１．はじめに

ＩＰＡ（情報処理振興事業協会、石井賢吾理事長）は、1999年5月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準（1996年8月8日付通商産業省告示第362号）に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をＩＰＡに届出ることとされている。

２．届出の状況

２．１　１９９９年５月の届出の概要

１９９９年５月のコンピュータ不正アクセス被害の届け出が９件あった(別紙参照)。概要を以下に報告する。

（１）スキャニング
ポートスキャン(*1)もしくは類似のスキャニングツールによると思われるアクセスに関する届出が５件あった。いずれもログの確認のレポートであり、実際の被害には遭っていない。

ケース１

pop(*3),telnet(*4)のポートにアクセスしている。

ケース２及びケース３

IMAP(*5)ポートにアクセスしている。

ケース４

毎月同一組織から届出されているもの。

既に前月分プレスリリースにて報告しているが４月分(５月６日届出)に関しては１８日までで約７０件のアクセスであった。各種ポートにアクセスしている。

ケース５

rlogin(*6),telnet,IMAP,ftp(*7)のポートにアクセスしている。



1. )ポートスキャン：98年6月頃より出回っているポート(*2)やアドレスに順次アクセスするツール。
2. )ポート：元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。
3. )pop3：Post Office Protocol Version3。電子メール受信用プロトコル。メールサーバが受信し蓄積したメールをクライアントが取り出すときに使われる。
4. )telnet：TELetype NETwork。ネットワーク経由で他のマシンへ接続する際に用いられるプロトコル、またそのためのプログラム。外部ネットワークから利用可能になっている場合、侵入口として狙われることが多い。
5. )IMAP：Internet Message Access Protocol。電子メール送受信用プロトコル。メールサーバ上のメールもしくは掲示板のメッセージをクライアントから読み書きするのに使われる。
6. )rlogin：リモートログイン。(コンソールではなく)端末からリモートホストに 対してリモートログインセッションを開設するのに使われる。
7. )ftp：File Transfer Protocol。TCP/IP(国際標準のプロトコル)をベースとしたネットワークシステムにおいてファイルを転送するためのプロトコル。また、そのためのプログラム。

（２）spamメール(*8)中継(*9)
spamメールに関する届出が１件あった。
システム管理者宛てにエラーメール及びメール中継に関する警告メールが届き、調査したところメール中継が可能になっており、中継に利用されていた。
当該サイトは、中継は行わないような設定になっているはずであったが、その設定に不備があった。システム管理者は中継を行わない様にsendmail(*10)を設定し直して対処した。
　

8. )spamメール：大量に送られる(ばらまかれる)メールのこと。
9. )中継：ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール送信者は、送信元を隠すなどの目的で、この機能を利用することが多い。
10. )sendmail：メール処理に広く用いられているソフトウエア。最新もしくは最新に近いバージョンでは、メール中継等の制御に関わる機能が強化されている。

（３）侵入、踏み台(*11)
侵入に関する届出が２件あった。いずれも実際の被害にあっている。

ケース１

侵入とシステムファイルの改竄。

マシンの異常なインターネットへのアクセス頻度が観察され、システム管理者が調査したところ、不審なプログラムが起動されており、このプログラムがインターネットにアクセスしていた。さらに調査したところ、root(*12)権限にてスキャニングのプログラムをコンパイル・実行した形跡があり、また、種々のシステムファイルが置きかえられていた。ftpのセキュリティホールを利用してroot権限を取得し侵入した模様である。システム管理者は当該ファイルを修復し、外部向けのftpを停止して対処した。

ケース２

侵入と踏み台。

別の組織から不正なアクセスの連絡があり、システム管理者が調査したところ、不審なプログラムが実行されていた。何らかの方法によりユーザIDの追加が行われており、ftp経由でアタックをかけていた模様である。

システム管理者は外部向けのftpの停止により対処した。


　

11. )踏み台：他のサイトへの不正なアクセスに利用されてしまうこと。
12. )root：UNIXでの特権(管理者)ユーザ

（４）Webの改竄
Webの改竄に関する届出が１件あった。
プロバイダのサーバ上でWebページを公開しているユーザが自分のページにアクセスしたところ、カウンタが若い番号になっていた。さらにページ内を調査したところ、CGIプログラムが書きかえられており、カウンタが戻る(若い番号になる)他、画面が真っ白になる、アクセスができない等の障害が発生した。プロバイダと相談して対処中である。

２．２　注意事項

虚偽のメールによるトラブル
最近電子メールを用いて送られた偽の情報やウイルスなどによるトラブルが増加している。メールを送ってきている相手が有名ベンダーや友人の場合でも、メールの内容をよく確認し、うかつに添付ファイルを開くことのないように注意されたい。不審な点があったらメールごと削除すること。ソフトウェア・ハードウェアのメーカ及びベンダ、ＩＳＰのサポート窓口が、いきなり電子メールでプログラムを送ることは通常ない。また、メールでパスワードを問い合わせることもない。従って、そのようなものは偽の情報であると思われる。
以下に関連情報を掲載しているので参照されたい。

http://www.ipa.go.jp/SECURITY/ciadr/mailtrbl.htm