１．はじめに

ＩＰＡ（情報処理振興事業協会、石井賢吾理事長）は、1998年10月の コンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準（1996年8月8日付通商産業省告示第362号）に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をＩＰＡに届出ることとされている。

２．届出の状況

• １９９８年１０月の届出の概要

１９９８年１０月のコンピュータ不正アクセス被害の届け出が５件あった(別紙参照)。概要を以下に報告する。

（１）侵入および踏み台(*1)
侵入及び侵入に関連した踏み台の被害届出が３件あった。

ケース１

不正アクセスを警告する連絡があり踏み台となっているのが判明したもの。sendmail(*2)のセキュリティホールを突いて侵入したものと思われる。

システム管理者は、ディスクの初期化とOSの再インストールを行なって対処した。なお、再度の侵入を防ぐため、sendmail及びtelnet(*3)はインストールしていない。

ケース２

システム管理者のパケットのモニタリングにより侵入が判明したもの。侵入経路は不明であるが、特権ユーザ(root)で作業が行なわれた形跡があり、幾つかのアカウント(ID)の設定ファイルが改竄され、外部からの次の不正アクセスが可能な状況になっていた。

システム管理者は、telnet等のポート(*4)を閉鎖して対処した。

ケース３

一般ユーザからの不審なアクセスの被害届出により侵入が判明したもの。パケットの盗聴、システムファイルの改竄等が行われていた。パケットの盗聴により、全ユーザのパスワードが漏洩している危険性がある。最初の侵入経路は不明であるが、何らかの方法で正規ユーザのID・パスワードを盗んだ等いくつかの方法が考えられている。

システム管理者は、全ユーザにパスワード変更を求めるとともに、改竄されたと思われるシステムファイルの復旧を行ない、また、全システムファイル及びプロセスのチェック中である。

　
1. )踏み台：他のサイトへの不正なアクセスに利用されてしまうこと。
2. )sendmail：メール処理に広く用いられているソフトウエア。
3. )telnet：ネットワーク経由で他のマシンへログインする際に用いられるソフトウェア。外部ネットワークから利用可能になっている場合、侵入口として狙われることが多い。
4. )ポート：元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。

（２）掲示板への書込み(改竄)
掲示板への意図しない書込みの被害届出が１件あった。
WEB(*5)上で運用されている掲示板に、意図しない書込みがあった。内容は、猥褻かつ大きな画像の貼り込み及びブラウザのフリーズ(ハングアップ)を意図したと思われるhtmlスクリプト(*6)の記載である。
掲示板の運用管理者は、該当の記述を削除するとともに、掲示板上で利用可能なhtmlのタグ(*7)を制限した。また、アクセス元と思われるサイトに対処を求める連絡を行なった。

5. )WEB：World Wide Web。いわゆるインターネットのホームページ。
6. )htmlスクリプト：WEBの記述に用いられる言語及びその言語を用いた記述。
7. )タグ：htmlの記述の際に用いられるラベル。htmlは、領域の開始及び終了を示す対になったタグを用いて記述する構造が基本になっている。

（３）送信元を詐称したspam(*8)メールのエラーメール
送信元を詐称したspamメールのエラーメール被害の届出が１件あった。
あるサイトのメールアドレスを装ったメールが送付され、そのエラーメールが実際の送信元ではない詐称されたアドレス宛てに大量に送信されてきた。存在しないアドレスを用いてspamメールが送信された模様である。
システム管理者は、実際にメールを送信したサイトに対処を求める連絡を行なった。

8. )spamメール：大量に送られる(ばらまかれる)メールのこと。

• 注意事項

（１）侵入に関して
不正アクセスの中で直接的な被害の大きいのは侵入である。各種のポートや既知のセキュリティホールをスキャンするツールを用いた攻撃が広く行われており、セキュリティ的に弱い部分を持つサイトは非常に危険な状況である。また、今回被害届出のあったような踏み台に利用されたケースでは、不正なアクセスを受けた側から見れば、利用されたサイトも加害者である。
ポートスキャンに関しての情報は、以下を参照。

http://www.jpcert.or.jp/info/98-0004/

（２）掲示板の運用に関して
外部からの書込みが可能になっている掲示板に対しては、中傷など不適切な表現の記事、プライバシ情報を暴いたもの、その他の意図しない書込みが行われる可能性がある。また、プレーンテキスト以外の記述が可能になっている場合には、ウイルスや不正な情報を収集するようなプログラムが仕込まれるなどの可能性もある。
運用・管理の担当者は、

• 自動的に掲載するのではなく、内容を確認してから掲載するような方式で運用
• 記述に対する制約を設ける。(htmlのタグの制限や、プログラムは使用不可とする等)
• 定期的に内容を確認し、改竄や不適切な内容に対処する
等により対応が必要である。

（３）spamメールに関して
spamメールには、宣伝用のいわゆるダイレクトメールの類もあるが、嫌がらせなどを目的としてばらまきを行なうものもある。特に後者の場合、送信者は送信元を隠すためにいろいろな手段をとることが多い。その手段として利用されるのが、送信元の詐称であり、中継地点の利用である。

送信元の詐称に関して

メールが不正に利用される場合には、送信元が詐称されていることが多い。今回届出のあったのは、そのうち、spamメールの送信元として自サイトのアドレスが利用(詐称）され、送信先エラーによるリターンメールが大量に届いたものである。

このような送信元を詐称したメールの送付自体は、自サイトを経由しないので防止が困難である。しかし、特定のサイト宛てに送付されていたり、実際の送信元サイトが種々の状況により判明している場合には、個別の連絡や設定によりある程度対処することが可能である。

中継地点の利用に関して

送信されたメールが相手先に届く経路はその時のネットワークの状況により様々であるが、特定のメールサーバを中継地点に指定したメールを送信することもできる。指定されたメールサーバが中継を許可している設定の場合、メールは実際にそのメールサーバを経由して送信先に送られる。従って、spamメールの中継に利用されたメールサーバでは、それらのメールの処理にCPU、メモリ、ディスクなどの資源が浪費され、各種資源の溢れ(他の処理の遅滞)、システムダウンなどの状況が発生する。対策を講じなければ、更なるメール中継への利用や、(技術的に未熟なサイトであるとの認識を持たれ)侵入などの攻撃の対象となる可能性がある。

さらに、spamメールを送られる側から見ると、このようなメールサーバはspamメールを助長していることになる。このため、

• 加害者として、非難や損害賠償請求の対象となる
• 迷惑メールの送信元として、メールの受け取りを拒否される
• 社会的信用を失墜する

ことが考えられる。

インターネットを介してメールの受発信を行なっているサーバは必然的に自分の情報を世界に向けて公開している。特定のメールサーバが中継に利用可能かどうかを確認するのは非常に簡単である。従って、メールの中継を許している状態のサーバはいつspamメール中継に利用されても不思議はなく、まだ実際のspamメールの中継には利用されていないとしても、上記の不利益を被る可能性がある。

メールの不正中継は、sendmailの最新版を用い適切な設定を行なうこと等により防ぐことができる。システム管理者は、下記や各ベンダーの提供する情報を参考に対処されたい。

http://www.jpcert.or.jp/tech/98-0001/