警察庁、1025番ポートへのアクセスに警戒するよう発表

警察庁、1025番ポートへのアクセスに警戒するよう発表 45

ストーリー by GetSet 2005年12月10日 22時50分
ルータでガード+パッチ適用を徹底したい部門より

sillywalk曰く、"警察庁は12月9日、主に中国の不特定IPアドレスからTCP 1025番ポートに対するアクセス増加を検知した、として警戒するよう発表しました。アクセス増加の原因は不明ですが、WindowsのRPC/DCOMの脆弱性を狙った大規模なスキャンである可能性があるといいます。警察庁は2004年3月8日、2004年4月30日の過去2度にわたり1025番ポートへのアクセス増加について発表しており、今回が3度目となります。
なおMicrosoftによるRPC/DCOM用の累積的な修正プログラムについては(82741)と(MS04-012)をご覧下さい。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索45コメント Log In/Create an Account

TCP 1025の接続に注意するよりも (スコア:5, 参考になる)

by Anonymous Coward on 2005年12月10日 23時07分 (#846265)

ルータを購入したほうがよいと思う。
- Re:TCP 1025の接続に注意するよりも (スコア:2, 参考になる)
  
  by Anonymous Coward on 2005年12月11日 1時03分 (#846356)
  
  前から疑問なんですけど、なんでUPnPが有効ならルータのどのポートでも好きなように開けられるとか、ルータの設定画面を経由するとパスワードが必要になるけどUPnPはたいてい無認証とかの「仕様」って誰も気にしてないんでしょうね。そろそろ「脆弱性」として騒がれてもよさそうなもんですけど。
  UPnPでルータに穴を開けようとするワームやbotやスパイウェアやrootkitはもう確実にあるんでしょうね。
  
  シェア
  
  親コメント
  - Re:TCP 1025の接続に注意するよりも (スコア:1, 興味深い)
    
    by Anonymous Coward on 2005年12月11日 2時38分 (#846402)
    
    そうですね。
    大抵のルータはUPnPがデフォルトで有効となっているのですが、
    アプリケーション側から自由にポートを空けるなどの作業ができますから、
    悪意のあるソフトウェアがPC内に存在したら非常に危険ですね。
    ここらへんの説明を説明書、、いや同封の紙に大きくかくか、
    デフォルトで無効にしてもらいたいです。
    
    しかし、なにが脆弱性なのでしょうか？
    それがUPnPの仕様ですが。
    そもそもUPnPでパスワード付きって、、、それはその時点でUPnPじゃないですね。
    
    あと、今回のTCP1025へのアクセスは内部に悪意のあるソフトウェアがなければ、
    UPnPが有効のルータでも遮断できます。
    
    シェア
    
    親コメント
    - Re:TCP 1025の接続に注意するよりも (スコア:0, フレームのもと)
      
      by Anonymous Coward
      
      > しかし、なにが脆弱性なのでしょうか？
      > それがUPnPの仕様ですが。
      だから私も「仕様」だと言ってるじゃないですか。どう考えても仕様なのになんでもかんでも脆弱性にこじつけて騒ぐバカがUPnPに関してはどうしていなかったんでしょうね、とでも言い換えればお気に召しますか?
      - Re:TCP 1025の接続に注意するよりも (スコア:1, すばらしい洞察)
        
        by Anonymous Coward on 2005年12月11日 17時48分 (#846652)
        
        だから私も「仕様」だと言ってるじゃないですか。どう考えても仕様なのになんでもかんでも脆弱性にこじつけて騒ぐバカがUPnPに関してはどうしていなかったんでしょうね、とでも言い換えればお気に召しますか?
        元コメントとは別人ですが、やはり貴方の最初の書き込みは紛らわしかったと思いますよ。
        分不相応なプライドを傷つけられたからといってカッカする前に、落ち着いて誤解を与えない文章を書くよう努力されてみては如何でしょうか。
        
        少なくとも私なら、
        そろそろ「脆弱性」として騒がれてもよさそうなもんですけど。
        とは書かずに「騒がれかねない」というニュアンスで書きます。
        
        シェア
        
        親コメント
  - Re:TCP 1025の接続に注意するよりも (スコア:0)
    
    by Anonymous Coward
    
    なぜなら
    「内部に悪意のあるソフトウェアがあれば
    UPnPが無効のルータでも遮断できないから」
    でしょうね
    - Re:TCP 1025の接続に注意するよりも (スコア:0)
      
      by Anonymous Coward
      
      > 内部に悪意のあるソフトウェアがあれば
      > UPnPが無効のルータでも遮断できないから
      
      内部に悪意のあるソフトウェアがあれば、
      Apacheなどのサーバプロセスを悪意のあるソフトウェアが
      作成して違法ファイル配布の踏み台にされる心配も
      ないですけどね。
      
      # ただし、内部から先にコネクションを貼ったら駄目なので、
      # HTTPDやFTPDが動作しない、ぐらいにしときます。
- Re:TCP 1025の接続に注意するよりも (スコア:0, すばらしい洞察)
  
  by Anonymous Coward
  
  設定がわるけりゃ同じことでは？
  - Re:TCP 1025の接続に注意するよりも (スコア:1, 参考になる)
    
    by Anonymous Coward on 2005年12月11日 1時05分 (#846358)
    
    最近のルータはほとんどの製品で買ったままの設定で
    問題はないです。ただし、ファイル交換とかする初心者
    は穴を開けてしまうのでご注意‥
    ＃私はルータ＋パーソナルファイヤウォールで守っているけど‥
    
    シェア
    
    親コメント
    - Re:TCP 1025の接続に注意するよりも (スコア:0)
      
      by Anonymous Coward
      
      最近の良いPFWは、古いPC（と言っても1GHzクラス）だと、ネットワーク転送への影響も含めて重いのが難点ですね
  - Re:TCP 1025の接続に注意するよりも (スコア:0, すばらしい洞察)
    
    by Anonymous Coward
    
    君たち馬鹿には理解出来ないだろうが同じ事では無い。以上。
    - Re:TCP 1025の接続に注意するよりも (スコア:0, 余計なもの)
      
      by Anonymous Coward
      
      すごい逃げ口上だな
      - Re:TCP 1025の接続に注意するよりも (スコア:0)
        
        by Anonymous Coward
        
        LAN側がグローバルIP持つか、ルーターがポートフォワードでもしないかぎり直接晒されることはない、と説明することすら億劫だったんでしょ。
        
        Re:TCP 1025の接続に注意するよりも (スコア:0)
        
        by Anonymous Coward
        
        まじめな話デフォで適当にポートフォワードとかDMZするなんて
        ありえんでしょ？
        であれば比較的安全なんじゃないかな？
        
        Re:TCP 1025の接続に注意するよりも (スコア:2, 参考になる)
        
        by kappie (9734) on 2005年12月11日 2時14分 (#846392) ホームページ日記
        
        デフォでって話じゃないけど、セキュリティ対策ソフトメーカーの人に聞いた話では、ネットゲームとかファイル共有する人は、面倒になってDMZ（この場合は、特定のPCに全パケット転送しちゃうこと）設定しちゃう人多いらしいですよ。
        わかっている人には信じられないけど、利便性＞＞＞＞＞＞セキュリティという価値観もある。
        
        --
        
        /K
        
        シェア
        
        親コメント
        
        Re:TCP 1025の接続に注意するよりも (スコア:1, すばらしい洞察)
        
        by Anonymous Coward on 2005年12月11日 4時10分 (#846428)
        
        >デフォでって話じゃないけど、セキュリティ対策ソフトメーカーの人に聞いた話では、
        >ネットゲームとかファイル共有する人は、面倒になってDMZ（この場合は、特定のPCに全パケット転送しちゃうこと）設定しちゃう人多いらしいですよ。
        
        ま、多いかもしれんが
        ネットゲームやファイル共有するヒトが
        一般ユーザの大半ってわけでもあるまいし。
        
        対策として有効ではないとは言い切れないでしょう。
        
        シェア
        
        親コメント
今日になって来てます (スコア:5, 興味深い)

by xabre (29349) on 2005年12月10日 23時16分 (#846272) 日記

確かに来てますね。
パケットログを見ると、今日の19時からついさっきまで27回SYNが来てます…
特に増加も減少傾向も見られません。
/29のアドレス全部にスキャンが入っているので、しらみ潰しにスキャンしているんでしょうかね。

UNICOM
CMNET-guizhou
JIANGSHAN-RIZHONG-NETBAR
CHINANET-JX
CHINANET jiangxi province network
今のところこんな感じですね。
- Re:今日になって来てます (スコア:3, 参考になる)
  
  by Anonymous Coward on 2005年12月11日 0時01分 (#846304)
  
  ウチも来ていました。
  ほとんどが ↓ からでした。
  
  inetnum: 218.76.128.0 - 218.76.143.255
  netname: CHINANET-HN-LD
  country: CN
  source: APNIC
  
  シェア
  
  親コメント
- Re:今日になって来てます (スコア:2, 参考になる)
  
  by Anonymous Coward on 2005年12月11日 0時55分 (#846346)
  
  この件にがいとうするかは知らないけど、1025だけじゃなくて、1026、1027、1030など、それっぽいのが来ています。1434ってのも。
  
  何がしたい?
  
  シェア
  
  親コメント
  - Re:今日になって来てます (スコア:0)
    
    by Anonymous Coward
    
    >1025だけじゃなくて、1026、1027、1030など、それっぽいのが来ています。1434ってのも。
    
    それ、ぜんぶ UDP じゃないですか？うちにも来てますけど。
  - Re:今日になって来てます (スコア:0)
    
    by Anonymous Coward
    
    こっちは、1025, 1433, 4899 がベスト３だな。何のポートなんだろうか。
    - Re:今日になって来てます (スコア:1)
      
      by KENN (3839) on 2005年12月11日 20時23分 (#846709) 日記
      
      IANAによると [iana.org]、
      
      1025:network blackjack
      1433:Microsoft-SQL-Server
      4899:RAdmin Port
      だそうです。
      
      # 2番目以外は何だかさっぱり…
      
      シェア
      
      親コメント
      - Re:今日になって来てます (スコア:5, 参考になる)
        
        by Anonymous Cat (27860) on 2005年12月11日 22時00分 (#846742)
        
        1025 の network blackjack は
        DCOMやSMBだけじゃなかった Windowsの危険な“仕様”が明らかに [nikkeibp.co.jp]
        で解説されている、Windowsの標準機能だと思います。
        
        4899 の RAdmin Port は
        Radmin - PC Remote Control Software [famatech.com]
        というリモートコントロールソフトのようです。
        
        どちらもパスワード認証の辞書攻撃の対象にされているのだと思います。
        
        --
        単なる臆病者の Anonymous Cat です。略してACです。
        
        シェア
        
        親コメント
        
        Re:今日になって来てます (スコア:0)
        
        by Anonymous Coward
        
        なるほど。調べてくれてありがとう > おふた方。
        
        ちなみに比率はだいたい 3:1:1 で、ダントツに 1025 が多かった。
        1025 は以前からアクセスがあったけど、9日から突然増えてる。
- Re:今日になって来てます (スコア:1, 興味深い)
  
  by Anonymous Coward on 2005年12月11日 11時33分 (#846508)
  
  1025が確かに増えてますね。
  ただ、CNだけじゃなく、JPからのTCP:138,139,445が一向に減る気配がないのも、
  勘弁して欲しいところです。
  
  シェア
  
  親コメント
- Re:今日になって来てます (スコア:0)
  
  by Anonymous Coward
  
  うちにも他のポートスキャンに混じってポツポツきてますね
  
  中国政府に強硬に抗議してパッケト遮断させるべきです
  - Re:今日になって来てます (スコア:0)
    
    by Anonymous Coward
    
    いくら何でも中国政府も「パッケト」とかいわれても困るだろうな。
    パケットなら分かる人いるかも知れんが。
パッチ当てれば? (スコア:5, 参考になる)

by Technical Type (3408) on 2005年12月11日 22時38分 (#846751)
「MS05-051 のパッチを適用しなさい」にてこの議論は打ち止め。
- Increase in Port 1025 scan [sans.org]
- Microsoft Windows Distributed Transaction Coordinator Remote Exploit [frsirt.com]
- Re:パッチ当てれば? (スコア:1)
  
  by Anonymous Cat (27860) on 2005年12月13日 2時47分 (#847689)
  
  1025/tcp へのスキャンが急増したのは、このセキュリティホールを狙ったもののようですね。
  
  ただ、ちょっと気になるのは、FrSIRTにあるSwan氏のPoCコードは
  ソースポートを指定する機能が無いように思えることです。
  
  別のExploitコードがどこかで公開されているのでしょうかね？
  
  それとも、これらのポートが開いているマシンを効率よく探すために、
  ネットワークスキャナを使っているだけでしょうかね。
  
  でも敢えてソースポートを固定する理由が思い当たりませんし。
  
  --
  単なる臆病者の Anonymous Cat です。略してACです。
  
  シェア
  
  親コメント
1025番 (スコア:4, 参考になる)

by yellow tadpole (7084) on 2005年12月10日 23時10分 (#846269) 日記

1025番といえばこんなトロイ [symantec.com]とか、こんなスキャン [itmedia.co.jp]かなあ。
感染したPCが送ってるのか、何かのツールを使って意図してやってるのかわからない。

うちのルータのログを調べてみると、今日の14時から23時まで24件のアタックがありました。

--
〜◍
- Re:1025番 (スコア:3, 興味深い)
  
  by Anonymous Coward on 2005年12月11日 9時14分 (#846462)
  
  ちょっと前からMMORPG(具体的にはリネージュ、リネージュ2)関係の話題を扱っている掲示板等に
  トロイの木馬の実行ファイルをダウンロードさせるリンクや、
  IE(ActiveX)の脆弱性―WindowsUpdateで対策可―を利用してトロイを仕込むサイトへ飛ばそうとする書き込みが増えてるんですよね。
  中には明らかに機械翻訳したであろう日本語の文章と共に書き込まれる事も。
  
  海外からの接続規制や、登録情報詐称に対する処分の強化に伴って
  中華(*1)がアカウントハックの方が効率が良いと考え始めたのかもしれません。
  
  #中国に不正アクセス禁止法にあたるものはあるんだろうか…。
  #まあ、あっても中国側が捜査に協力してくれない気もするが。
  ## 価格.comの時のように犯人が日本国内に居るのならともかく
  
  (*1) リネージュ内での中国人プレイヤーの呼称。やや蔑称の意味合いを含む。
  
  シェア
  
  親コメント
  - Re:1025番 (スコア:0)
    
    by Anonymous Coward
    
    >>#中国に不正アクセス禁止法にあたるものはあるんだろうか…。
    >>#まあ、あっても中国側が捜査に協力してくれない気もするが。
    
    中国共産党の指導方針としてそれは望めません．
    被害を被るのは中国人では無いので，それは外国人の勢力を弱めることになり，
    放置することが中国共産党の利益になるのです．
    事態が大事になって中国共産党への国際的非難が集中し，それが彼らの『メンツ』に
    かかわることだと認識するような事態になれば別でしょうが．
  - Re:1025番 (スコア:0)
    
    by Anonymous Coward
    
    >(*1) リネージュ内での中国人プレイヤーの呼称。やや蔑称の意味合いを含む。
    
    RMTが成立可能なMMORPGなら大抵使われる用語ですね。
    - Re:1025番 (スコア:0)
      
      by Anonymous Coward
      
      中華思想の"中華"を使うのもアレなので、自分はずっと"中禍"と呼んでました
IPアドレスリスト (スコア:3, 参考になる)

by flatline.proto (29261) on 2005年12月11日 2時53分 (#846412)

の作成に役に立つページ
krfilter [tsg.ne.jp]
ブロックリスト作成スクリプトまな板 [flnet.org]
12/9 から srcport 6000 が増加 (スコア:2, 参考になる)

by knx (22987) on 2005年12月11日 16時53分 (#846638)

たしかに、12/9 から destport 1025 スキャンの挙動が変わってますね。
いままでは、srcport がバラバラでしたが、12/9 を境に srcport 6000 のスキャンがほとんどを占めています。
いまどき短命ポートのデフォルトが1024〜なのは (スコア:1, 参考になる)

by Anonymous Coward on 2005年12月11日 1時53分 (#846383)

どんな化石OSなんだ？ Linuxはメモリ128MB以上積んでれば32768〜になるし、 Solarisも同様だよな。 BSDも上のほう使うはず。
- Re:いまどき短命ポートのデフォルトが1024〜なのは (スコア:1, 参考になる)
  
  by Anonymous Coward on 2005年12月11日 8時42分 (#846453)
  
  The Ephemeral Port Range
  http://www.ncftpd.com/ncftpd/doc/misc/ephemeral_ports.html [ncftpd.com]
  
  シェア
  
  親コメント
中国と言えば (スコア:1, 参考になる)

by Anonymous Coward on 2005年12月11日 2時53分 (#846410)

万里の長城 [newsmax.com]で止められないものかなぁ。
- Re:中国と言えば (スコア:4, おもしろおかしい)
  
  by Anonymous Coward on 2005年12月11日 7時46分 (#846446)
  
  >万里の長城で止められないものかなぁ。
  そこで止まるのは観光客です。
  
  シェア
  
  親コメント
  - Re:中国と言えば (スコア:0)
    
    by Anonymous Coward
    
    The Great Firewallは外から内への情報はシャットアウトしても、内から外はスルーらしい。
- Re:中国と言えば (スコア:1)
  
  by Artane. (1042) on 2005年12月11日 20時38分 (#846713) ホームページ日記
  
  今回は万里の長城の向こうの職人さんがつくったワームを万里の長城の上の黒家のみなさんが丁寧に一個ずつ…いや、なんでもないです(^^;
  
  シェア
  
  親コメント
Gyao でたまたま (スコア:0)

by Anonymous Coward on 2005年12月11日 23時43分 (#846770)

サイバー・ウォーズ [www.gyao.jp]を見たばかりなので興味津々。

＃アジアの自称ハッカー達へのインタビューみたいな番組

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

警察庁、1025番ポートへのアクセスに警戒するよう発表 More ログイン

TCP 1025の接続に注意するよりも (スコア:5, 参考になる)

Re:TCP 1025の接続に注意するよりも (スコア:2, 参考になる)

Re:TCP 1025の接続に注意するよりも (スコア:1, 興味深い)

Re:TCP 1025の接続に注意するよりも (スコア:0, フレームのもと)

Re:TCP 1025の接続に注意するよりも (スコア:1, すばらしい洞察)

Re:TCP 1025の接続に注意するよりも (スコア:0)

Re:TCP 1025の接続に注意するよりも (スコア:0)

Re:TCP 1025の接続に注意するよりも (スコア:0, すばらしい洞察)

Re:TCP 1025の接続に注意するよりも (スコア:1, 参考になる)

Re:TCP 1025の接続に注意するよりも (スコア:0)

Re:TCP 1025の接続に注意するよりも (スコア:0, すばらしい洞察)

Re:TCP 1025の接続に注意するよりも (スコア:0, 余計なもの)

Re:TCP 1025の接続に注意するよりも (スコア:0)

Re:TCP 1025の接続に注意するよりも (スコア:0)

Re:TCP 1025の接続に注意するよりも (スコア:2, 参考になる)

Re:TCP 1025の接続に注意するよりも (スコア:1, すばらしい洞察)

今日になって来てます (スコア:5, 興味深い)

Re:今日になって来てます (スコア:3, 参考になる)

Re:今日になって来てます (スコア:2, 参考になる)

Re:今日になって来てます (スコア:0)

Re:今日になって来てます (スコア:0)

Re:今日になって来てます (スコア:1)

Re:今日になって来てます (スコア:5, 参考になる)

Re:今日になって来てます (スコア:0)

Re:今日になって来てます (スコア:1, 興味深い)

Re:今日になって来てます (スコア:0)

Re:今日になって来てます (スコア:0)

パッチ当てれば? (スコア:5, 参考になる)

Re:パッチ当てれば? (スコア:1)

1025番 (スコア:4, 参考になる)

Re:1025番 (スコア:3, 興味深い)

Re:1025番 (スコア:0)

Re:1025番 (スコア:0)

Re:1025番 (スコア:0)

IPアドレスリスト (スコア:3, 参考になる)

12/9 から srcport 6000 が増加 (スコア:2, 参考になる)

いまどき短命ポートのデフォルトが1024〜なのは (スコア:1, 参考になる)

Re:いまどき短命ポートのデフォルトが1024〜なのは (スコア:1, 参考になる)

中国と言えば (スコア:1, 参考になる)

Re:中国と言えば (スコア:4, おもしろおかしい)

Re:中国と言えば (スコア:0)

Re:中国と言えば (スコア:1)

Gyao でたまたま (スコア:0)