1999年11月12日
情報処理振興事業協会
コンピュータ不正アクセス被害の届出状況について
IPA(情報処理振興事業協会、石井賢吾理事長)は、1999年10月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届出ることとされている。
1999年10月のコンピュータ不正アクセス被害の届け出が2件あった(別紙参照)。概要を以下に報告する。
(1)スキャニング
ポートスキャン(*1)もしくは類似のスキャニングツールによると思われるアクセスに関する届出が1件あった。
毎月同一組織から届出されているもの。オープンプロキシ(*3)を探すようなアクセス等を行っている。9月分で約30回のアクセスがあった。ログの確認結果のレポートであり、実際の被害には遭っていない。
(2)侵入とシステムファイルの改竄
侵入とシステムファイルの改竄の被害の届出が1件あった。
システム管理者が、不審なユーザが追加されているのに気付き調査したところ、侵入とシステムの改竄が行われていることが判明した。システムファイルが、パスワード盗聴を行うトロイの木馬(*4)と思われるプログラムと置き換えられており、ユーザのパスワードが漏洩した可能性がある。
侵入者は、statdプログラムのセキュリティホールを利用してroot(*5)権限を取得し侵入した模様である。対応のパッチは施していなかった。
システム管理者は、最新OS及び最新パッチを導入済みの代替機を用いてサービスを復旧した。各ユーザには新規アカウントを配付し、以前使用していたパスワードを使用しない旨の注意を伝達した。根本対応として、元のサーバの初期化、OS等の再インストールとパッチ導入を行う予定である。
(1)侵入被害後の対処について
侵入を受けてしまった場合の対処としては、再度の侵入のための仕掛けが
行われている可能性を考慮し、
等によりシステムを再構築する。
(2)セキュリティホールの確認について
セキュリティホールを利用した攻撃は、新たに発見されたセキュリティホールに対してのみでなく、古くから知られているものに対しても繰り返し継続的に行われている。従って、システム管理者はそのようなセキュリティホールに関しても対処済みであるかどうか再度確認されたい。
statdのセキュリティホールに関する情報は以下を参照のこと。
http://www.jpcert.or.jp/info/98-0001/
IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。
問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
FAX (03)5978−7518
e-mail isec-info@ipa.go.jp