1998年12月のコンピュータ不正アクセス被害の届け出が5件あった(別紙参照)。概要を以下に報告する。
(1)spamメール(*1)に関する被害
spamメールに関する届出が2件あった。
- ケース1
- spamメールに対するエラーメール
- システム管理者宛てに大量のエラーメールが送られてきた。該当サイト内部からのメールであるかのように送信元を詐称(存在しないアドレス)したspamメールに対して、その宛先が存在しないためのエラーリターンメールであった。システム管理者は、該当のメールサーバを一旦停止した。
- ケース2
- spamメール中継
- 存在しないメールアドレス宛てに大量のメールが送られてきた。内容を確認したところ、宛先不明(存在しないアドレス)へのメールに対するエラーリターンメール及びspamメールに対する苦情のメールであった。メールログの状況確認により、spamメールの中継(*2)に利用されたものであることが判明した。システム管理者は、対象のメールサーバを停止して対応した。メール中継の制御(拒否)が行なえる機器(ファイアウォール)の導入を検討している。
- )spamメール:大量に送られる(ばらまかれる)メールのこと。
- )中継:mailのrelay。ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール送信者は、送信元を隠すなどの目的で、この機能を利用することが多い。
(2)ポート(*3)へのアクセス
ポートへのアクセスに関する届出が2件あった。
- ケース1
- telnet(*4)及びftp(*5)ポートへのアクセス
- パケット監視ツールからアラームがあがり、システム管理者が各種ログを確認したところ、21番及び23番のポートにアクセス(攻撃)の形跡があった。通常21番はftpの、23番はtelnetのポートである。実際に侵入を受けたかどうかは不明である。引き続き監視ツールなどにより監視をおこなっている。
- ケース2
- メール関連ポートに対するアクセス
- メールサーバの管理者がサーバが停止していることを発見し、ログを確認したところ、SMTP(*6)及びPOP3(*7)、ポート106(*8)へのアクセスの形跡があった。実被害はなかった。
- )ポート:元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。
- )ftp:File Transfer Protocol.。TCP/IP(国際標準のプロトコル)をベースとしたネットワークシステムにおいてファイルを転送するためのプロトコル。また、そのためのプログラム。
- )telnet:TELetype NETwork。ネットワーク経由で他のマシンへ接続する際に用いられるプロトコル、またそのためのプログラム。外部ネットワークから利用可能になっている場合、侵入口として狙われることが多い。
- )SMTP:Simple Mail Transfer Protocol。メール転送プロトコル。TCP/IP上の電子メール機能。
- )POP3: Post Office Protocol。電子メール受信用プロトコル。メールサーバが受信し蓄積したメールをクライアントが取り出すときに使われる。
- )ポート106:詳細は不明であるが、sendmailの種類や環境によってはこの番号のポートでPOPのパスワードの変更を行なうようになっているものがあり、その部分の攻撃を目的としたものではないかと推測される。
(3)不正侵入と踏み台(*9)
不正侵入・踏み台に関する届出が1件あった。
システム管理者宛てに、WEB上でチャットルームを運用しているサイトより、当該サイトの内部より悪戯などを行なっている者がいる旨の連絡が入った。システム管理者が確認したところ、サーバを踏み台としてアクセスしている形跡があった。当該サイトではファイアウォールを導入していたが、設定を適切に行なっていなかったため外部からの利用が可能になっていたものである。システム管理者は、外部からの利用ができないように設定を変更して対処した。
- )踏み台:他のサイトへの不正なアクセスに利用されてしまうこと。