<br />
<b>Deprecated</b>:  The each() function is deprecated. This message will be suppressed on further calls in <b>/home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php</b> on line <b>456</b><br />
--- 2000/ed000007.txt	Fri Aug 25 13:00:01 2000
+++ 2001/ed010004.txt	Thu Dec 27 13:56:35 2001
@@ -1,14 +1,14 @@
 -----BEGIN PGP SIGNED MESSAGE-----
 
 ======================================================================
-                                                   JPCERT-ED-2000-0007
+                                                   JPCERT-ED-2001-0004
                                                              JPCERT/CC
 
 技術メモ  - コンピュータセキュリティインシデントへの対応
 
 初    版: 1999-12-09  (Ver.01: JPCERT-E-TEC-99-0002-01)
-発 行 日: 2000-08-25  (Ver.02)
-最新情報: http://www.jpcert.or.jp/ed/2000/ed000007.txt
+発 行 日: 2001-12-27  (Ver.03)
+最新情報: http://www.jpcert.or.jp/ed/2001/ed010004.txt
 ======================================================================
 
   本文書では、コンピュータセキュリティインシデントへの一般的な対処方法
@@ -28,7 +28,7 @@
   コンピュータセキュリティインシデント (以下単にインシデントと表記) の
 典型的な例としては、侵入、サービス妨害、破壊、データの盗用や、それらの
 準備段階と推測されるアクセス、そのほか他サイト/システムからの原因不明
-のアクセス等々が挙げられます。また、サイト外部から、自サイトの関与する
+のアクセスなどが挙げられます。また、サイト外部から、自サイトの関与する
 (疑いのある)インシデントについての情報提供を受ける可能性もあります。
 
   実際のインシデントの形態は多岐に渡ります。サイト固有の事情を考慮の上、
@@ -56,7 +56,7 @@
       - 外部からのインシデントレポートの受領
       - 外部への予期しないアクセスの検出
 
-  この他、顧客のプライバシーや組織の信用に対する影響等々の尺度も考えら
+  この他、顧客のプライバシーや組織の信用に対する影響などの尺度も考えら
 れます。サイト固有の諸事情を勘案し、適切な類型を想定する必要があります。
 
   一見して具体的な影響がないと考えられる事象であっても、実際にはサイト
@@ -86,12 +86,14 @@
 VI. 章では Unix 系のシステムにおける侵入発見チェックリストを紹介してい
 ます。
 
+  ※ MS Windows に関しては、参考資料 [6] [14] を参照してください。
+
   これらの作業には、必ずしもシステム運用管理の範疇ではない作業も含まれ
 ます。また、調査、復旧や再発防止に要する費用、人員、機材の確保や、ある
-いは警察への捜査要請、弁護士への支援依頼、顧客、出資者等への報告、メディ
-ア等外部への情報開示、損失の評価、等々、組織全体にかかわる重大な判断が
-必要となる局面も予想されます。サイト内各部署を交え、サイトの危機管理の
-一環として、事前に調整しておくことが望まれます。
+いは警察への捜査要請、弁護士への支援依頼、顧客、出資者などへの報告、メ
+ディアなど外部への情報開示、損失の評価など、組織全体にかかわる重大な判
+断が必要となる局面も予想されます。サイト内各部署を交え、サイトの危機管
+理の一環として、事前に調整しておくことが望まれます。
 
 
 II. 一般的な作業手順
@@ -101,12 +103,12 @@
 
   サイトにおけるインシデント対応手順が予め定められている場合には、その
 内容を確認します。非常時に備えて、セキュリティポリシーや作業マニュアル、
-その他必要な資料等は、予めすぐに参照できる場所に用意しておきます。
+その他必要な資料などは、予めすぐに参照できる場所に用意しておきます。
 
   不幸にして事前に定められた手順がない場合、もしくは、想定されていない
 事態が発生した場合には、責任者、担当者と調整を図りつつ、本文書や参考資
-料 [1] [2] [3] [4] 等の手順を参考に対応を検討します。あるいは、外部の
-コンサルタントの助力を得るという選択肢も考えられます。
+料 [1] [2] [3] [4] [5] [6] などの手順を参考に対応を検討します。あるい
+は、外部のコンサルタントの助力を得るという選択肢も考えられます。
 
 
 (2) 作業記録の作成
@@ -120,7 +122,7 @@
 
   発見者がインシデント対応の担当者でない場合には、サイトにおいて事前に
 定義された連絡先 (たとえば組織内のインシデント対応チーム、セキュリティ
-管理者や情報システム部門のインシデント対応担当者等々) に連絡し、指示を
+管理者や情報システム部門のインシデント対応担当者など) に連絡し、指示を
 仰ぎます。
 
   実際にインシデントが発生した場合には、その内容や程度により、組織内の
@@ -138,15 +140,15 @@
 の事実を確認します。
 
   不審なアクセスが観測されたとしても、それは必ずしも悪意によるアクセス
-とは限りません。自らの操作ミス、他のシステム管理者の作業等々が原因でな
+とは限りません。自らの操作ミス、他のシステム管理者の作業などが原因でな
 いか、あるいは、システム自体の問題 (仕様、実装上の誤り) ではないか、念
 のため確認することが重要です。
 
   例えば、自サイトに侵入され、その侵入者が外部へのアクセスを行なった結
-果として、アクセス先システムから自サイトの Ident [5] サーバ等に対しア
-クセスを受けることがあります。また、自サイト (の正規の利用者) が外部の
-サービスに対して通常のアクセスを行なったところ、アクセス先システムの予
-想外の挙動によって自サイトへのアクセスを受ける場合もあります。
+果として、アクセス先システムから自サイトの Ident [7] サーバなどに対し
+アクセスを受けることがあります。また、自サイト (の正規の利用者) が外部
+のサービスに対して通常のアクセスを行なったところ、アクセス先システムの
+予想外の挙動によって自サイトへのアクセスを受ける場合もあります。
 
   このように、自サイトから外部へのアクセスを行った波及効果として、外部
 から自サイトに対するアクセスを受けたという状況においては、後者のアクセ
@@ -155,7 +157,7 @@
   他にも、他のサイトで検出されたインシデントについて、自サイトがそれに
 関係する可能性があるという連絡を受ける可能性があります (たとえば、自サ
 イトのアドレスから先方に対して不審なアクセスが行なわれているという指摘、
-先方のシステムが自サイトへの攻撃元として悪用されたという事情説明、等々)。
+先方のシステムが自サイトへの攻撃元として悪用されたという事情説明など)。
 この場合、連絡元において何らかの誤解があるか、最悪の場合、詐欺的手法に
 よる攻撃を意図した欺瞞情報であるとも考えられます。冷静に事実確認を行な
 うことが重要です。
@@ -167,7 +169,7 @@
 ンシデント発生時のシステムのスナップショットを保存します。保存すべき項
 目や範囲は、想定されるインシデントにより異なります。例えばログイン状況、
 ネットワーク接続やプロセスの稼働状況に関する記録の作成、バックアップデー
-タの作成、ハードディスクのイメージの保存、等々が挙げられます。
+タの作成、ハードディスクのイメージの保存などが挙げられます。
 
 
 (6) ネットワーク接続やシステムの遮断もしくは停止
@@ -185,7 +187,7 @@
 れません。
 
   遮断や停止が必要な場合、あるいは、遮断や停止を行なって差し支えない場
-合について、意思決定プロセスや判断基準、具体的な作業手順等を予め定めて
+合について、意思決定プロセスや判断基準、具体的な作業手順などを予め定めて
 おくことを推奨します。
 
 
@@ -197,16 +199,16 @@
   具体的には、他のシステムとの通信の状況、ファイルのアクセス状況を確認
 します。サイトの機密情報や、システムのセキュリティ上重要なファイルが参
 照されたり、改ざん、消去、持ち出しされている可能性がある場合には、ファ
-イルやデータの位置付け (文書管理規定上の機密管理レベル等) を確認し、以
-後の対応を検討します。また、他のシステムへのアクセス元として悪用された
-可能性がある場合には、ログ等を参照し、その日時やアクセス内容を確認しま
-す。
+イルやデータの位置付け (文書管理規定上の機密管理レベルなど) を確認し、
+以後の対応を検討します。また、他のシステムへのアクセス元として悪用され
+た可能性がある場合には、ログなどを参照し、その日時やアクセス内容を確認
+します。
 
 
 (8) 渉外、関係サイトへの連絡
 
   インシデントの発生に際しては、その影響の程度により、サイト内外への事
-情説明や謝罪等々が必要とされる場合があります。広報や渉外等々の担当と調
+情説明や謝罪などが必要とされる場合があります。広報や渉外などの担当と調
 整し、適切な情報提供を行ないます。
 
   何らかの形で他のサイトがインシデントに関係している可能性がある場合に
@@ -222,19 +224,19 @@
 
   外部からのアクセスにより一定の影響を被った場合には、インシデントを発
 見するきっかけとなったシステムのほか、外部から (インターネット、電話回
-線等を通じて) 直接アクセスできるシステムに関して、何か問題がないか検討
-します。
+線などを通じて) 直接アクセスできるシステムに関して、何か問題がないか検
+討します。
 
-  個別のセキュリティ上の弱点については、JPCERT/CC の公開文書 [6] や、
-参考資料 [7] [8] 等々の各種セキュリティ勧告文書等を随時参照することを
-推奨します。また、弱点の特定にあたっては、参考資料 [9] [10] も参考にな
-ります。
+  個別のセキュリティ上の弱点については、JPCERT/CC の公開文書 [8] [9] 
+や、参考資料 [10] [11] などの各種セキュリティ勧告文書などを随時参照す
+ることを推奨します。また、弱点の特定にあたっては、参考資料 [12] [13]
+[14] も参考になります。
 
 
 (10) システムの復旧
 
-  システムが改ざんや破壊等を受けた場合には、バックアップメディアあるい
-は配布メディアからシステムを復旧します。
+  システムが改ざんや破壊などを受けた場合には、バックアップメディアある
+いは配布メディアからシステムを復旧します。
 
   バックアップデータを記録した時点において、既にシステムが改ざんされて
 いるおそれがある場合には、予期しない設定やプログラムが記録されていると
@@ -336,9 +338,9 @@
 (3) UDP 161 番ポート (SNMP) へのパケット
 
   攻撃のための参考情報を SNMP 経由で入手しようとするアクセスとも考えら
-れますが、ネットワーク監視ツールの設定ミス等によりパケットが送出された
-可能性もあり、単なるパケットの監視記録だけでは一般的には攻撃との判断は
-できません。
+れますが、ネットワーク監視ツールの設定ミスなどによりパケットが送出され
+た可能性もあり、単なるパケットの監視記録だけでは一般的には攻撃との判断
+はできません。
 
   この場合の対応としては、送出元アドレスの管理者に対して事実関係の確認
 を依頼することが考えられます (IP アドレスの設定誤りないし IP アドレス
@@ -359,14 +361,14 @@
 程度) が送信されている場合には、traceroute コマンドによるアクセスとの
 推測も有力です。
 
-  アタックの参考とするために経路情報を探索された等々の可能性も完全には
+  アタックの参考とするために経路情報を探索されたなどの可能性も完全には
 否定できませんが、一方で、少数回の traceroute は一般的に許容される行為
 であるとするユーザも少なくありません。
 
   そこで、この場合の対応としては、他に不審な点があれば (継続的に/大量
-に行なわれている、他にも不審なアクセスが観測されている、等々)、監視体
-制を強化する、送出元アドレスの管理者に照会してみる、等の対応が考えられ
-ます。
+に行なわれている、他にも不審なアクセスが観測されているなど)、監視体制
+を強化する、送出元アドレスの管理者に照会してみるなどの対応が考えられま
+す。
 
 
 IV. 外部からインシデントについての連絡を受けた場合
@@ -380,52 +382,52 @@
 (1) サイト内での調整
 
   連絡を受けた内容によっては、必ずしも情報システム運用管理の範疇に留ま
-らず、広報、渉外、法務等からの対応が望まれる場合があります。他の担当者
-や他の部署と協調して対応することが必要であれば、それら担当者、責任者に
-対して連絡をとります。
+らず、広報、渉外、法務などからの対応が望まれる場合があります。他の担当
+者や他の部署と協調して対応することが必要であれば、それら担当者、責任者
+に対して連絡をとります。
 
 
 (2) 事実関係の確認
 
   まずは、連絡元の主張する内容を落ち付いて確認します。例えば、自サイト
-についての問題か否か、アクセスの内容、アクセスの方向、日時等を確認しま
-す。次に、その内容が自サイトのシステムに関係する場合には、システムのロ
-グ等を確認し、事実関係を確認します (ただし、先方の主張する内容が事実で
-あると仮定した場合に、それがきわめて甚大な影響を及ぼすおそれがあるよう
-な場合には、ネットワーク接続やシステムの遮断、停止を優先するほうが、か
-えって適切な場合も考えられます)。
+についての問題か否か、アクセスの内容、アクセスの方向、日時などを確認し
+ます。次に、その内容が自サイトのシステムに関係する場合には、システムの
+ログなどを確認し、事実関係を確認します (ただし、先方の主張する内容が事
+実であると仮定した場合に、それがきわめて甚大な影響を及ぼすおそれがある
+ような場合には、ネットワーク接続やシステムの遮断、停止を優先するほうが、
+かえって適切な場合も考えられます)。
 
   一般的に、このような連絡については、因果関係の取り違い、勘違い、表記
-ミス等々の誤報である可能性があります。最悪の場合には、詐欺的手法による
+ミスなどの誤報である可能性があります。最悪の場合には、詐欺的手法による
 攻撃を意図した欺瞞情報であるとも考えられるため、冷静沈着に対処すること
 が重要です。
 
   また、特に ISP, ICP 各位においては、インターネットレジストリ機関への
-登録状況等々により、自サイトの顧客に関する連絡を受ける場合も多いと考え
-られます。顧客への情報の転送等を検討されることが望まれます。また、顧客
-のプライバシーに関する情報の取り扱いに留意することが望まれます。
+登録状況などにより、自サイトの顧客に関する連絡を受ける場合も多いと考え
+られます。顧客への情報の転送などをご検討ください。また、顧客のプライバ
+シーに関する情報の取り扱いに留意することが望まれます。
 
 
 (3) 連絡元への対応
 
   善意の連絡に対しては、事情説明を含め、礼を逸しない対応が望まれます。
-また、自システムが原因で先方に一定の影響が及んだ場合には、謝罪等の対応
-が望まれる場合も考えられます。あるいは、悪意の連絡に対しては、あえて回
-答を避けることも含め、特別な対応が必要な場合もあるかもしれません。
+また、自システムが原因で先方に一定の影響が及んだ場合には、謝罪などの対
+応が望まれる場合も考えられます。あるいは、悪意の連絡に対しては、あえて
+回答を避けることも含め、特別な対応が必要な場合もあるかも知れません。
 
   いずれにしても、不適切な対応は、それ自体が影響範囲の拡大や、先方との
-間の紛争等を招くリスクともなりえるので注意が必要です。渉外に関する担当
-者や手順等々に関しての規定がある場合には、それに従います。
+間の紛争などを招くリスクともなりえるので注意が必要です。渉外に関する担
+当者や手順などに関しての規定がある場合には、それに従います。
 
   もしも然るべき手順が確立されていない場合には、一例としてですが、責任
-者や担当者と調整しつつ、返信文案等は内部で事前にレビューを行ない、また、
-記録を残しながら対応を進めることが考えられます。
+者や担当者と調整しつつ、返信文案などは内部で事前にレビューを行ない、ま
+た記録を残しながら対応を進めることが考えられます。
 
   関連サイトとの情報交換については、詳しくは参考資料 [1] を参考にして
 ください。
 
 
-V. 侵入に対する対応
+V. 侵入への対応
 
 
   システムへの侵入を受けた場合には、一般的に侵入経路の特定が難しく、ま
@@ -439,7 +441,7 @@
   システムに侵入されると、ログの消去、改ざんを受けるおそれがあります。
 ログを消去されると、侵入経路や影響範囲の特定に支障を生じます。また、他
 システムへの攻撃元として悪用されたり、パケット盗聴プログラムの設置、情
-報の持ち出し等、予期される影響も甚大となります。
+報の持ち出しなど予期される影響も甚大となります。
 
   よって、既に侵入されていることが明らかな場合には、ネットワークの遮断
 やシステムの停止について優先的に検討することを推奨します。
@@ -452,7 +454,7 @@
 時と共に記録します。
 
   続いて、ファイルシステムの状況を保存します。ファイルの最終参照時刻、
-最終更新時刻や、所有者、アクセス権等々の状況も重要な情報となります。理
+最終更新時刻や、所有者、アクセス権などの状況も重要な情報となります。理
 想的には、単純なファイルの複写やアーカイブよりも、ディスクイメージを複
 写するか、もしくは、ディスクをそのまま保管することが良いとされています。
 
@@ -460,11 +462,11 @@
 (3) 被侵入システムにおける調査
 
   侵入されたシステムにおいては、設定ファイルやプログラムが改ざんを受け
-たり、パケット盗聴プログラムや各種サーバ等の予期しないプログラムが起動
-されている可能性があります。これらを放置すると、調査・復旧の妨げや、影
-響の拡大、再侵入の原因となるおそれがあります。そこで、ファイルシステム
-の内容や、稼働中のプロセス (サーバプログラム) を正常な状態と比較し、相
-違の有無を確認します。
+たり、パケット盗聴プログラムや各種サーバなどの予期しないプログラムが起
+動されている可能性があります。これらを放置すると、調査・復旧の妨げや、
+影響の拡大、再侵入の原因となるおそれがあります。そこで、ファイルシステ
+ムの内容や、稼働中のプロセス (サーバプログラム) を正常な状態と比較し、
+相違の有無を確認します。
 
   典型的な改ざんの例としては、以下のようなものが挙げられます。
 
@@ -476,17 +478,17 @@
 
   調査にあたっては、改ざんを受けていないことが保障されているソフトウェ
 ア (コマンド) を使うことが重要です。システムによっては、書き込み禁止状
-態の起動媒体 (CD-ROM, フロッピーディスク等) が提供されており、このよう
-な調査に利用できる場合もあります。
+態の起動媒体 (CD-ROM, フロッピーディスクなど) が提供されており、このよ
+うな調査に利用できる場合もあります。
 
   また、侵入者がファイルを残していった場合には、サイトに対する影響を調
 査する際の参考となります。このようなファイルは、典型的には、隠しファイ
 ルとされたり、あるいは、標準的なファイルと紛らわしい場所や、一時ファイ
-ル領域、隠しディレクトリ等に作成されます。また、アカウントが偽造 / 盗
+ル領域、隠しディレクトリなどに作成されます。またアカウントが偽造 / 盗
 用されている場合には、そのアカウントのホームディレクトリも調査します。
 
   なお、被侵入システムから、侵入者が残したファイル類が発見された場合、
-その内容から侵入経路等の内容を推測できる場合もあります。
+その内容から侵入経路などの内容を推測できる場合もあります。
 
 
 (4) 他のシステムに対する影響の調査
@@ -499,10 +501,10 @@
 
   典型的には、攻撃用ツールの出力を保存したファイルが放置されていないか
 確認します。また、侵入者が他のシステムに TCP 接続を行なった際に、接続
-先システムから接続元の Ident [5] サーバに対して問い合わせが行なわれる
+先システムから接続元の Ident [7] サーバに対して問い合わせが行なわれる
 場合もあり、その記録が残っている可能性もあります。あるいは、ルータやファ
-イアウォール等において、自サイトのネットワーク利用状況のログを保存して
-いる場合には、そのログが利用できる場合もあります。
+イアウォールなどにおいて、自サイトのネットワーク利用状況のログを保存し
+ている場合には、そのログが利用できる場合もあります。
 
 
 (5) 侵入経路の特定
@@ -510,23 +512,23 @@
   侵入された要因を特定し、適切な対策を実施しない限り、再侵入を受ける可
 能性があり、危険です。
 
-  被侵入システムのほか、外部から (インターネット、電話回線等を通じて)
+  被侵入システムのほか、外部から (インターネット、電話回線などを通じて) 
 直接にアクセスできるマシン上に弱点がないか検討します。例えば、
 
   ・放置していたセキュリティ上の問題、弱点はなかったか
   ・パスワードファイルや設定ファイル類が盗まれた形跡はないか
   ・見破られやすいパスワードがなかったか
-  ・HTTP や FTP 等、公開しているサービスに設定の誤りがなかったか
+  ・HTTP や FTP など、公開しているサービスに設定の誤りがなかったか
 
-等をチェックします。
+などをチェックします。
 
 
 
 VI. Unix 系システムにおける侵入発見チェックリスト
 
 
-* /tmp や /var、/dev 以下等に不審なファイルがないかを調べます。侵入者
-  は、これらの場所にファイルを残す場合が多くあります。
+* /tmp や /var、/dev 以下などに不審なファイルがないかを調べます。侵入
+  者は、これらの場所にファイルを残す場合が多くあります。
 
 * syslog が出力するログ、last ログ、その他アカウンティング情報などに不
   審な形跡や普段の使用状況と異なる記録が残されていないかを調べます。
@@ -534,16 +536,16 @@
   syslog は、典型的な環境では /etc/syslog.conf に記載された場所に出力
   されます。
 
-* FTP サーバや HTTP サーバ等が動いており、ファイル転送状況等のログを保
-  存している場合には、そのログファイルを調査します。
+* FTP サーバや HTTP サーバなどが動いており、ファイル転送状況などのログ
+  を保存している場合には、そのログファイルを調査します。
 
-* 調査したい機器以外に、ルータやファイアウォール等の機器が出力するログ
-  が残されていれば、それらも利用して不審な形跡や普段の使用状況と異なる
-  記録がないかを確認します。
+* 調査したい機器以外に、ルータやファイアウォールなどの機器が出力するロ
+  グが残されていれば、それらも利用して不審な形跡や普段の使用状況と異な
+  る記録がないかを確認します。
 
 * setuid/setgid された不審なファイルが残されていないかを調査します。具
-  体的には下記コマンド等にて出力されるファイルをチェックし、それらが侵
-  入者によって置き換えられたものでないかを確認します。
+  体的には下記のコマンドなどで出力されるファイルをチェックし、それらが
+  侵入者によって置き換えられたものでないかを確認します。
 
         # find / -user root -perm -4000 -print
         # find / -group kmem -perm -2000 -print
@@ -555,32 +557,32 @@
 
   具体的には、下記に列挙したようなファイル自体が書き換えられていないか、
   あるいは、それらファイルのうちシステム起動時や終了時に実行されるファ
-  イル (/etc/rc*, /etc/init.d ディレクトリの下にあるファイル等) とそれ
-  らのファイルの中から実行される全てのファイルに、不審なコマンドが含ま
-  れていないか、実行される全てのプログラムが改ざんされていないか、それ
-  らのプログラムの設定ファイルに不審な設定内容が含まれていないか等を確
-  認します。
+  イル (/etc/rc*, /etc/init.d ディレクトリの下にあるファイルなど) とそ
+  れらのファイルの中から実行される全てのファイルに、不審なコマンドが含
+  まれていないか、実行される全てのプログラムが改ざんされていないか、そ
+  れらのプログラムの設定ファイルに不審な設定内容が含まれていないかなど
+  を確認します。
 
         /etc/passwd, /etc/shadow, /etc/inetd.conf, /etc/services,
         /etc/ttys, /etc/ttytab, /etc/hosts.equiv, ~/.rhosts
         /etc/rc*, /etc/syslog.conf, /etc/crontab, /etc/aliases,
-        /etc/hosts.deny, /etc/hosts.access など
+        /etc/hosts.deny, /etc/hosts.allow など
 
 * 不審な隠しファイル (例えば、"..."、".. " など) が残されていない
   かを確認します。
 
         # find / -name ".*" -print | cat -v
 
-* ps や netstat コマンド等により、見知らぬプロセスが存在していたり、
+* ps や netstat コマンドなどにより、見知らぬプロセスが存在していたり、
   LISTEN している (接続を受け付けている) 見知らぬポートや不審な接続が
   存在していないかを確認します。
 
 * 使用しているプログラムの最新バージョンや関連するセキュリティ文書を参
   照して弱点を放置していないかを確認します。
 
-  個別のセキュリティ上の弱点については、JPCERT/CC の公開文書 [6] や、
-  参考資料 [7] [8] 等々の各種セキュリティ勧告文書等を随時参照してくだ
-  さい。また、参考資料 [9] [10] もご参照ください。
+  個別のセキュリティ上の弱点については、JPCERT/CC の公開文書 [8] [9] 
+  や、参考資料 [10] [11] などの各種セキュリティ勧告文書などを随時参照
+  してください。また、参考資料 [12] [13] もご参照ください。
 
 
 VII. 参考資料
@@ -588,7 +590,7 @@
 
 [1] 関係サイトとの情報交換
 
-    http://www.jpcert.or.jp/ed/2000/ed000006.txt
+    http://www.jpcert.or.jp/ed/2001/ed010003.txt
 
 [2] Intruder Detection Checklist
 
@@ -597,34 +599,54 @@
 [3] Steps for Recovering from a UNIX Root Compromise
 
     http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
+    http://www.auscert.org.au/Information/Auscert_info/Papers/win-UNIX-system_compromise.html
+
+[4] Steps for Recovering from a UNIX or NT System Compromise
+
+    http://www.auscert.org.au/Information/Auscert_info/Papers/win-UNIX-system_compromise.html
 
-[4] CIAC-2305 Unix Incident Guide: How to Detect an Intrusion
+[5] CIAC-2305 Unix Incident Guide: How to Detect an Intrusion
 
     ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.pdf
     ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.txt
 
-[5] "Identification Protocol", RFC 1413, M. St. Johns
+[6] Windows NT Intruder Detection Checklist
 
-[6] JPCERT/CC (コンピュータ緊急対応センター)からのお知らせ
+    http://www.auscert.org.au/Information/Auscert_info/Papers/win_intruder_detection_checklist.html
+
+[7] "Identification Protocol", RFC 1413, M. St. Johns
+
+    http://www.ietf.org/rfc/rfc1413.txt
+
+[8] JPCERT/CC 発行の緊急報告・注意喚起
 
     http://www.jpcert.or.jp/at/
 
-[7] CERT(sm) Advisory
+[9] JPCERT/CC レポート
+
+    http://www.jpcert.or.jp/wr/
+
+[10] CERT(R) Advisory
 
     http://www.cert.org/advisories/
 
-[8] CERT(sm) Vendor-Initiated Bulletin
+[11] Vulnerability Notes Database
 
-    http://www.cert.org/summaries/
+    http://www.kb.cert.org/vuls/
 
-[9] UNIX Computer Security Checklist
+[12] UNIX Computer Security Checklist
 
-    ftp://ftp.auscert.org.au/pub/auscert/papers/unix_security_checklist
+    http://www.cert.org/tech_tips/AUSCERT_checklist2.0.html
+    http://www.auscert.org.au/Information/Auscert_info/Papers/usc20.html
 
-[10] UNIX Configuration Guidelines
+[13] UNIX Configuration Guidelines
 
     http://www.cert.org/tech_tips/unix_configuration_guidelines.html
 
+[14] Windows NT Configuration Guidelines
+
+    http://www.auscert.org.au/Information/Auscert_info/Papers/win_configuration_guidelines.html
+
 
 __________
 
@@ -646,12 +668,12 @@
 
 __________
 
-1999 (C) JPCERT/CC
+1999-2001 (C) JPCERT/CC
 
   この文書を転載する際には、全文を転載してください。情報は更新されてい
 る可能性がありますので、最新情報については
 
-        http://www.jpcert.or.jp/ed
+        http://www.jpcert.or.jp/ed/
 
 を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原
 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。
@@ -664,16 +686,17 @@
 
 改訂履歴
 
+2001-12-27  参照 URL の更新と MS Windows 関連の参考資料の追加
 2000-08-25  参照 URL の更新
 1999-12-09  初版
 
-
 -----BEGIN PGP SIGNATURE-----
 Version: 2.6.3ia
+Charset: noconv
 
-iQCVAwUBOaXvPYx1ay4slNTtAQFHggQA073scm03MlLFfj9ehEEUwRKlwAXEs7Oa
-5UuIwyNBjs9ceiOIXuSvaEZnzOeR8FydApYFAaoua/2cjTo4UzEXEeq1NlV5Ji9X
-mhWUAXfJbWv5lFAnWwF3n+QfzRIdXrrvxVwOGavTs9mW3fzz+mGDgHnpM9QZ9YTG
-eP114o5FJFo=
-=vnxm
+iQCVAwUBPCqH84x1ay4slNTtAQGbcQP/UymroyLRp2q/OVEfAEAee3ASzXLluWYX
+VJ+U+gFw722NvkTpoTG6SoORlBAkWLTmIYekInsqkeoUZJSui8+ZbFRTC8OHcJca
+ND+/ZAuuusxbiwmRE9fFBHSN8NymD+1CpMzIgUj1/kAbwwmJA26BFhjz0xhWOiKL
+5Y5VYG4fm2s=
+=Sc+I
 -----END PGP SIGNATURE-----