平成9年6月27日                                     情報処理振興事業協会            コンピュータ不正アクセス被害の届出状況について  IPA(情報処理振興事業協会、石井賢吾理事長)は、コンピュータ不正アクセス被害の届出状況を まとめた。コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策 基準(平成8年8月8日付通商産業省告示第362号)に基づき、平成8年8月にスタートした制度で あり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐため に必要な情報をIPAに届出ることとされている。 ●届出の概要  今回WWWに対する不正アクセス被害届出が3件あったので報告する。この内1件は不正アクセスに あい、残りの2件は未遂に終っている。 (1)ある中央省庁のホームページ中の掲示版を開くと「オウム真理教」の音楽が流れるとホームペー   ジの視聴者から連絡があった。    システム管理者が調査したところ、投稿されたメッセージの中にHTML文として記述されている   メッセージがあり、その中で「オウム真理教」の音楽を流す箇所があることがわかった。この   HTML文として記述されたメッセージがあると、掲示版を開く段階で他のWWWサーバにあるサウ   ンドファイルの内容が実行される。    システム管理者は投稿メッセージを掲示版に掲載するプログラムを変更して、HTML文としてで   なく通常のテキストとして表示されるようにした。(HTML文中にあるHTMLタグの予約文字であ   る"<"と">"とを"<" 及び">"に置換するようにプログラムを変更した。このように置換するこ   とで、HTML文としてではなく通常のテキストとして掲示版に表示される。) (2)ある大学の研究室で、同研究室のWWW(World Wide Web)サーバを管理しているシステム管   理者がhttpd(hypertext transfer protocol daemon)プログラムのエラーログファイルを調   査したところ、何者かがパスワードファイルを盗み出そうとしていたことが判明した。    この不正アクセスはNCSA(注1)httpdプログラム(1.5a-export,APACHE 1.0.3 httpdおよ   びこれ以前にリリースされたバージョン)に有ったセキュリティホールを利用したもので、httpd   プログラムと同時にインストールされるサンプルCGI(Common Gateway Interface)プロ   グラムphfを使ったものであった。(現バージョンのNCSA httpd プログラムでは上記のセキュリ   ティホールは既に塞がれている。)    この被害届出のWWWサーバはUNIXであったが、CERN(注2)のhttpdプログラムを使用して   運用していたためパスワードファイルが盗まれることは無かった。 (3)(2)の大学の別の研究室で、(2)と同様の不正アクセスがあった。研究室のWWWサーバを   管理しているシステム管理者がhttpdプログラムのアクセスログファイル、エラーログファイルを   調査したところ何者かがパスワードファイルを盗み出そうとしていたことが判明した。    この被害届出のWWWサーバはAPACHE1.1.3を使用していたが(NCSA系のhttpd)、phfプロ   グラムを登録していなかったため実害は無かった。 (注1)National Center for Supercomputer Applications イリノイ大学内に設置されているア     メリカ・スーパーコンピュータ・センター (注2)the European Laboratory for Particle Physics ヨーロッパ素粒子物理学研究所  またこれ以外に以下の様なWWWに対する不正アクセスが起きていることが判明している。  大阪にある放送局のホームページ上で表示していた画像データが不正アクセス者に改ざんされたとい う事件があった。この放送局では、視聴者がホームページ上からftpを利用して公開している画像データ を取得できるようにしていた。ところが不正アクセス者にftpを使ってデータを登録できることを発見さ れていたため、不正アクセス者によって画像データがわいせつな画像データに書き変えられていた。現 在、放送局ではホームページ上からftpを利用できなくしたため、画像データの改ざんは行えなくなって いる。 ●注意事項 (1)WWWサーバを運用する者、特に掲示版やftpのサービスを提供しているサイトの管理者は、サ   ービスの設定には注意をしていただきたい。   ・掲示版にホームページ視聴者のメッセージを掲載するときは、メッセージをチェックしてから掲   載すること。メッセージ中に"<"や">"の文字が書かれていないか確認し、"<"と">"とを"<"及び   ">"に置き換えて掲載する、等の処置が必要である。また、メッセージを掲示版に掲載するプロ   グラムを作成している場合は、プログラムにこの置き換え処理を加える必要がある。   ・ftpサービスを提供するサイトでは、外部から書込み可能にしておくとファイル内容の改ざんは   元より、パスワードを盗み出すようなプログラムを仕掛けらる等、さらに大きな被害をもたらす不   正アクセスにつながるので、ディレクトリやファイルの書込み権限は必要な人以外に設定しないこ   とが重要である。 (2)NCSAのhttpdプログラムで運用しているWWWサーバの管理者は、httpdプログラムのセキュリ   ティホールの無いもの(下記CERTアドバイザリ参照)を使用し、また不要なサンプルCGIプ   ログラムは削除して運用することが必要である。    また、バージョンアップまでの緊急対応としては、使っていないサンプルCGIプログラム(   phfを含む)を削除することが必要である。    プロバイダの環境を利用してホームページを開設している者は、プロバイダにhttpdプログラム   の種類やバージョンを確認していただきたい。    セキュリティホールについての詳細な情報および対策については米国CERTのアドバイザリを   参照していただきたい。(入手先 ftp://info.cert.org/pub/cert_advisories/CA-96.06)  IPAでは皆様方から届け出された不正アクセス被害について原因、分析を行い、当協会内に設置し たコンピュータ不正アクセス対策委員会の協力のもと対策を策定していきます。策定した対策はマスメ ディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映して行きます。これからもコン ピュータ不正アクセス被害の届け出にご協力をお願いします。                     問い合わせ先 IPA(情報処理振興事業協会)                            セキュリティセンター不正アクセス対策室                            e-mail  isec-info @ipa.go.j