平成9年1月24日                                    情報処理振興事業協           コンピュータ不正アクセス被害の届出状況について  IPA(情報処理振興事業協会、石井賢吾理事長)は、コンピュータ不正アクセス被害の届出状況を まとめた。コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策 基準(平成8年8月8日付通商産業省告示第362号)に基づき、平成8年8月にスタートした制度で あり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐため に必要な情報をIPAに届出ることとされている。 ●届出の概要  本件不正アクセスが明らかになった経緯は以下のようなものである。  大学の研究室で研究目的に使用しているホストコンピュータのうち、外部と接続しているホストコン ピュータ(以下「本件ホスト」という。)に、スウェーデンから電子メールで、「そちらのホストより 不正アクセスを受けた」との連絡が入った。これを皮きりに海外の他の複数のホストコンピュータから も同内容のメールが送られてきた。同大学の研究室のシステム管理者が調査したところ、本件ホストに インターネット経由で不正侵入され、さらに本件ホストを踏み台にインターネットに接続されている同 大学外の他のホストへ侵入を試みた形跡を発見した。  本件ホストへ不正侵入した手順は以下のものであった。 (1)不正アクセス者が本件ホストからパスワードファイルを盗む (2)不正アクセス者はパスワードファイルを解析し、ユーザIDとパスワードの組合わせを入手する (3)入手したユーザIDとパスワードを使い本件ホストに不正侵入する (4)侵入した本件ホストから、インターネットを経由して接続されている同大学外の他のホストへ侵    入を試みる ●不正アクセスの原因  不正アクセスされた原因を調査したところ以下のことが判明した。 (1)パスワードファイルの盗難  本件ホストが接続されている同大学のシステムは、NIS(Network Information System)注)を使 用している。NISを使うときの名称が外部の者から類推できる簡単なものであった。さらに、このNI Sのアクセス制御を使っていなかったため、NISを使うときの名称がわかれば、誰でもユーザIDやパ スワード等の情報が取得できる環境であった。 (2)パスワードファイルからユーザID、パスワードの盗難  パスワードファイルの中には、ユーザIDとパスワードが記述されているが、パスワードは暗号化さ れているのでどのような文字が記述されているか判らないようになっている。しかし本件ホストのパス ワードファイル内のパスワードには、1文字等短いパスワードや英語の辞書に載っている良く使われる 単語のパスワードがあったため、暗号化されていても類推されやすかった。 (3)本件ホストへの不正侵入  本件ホストは、ネットワーク上で仮想端末機能を実現するための方式であるTelnetが、インタ ーネット経由で誰でも使用できる環境になっていた。 注)LAN(Local Area Network)に接続されているコンピュータ間でユーザIDやパスワードなどの共   有情報ファイルを利用するためのシステム ●対策  本件では下記のような対策をとった。 (1)NISに対する対策  ・NISを利用するときの名称を外部の者から類推できない名称に変更する  ・NISのアクセス制御機構を使って利用可能なホストを制限する (2)パスワードに対する対策  ・全員のパスワードを変更する  ・今後パスワードを以下に留意して設定する    8文字以上にする    辞書に載っている言葉、自分に関連のある言葉(家族やペットの名前、電話番号等)、固有名詞    (地名、人名、愛称名等)、日常生活で目耳にする語句、等は使わない    自分で覚えられないパスワードはつけない    大文字と小文字を混在させ、1文字以上の数字や特殊文字を入れる (3)インターネット経由で不正侵入されないようにする対策  ・Telnetをインターネット経由で利用できるホストを制限する。  これ以外に、インターネットと接続するときはファイアウォールを設置し、アクセス制御することが  必要である。 ●注意事項  本件は、ファイアウォールを設置していなかったことが大きな原因であるが、NISのセキュリティ機 能があるのに使わなかったことも原因の一つとしてあげられる。システムに備わっているセキュリティ機 能を最大限に利用することによって相当の不正アクセスを防ぐことができる。この点を再度確認して頂き たい。  コンピュータ不正アクセスからコンピュータを守るためには、常日頃からセキュリティホールの最新情 報を入手して対策を取ることが重要である。セキィリティホール情報は、米国CERTのアドバイザリリ ストを参照して頂きたい。(入手先 ftp://cert.org:/pub/cert_advisories)                           問い合わせ先 IPA(情報処理振興事業協会)                             セキュリティ・センター不正アクセス対策室                                e-mail  isec-info @ipa.go.jp