平成9年8月22日                                    情報処理振興事業協会             コンピュータ不正アクセス被害の届出状況について  IPA(情報処理振興事業協会、石井賢吾理事長)は、コンピュータ不正アクセス被害の届出状況を まとめた。コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策 基準(平成8年8月8日付通商産業省告示第362号)に基づき、平成8年8月にスタートした制度で あり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐため に必要な情報をIPAに届出ることとされている。 ●届出の概要 平成9年7月のコンピュータ不正アクセス被害の届け出が別紙のように4件あった。 この中で過去に発表した原因と異なる以下の2件について概要を報告する。 (1) あるインターネットプロバイダに加入してホームページを開設している複数のユーザに、プロ   バイダの管理者を偽った者から「1週間後にダイアルアップサービスを停止する」という電子メ   ールが届いた。この電子メールを受け取ったユーザの一部は、この偽りの電子メールを信じて別   のインターネットプロバイダと契約した。また電子メールを偽造されたインターネットプロバイ   ダには多数の苦情や問い合わせが寄せられ、通常の業務に支障をきたすことになった。被害を受   けたインターネットプロバイダが調査したところ、偽の電子メールの発信元はある電子機器販売   会社のホストコンピュータであることが判明した。このホストコンピュータは、この会社から電   子機器を購入した者であれば誰でも共通のユーザIDとパスワードで利用できるようになってい   たため、誰が偽りの電子メールを発信したのか特定できなかった。 (2) ある研究組織の2台のホストコンピュータが平成9年4月から5月にかけて不正に侵入された。   最初の不正アクセスは盗まれたユーザIDで行われた。このときファイル等は破壊されていない   が、外部からINS回線を経由してホストコンピュータを利用するための電話番号が盗まれた。ま   た、このとき使用されたユーザID及びパスワードがどのように盗まれたかは原因追究できてい   ないが、このパスワードは小文字の英字7桁から構成されたもので比較的推測が容易なものであ   った。    不正アクセス者は最初の不正アクセス時に盗み出した電話番号を用いてINS経由でも不正アク   セスを行っていたが、この時研究組織のホストコンピュータに侵入した後、ここを踏み台にして   国際電話回線を使いアメリカのホストコンピュータへ不正アクセスを行った。このときもファイ   ル等は破壊されていないが、国際電話回線を17分使用された被害が出ている。    この他に不正アクセス者は研究組織のホストコンピュータを踏み台にして、他のWebサーバ   に対しインターネットロボット(注1)を仕掛け、情報収集を行っていたことが判明している。 (注1)ホームページの検索時に、各Webサーバへ行って情報を収集する機能を持つプログラム。 ●注意事項 (1)インターネットプロバイダは、同じユーザIDでインターネットアクセスをサービスしている   電子機器販売会社に、インターネットを利用する人を識別できる様ユーザ毎に別のユーザIDと   パスワードを発行するようにお願いした。    このように簡単に匿名で利用できるようなサービスの提供は、不正アクセスや迷惑電子メール   の温床となりかねないので、極めて望ましくない。しかし同様のサービスを行っている企業が他   にも有る可能性はあり、同様の被害がいつ発生するか判らない状況では、偽電子メールによる被   害を防ぐ為に、電子メールに電子署名を付けることが望まれている。 (2)研究組織では再発防止策として以下のような対策をとった。   ・利用登録者全員のパスワードを変更した。   ・外部接続用のサーバを設置し、外部からアクセスできるホストを一つに限定した。さらに使い    捨てパスワード(注2)やssh(secure shell)(注3)を導入し、認証力の強化やネットワー    ク上を流れるデータの盗聴や改ざんへの対策を施した。    外部のコンピュータからインターネットを経由して内部のコンピュータにloginする場合、ユ   ーザIDやパスワードはネットワーク上をテキストデータで流れるため、ネットワークの経路上   で盗聴される危険性がある。盗聴されると正規のコンピュータユーザになりすまされ、不正侵入   を許すことになる。これを防ぐ為にはこの研究組織がとった様に以下の対策が必要である。   ・アクセスサーバを設置し、外部からloginするホストを限定しこのホストを集中的に管理する。   ・認証を強化する為使い捨てパスワードを使用する。   ・ネットワークを流れるデータを暗号化する機構(ssh等)を用いる。 (注2)認証するパスワードを毎回変えることによって、盗聴されてもパスワードを再利用できない    ようにする方式 (注3)暗号技術を使って安全にユーザ認証を行ったり、データ通信する技術。  IPAでは皆様方から届け出された不正アクセス被害について原因、分析を行い、当協会内に設置し たコンピュータ不正アクセス対策委員会の協力のもと対策を策定していきます。策定した対策はマスメ ディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映して行きます。これからもコン ピュータ不正アクセス被害の届け出にご協力をお願いします。                         問い合わせ先 IPA(情報処理振興事業協会)                           セキュリティセンター不正アクセス対策室                             e-mail  isec-info @ipa.go.jp                  ’97年7月不正アクセス被害届出一覧表 +−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−+ |  届出年月日  |           届 出 概 要            |      被 害 内 容       |        対 策          | +−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−+ |         |  ・プロバイダの環境を利用してホームページを開設している | ・偽電子メールを受け取ったプロバイダ | ・電子メールには電子署名を付けるよう  | |         |  プロバイダユーザ宛に、差出人をプロバイダ管理者と偽った | ユーザの中には電子メールを信じて別の | にする。                | |  7月10日  |  電子メールが届けられた。内容は「1週間後にダイアルアッ | プロバイダと契約したユーザがいた。  | ・電子機器販売会社に対し今後このよう  | |         |  プサービスを停止する」というものだった。        | ・プロバイダあてに多数の苦情や問い合 | な事が起こらない方式が決定するまで、  | |         |  ・電子メールの発信元はある電子機器販売会社で、何者かが | わせが寄せられ、業務に支障をきたし  | インターネット接続サービスを停止する  | |         |  この会社の顧客向けに提供していたインターネット接続サー | た。                 | よう依頼した。             | |         |  ビスを利用して偽電子メールを発信していた。       |                    |                     | +−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−+ |         |  ・7月10日より毎日嫌がらせと思われる電子メールが   | ・毎日無意味な電子メールが1000通 | ・抜本的な解決方法は無い。       | |         |  500〜1000通送られてきている。電子メールの内容は | 送られてきて、削除するのに毎日大変時 | ・電子メールのヘッダー情報を見て電子メ | |  7月16日  |  「Crash!」という文字で埋められていた。      | 間をとられる。            |  ールの発信元を調べ、そのホストの管理 | |         |  ・電子メールの発信元を調べ、発信元のシステム管理者に連 |                    |  者に連絡して、発信者アドレスの特定や | |         |  絡し対応してもらっている。               |                    |  電子メールが外部へ発信されないような | |         |                              |                    |  処置をとってもらう。         | |         |                              |                    | *)尚詳細は平成9年4月22日付け「コ | |         |                              |                    |  ンピュータ不正アクセス被害の届出状況 | |         |                              |                    |  について」を参照のこと        | +−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−+ |         |  ・研究組織のホスト管理者宛に他サイトの管理者より「こち | ・研究組織ホストのユーザを偽って他の | ・利用登録者全員のパスワードを変更し  | |         |  らのWebサーバにインターネットロボットが仕掛けられ、 | サイトに対してインターネットロボット | た。                  | |  7月22日  |  異常アクセスが発生している」と連絡が入った。研究組織ホ | を仕掛けた。             | ・外部接続用のサーバを設置し、外部か  | |         |  スト管理者が調査したところ何者かに不正侵入され、ユーザ | ・研究組織ホストから国際回線を使って | らアクセスできるホストを一つに限定し  | |         |  IDが不正利用されたことが判明した。          | アメリカのサイトへ17分間アクセスし | た。                  | |         |  ・外部からのtelnetを許可していたホストのうちの2 | ていた。               | ・使い捨てパスワードやSSH      | |         |  台が、4月から5月の間不正アクセスされた。       |                    | (secure shell)を導入し  | |         |  ・侵入経路は国内のプロバイダを経由して侵入されたものと |                    | た。                  | |         |  外出先からアクセスできるように設置していたINS電話回 |                    |                     | |         |  線から侵入されたものとがある。             |                    |                     | |         |  ・不正アクセス者は特定できていない。          |                    |                     | +−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−+ |         |  ・ソフトウェア開発会社のWebサーバに対してパスワード | 無し                 | ・セキュリティホールの無い最新のNCSA| |         |  情報を取得する試みが行われたことが、サーバプログラム  |                    |  htppdプログラムを使用する。   | |  7月25日  |  (httpd)のログを調査したところ判明した。     |                    | ・不要なサンプルCGIプログラムは削除 | |         |  ・CGIのサンプルプログラムphfを利用したものだった |                    |  する。                | |         |  が、phfプログラムはインストールされていなかった為実 |                    |*)平成9年5月16日付け「コンピュータ不| |         |  害は無かった。                     |                    |正アクセス被害の届出状況について」参照  | +−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−−−−−−−