★阿修羅♪ 現在地 HOME > 掲示板 > 戦争38 > 192.html
 ★阿修羅♪
次へ 前へ
日本でも検出されたRPC Exploit、ラックが緊急レポートで警戒呼びかけ
http://www.asyura.com/0306/war38/msg/192.html
投稿者 クエスチョン 日時 2003 年 8 月 07 日 20:11:24:WmYnAkBebEg4M

IT板(戦争、破産、等と同じようにタイトルは凝らずにシンプルな方が
良い)の立ち上げを管理人さんに希望します。はっきり言って阿修羅は敵
に狙われやすい、言葉を変えれば狙われるに値するサイトだと思います。
パソコンを始めとしたスキル向上、セキュリティレベルの向上のためにも
「IT」板の立ち上げを希望します。
(◎事は緊急を要する!!)下記参照のこと。

攻撃?にあったようです。
http://www.asyura.com/0306/dispute12/msg/491.html
投稿者 エンセン 日時 2003 年 8 月 06 日 05:58:26:ieVyGVASbNhvI


エンタープライズ:ニュース 2003/08/06 22:30:00 更新
http://www.zdnet.co.jp/enterprise/0308/06/epn41.html

日本でも検出されたRPC Exploit、ラックが緊急レポートで警戒呼びかけ
セキュリティ企業のラックは、8月4日深夜から8月5日の朝にかけ、
Windows RPCインタフェースのセキュリティホールを悪用した攻撃が仕掛
けられたことを検出し、警戒を呼びかけている。


 セキュリティ企業ラックのJSOC(Japan Security Operation Center)
は、8月4日深夜から8月5日の朝にかけて、Windows RPCインタフェースの
セキュリティホールを悪用した攻撃が、同社のある顧客に対して仕掛けら
れたことを検出した。

 ラックのJSOCでは、企業などの包括的なセキュリティ対策を支援すると
ともに、24時間365日体制で監視を行っている。特に先週からは、Windows
RPCのセキュリティホール(MS03-026)を悪用する実証コード(Exploit)
が公開されたことなどを受け、監視体制を強化していた。

 ラック JSOCの緊急レポートによると、8月5日未明、MS03-026で狙われ
るポートの1つであるTCP 135ポートをファイアウォールでブロックしてい
なかったことが原因となり、対策がなされていなかった(パッチが適用さ
れていなかった)コンピュータへの侵入が検出された。同社の分析による
と、この侵入成功を足がかりとしてバックドアが作成され、さらなる脅威
にさらされる可能性があったという。

 同社はこの事例を受けてさらに警戒を強化。4段階ある監視体制のうち、
上から2番目となる「Cobra/Orange」の厳戒態勢を取るとともに、一連の
攻撃手法について解説したレポートを発行し、改めてユーザーに対策を呼
びかけている。

 まず個人ユーザーの場合は、OSならびにブロードバンドルータの設定を
確認し、TCP 135/TCP 4444/TCP 4899の各ポートをフィルタリングを確
実に行うよう推奨している。一方企業ユーザーの場合は、ファイアウォー
ルなどで既に最低限の防御がなされているケースが多いと予測される。し
かし、ノートPCの持込や、管理者の許可を得ずにユーザーが勝手に設置し
たダイヤルアップルータや無線LANアクセスポイントのような企業ネット
ワークへの「裏口」を経由して被害を受けるおそれがあるとして、改めて
設定内容や機器の再確認を呼びかけている。

ツールの解析はなお進行中 レポートによれば、この攻撃はまずTCP 135
ポートに接続可能なコンピュータを探し出し、MS03-026を悪用して、TCP
4444ポートを用いるバックドアの作成を試みる。これが成功すると、足が
かりとなるPCにさらに複数のプログラムをダウンロードしたうえで、TCP
4899ポートを用いる別のバックドアを作成するという。

 ラックによると、攻撃者はこの後TCP 4899ポートに接続してさらに侵入
を試みているといい、現に、8月1日および8月5日には、送信先ポート番号
がTCP 135/4899のトラフィックが急増していることが記録されている。

 これに関連してラック JSOC 事業本部の西本逸郎本部長は、「JSOCでは、
こうしたバックドアを埋め込むためのツールが流布されていることを確認
したうえで、そのツールを入手し、解析を行っている。このようなツール
が攻撃者によって利用され、バックドアを埋め込んだ多数のホストが確保
された場合、より大規模な事件に発展する可能性が高い」と述べている。

 なお、これと並行して警察庁は8月5日、TCP 135ポートに対するアクセ
スの急増を検出したとし、警戒を呼びかけている。

関連記事
Windowsを危険にさらすRPCのセキュリティホール

関連リンク
ラック:JSOC 緊急レポート(MS-RPC)[速報]
警察庁:TCP135番ポートに対するアクセスの急増について

[高橋睦美,ZDNet/JAPAN]

 次へ  前へ

戦争38掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。