１．はじめに

ＩＰＡ（情報処理振興事業協会、石井賢吾理事長）は、2000年3月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準（1996年8月8日付通商産業省告示第362号）に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をＩＰＡに届出ることとされている。

２．届出の状況(２０００年３月の届出の概要)

２０００年３月のコンピュータ不正アクセス被害の届け出が6件あった(別紙参照)。概要を以下に報告する。

（１）侵入
侵入に係わる届出が3件あった。
ケース1：

ネットワーク内のPC(OSはRedHat Linux)でIPアドレス関係のトラブルがありシステム管理者が調査したところ、不正なアクセスが原因であることが判明した。種々のアドレスから侵入が行われていた。BIND(*1)プログラムのセキュリティホールを利用して侵入した模様である。不正アクセスプログラムのインストールとそれを利用した組織内の他の機器へのアクセスが行われていた。システム管理者は当該PCをネットワークから切断し対処した。今後ファイアウォールを設置しシステムを再構築する予定である。

ケース２：

ユーザのホームディレクトリに導入した覚えのないプログラムがあり調査したところ、当該ユーザのアカウントでの侵入の形跡があった。何らかの方法によりパスワード情報を盗まれた模様である。当該マシンを経由して組織内の別のマシンへも侵入されていたが、いずれのマシンでもシステム関係のファイルの改竄等は行われていなかった。システム管理者は、不正に導入されたプログラムの削除、各マシンの外部向けのポート(*2)及びサービスを一旦停止した後必要なもののみ再開、ネットワーク侵入検出システムの導入によりシステムを再構築して対処した。

ケース３：

システム管理者がログを確認中に不審なユーザのログイン失敗記録があるのを発見し調査したところ、アカウントが追加されていた。IMAPD(*2)のセキュリティホールを利用された模様である。システム管理者は当該マシンをネットワークから切断し、システムを最新バージョンと入れ替えて再構築した。
 

1. )BIND：Berkeley Internet Name Domain。バインド。DNSサービスのためのプログラムで、種々のDNSサービスは、たいていこのBINDのプログラムを元に開発されている。
2. )ポート：元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。
3. )IMAP：Internet Message Access Protocol。電子メール送受信用プロトコル。メールサーバ上のメールもしくは掲示板のメッセージをクライアントから読み書きするのに使われる。

（２）スキャニング、アクセス形跡
ポートスキャン(*3)もしくは類似のツールなどを用いたポート(*4)へのアクセス形跡の届出が2件あった。いずれもログ情報よりスキャンの形跡を抽出したもので、実際の被害には遭っていない。
ケース１：

システム管理者がアクセスログをチェックしたところ、いくつかのポートへのアクセスの形跡があった。オープンプロキシ(*5)の探索やIMAPのセキュリティホールの探索の他、BackOrifice等のポートのスキャンが行われていた。

ケース２：

システム管理者がアクセスログをチェックしたところ、不審なアクセスの形跡があった。１日に１０分程度集中してアクセスが行われていた。ログが大量になる以外の実害は発生していない。
 

4. )ポートスキャン：98年6月頃より出回っているポートやアドレスに順次アクセスするツール、またアクセスの行為のこと。
5. )オープンプロキシ：外部の第三者から利用可能になっているプロキシ(*6)。
6. )プロキシ(サーバ)： proxy(プロキシもしくはプロクシ)は代理という意味。インターネットとの接続の際に、セキュリティ確保やWebアクセスの高速化のために設置される。外部の第三者が利用可能な状態になっていると、身元隠しに利用される危険性がある。

（３）spamメール(*7)中継(*8)
spamメールの中継に関する届出が１件あった。実際の中継を行われてしまったものである。
システム管理者宛てに、メール中継可能サイトリスト(DB)への登録とメール中継が行われている旨の警告メッセージが届き、調査したところ、実際に中継に利用されていることが判明した。Microsoft Exchange Serverに対応のパッチを導入し対処し、また、メール中継可能リストからの削除を行った。Microsoft Exchange Serverの情報に関しては別紙参照。
 

7. )spamメール：大量に送られる(ばらまかれる)メールのこと。
8. )中継：ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール送信者は、送信元を隠すなどの目的でこの機能を利用することが多い。

ＩＰＡでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。

問い合わせ先　ＩＰＡ（情報処理振興事業協会）
セキュリティセンター不正アクセス対策室
ＴＥＬ　（０３）５９７８−７５０８
ＦＡＸ　（０３）５９７８−７５１８
e-mail　isec-info@ipa.go.jp