1999年2月19日
情報処理振興事業協会
コンピュータ不正アクセス被害の届出状況について
1.はじめに
IPA(情報処理振興事業協会、石井賢吾理事長)は、1999年1月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届出ることとされている。
2.届出の状況
2.1 1999年1月の届出の概要
1999年1月のコンピュータ不正アクセス被害の届け出が4件あった(別紙参照)。概要を以下に報告する。
(1)phf(*1)アタックに関する被害
httpd(*2)プログラムのCGIセキュリティホール(phf)を突いた攻撃の届出があった。
システム管理者がエラーログを確認したところ、phfアクセスの形跡が大量に記録されていた。実際の侵入などの被害はなかった。特定アドレスからのアクセスであったため、システム管理者は該当アドレスからのアクセスを拒否する形で対処した。
- )phf:サーバで利用するCGIに特定のコードが含まれているとセキュリティホールとなる。サーバソフトウェアの中には、標準のインストールの際に該当のサンプルプログラムをインストールするものがあり、その名称がphfである。
- )httpd:WEB(World Wide Web 所謂ホームページ)のサーバソフトウェア。
(2)侵入とIDの追加
侵入に関する届出があった。
システム管理者が不正なユーザの登録を発見した。調査したところ、root(*3)権限での操作によるユーザの追加、追加ユーザでのチャットソフトの起動、ディスクの使用、telnet(*4)の使用等が行われていた。侵入経路は不明である。システム管理者は、ルータにてtelnet及びftp(*5)のサービスの停止、sendmail(*6)等のログの確保、セキュリティホールの検査を行ない、新たなサーバを構築して対処した。
なお、アクセスは昨年末より行われており、年末年始の時期を狙ったものであると思われる。
- )root:UNIXでの特権(管理者)ユーザ
- )telnet:TELetype NETwork。ネットワーク経由で他のマシンへ接続する際に用いられるプロトコル、またそのためのプログラム。外部ネットワークから利用可能になっている場合、侵入口として狙われることが多い。
- )ftp:File Transfer Protocol.。TCP/IP(国際標準のプロトコル)をベースとしたネットワークシステムにおいてファイルを転送するためのプロトコル。また、そのためのプログラム。
- )sendmail:メール処理に広く用いられているソフトウエア。
(3)ポートスキャン(*7)
ポートスキャンによると思われるアクセスに関する届出が2件あった。いずれも実際の被害にはあっていない。ログによりアクセスの形跡が確認されたものである。アクセス元は日本を含め多岐に渡っている。
- ケース1
- システム管理者がログを確認したところ、多数のアクセスの形跡があった。ファイアウォール部分で拒否され、内部には入っていない。1ヶ月間で300件強の不審なアクセスがあった。
- ケース2
- システム管理者がログの定期確認を行なったところ、不審なアクセスの形跡があった。
- 当該システムにはログから統計情報を取得するツールや不審なアクセスをメールで知らせるツール(サイト独自作成)が搭載されており、継続して監視を行なうとともに情報を収集している。
- )ポートスキャン:98年6月頃より出回っているポート(*8)やアドレスに順次アクセスするツール。
- )ポート:元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば /etc/services(UNIXの場合)といったファイルに記載されている。
2.2 注意事項
(1)phfへの攻撃に関して
httpdサーバソフトウェアのセキュリティホールに関しては以下を参照のこと。
http://www.jpcert.or.jp/info/97-0003/
サーバソフトウェアのインストールの際に脆弱部分を含むサンプルプログラムがインストールされる場合の他、作り込みにより脆弱部分を含むようなプログラムを作成してしまうことが考えられる。WEBの管理者は、内容確認の上インストールされたい。
(2)侵入に関して
いわゆるサーバ機への侵入の他に、ルータ等のネットワーク機器への侵入や、モデム経由の侵入もあるのでシステム管理者・個人ユーザとも注意されたい。
(3)ポートスキャンに関して
ポートスキャンに関しては以下を参照。
http://www.jpcert.or.jp/info/98-0004/
ポートスキャンに限らず、インターネットに接続すれば早晩各種ポートやセキュリティホールを探るアクセスは必ず来る。システム管理者は、不要なポート・サービスは閉じること及びログの監視を徹底されたい。
IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定していきます。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映して行きます。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いします。
問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
FAX (03)5978−7518
e-mail isec-info@ipa.go.jp