[connect24h:01627] 状況整理と対応私案 (ver.2241900)

[Keiji Takeda <keiji@xxxxxxxxxxxxxx>]

HUC関連状況と対応私案(Ver.2241900)

○２月２４日午後７時までの状況

１　2001年2月16日18:00から1週間の攻撃予告
　　情報源（http://www.cnhonker.com/cgi-bin/bbs3000/bbs.cgi）

２　Windows NT/2000　のIISの脆弱性をついたWeb改ざん事案が多く発生
　　情報源（http://people.site.ne.jp/2001/2001.html）

３　BIND 8.2.3-REL より古いバージョンの BIND 8(BIND 8.2.3-T<#>Bを含む)
　　及び BIND 4.9.8-REL より古いバージョンの BIND 4 の脆弱性をついた攻撃を確認
　　SSHによるバックドアが設置された例も確認されている。
　　情報源[connect24h:01626] Re: 状況と対応私案(ver.22 41500)
　　（http://ar4.easyml.com/MLarchive/user/26603/html/msg000001627.php3）

４　警察庁Web改ざんに対する注意喚起（DDoSに関する記述もあり）
　　ホームページ書き換え事案に関する対策について 平成１３年２月２３日 警察庁
　　情報源（http://www.npa.go.jp/hightech/notice/notice.htm）

５　IPAWeb改ざん対策ページ更新
　　Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを
　　情報源（http://www.ipa.go.jp/security/ciadr/webjack_a.html）

６　IPA DDoSに関する注意喚起
　　IPA[緊急警告] DDoS攻撃に関する情報 掲載：2001年2月23日　情報処理振興事業協会 セキュリティセンター 
　　情報源（http://www.ipa.go.jp/security/ciadr/ddos_alert.html）

７　JPCERT/CC　Web改ざんに対する注意喚起
　　情報源　JPCERT/CCアナウンスML（JPCERT/CC-Webページへの掲載なし）
　　（http://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/02-23.jpcert.txt）

８　内閣官房情報セキュリティ対策推進室より23日午後8時ごろDDoSに関する注意を促すアナウンス
　　情報源　社団法人テレコムサービス協会(テレサ協)会員に対するメール
　　　　　　（情報提供Hiroshi Chonan <chonan@xxxxxxxxxxxxxxx>さん）
　　ホームページ等に対する攻撃予告の情報について（内閣官房情報セキュリティ対策推進室）
　　（各省庁情報セキュリティ担当官殿）
　　「また、本文書は、各事業者等の対策を促すために使用していただくことは 
　　　構いませんが、取り扱いには十分注意して下さい。」？？？）
　　（http://people.site.ne.jp/info/Defense_Condition_1.txt）

９　攻撃開始より予告された一週間が経過したが未だに関連情報サイトへのスキャン等の行為が観測さ
　れている。
　　情報源（sugimさん：　http://blue.blue.ac/bbs/cyclamen.cgi?tree=c150）

○対応私案(Ver.2241900)

１　情報の集約と分析に基づく攻撃元アドレス管理組織への対応の要請
　　　（誰が行うのを決定する必要がある：JPCERT/CCやその他の中立的機関が望ましい？）

２　DDoS攻撃予告の信憑性確認
　　関連するツールのインストール発見の有無の確認
　　（DDoS関連ツールの存在は見つかっていない。）

３　2001年2月16日18:00から一週間が経過して攻撃が終結したのかの確認
　　・2月23日18:00以降に成功している攻撃の存在の確認
　　・終結宣言がだされていないか確認
　　（一般サイトへのスキャンが継続してるのか？）
　　（終了予告時刻以降の被害の発生が確認されているのか？）

４　１の組織への観測情報、被害情報の提供及び実被害についての警察への通報
　　　（ユーザ、管理者）

５　攻撃元アドレス管理組織に対する警察庁からの捜査協力依頼
　　　（警察庁）

６　ユーザ管理者への対策等情報提供
　　　（IPA、JPCERT/CC、警察庁）

Keiji Takeda ( http://www.sfc.keio.ac.jp/~keiji/ )