１．はじめに

ＩＰＡ（情報処理振興事業協会、石井賢吾理事長）は、1999年2月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準（1996年8月8日付通商産業省告示第362号）に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をＩＰＡに届出ることとされている。

２．届出の状況

２．１　１９９９年２月の届出の概要

１９９９年２月のコンピュータ不正アクセス被害の届け出が７件あった(別紙参照)。概要を以下に報告する。

（１）ポートスキャン(*1)
ポートスキャンと思われるアクセスに関する月次レポートの届出があった。
システム管理者が該当のアクセスに関してまとめたレポートである。各ポートに対しては対策をとっているので実際の被害はない。
アクセス元は多岐(国・組織)に渡り、同じアドレスからの繰り返しのアクセスもあった。アクセス件数の総計は12月が約300件、1月及び2月は約200件であった。

1. )ポートスキャン：98年6月頃より出回っているポート(*2)やアドレスに順次アクセスするツール。
2. )ポート：元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば /etc/services(UNIXの場合)といったファイルに記載されている。

（２）侵入
侵入に関する届出が3件あった。ケース２ではspamメール(*3)の中継(*4)も行なわれている。

ケース１

侵入。

システム管理者がサーバを確認したところ、root(*5)を含めすべてのＩＤが使えず、biosも破壊された状況であった。メールのアカウントからtelnet(*6)・ftp(*7)を利用して侵入した模様である。

システム管理者はフロッピーディスクからマシンを起動し、ディスクの初期化等を行なってシステムを再構築した。また、今後への備えとして、侵入元と思われるドメインからのアクセスの拒否、監視を強化し不明サイトからのアクセス時にはアラームがあがるような設定に、sendmail(*8)のバージョンアップとセキュリティ設定の強化、imap(*9)等のサービスの停止をそれぞれ行なった。

ケース２

侵入及び踏み台(*10)。

他のサイトから、当該サイトからのポートスキャンを受けているとの連絡があり、システム管理者がサーバを調査したところ、不正なアクセスがあったことが判明した。

DNSサーバのPOP3(*11)などのポートからパスワード情報が盗まれたと思われる。アカウントの不正登録、クラッキングソフトのインストール、spamメールの中継が行われ、他のサイトへのアクセスの形跡があった。また、システム管理者宛てに大量のエラーメールが送信された。

システム管理者は該当のIDの削除、パスワードの変更、監視ソフトの導入、sendmailのバージョンアップと中継拒否設定を行なって対処した。

ケース３

侵入及び踏み台。

別の組織から調査依頼があり、システム管理者がログを確認したところ、不正なアクセスの形跡があった。メールユーザアカウント及びtelnet・ftpを利用して侵入したものと思われる。他の組織へ不正なアクセスを行なっていた。

システム管理者は、該当IDのパスワードの変更、ルータにてtelnet及びftpのアクセス規制を行なうことで対処した。

3. )spamメール：大量に送られる(ばらまかれる)メールのこと。
4. )中継：ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール送信者は、送信元を隠すなどの目的で、この機能を利用することが多い。
5. )root：UNIXでの特権(管理者)ユーザ
6. )telnet：TELetype NETwork。ネットワーク経由で他のマシンへ接続する際に用いられるプロトコル、またそのためのプログラム。外部ネットワークから利用可能になっている場合、侵入口として狙われることが多い。
7. )ftp：File Transfer Protocol。TCP/IP(国際標準のプロトコル)をベースとしたネットワークシステムにおいてファイルを転送するためのプロトコル。また、そのためのプログラム。
8. )sendmail：メール処理に広く用いられているソフトウエア。
9. )imap：Internet Message Access Protocol。電子メール送受信用プロトコル。メールサーバ上のメールもしくは掲示板のメッセージをクライアントから読み書きするのに使われる。
10. )踏み台：他のサイトへの不正なアクセスに利用されてしまうこと。
11. )POP3： Post Office Protocol Version3。電子メール受信用プロトコル。メールサーバが受信し蓄積したメールをクライアントが取り出すときに使われる。

（３）アクセス形跡
不審なアクセスの形跡に対する届出が２件あった。ケース2ではspamメール中継も行なわれている。

ケース１

telnetポートアクセス。

システム管理者がログを確認したところtelnetポートへのアクセスの形跡があった。詳細は調査中である。

ケース２

ポートアクセス及びメールの中継。

システム管理者がログを確認したところ、各種ポートへのアクセス及びspamメール中継の形跡があった。telnet、ftp、imapの各ポートにアクセスされていたが、接続は行なわれていない。メールサーバは中継に利用されていた。

（４）spamメール中継
前記（２）のケース２、（３）のケース２以外にspamメール中継に関する届出が１件あった。
sendmailよりメール中継エラーの通知があり、システム管理者がログを確認したところ、spamメール中継試みの形跡があった。実際の中継は行なわれていない模様である。
システム管理者は該当のアドレスからのアクセスを拒否するように設定して対処した。

２．２　注意事項

（１）ポートへのアクセスと侵入に関して
ポートスキャンのレポートに有るように、侵入の試みは繰り返し行なわれている。実際に侵入を受けると自分サイトの被害のみでなく他のサイトへ影響も大きい。今回届出のあったケースではいずれも、他のサイトからの連絡で自サイトが踏み台になっていることがわかったものであるが、ログを確実に調査していればもっと早く判断可能であったと考えられる。
システム管理者は、以下にしたがって対処されたい。

• 不必要なポート及びサービスの閉鎖
• セキュリティホールの確認と閉鎖
• こまめなログの確認
• ファイアウォール等の導入の際には適切な設定を実施。外部からのアクセスが一般向けに許可されていないかどうか特に確認

（２）spamメール中継に関して
メールの中継に関しては、自のサイトへの直接の被害が見えないため軽く見られがちであるが、会社等の組織が信頼をなくすという意味では、直接の侵入に伴う踏み台行為と同様に重大な問題である。システム管理者は、今一度自サイトの設定を確認されたい。

（３）ウイルスのデマ情報メールに関して
ウイルスに関するデマ情報のメールが再度出回っている。例年4月に出回ることが多く、今後さらに氾濫し、チェーンメール化することが予測される。これらにより、ネットワークのトラフィックが過多になり、通常業務に支障をきたす恐れがあるので、他への転送をしないなど以下の案内を参考に対処されたい。

http://www.ipa.go.jp/SECURITY/topics/virus_hoax.html