１．はじめに

ＩＰＡ（情報処理振興事業協会、石井賢吾理事長）は、2000年2月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準（1996年8月8日付通商産業省告示第362号）に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をＩＰＡに届出ることとされている。

２．届出の状況(２０００年2月の届出の概要)

２０００年２月のコンピュータ不正アクセス被害の届け出が10件あった(別紙参照)。概要を以下に報告する。

（１）Web改ざん
Webの改ざんに関する届出が1件あった。
組織内のメンバが目視にて発見した。侵入経路は不明であるが、OSもしくはソフトウェアのセキュリティホールを突いて侵入したものと思われる。Web改ざんの他に、ログの削除などの形跡があった。システム管理者は、特権ユーザのパスワードの変更、一般ユーザの削除、Webサーバソフトウェアの変更、不用なサービス及びI/Oポート(*1)の閉鎖を行い、システムを再構築して対処した。

1. )ポート：元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。

（２）オープンプロキシ(*2)の利用
オープンプロキシの利用に関する届出が1件あった。
外部からの連絡によりシステム管理者が確認したところ、プロキシが第三者に利用された形跡があった。実際に行われた行為はネットニュース(*4)への投稿で、キャンセル記事を含む大量の記事の中継に利用された。プロキシサーバソフトウェアのデフォルト設定が利用可能になっていたものである。システム管理者は、サービスの停止と設定値の変更等を行ってシステムを再構築した。
 

2. )オープンプロキシ：外部の第三者から利用可能になっているプロキシ(*3)。
3. )プロキシ(サーバ)： proxy(プロキシorプロクシ)は代理という意味。インターネットとの接続の際に、セキュリティ確保やWebアクセスの高速化のために設置される。外部の第三者が利用可能な状態になっていると、身元隠しに利用される危険性がある。
4. )ネットニュース：掲示板に似たネット上での情報交換の仕掛け。そのプロトコルがNNTP。

 

（３）DoS(*5)攻撃
大量のパケットを送り付けるDoS攻撃の届出が1件あった。
ネットワークが過負荷の状態であったためシステム管理者がログ等を調査して大量のパケットが送り付けられてきていることが判明した。一旦ルータにより制限を実施したが、引き続きパケットが送られてきたため、送信元マシンの管理者にパケット送信の停止を依頼した。送信元マシンへの不正なアクセスの形跡があったとのことであるが、詳細は不明である。
 

5. )DoS：Denial of Service。サービス妨害もしくはサービス不能。過負荷をかける等によって本来のサービスを提供できなくなること、またそれを狙った攻撃。

 

（４）IP spoofing
IP spoofingに関する届出が1件あった。
システム管理者宛てに当該サイトのアドレスを使った不正なアクセスが行われているとの連絡があり調査したところ、当該アドレスマシンへの侵入や当該マシンからのアクセスの形跡はなく、アドレスを偽ったアクセスが行われているものと判断された。当該サイトでは、サイトの信頼を損なう行為であるとして、警察への連絡その他の措置を行った。

　

（５）spamメール(*6)中継(*7)
spamメールの中継に関する届出が6件あった。いずれも実際の中継を行われてしまったものである。これらのうちいくつかのケースでは、メール中継可能サイトリスト(DB)への登録が行われていた。

ケース1：

メールサーバのログチェックにて判明した。特権IDが追加されていたため侵入があったと推測されるがメール中継との関係は不明である。一旦別マシンと入れ替え、さらにメールサーバの設定を強化してシステムを再構築した。

ケース2：

外部のシステム管理者からの連絡にて判明した。sendmail(*8)のバージョンが古かったため、バージョンアップと再設定を実施してシステムを再構築した。IMAP(*9)ポートなどへのスキャニングの形跡もあったが、侵入等の実際の被害には遭っていない。

ケース3及びケース6：

システム管理者宛てに大量のエラーメールが届き調査して判明した。メールサーバソフトウェアEMWAC IMS(*10)に中継制御用のフィルタ及びプラグインを導入して対処した。

ケース4：

システム管理者宛てに大量のメールが届いたため内容・ログを調査して判明した。spamメールへの抗議のメールも届いている。詳細については調査中である。

ケース5：

サーバへの負荷が非常に高くなりメールが送信できなくなったため調査して判明した。設定を変更し、特定のアドレスのみ許可するようにした。今後の対策としてメールサーバソフトウェアの入れ替えを含めてシステムの再構築を検討している。

 

6. )spamメール：大量に送られる(ばらまかれる)メールのこと。
7. )中継：ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール送信者は、送信元を隠すなどの目的でこの機能を利用することが多い。
8. )sendmail：メール処理に広く用いられているソフトウエア。最新もしくは最新に近いバージョンでは、メール中継等の制御に関わる機能が強化されている。
9. )IMAP：Internet Message Access Protocol。電子メール送受信用プロトコル。メールサーバ上のメールもしくは掲示板のメッセージをクライアントから読み書きするのに使われる。
10. ) EMWAC IMS：WindowsNT上のメールサーバソフトウェア。本体のみではメール中継拒否の設定ができないため、フィルタ及びプラグインを導入して設定する。

ＩＰＡでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。

問い合わせ先　ＩＰＡ（情報処理振興事業協会）
セキュリティセンター不正アクセス対策室
ＴＥＬ　（０３）５９７８?７５０８
ＦＡＸ　（０３）５９７８?７５１８
e-mail　isec-info@ipa.go.jp