・IIS 5.0
5.UNIXについて
○BIND
UNIXでは、特にBINDの脆弱性を狙った報告事例が多いので要注意である。
すぐに8.2.3などの脆弱性のないバージョンに早急にアップグレードを行い、以下のように設定を行う。
・バージョン情報リクエストクエリーに対しては、何も返さない。
・BIND実行権限を、bindなどのユーザー権限で動作させる。
・optionsのallow-transferを記述し制限をかける。
このBINDの脆弱性を突き、サーバーを乗っ取り、バックドア(※2)を仕掛けられた事例が報告されている。
http://ar4.easyml.com/MLarchive/user/26603/html/msg000001627.php3
2月27日にこのBINDの脆弱性をついたツールが中国の掲示板で公開され、その攻撃ツールの即効性が多数確認されている。
http://www.firewall.gr.jp/mlarchive/html/fw-novice/2001/02/msg00028.html
○SunRPC
NFSなどのサービスを利用している場合には、バージョンのチェック・NFS対象IPアドレスのチェックを今一度行って頂きたい。
○WWW
httpサービスでは、Apacheが利用されているサーバーが多いと思うが、出来る限り最新の、1.3.17にバージョンアップしておく。脆弱性のあるバージョンもあるので、理由がない場合にはバージョンアップすべきである。また、できれば以下のように設定を行うとよい。
・デフォルトのnobody権限では動作させずに、wwwなどのユーザー権限で動作させ、その他のグループの実行・書き込み権限を落とす。
・ユーザーのホームページを公開している場合には、suExecなどを検討する。
6.Windowsについて
デフォルトでインストールされた状態では脆弱性の多いWindowsは、特に以下の各ポインタを参照してパッチを適用すべきである。
現在でもWindowsのクラックが最も多く報告されている。
○Windowsのセキュリティ向上に関して有用なURL
・小島氏のセキュリティホールmemoより
http://www.st.ryukoku.ac.jp/~kjm/security/memo/ms-windows-nt.html
・伊原氏のport139より
http://www.port139.co.jp/ntsec_iisinstall.htm
http://www.port139.co.jp/ntsec_iischeck.htm
・MSKK
http://www.microsoft.com/japan/technet/security/iissec.asp
・Winセキュリティ虎の穴
http://winsec.toranoana.ne.jp/
○OCN Tech Webセキュリティ
「OCN Tech Webセキュリティ」 http://www.ocn.ad.jp/security/ は、非常に有用な文章が多いが、Windowsのインストールの導入事例が掲載されている箇所では、間違ったパケットフィルタリングの仕方が掲載されているので、参考にすべきではない。上記、井原氏はWindows2000で「動作しない」ことを確認されたそうである。
※ 他にも間違った点があるという報告もある。
○IIS3.0について
またIIS3.0を利用している場合には、脆弱性へのパッチが既に公開されなくなっているために、IIS4.0もしくはIIS5.0へのバージョンアップが必須となる。
7.パケットフィルタリング
以下のDoS攻撃を確認しているので、ルーター側でフィルタリングを行うように処置を施した方がよい。これを怠っている場合には、サーバーが処理に耐え切れずに、ダウンしてしまう可能性があるので、注意する必要がある。
・land攻撃(※3)
・spoofing攻撃(※4)
以下のルーターの設定方法に関しては、ポインタがある。
・MN128系
http://www.ocn.ad.jp/security/mn128/index.html
・YAMAHA RT系
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-spoofing-filter.html
Windowsで利用されているファイル共有サービスに関しては、狙われやすく且つ乗っ取られやすいので、フィルタリングしておく。特に、Windows2000を利用している場合には、Windowsで制限できないサービス(ポート番号:445)があるので、必ずフィルタリング処理を行うべきである。
対象ポート番号は、137-139。Windows2000の場合は445を追加する。
8.まとめ
3月2日の時点では、中国からのクラックは休止しているようではあるが、海外の他のクラッカーからは依然として、セキュリティの甘いサイトが狙われており、セキュリティに関してのさらなる意識向上が急務である。
とにかく使わないサービスの停止、停止できないサービスはルーターでフィルタリングを行う、停止できないサービスはソフトをアップグレードするか代替ソフトへの移行をおこなう。という処理が必要である。
Windowsなどのクライアントに、DoS攻撃を行うためのウィルスが仕掛けられている可能性もあるので、ウィルス検査を行い、必要であれば、ウィルスパターンファイルを更新するなどのいった処理が必要がある。
もし、ウィルス検査ソフトが無い場合には、以下のオンラインスキャンを利用すると良い。
http://www.trendmicro.co.jp/hcall/scan.htm
インターネット上に繋がっているコンピュータの脆弱性を調べるのは、そう難しくないことであるので、セキュリティアップデートをおろそかにしてはいけない。今回の事件のような、Webサイトの書き換え・侵入・リソースの無断利用されることにつながるということを理解してもらう必要がある。
今回の事件を契機に、Webサイトを立ち上げる・インターネットに接続する際のセキュリティ意識の向上につながるようであるなら、筆者は良いターニングポイントであったと考える。
■事後対策に関して
・Windowsの場合には「プラスセック」の http://www.mom.co.jp/sec/directory/emergency/NTemergency.html を参照されたい。
・UNIXの場合には、事例がLinux RedHatではあるが、ダンナ@サポセン氏の書いた以下のURLが参考になる。
http://www.hawkeye.ac/micky/network/backdoor.html
http://www.office.ac/abuse/howto.html
・被害にあった場合にどうしたらよいか?という事例が紹介されている http://joe.ash.or.jp/hack/ もあわせて読むとよい。クラックされた後にどういう対応を取れば良いかが、日記形式でまとめられている。
■Web上における情報リソースへのポインタ
被害サイトリスト
nightingale氏による、 http://people.site.ne.jp/2001/2001.html
関係各庁による公開注意喚起文書
1 警察庁 「ホームページ書き換え事案に関する対策について」
情報源 http://www.npa.go.jp/hightech/notice/notice.htm
2 IPA 「Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを」
情報源 http://www.ipa.go.jp/security/ciadr/webjack_a.html
3 IPA 「IPA[緊急警告] DDoS攻撃に関する情報」
情報源( http://www.ipa.go.jp/security/ciadr/ddos_alert.html )
4 JPCERT/CC Web改ざんに対する注意喚起 アナウンスより
情報源 http://blue.blue.ac/bbs/doc/jpcert-0223.txt 2月23日
情報源 http://blue.blue.ac/bbs/doc/jpcert-0227.txt 2月27日
今後の攻撃対象
○攻撃対象リスト:未確認情報
http://people.site.ne.jp/info/Kantei_Go.txt
http://people.site.ne.jp/info/Attacks_Go_Jp.txt
上記URLに未確認情報だが、対象サイトのリストが載っている。
既に公開された侵入された恐れのあるサイト
http://people.site.ne.jp/info/1000.txt
今回の事件の最新情報に関しては、以下のページで参照できる。
1 セキュリティホールmemo(小島氏)
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/
2 EVERYDAY PEOPLE(nightingale氏)
http://people.site.ne.jp/
3 24時間常時接続メーリングリストアーカイブ(はまもと氏主宰)
http://ar1.easyml.com/MLarchive/loginExecution.php3?form_mladdr=connect24h%40c4.easyml.com
4 対 日本サイトアタック情報掲示板(筆者)
http://blue.blue.ac/bbs/cyclamen.cgi
用語説明
※1 DoS攻撃 Denial of Services ネットワークを通じた攻撃方法の一つ
で、相手コンピュータなどに対して不正な情報を送信しつづけ、相手コンピュータの処理能力を超えさせ麻痺させてしまう攻撃
※2 バックドア クラッカーが侵入を行ったサーバーに対して作成した裏口侵入されたあとセキュリティを高めたとしても、このバックドアがある限り何度でも侵入が可能。
※3 land攻撃 基本的に発信側IPアドレスと着信先IPアドレスが同じアドレスになっているものを利用して、あたかも内部ネットワークのよに見せかけた攻撃のこと
※4 smurf攻撃 偽造した ICMP echo request パケットを利用した攻撃方法の一種。ICMP echo requestを受け取ったコンピュータはそれに対して返事をしようとするが、この返事を大量に発生させて混雑を目的とした攻撃
最後にここに書かれた内容ならびに内容を参照した活動の結果については、基本的に無保証です。自己責任において行動してくださるようお願い致します。
執筆:「対 日本サイトアタック情報掲示板」 管理者 sugim
《ScanNetSecurity》