ＩＰＡ（情報処理振興事業協会、石井賢吾理事長）は、コンピュータ不正アクセス被害の届出状況をまとめた。 コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準 （平成８年８月８日付通商産業省告示第３６２号）に基づき、平成８年８月にスタートした制度であり、 同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報を ＩＰＡに届出ることとされている。

●届出の概要

（１） ある公共施設ネットワークは、パソコン通信を利用し、 一般ユーザや全国の登録ユーザに対して公共施設情報を提供している。 このネットワークを運用・管理している公共施設で、５月２８日から２９日にかけてと ６月１１日の２回にわたり不正アクセスがあった。

＜１回目＞
　不正アクセス者は、パソコン通信サーバに一般ユーザが利用するゲスト用のユーザＩＤでログインした後、 パソコン通信ソフトのコマンドを使い現在ログインしているユーザＩＤの一覧を表示させ、 その中からパスワードを設定していない管理者用のユーザＩＤを見つけた。
　次にそのユーザＩＤでログインし直し、公共施設ネットワークユーザ（全国の登録ユーザ）の一覧を取得した。 そして不正アクセス者は公共施設を偽って登録ユーザ宛に「パスワードを教えて欲しい」という内容の偽電子メールを送った。
　しかし、公共施設では電子メールを運用していなかったので、 ほとんどの登録ユーザでは偽電子メールに気が付き被害は無かった。偽電子メールに回答する電子メールを送った登録ユーザが１つあったが、公共施設側で気が付きその電子メールを削除した為、実害は無かった。

＜２回目＞
　不正アクセス者は、パスワードが設定されていないゲスト用のユーザＩＤでログイン、ゲスト用のユーザＩＤにパスワードを設定した。この為、１時間３０分にわたりゲスト用ユーザＩＤによる当ネットワークの利用ができなくなった。
（図１参照）

●注意事項

（１）公共施設では被害後以下の対策を施した。

• 全員のパスワードを変更した。
• 管理者用ユーザＩＤでログインした者以外はパソコン通信ソフトのコマンドを使用できない様にした。
• ユーザＩＤ毎に利用者の権限や利用できる機能を制限した。

（２）被害を受けたホームページ開設者は掲示板のＣＧＩを変更して他のコンピュータからの書込みができない様にした。
　掲示板を利用しての他のコンピュータの掲示板への不正な書込みが発生している。 ホームページで掲示板を開設する場合は以下の点に注意していただきたい。

• できるだけ掲示板は誰でも書き込める様にせず、許可を与えた者のみ書込み可能とする。
• 掲示板へ掲示する内容に、ｈｔｍｌ文を許可しないことも検討する。
• 掲示板は、他のコンピュータを経由して書き込めないようにする。　　

　ＩＰＡでは皆様方から届け出された不正アクセス被害について原因、分析を行い、 当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定していきます。 策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映して行きます。 これからもコンピュータ不正アクセス被害の届け出にご協力をお願いします。

問い合わせ先　ＩＰＡ（情報処理振興事業協会）
セキュリティセンター不正アクセス対策室
e-mail　 isec-info@ipa.go.jp