1999年8月13日
情報処理振興事業協会
コンピュータ不正アクセス被害の届出状況について
1.はじめに
IPA(情報処理振興事業協会、石井賢吾理事長)は、1999年7月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届出ることとされている。
2.届出の状況
2.1 1999年7月の届出の概要
1999年7月のコンピュータ不正アクセス被害の届け出が5件あった(別紙参照)。概要を以下に報告する。
(1)スキャニング
ポートスキャン(*1)もしくは類似のスキャニングツールによると思われるアクセスに関する届出が3件あった。いずれもログの確認のレポートであり、実際の被害には遭っていない。
- ケース1
- telnet(*3)、pop3(*4)、imap(*5)の各ポートにアクセスしている。約10回のアクセスがあった。
- ケース2
- 毎月同一組織から届出されているもの。telnet、pop3等のポートにアクセスしている。6月分で約50回のアクセスがあった。
- ケース3
- 毎月同一組織から届出されているもの(ケース2とは別件)。pop等のポートにアクセスしている。6月分で約50回のアクセスがあった。
- )ポートスキャン:98年6月頃より出回っているポート(*2)やアドレスに順次アクセスするツール。
- )ポート:元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。
- )telnet:TELetype NETwork。ネットワーク経由で他のマシンへ接続する際に用いられるプロトコル、またそのためのプログラム。外部ネットワークから利用可能になっている場合、侵入口として狙われることが多い。
- )pop3:Post Office Protocol Version3。電子メール受信用プロトコル。メールサーバが受信し蓄積したメールをクライアントが取り出すときに使われる。
- )IMAP:Internet Message Access Protocol。電子メール送受信用プロトコル。メールサーバ上のメールもしくは掲示板のメッセージをクライアントから読み書きするのに使われる。
(2)spamメール(*6)中継(*7)
spamメール中継の届出が1件あった。
システム管理者あてにエラーメールが届き調査したところ、spamメールの中継に利用されたことが判明した。メールサーバのキューがフルになりダウンした。メールの送信先からは苦情のメールが届いている。sendmail(*8)のバージョンアップと設定により対処予定である。
- )spamメール:大量に送られる(ばらまかれる)メールのこと。
- )中継:ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール送信者は、送信元を隠すなどの目的で、この機能を利用することが多い。
- )sendmail:メール処理に広く用いられているソフトウエア。最新もしくは最新に近いバージョンでは、メール中継等の制御に関わる機能が強化されている。
(3)DoS(*9)攻撃
DoS攻撃の届出が1件あった。
システム管理者がトラフィックの異常な増加によりルータログを確認したところ、怪しい通信先を発見した。さらにICMP(Internet Control Message Protocol)ログを確認したところ、Smurf Attack(*10)であることが判明した。この攻撃により通信サービスの渋滞が起こった。システム管理者はパケットのフィルタリングの強化とIP-Diredtedのブロードキャストの停止を行って対処した。
- )DoS:Denial of Service。サービス妨害もしくはサービス不能。過負荷をかける等によって本来のサービスが提供できなくなることを狙った攻撃。
- )Smurf Attack:当該攻撃に利用されたプログラムの1つがsmurfと呼ばれていたため付いた名称。偽のICMP応答要求パケットを使用するものである。
2.2 注意事項
トロイの木馬に御用心
ここでいうトロイの木馬とは、見かけと異なる動作をするプログラムのことである。インターネットにおいては様々なプログラムがメールやWebページで提供されている。それらのすべてが見かけ通り(メールやWebの解説通り)のものであるとは限らない。裏でファイルの破壊を行ったり情報漏洩に荷担したりするプログラムであったり、ウイルスに感染しているかもしれない。例えば、7月10日にリリースされたBackOrifice2000(BO2K)と呼ばれるプログラムの場合は、リリース元からは遠隔監視のためのプログラムとして提供されているが、正体を知らずに不用意にインストールするといわゆるバックドアを作成し外部からの遠隔操作を可能にしてしまうことにもなる。メールで届いたファイル、インターネットからダウンロードしてきたファイルは、その安全性を確認してから利用するように再度徹底されたい。
BackOrifice2000についての関連情報は以下に掲載されている。
IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定していきます。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映して行きます。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いします。
問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
FAX (03)5978−7518
e-mail isec-info@ipa.go.jp