0004hyo

２０００年４月の被害届出一覧
２０００年５月１９日
情報処理振興事業協会
項目	届出概要	被害内容	対策・注意事項
侵入1	侵入及びspamメール中継 spamメールの受信者からの連絡で調査して判明 proxyに侵入を受けてspamメールを中継された send mailを遮断して対処	侵入 sendmailの起動 spamメールの中継(発信)	ポートのスキャンに関しては、以下を参照 http://www.jpcert.or.jp/at/199x/98-0004-01.txt ポートへのアクセスと侵入に対しては、不必要なポート及びサービスの閉鎖セキュリティホールの確認と閉鎖こまめなログの確認ファイアウォール等の導入の際には適切な設定を実施。外部からのアクセスが一般向けに許可されていないかどうか特に確認等により対処する CGIのセキュリティホールに関しては、下記など参照「特定の脆弱性が指摘されている CGI プログラム」 ※：組織内のある機器へ侵入した場合、そこからさらに組織内外の別の機器へ侵入を計ることが予測される。組織内LANにおいては他の機器のユーザに対する認証機能を回避するような設定を行う場合があるが、その運用には十分注意が必要である。
侵入2	侵入管理者IDの不正使用があり調査して判明。管理者IDのパスワードを盗まれたすべてのアカウントのパスワードを変更	侵入他の障害への対処の遅延
侵入3	侵入不正なアカウントを発見し調査して判明 CGIのバッファオーバーフローのセキュリティホールを利用して侵入、システムを改竄した模様 Webサーバソフトウェアのバージョンアップ、不要なCGIの削除、パスワード変更により対処	侵入システムファイルの改ざん、ツール追加(インストール)、アカウントの追加等が行われていた
侵入4	侵入＆spamメール送信(中継) 外部よりの連絡にて判明 RAS経由で侵入し、メール中継を行った模様設定変更などで対処	侵入 spamメール中継
侵入5	侵入・踏み台外部より連絡があり調査を実施して判明侵入経路等は特定できなかったシステムを再インストールして対処ログにより判明	侵入された踏み台にされた
スキャン等	アクセス形跡(月次) ログ調査にて判明ネットワーク内のマシンに順次アクセスの形跡	マシン等への実害はなし
メール中継1	spamメール中継ログが非常に大きくなったため調査して判明ポートへのアクセス形跡もあった	実際にメール中継を行われた破壊壊的な実被害はなし	メール中継に関してはメールサーバソフトウェアにより対応は異なる。下記に、関連情報のリンク等があるので参照されたい。「spamメール中継対策」
メール中継2	spamメール中継外部からのクレームメールにより調査し判明 endmailのバージョンが古く設定も徹底せず一旦停止後、バージョンアップ等で対応ファイアウォールの設定等も検討中	実際にメール中継を行われた
メールアドレス詐称1	メールアドレス詐称しspam送付エラーリターンメールで判明苦情メールも届いている	マシンへの実害はなし	技術的に利用されてしまうことを防ぐのは困難。事後処理としては、エラーリターンメールの状況によりフィルタリングや、宛先アドレスの作成等を実施。状況によって下記の技術面以外の対処も検討 Webページ等でのドメイン詐称が行われた旨の情報公開警察への届出も考慮。
メールアドレス詐称2	メールアドレス詐称しspam送付苦情メール、エラーリターンメールで判明	マシンへの実害はなしアクセス形跡(ポートへのスキャン)あり
メールアドレス詐称3	メールアドレス詐称しspam送付苦情メール、エラーリターンメールで判明	メールサーバマシンの処理遅延
メールアドレス詐称4	メールアドレス詐称しspam送付エラーリターンメールで判明苦情・問い合わせのメールも来ている	サーバ・ネットワーク資源消費メール送受信が停滞

問い合わせ先：
　ＩＰＡ(情報処理振興事業協会)セキュリティセンター不正アクセス対策室
　電話:03-5978-7508　ファクシミリ:03-5978-7518　e-mail: isec-info@ipa.go.jp

項目	届出概要	被害内容	対策・注意事項
侵入1	侵入及びspamメール中継 spamメールの受信者からの連絡で調査して判明 proxyに侵入を受けてspamメールを中継された send mailを遮断して対処	侵入 sendmailの起動 spamメールの中継(発信)	ポートのスキャンに関しては、以下を参照 http://www.jpcert.or.jp/at/199x/98-0004-01.txt ポートへのアクセスと侵入に対しては、不必要なポート及びサービスの閉鎖セキュリティホールの確認と閉鎖こまめなログの確認ファイアウォール等の導入の際には適切な設定を実施。外部からのアクセスが一般向けに許可されていないかどうか特に確認等により対処する CGIのセキュリティホールに関しては、下記など参照「特定の脆弱性が指摘されている CGI プログラム」 ※：組織内のある機器へ侵入した場合、そこからさらに組織内外の別の機器へ侵入を計ることが予測される。組織内LANにおいては他の機器のユーザに対する認証機能を回避するような設定を行う場合があるが、その運用には十分注意が必要である。
侵入2	侵入管理者IDの不正使用があり調査して判明。管理者IDのパスワードを盗まれたすべてのアカウントのパスワードを変更	侵入他の障害への対処の遅延
侵入3	侵入不正なアカウントを発見し調査して判明 CGIのバッファオーバーフローのセキュリティホールを利用して侵入、システムを改竄した模様 Webサーバソフトウェアのバージョンアップ、不要なCGIの削除、パスワード変更により対処	侵入システムファイルの改ざん、ツール追加(インストール)、アカウントの追加等が行われていた
侵入4	侵入＆spamメール送信(中継) 外部よりの連絡にて判明 RAS経由で侵入し、メール中継を行った模様設定変更などで対処	侵入 spamメール中継
侵入5	侵入・踏み台外部より連絡があり調査を実施して判明侵入経路等は特定できなかったシステムを再インストールして対処ログにより判明	侵入された踏み台にされた
スキャン等	アクセス形跡(月次) ログ調査にて判明ネットワーク内のマシンに順次アクセスの形跡	マシン等への実害はなし
メール中継1	spamメール中継ログが非常に大きくなったため調査して判明ポートへのアクセス形跡もあった	実際にメール中継を行われた破壊壊的な実被害はなし	メール中継に関してはメールサーバソフトウェアにより対応は異なる。下記に、関連情報のリンク等があるので参照されたい。「spamメール中継対策」
メール中継2	spamメール中継外部からのクレームメールにより調査し判明 endmailのバージョンが古く設定も徹底せず一旦停止後、バージョンアップ等で対応ファイアウォールの設定等も検討中	実際にメール中継を行われた
メールアドレス詐称1	メールアドレス詐称しspam送付エラーリターンメールで判明苦情メールも届いている	マシンへの実害はなし	技術的に利用されてしまうことを防ぐのは困難。事後処理としては、エラーリターンメールの状況によりフィルタリングや、宛先アドレスの作成等を実施。状況によって下記の技術面以外の対処も検討 Webページ等でのドメイン詐称が行われた旨の情報公開警察への届出も考慮。
メールアドレス詐称2	メールアドレス詐称しspam送付苦情メール、エラーリターンメールで判明	マシンへの実害はなしアクセス形跡(ポートへのスキャン)あり
メールアドレス詐称3	メールアドレス詐称しspam送付苦情メール、エラーリターンメールで判明	メールサーバマシンの処理遅延
メールアドレス詐称4	メールアドレス詐称しspam送付エラーリターンメールで判明苦情・問い合わせのメールも来ている	サーバ・ネットワーク資源消費メール送受信が停滞