9806crack

１９９８年７月３１日

情報処理振興事業協会

コンピュータ不正アクセス被害の届出状況について

１．はじめに

２．届出の状況

１９９８年６月の届出の概要

１９９８年６月のコンピュータ不正アクセス被害の届け出が４件あった(別紙参照)。概要を以下に報告する。

（１）spamメール中継
spamメール中継に関する届出が2件があった。

ケース１: システム管理者がサーバのログを確認したところ、SMTP接続可能なサーバを探すスキャンが行われた形跡があった。更にメールサーバのログを確認したところ、spamメール中継が成功していた。; システム管理者はメールサーバの設定を変更し、中継が行われないようにした。
ケース２: システム管理者がサーバのログを確認したところ、メール中継が行われた形跡があった。; システム管理者は、メールサーバの設定（情報確認）を強化し、外部から来たメールに関しては自ドメイン宛てのもののみ受け取り処理するようにした。

（２）spamメール送付
システム管理者宛てにspamメールを指摘するメールが届き、確認したところ、プロキシサーバ上のIRCポートにより侵入を受け、spamメールを送付したもののようである。IRCのプログラムは本来必要ない（利用しない）ものであったが、サーバのセットアップ時にインストールされており、外部から利用できるようになっていた。
システム管理者はWEB及びメール以外のサービスを停止（閉鎖）した。今後はファイアウォールの導入などを検討している。

（３）root権限での侵入、改竄、踏み台
社内ネットワークからサーバへのアクセスが非常に遅くなり、また、侵入を受けた外部のサーバの管理者から、電話及び電子メールにより侵入元となっている旨の連絡があった。システム管理者がサーバを確認したところ、root権限での侵入があり、不正なユーザIDの作成とそのユーザIDを使っての侵入、パスワードファイルの改竄、他のサーバのセキュリティホールをチェックするツールと思われるプログラムの実行などの形跡があった。以前からサーバへのアクセスが非常に遅いことがあったが、原因はつかめていなかった。linuxのnamedのセキュリティホールを突いて侵入されたものと思われる。
システム管理者は、OS（linux）のバージョンアップ、namedのバージョンアップ、telnetポートの閉鎖を行った。

注意事項

（１）spamメール中継
メール中継への対処に関しては、以下を参照のこと。７月２４日に情報が更新されている。

http://www.jpcert.or.jp/tech/98-0001/

（２）侵入の試みやソフトウェアのセキュリティホールを突いた攻撃への対処
外部に接続しているサーバへの侵入の試みや、sendmailその他のソフトウェアのセキュリティホールを突いた攻撃は継続して行われている。種々のソフトウェアのセキュリティホールをスキャンするようなツールによる攻撃が広く行われている。管理者は常にネットワークやサーバの状況を把握し、侵入や攻撃の形跡がないか確認されたい。
実際の手段はそれぞれのシステムの運用に依存するが、

不必要に外部に公開されているポートやサービスの閉鎖・停止
お使いのソフトウェアに関する情報をベンダー等から入手し、セキュリティホールのないバージョン・設定で使う
ログなどを定期的に確認し、攻撃・侵入や不審なプログラムの起動の形跡の有無をチェックする
ユーザに対する教育を徹底し、特にパスワードの扱いに留意するよう促す

http://www.jpcert.or.jp/info/98-0002/

（３）侵入されてしまった場合の対処
侵入を受けてしまった場合の対処としては、再度の侵入のための仕掛けが行われている可能性を考慮し、

作成・改竄されたファイルやID等の調査と削除・再設定
すべてのＩＤのパスワードの変更
可能であればＯＳ等の再インストール
不必要に外部に公開されているポートの閉鎖

　ＩＰＡでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定していきます。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映して行きます。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いします。
　

問い合わせ先　ＩＰＡ（情報処理振興事業協会）

セキュリティセンター不正アクセス対策室

ＴＥＬ　（０３）５９７８－７５０８

ＦＡＸ　（０３）５９７８－７５１８

e-mail　 isec-info@ipa.go.jp