2000年2月10日

情報処理振興事業協会

コンピュータ不正アクセス被害の届出状況について

1.はじめに

2.届出の状況(2000年1月の届出の概要)

    2000年1月のコンピュータ不正アクセス被害の届け出が12件あった(別紙参照)。概要を以下に報告する。

    (1)スキャニング、アクセス形跡
    ポートスキャン(*1)もしくは類似のツールなどを用いたポート(*2)へのアクセス形跡の届出が3件あった。
    ケース1

    ケース2

    ケース3

      毎月同一組織から届出されているもので、ログの確認結果のレポートであり、実際の被害には遭っていない。オープンプロキシ(*6)、IMAPの各ポートにアクセスの形跡があった。

    1. )ポートスキャン:98年6月頃より出回っているポートやアドレスに順次アクセスするツール。
    2. )ポート:元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。
    3. )pop(3):Post Office Protocol Version3。電子メール受信用プロトコル。メールサーバが受信し蓄積したメールをクライアントが取り出すときに使われる。
    4. )IMAP:Internet Message Access Protocol。電子メール送受信用プロトコル。メールサーバ上のメールもしくは掲示板のメッセージをクライアントから読み書きするのに使われる。
    5. )ftp:File Transfer Protocol。TCP/IP(国際標準のプロトコル)をベースとしたネットワークシステムにおいてファイルを転送するためのプロトコル。また、そのためのプログラム。
    6. )プロキシ(サーバ): proxy(プロキシもしくはプロクシ)は代理という意味。インターネットとの接続の際に、セキュリティ確保やWebアクセスの高速化のために設置される。外部の第三者が利用可能な状態になっていると、身元隠しに利用される危険性がある。 

    (2)侵入
    侵入に関する届出が1件あった。
    外部へのディスクサービス等の提供を行っているサーバに侵入があり、ユーザIDの追加、システムの設定ファイルの改ざん、システムプログラムの改ざん(別のプログラムとの置き換え)などが行われていた。システム管理者は、関連ソフトウェアのバージョンアップ、各種設定の復旧及び強化などを行ってシステムを再構築した。

    (3)spamメール(*7)中継(*8)
    spamメール中継に関する届出が5件あった。今回届出のケースではすべて実際の中継に利用されていた。
    ケース1〜ケース4

    ケース5

      メールを受け取った送付先からの連絡にてシステム管理者がログを確認したところ、メール中継が行われていた。中継を拒否するような設定となっていなかったため、外部から外部宛てのメールは処理しないように設定を変更して対処した。

    1. )spamメール:大量に送られる(ばらまかれる)メールのこと。
    2. )中継:ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール送信者は、送信元を隠すなどの目的で、この機能を利用することが多い。
    3. )sendmail:メール処理に広く用いられているソフトウエア。最新もしくは最新に近いバージョンでは、メール中継等の制御に関わる機能が強化されている。


    (4)Webページの改ざん
    Webページの改ざんの届出が3件あった。
    いずれのケースでも、改ざんを指摘する外部からの連絡により判明しており、また、侵入経路などは特定できなかった。
     

 IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。
 

問い合わせ先 IPA(情報処理振興事業協会)

セキュリティセンター不正アクセス対策室

TEL (03)5978−7508

FAX (03)5978−7518

e-mail  isec-info@ipa.go.jp