[connect24h:01612] 状況と対応私案 (ver.22 41500)

[Keiji Takeda <keiji@xxxxxxxxxxxxxx>]

状況整理(ver.2241500)

 ○２月２４日午後３時までの状況

１　2001年2月16日18:00から1週間の攻撃予告
　　情報源（http://www.cnhonker.com/）

２　Windows NT/2000　のIISの脆弱性をついたWeb改ざん事案が多く発生
　　情報源（http://people.site.ne.jp/
　　　　　　http://people.site.ne.jp/2001/2001.html）

３　BIND8.2.3以前の脆弱性をついた攻撃を確認（当該ホストに対するDoSになることも）
　　情報源（blueＭＬに対する各種報告）
　　（http://his.luky.org/ML/linux-users.8/msg00385.html）
　　SSHによるバックドアが確認されている。

４　警察庁Web改ざんに対する注意喚起（DDoSに関する記述もあり）
　　ホームページ書き換え事案に関する対策について 平成１３年２月２３日 警察庁
　　情報源（http://www.npa.go.jp/hightech/notice/notice.htm）

５　IPAWeb改ざん対策ページ更新
　　Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを
　　情報源（http://www.ipa.go.jp/security/ciadr/webjack_a.html）

６　IPA DDoSに関する注意喚起
　　IPA[緊急警告] DDoS攻撃に関する情報 掲載：2001年2月23日　情報処理振興事業協会 セキュリティセンター 
　　情報源（http://www.ipa.go.jp/security/ciadr/ddos_alert.html）

７　JPCERT/CC　Web改ざんに対する注意喚起
　　情報源　JPCERT/CCアナウンスML（Webページへの掲載なし→なぜ？）

８　内閣官房情報セキュリティ対策推進室より23日午後8時ごろDDoSに関する注意を促すアナウンス
　　情報源　社団法人テレコムサービス協会(テレサ協)会員に対するメール
　　　　　　（情報提供Hiroshi Chonan <chonan@xxxxxxxxxxxxxxx>さん）
　　ホームページ等に対する攻撃予告の情報について（内閣官房情報セキュリティ対策推進室）
　　（各省庁情報セキュリティ担当官殿）
　　「また、本文書は、各事業者等の対策を促すために使用していただくことは 
　　　構いませんが、取り扱いには十分注意して下さい。」？？？）
　　　http://people.site.ne.jp/info/Defense_Condition_1.txt

○今必要と思われること（あくまでも個人的考え）

１　情報の集約と分析に基づく攻撃元アドレス管理組織への対応の要請
　　　（誰が行うのか要決定：JPCERT/CCやその他の中立的機関が望ましい？）

２　DDoS攻撃予告の信憑性確認
　　関連するツールのインストール発見の有無の確認
　　（一つでも関連の発見事例があるのか？）

３　2001年2月16日18:00から一週間が経過して攻撃が終結したのかの確認
　　・2月23日18:00以降に成功している攻撃の存在の確認
　　・終結宣言がだされていないか確認
　　（スキャンが継続してるのか？）
　　（終了予告時刻以降の被害の発生が確認されているのか？）

４　１の組織への観測情報、被害情報の提供及び実被害についての警察への通報
　　　（ユーザ、管理者）

５　攻撃元アドレス管理組織に対する警察庁からの捜査協力依頼
　　　（警察庁）

６　ユーザ管理者への対策等情報提供
　　　（IPA、JPCERT/CC、警察庁）
　　　

Keiji Takeda ( http://www.sfc.keio.ac.jp/~keiji/ )