1998年8月28日
情報処理振興事業協会
コンピュータ不正アクセス被害の届出状況について
1.はじめに
IPA(情報処理振興事業協会、石井賢吾理事長)は、1998年7月の コンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届出ることとされている。
2.届出の状況
- 1998年7月の届出の概要
1998年7月のコンピュータ不正アクセス被害の届け出が9件あった(別紙参照)。概要を以下に報告する。
(1)侵入の試み(telnet)
telnetポートから侵入の試みがあった。
システム管理者がログを確認したところ、telnetポートから侵入しようとした形跡があった。複数のアドレスから試みられており、また、継続している(アクセス元は異なる)。外部からはtelnetを利用できないようになっているので実被害はなかった。
(2)侵入の試み(ポートスキャン)
侵入口を探すツールを利用したと思われるスキャンの報告が3件あった。
- ケース1
- システム管理者がログを確認していたところ、ポートスキャンの形跡があったためさらに詳細に確認したところ、phfおよびqpopperの攻撃の形跡があった。phfは存在しないため被害なし、qpopperに関しての実被害もなかった。qpopperに関してはバージョンアップを行い、セキュリティを強化した。
- ケース2
- システム管理者がログを確認したところ、ポートスキャンの形跡があった。finger等のポートのスキャン、phf等のCGIのセキュリティホールのスキャンが行われていた。
- システム管理者は、不必要なポートの閉鎖を行い、また、パスワードに有効期限を付けてセキュリティを強化した。
- ケース3
- システム管理者がログを確認したところ、セキュリティホールをスキャンした形跡があった。fingerdその他へのアクセスの形跡があった。
- システム管理者は、ポート別に使用制限を設ける等によりセキュリティを強化した。
(3)phfアタック
httpdサーバソフトウェアのCGIセキュリティホール(phf)を突いた攻撃の報告が2件あった。
いずれもシステム管理者がログを確認して発見した。CGIプログラムは利用していないので実際の被害はなかったが引き続きログ確認の強化等にて対応する予定である。
(4)spamメール中継
spamメールに関する報告が3件あった。
- ケース1
- メールサーバがダウンしたためシステム管理者がログを確認したところ、大量のメール発送の形跡があった。また、spamメール中継に関する警告メールが届いた。
- システム管理者は、sendmailをバージョンアップし中継不可の設定を行って対処した。
- ケース2
- システム管理者あてに不正アドレス(存在しないアドレス)宛てのメール送付に失敗した旨のメールが届いた。メール発送に失敗すると管理者にメールが届くように設定している。システム管理者がログを確認したところ、大量のメール中継が行われていた。
- システム管理者は、sendmailをバージョンアップし中継不可の設定を行って対処した。
- ケース3
- メールサーバの管理者(postmaster)宛てに多くのエラーメールが届き、また、苦情のメールも寄せられた。
- システム管理者は、sendmail及びDNSをバージョンアップして対処した。
- 注意事項
(1)侵入の予防に関して
各種のポートや既知のセキュリティホールをスキャンするツールを用いた攻撃が広く行われている。今回のケースでは、いずれも実際の被害(侵入)はなかったが、それぞれセキュリティを強化するよう設定を変更している。
システム管理者においては、
- 不必要に外部に公開されているポートやサービスの閉鎖・停止
- お使いのソフトウェアに関する情報をベンダー等から入手し、セキュリティホールのないバージョン・設定で使う
- ログなどを定期的に確認し、攻撃・侵入や不審なプログラムの起動の形跡の有無をチェックする
- ユーザに対する教育を徹底し、特にパスワードの扱いに留意するよう促す
等により対処されたい。
ポートスキャンに関しては以下を参照。
http://www.jpcert.or.jp/info/98-0004/
それぞれのセキュリティホール等に関しては、以下を参照。
phf(CGI)に関して
http://www.jpcert.or.jp/ESA/
qpopperに関して
http://www.jpcert.or.jp/info/98-0003/
(2)spamメール中継
spamメールの中継も継続して広範囲に行われている。お使いの
sendmailのバージョンや設定を確認し、対処されたい。
sendmailの設定その他の詳細は、以下を参照。
http://www.jpcert.or.jp/tech/98-0001/
(3)侵入されてしまった場合の対処
侵入を受けてしまった場合の対処としては、再度の侵入のための仕掛けが行われている可能性を考慮し、
- 作成・改竄されたファイルやID等の調査と削除・再設定
- すべてのIDのパスワードの変更
- 可能であればOS等の再インストール
- 不必要に外部に公開されているポートの閉鎖
等によりシステムを再構築する。
IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定していきます。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映して行きます。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いします。
問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
FAX (03)5978−7518
e-mail isec-info@ipa.go.jp