1998年9月のコンピュータ不正アクセス被害の届け出が6件あった(別紙参照)。概要を以下に報告する。
(1)spamメール中継
spamメール中継に関する報告が3件あった。
(2)侵入、踏み台
サーバマシンに侵入され踏み台に利用されたとの報告があった。
マシンの動作速度が異常に低下したのでシステム管理者がログを調査したところ、侵入の形跡があった。ディレクトリの作成やシステムファイルの改竄が行われていた。システム管理者は、システムの初期化・再構築を行ない、アクセス許可範囲の限定、未使用ポートの閉鎖、監視ソフトウェアの導入等により対処した。再構築後もいくつかのポートに対するアタックは継続して行われている。
(3)ポートスキャン
ポートスキャンに関する報告があった。
システム管理者が、ファイアウォールのアラート(警告)により、ログを確認したところ、不正なパケットが大量に発生しているのを発見した。また、IMAP、POP、SMTP、TELNET及びポート139の各ポートに対するアクセスの形跡もあり、ポートスキャンのツールを用いたと思われる。使用していないTELNETポートは閉鎖して対処した。
(4)telnetポートのアタック
telnetへのアタック(侵入の試み)に関する報告があった。
7月にtelnetへのアタック(侵入の試み)が報告されたサイトのシステム管理者から、アタックが継続しているとの報告があった。システム管理者のログの調査により確認された。
アタック元のアドレスはその都度変更されている。telnetポートは塞いであるので侵入には失敗している。
(1)spam中継に関して
spamメールの中継は継続して広範囲に行われている。使用中のsendmailのバージョンや設定を確認し、対処されたい。
sendmailの設定その他の詳細は、以下を参照。
(2)spam中継に関する警告に関して
メール中継を許可しているサイトの情報を収集し、リストを作成している組織等が存在する。このような組織等の中にはspam防止の活動を行なっているところがあり、今回のケースでは、そのような組織の1つからリストに登録した旨の連絡(警告)があったものである。しかし、悪意で利用するために中継可能サイトの情報を収集している組織等もあるので、注意が必要である。
いずれにしても、不必要な中継を行なわない様にメールサーバを設定することが重要である。
(3)侵入及びポートスキャンに関して
各種のポートや既知のセキュリティホールをスキャンするツールを用いた攻撃が広く行われている。今回のケースでは、侵入、システム環境の改竄、踏み台としての利用が報告されている。自サイトのみでなく他への影響の危険性があるので特に注意されたい。
ポートスキャンに関しての情報は、以下を参照。