9805crack

１９９８年７月３日

情報処理振興事業協会

コンピュータ不正アクセス被害の届出状況について

１．はじめに

２．届出の状況

１９９８年５月の届出の概要

１９９８年５月のコンピュータ不正アクセス被害の届け出が５件あった(別紙参照)。概要を以下に報告する。

（１）root権限での侵入と種々の改竄
サーバへのroot権限での侵入と種々の改竄の届出が２件あった。

ケース１: rootパスワードの変更の他、不正なユーザ(ID)の追加、各種システムファイルの改竄等が行われていた。また、メールの転送設定ファイルの改竄により各ユーザへのメールがすべて不正侵入者に転送されるようになっていた。; パスワードファイルの盗用により正規ユーザになりすまして侵入し、sendmailのセキュリティホールを利用してroot権限の取得を行ったものと思われる。; システム管理者は、暫定措置として各種ファイルの復旧を行った。サーバの各種ソフトウェアの再インストールを行う予定であり、サービス内容の制限を検討している。
ケース２: 各種システムファイルの改竄の他、(再度の侵入を容易にする)ポートの開放等が行われていた。; 最初の侵入にはCGIを利用してパスワードファイルを取得した模様である。直接の侵入元のサイトも不正侵入を受けたもの(踏み台に利用されている)と思われる。; システム管理者は、各種ファイルの復旧及びポートの閉鎖を行って対処した。;

（２）spamメール中継

ケース１: システム管理者がサーバのログを調査したところ、spamの中継は以前より試みられていたが設定により中継を拒否していたため失敗しており、今回はヘッダをさらに改竄(詐称)したメールが使われたことにより中継が成功してしまったものと判明した。; spam先からの配信エラーメール及び抗議メールが届いた他、このメール中継が原因と思われるDNSのダウンが発生している。
ケース２: メールサーバー管理者宛に配信エラーメールが連続して届き、送信元のIDに該当するユーザがなかったため調査を開始した。その後、spamメール被害の苦情が数件届いた。; システム管理者はsendmailの設定で中継を行わないようにした。中継拒否の設定は元々使用していたsendmailのバージョンでも可能であったが、さらに新しい版へのバージョンアップも同時に行った。;

（３）WEBサーバのセキュリティホールを利用した攻撃

注意事項

（１）root権限での侵入と種々の改竄
侵入を受けてしまった場合の対処としては、再度の侵入のための仕掛けが行われている可能性を考慮し、

作成・改竄されたファイルやID等の調査と削除・再設定
すべてのＩＤのパスワードの変更
可能であればＯＳ等の再インストール
不必要に外部に公開されているポートの閉鎖

（２）spamメール中継
メール中継への対処に関しては、以下を参照のこと。６月８日に情報が更新されている。

（３）WEBサーバへの侵入の試み

（４）侵入の試みやソフトウェアのセキュリティホールを利用した攻撃への対処

不必要に外部に公開されているポートやサービスの閉鎖・停止
お使いのソフトウェアに関する情報をベンダー等から入手し、セキュリティホールのないバージョン・設定で使う
ログなどを定期的に確認し、攻撃・侵入や不審なプログラムの起動の形跡の有無をチェックする
ユーザに対する教育を徹底し、特にパスワードの扱いに留意するよう促す

　ＩＰＡでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定していきます。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映して行きます。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いします。
　

問い合わせ先　ＩＰＡ（情報処理振興事業協会）

セキュリティセンター不正アクセス対策室

ＴＥＬ　（０３）５９７８－７５０８

ＦＡＸ　（０３）５９７８－７５１８

e-mail　 isec-info@ipa.go.jp

※移転に伴い電話番号が６月１５日より変更になっています

※メールアドレスのドメイン名がipa.go.jpのみとなりました