1998年8月のコンピュータ不正アクセス被害の届け出が2件あった(別紙参照)。概要を以下に報告する。
(1)ポートスキャン
システム管理者がログを確認したところ、アクセスのリジェクトログが多数発生していた。さらに調査したところ、ポートに順にアクセスした形跡があった。(番号1から200に順番にアクセスしていた。)
アクセス自体はルータの設定により拒否されている(失敗)ため実害はなかったが、アクセス元(プロバイダ)に連絡し、対処を依頼した。
(2)spamメール送付
システム管理者宛てに苦情メールが届き調査したところ、サーバに侵入しメールを数百通送付した形跡があった。
侵入にはSMTPプロトコルを利用した(sendmailのセキュリティホールを突いた)ものと推測される。
システム管理者は、sendmailをバージョンアップし中継・侵入への対策を強化するとともに、外部宛てのメールの送付を一時停止して対処した。
(1)ポートスキャン
各ポートをチェックして侵入口を探すツールを利用してのアクセスが引き続き行われている。
システム管理者においては、
(2)spam中継への対策とsendmailの設定
spam中継への対策としては、sendmailのバージョンアップと設定強化が有効である。(sendmailの新しい版ではspam対策を含む各種制御機能が強化されている。)
今回のケースでは、sendmailのセキュリティホールを突いての侵入があったと推測されている。このセキュリティホールを利用された場合、特権ユーザ権限でプロセスの起動が可能となるものであるが、これも設定により回避できる。
お使いのsendmailのバージョンや設定を確認し、両者に対処されたい。
sendmailの設定その他の詳細関しては以下を参照。
(3)不正侵入他の被害後の対応
一旦侵入を受けたり、spam中継地点として利用されてしまうと、セキュリティ的に甘いサイトであるとみなされ、継続的に攻撃を受ける危険性がある。実際に侵入に利用された口を塞ぐ等の対応とともに、パケットの制御・ログ収集を行うツールの導入などシステム全体のセキュリティ向上を図り、ユーザ教育等をあわせて実施して再発を防止されたい。