2000年8月11日
情報処理振興事業協会
コンピュータ不正アクセス被害の届出状況について

1.はじめに

IPA(情報処理振興事業協会、村岡茂生理事長)は、2000年7月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届出ることとされている。

2.届出の状況(2000年7月の届出の概要)

2000年7月のコンピュータ不正アクセス被害の届け出が15件あった(別紙参照)。概要を以下に報告する。
(1)侵入
侵入に係わる届出が4件あった。
ケース1:侵入及び踏み台
他のサイトよりスキャンを受けているとの連絡があり調査して判明した。侵入の手口は不明であるがroot(*1)権限をとられ、他サイトへのポートスキャンを行われていた。telnet(*2)の閉鎖などにより対処した。

ケース2:侵入及びユーザ追加
メール障害があり調査して判明した。ログの改ざん(削除)、特権ユーザの追加が行われていた。その他の状況に付いては調査中である。緊急措置として当該(追加)ユーザの削除、全ユーザのパスワードの変更を行い、その後、サーバの置き換えを実施した。今後ファイアウォールの導入を予定している。

ケース3:侵入及びデータ破壊
データが破壊(削除)されており調査して判明した。 ftp(*3)接続のパスワードクラッキングにより侵入された模様である。 ftpの閉鎖、全ユーザのパスワードの変更を行って対処した。今後はユーザ教育・パスワード管理の徹底をはかる予定である。

ケース4:Web改ざん
Webページが改ざん(置き換え)され、通常のアクセスができなくなった。侵入が行われたものと思われるが、詳細は不明である。パスワードを変更して対処した。

 
  1. ) root:UNIXでの特権(管理者)ユーザ。
  2. ) telnet:TELetype NETwork。ネットワーク経由で他のマシンへ接続する際に用いられるプロトコル、またそのためのプログラム。外部ネットワークから利用可能になっている場合、侵入口として狙われることが多い。
  3. ) ftp:File Transfer Protocol。TCP/IP(国際標準のプロトコル)をベー スとしたネットワークシステムにおいてファイルを転送するためのプロトコル。また、そのためのプログラム。


(2)スキャニング、アクセス形跡
ポートスキャン(*4)もしくは類似のツールなどを用いたポート(*5)へのアクセス形跡の届出が2件あった。
いずれもシステム管理者のログ調査によりアクセスの形跡が判明したもの で、実際の被害にはあっていない。
ケース1:

オープンプロキシ(*6)の探索、メール中継(*8)可能サーバの探索、 linuxconfセキュリティホール探索等のスキャンが行われていた。

ケース2:
ネットワーク内の各マシンへのスキャニングが行われていた。

 
  1. ) ポートスキャン:98年6月頃より出回っているポートやアドレスに順次アクセスするツール、またアクセスの行為のこと。
  2. ) ポート:元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば/etc/services(UNIXの場合)といったファイルに記載されている。
  3. ) オープンプロキシ:外部の第三者から利用可能になっているプロキシ(*7)。
  4. ) プロキシ(サーバ): proxy(プロキシもしくはプロクシ)は代理という意味。インターネットとの接続の際に、セキュリティ確保やWebアクセスの高速化のために設置される。外部の第三者が利用可能な状態になっていると、身元隠しに利用される危険性がある。
  5. ) 中継:ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール(*9)送信者は、送信元を隠すなどの目的でこの機能を利用することが多い。
  6. ) spamメール:大量に送られる(ばらまかれる)メールのこと。


(3)spamメール、メール爆撃
spamメール等の送り付けの届出が2件あった。
ケース1:spamメールの送り付け

spamメールを送り付けられた。内容的には宣伝に見えるがその形態から嫌がらせ目的と推測される。宛先にメールアドレスが列挙されていた。

ケース2:メール爆撃
大量のメールを送りつけられた。辞書ツールなどを用いて自動生成したようなありそうな多数のユーザ名宛てのメールであった。


(4)spamメール中継
spamメール中継の届出が3件あった。
いずれも、実際に中継に利用されてしまったものである。
ケース1:

大量のエラーメールの調査によって判明した。中継可能サイトリストへの登録も行われていた。システム管理者はサーバの設定で対処した。

ケース2:
ファイアウォールのアラートによりメールサーバを調査して判明した。最新版メールサーバソフトウェアの導入と設定により対処した。他に不審アクセスの形跡もあった。

ケース3:
外部ネットワークから届くはずのメールが未着のため調査して判明した。短時間に大量のメール中継が行われたため他のメール処理に遅延が発生していた。


(5)メールアドレスの詐称(*10)
メールアドレスの詐称に関しての届出が4件あった。
いずれも、メールの送信元アドレス(ドメイン)を詐称したspamメールを送られたものであり、大量のエラーメールの発生などにより判明した。
 

  1. ) メールアドレスの詐称:メールの送信元の記述に自分のものではないアドレスを使用すること。実存するドメイン名を用いた場合、そのドメインを有する組織からのメールであるかのように見える。


IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。

問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
相談電話 (03)5978−7509
FAX (03)5978−7518
e-mail isec-info@ipa.go.jp