[connect24h:01604] Re: DDOS 関連

[Keiji Takeda <keiji@xxxxxxxxxxxxxx>]

武田圭史です。追加すべき点等ありましたらお願いします。

現在の状況を整理しますと。（順不同）

○２月２４日午前９時までの状況

１　2001年2月16日18:00から1週間の攻撃予告
　　情報源（http://www.cnhonker.com/）

２　Windows NT/2000　のIISの脆弱性をついたWeb改ざん事案が多く発生
　　情報源（http://people.site.ne.jp/
　　　　　　http://people.site.ne.jp/2001/2001.html）

３　BIND8.2.3以前の脆弱性をついた攻撃を確認（当該ホストに対するDoS?）
　　情報源（blueＭＬに対する各種報告）
　　（http://his.luky.org/ML/linux-users.8/msg00385.html）
　　SSHによるバックドアが確認されている。

４　警察庁Web改ざんに対する注意喚起（DDoSに関する記述もあり）
　　ホームページ書き換え事案に関する対策について 平成１３年２月２３日 警察庁
　　情報源（http://www.npa.go.jp/hightech/notice/notice.htm）
　
５　IPAWeb改ざん対策ページ更新
　　Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを
　　情報源（http://www.ipa.go.jp/security/ciadr/webjack_a.html）

６　IPA DDoSに関する注意喚起
　　IPA[緊急警告] DDoS攻撃に関する情報  掲載：2001年2月23日　情報処理振興事業協会 セキュリティセンター 
  　情報源（http://www.ipa.go.jp/security/ciadr/ddos_alert.html）

７　JPCERT/CC　Web改ざんに対する注意喚起
    注意喚起　JPCERT/CC　2001.2.23
　　JPCERT/CCアナウンスML（Webページへの掲載なし→なぜ？）

○今必要と思われること

１　DDoS攻撃予告の信憑性の確認
　　関連するツールのインストール発見の有無の確認

２　2001年2月16日18:00から一週間が経過して攻撃が終結したのかの
　　確認
　　・2月23日18:00以降に成功している攻撃の存在の確認
　　・終結宣言がだされていないか確認

○確認したいこと

１　以下は内部情報のリークでしょうか？

>内閣官房　情報セキュリティ対策推進室より
>
>１ 23日午後8時ごろ、何らかの動きがあるらしい。
>２ DDoSのツールが仕掛けられたサイトがある
>
>というアナウンスが流れているそうです。

Keiji Takeda ( http://www.sfc.keio.ac.jp/~keiji/ )