IPA(情報処理振興事業協会、石井賢吾理事長)は、2000年4月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届出ることとされている。
2000年4月のコンピュータ不正アクセス被害の届け出が12件あった(別紙参照)。概要を以下に報告する。(1)侵入
侵入に係わる届出が5件あった。
ケース1:システム管理者宛てのspamメール(*1)受信者からの連絡により調査して判明した。本来メールシステムを稼動していないサーバ(proxy(*2))に侵入を受け、sendmail(*3)を起動され、メールを中継(*4)されたものである。sendmailを切って対処した。
ケース2:システム管理者がシステムのメンテナンスをしようとしたところ、既に管理者IDが使われており、不正な使用が発覚した。管理者IDのパスワードを盗んでの侵入と思われる。管理者ID他すべてのアカウントのパスワードを変更して対処した。
ケース3:システム管理者が不正なアカウントが作成されているのを発見し調査して判明した。CGIのバッファオーバフローのセキュリティホールを利用して侵入したものである。システムファイルの改竄、ツール追加、アカウントの追加などが行われていた。Webサーバソフトウェアのバージョンアップ、不要CGIの削除、パスワード変更などにより対処した。
ケース4:システム管理者宛てのspamメール受信者からの連絡により調査して判明した。リモートアクセスサーバに侵入し、メール中継を行った模様である。リモートアクセスの制限、中継設定の変更、発見された他のセキュリティホールへの対策などにより対処した。
ケース5:システム管理者宛てに、当該サイトより不正アクセスを受けている旨の連絡があり、調査して判明した。侵入経路などは特定できなかった。システムを再インストールして対処した。
- )spamメール:大量に送られる(ばらまかれる)メールのこと。
- )プロキシ(サーバ): proxy(プロキシもしくはプロクシ)は代理という意味。インターネットとの接続の際に、セキュリティ確保やWebアクセスの高速化のために設置される。外部の第三者が利用可能な状態になっていると、身元隠しに利用される危険性がある。
- )sendmail:メール処理に広く用いられているソフトウエア。最新もしくは最新に近いバージョンでは、メール中継等の制御に関わる機能が強化されている。
- )中継:ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール送信者は、送信元を隠すなどの目的でこの機能を利用することが多い。
(2)スキャニング、アクセス形跡
ポートスキャン(*5)もしくは類似のツールなどを用いたポート(*6)へのアクセス形跡の届出が1件あった。ログ情報よりスキャンの形跡を抽出したもので、実際の被害には遭っていない。
システム管理者のログ調査により、アクセスの形跡が判明した。ネットワーク内の各マシンのポート53(DNS)に順次アクセスしていた。マシンへの実際の被害にはあっていない。
- )ポートスキャン:98年6月頃より出回っているポートやアドレスに順次アクセスするツール、またアクセスの行為のこと。
- )ポート:元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば/etc/services (UNIXの場合)といったファイルに記載されている。
(3)spamメール中継
spamメールの中継に関する届出が2件あった。いずれも実際の中継を行われてしまったものである。
ケース1:メールログが大量になりシステム管理者が調査して判明した。詳細の状況については調査中である。
ケース2:システム管理者宛てにspamメール受信者より連絡があり調査して判明した。別のサーバを経由している模様である。sendmailのバージョンが古く、また、何台かのメールサーバのうちspamメールへの対応が徹底していなかったものがあり、中継に利用されてしまったものである。sendmailのバージョンアップにより対処した他、今後セキュリティ強化のためファイアウォールの導入なども検討している。
(4)メールアドレスの詐称(*7)
メールアドレスの詐称に関しての届出が4件あった。
いずれも、メールの送信元アドレス(ドメイン)を詐称したspamメールを送られたものである。宛先や送信元のメールアドレスは、実際には存在しないものである場合も多く、エラーリターンメールが大量に届き、さらに当該サイト(ドメイン)内でエラーが増幅される状態になっていた。このため処理遅延(メール渋滞)などの影響が出たケースもあった。
対策:
直接メールサーバが発信や中継に利用されたものではないため、根本的な対策は難しい。
エラーリターンメールの宛先(詐称された送信元)が存在せずエラーが増幅される状態の解消には、当該アドレスを作成し、届いたメールは削除処理するといったことが考えられる。状況によっては、Webその他での状況説明や、警察等への被害届出等の検討も必要である。
- )メールアドレスの詐称:メールの送信元の記述に自分のものではないアドレスを使用すること。実存するドメイン名を用いた場合、そのドメインを有する組織からのメールであるかのように見える。
IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。