0007hyo

２０００年７月の被害届出一覧
２０００年８月１１日
情報処理振興事業協会
項目	届出概要	被害内容	対策・注意事項
侵入1	侵入&踏み台他サイトよりの連絡にて判明 root権限で操作されていた telnet閉鎖、SSHの導入、ワンタイムパスワードの導入等で対処	侵入された root権限にてスキャンの踏み台となった	ポートのスキャンに関しては、以下を参照 http://www.jpcert.or.jp/at/199x/98-0004-01.txt ポートへのアクセスと侵入に対しては、不必要なポート及びサービスの閉鎖セキュリティホールの確認と閉鎖こまめなログの確認ファイアウォール等の導入の際には適切な設定を実施。外部からのアクセスが一般向けに許可されていないかどうか特に確認等により対処する linux関係のセキュリティホールの情報は下記を参照 http://www.linux.or.jp/security/index.html
侵入2	侵入&ユーザ追加メール障害で判明ログ改ざん、ユーザ追加が行われていた当該(追加)ユーザの削除、すべてのユーザのパスワード変更、サーバの置　　き換えなどで対処今後ファイアウォールの導入を実施予定	侵入されたログの改竄ユーザ(特権ユーザ)の追加
侵入3	侵入&データ破壊サーバ上のデータ削除を調査して判明 FTPより侵入された(不適切なパスワード) IDが漏れた経緯等は不明 FTPは閉鎖。全ID・パスワードの変更を実施今後はユーザへの啓蒙を徹底	侵入されたデータ破壊の被害(かなり時間・工数を必要とする見込み)
侵入4	Web改ざん webの改ざんを受けた侵入により行われた模様であるが、詳細は不明パスワードを変更して対処	Webページ改竄本来のアクセスが不能に
アクセス形跡1	アクセス形跡ネットワーク内全マシンのFTPポートアクセスがあった実被害は発生していないがセキュリティ強化のためtelnet及びftpのポートを閉鎖した	実被害なし
アクセス形跡2	アクセス形跡月次まとめ(6月分) オープンプロキシ、第三者中継サーバ探索、linuxconfセキュリティホール探索等の形跡があった	実被害なし
spamメール	spamメール受取 spamメールの受け取り送付関係者との疑いを持たれる	spamメール受け取り	spamメール・メール爆撃に対しては、状況により巨大メール相手先のアドレス、ドメインその他ヘッダ情報により処理を制御して対処する送信元(管理者)への連絡は別途検討(送信者に直接連絡はしない方が得策)
メール爆撃	メール爆撃メールサーバのスローダウンにて判明大量メールの受け取り(存在しそうなメールアドレス宛てに多数メール) 当該アドレスからのメールを個別に対処	大量メール受け取りメールサーバ障害(サービス低下) 大量のログ
メール中継1	spamメール中継大量のエラーメールの調査により判明中継可能サイトリスト(ORBS)の登録もありサーバの設定で対処	実際にメール中継を行われた大量のエラーメール	メール中継に関してはメールサーバソフトウェアにより対応は異なる下記に、関連情報のリンク等があるので参照されたい「spamメール中継対策」 http://www.ipa.go.jp/security/ciadr/antirelay.html 中継可能サイトリスト(net-abuse、ORBS)に関しての情報リンクもあり
メール中継2	spamメール中継ログ解析中にアラートを発見し調査して判明他に、管理外パケットなどの不審アクセスも判明最新版メールソフトの導入と設定で対処予定	実際にメール中継を行われた
メール中継3	spamメール中継メール処理に異常(未着)があり調査して判明メール中継のため他の処理に遅延が発生	実際にメール中継を行われた
メールアドレス詐称1	メールアドレス詐称しspam送付大量のエラーメールの調査により判明	エラーメール受け取り	技術的に利用されてしまうこと自体を防ぐのは困難爾後策としては、エラーリターンメール処理への個別対処詐称された旨の広報、警察への届出等 ※苦情などへの対処を予め検討しておく ※窓口を一本化し、組織全体での統一的対処が肝要
メールアドレス詐称2	メールアドレス詐称しspam送付大量のエラーメールの調査により判明	エラーメール受け取り
メールアドレス詐称3	メールアドレス詐称しspam送付大量のエラーメールの調査により判明	エラーメール受け取り
メールアドレス詐称4	メールアドレス詐称しspam送付大量のエラーメール及びクレームメールにより調査して判明	エラーメール受け取り

問い合わせ先：
　ＩＰＡ(情報処理振興事業協会)セキュリティセンター不正アクセス対策室
　電話:03-5978-7508　ファクシミリ:03-5978-7518　e-mail: isec-info@ipa.go.jp

項目	届出概要	被害内容	対策・注意事項
侵入1	侵入&踏み台他サイトよりの連絡にて判明 root権限で操作されていた telnet閉鎖、SSHの導入、ワンタイムパスワードの導入等で対処	侵入された root権限にてスキャンの踏み台となった	ポートのスキャンに関しては、以下を参照 http://www.jpcert.or.jp/at/199x/98-0004-01.txt ポートへのアクセスと侵入に対しては、不必要なポート及びサービスの閉鎖セキュリティホールの確認と閉鎖こまめなログの確認ファイアウォール等の導入の際には適切な設定を実施。外部からのアクセスが一般向けに許可されていないかどうか特に確認等により対処する linux関係のセキュリティホールの情報は下記を参照 http://www.linux.or.jp/security/index.html
侵入2	侵入&ユーザ追加メール障害で判明ログ改ざん、ユーザ追加が行われていた当該(追加)ユーザの削除、すべてのユーザのパスワード変更、サーバの置　　き換えなどで対処今後ファイアウォールの導入を実施予定	侵入されたログの改竄ユーザ(特権ユーザ)の追加
侵入3	侵入&データ破壊サーバ上のデータ削除を調査して判明 FTPより侵入された(不適切なパスワード) IDが漏れた経緯等は不明 FTPは閉鎖。全ID・パスワードの変更を実施今後はユーザへの啓蒙を徹底	侵入されたデータ破壊の被害(かなり時間・工数を必要とする見込み)
侵入4	Web改ざん webの改ざんを受けた侵入により行われた模様であるが、詳細は不明パスワードを変更して対処	Webページ改竄本来のアクセスが不能に
アクセス形跡1	アクセス形跡ネットワーク内全マシンのFTPポートアクセスがあった実被害は発生していないがセキュリティ強化のためtelnet及びftpのポートを閉鎖した	実被害なし
アクセス形跡2	アクセス形跡月次まとめ(6月分) オープンプロキシ、第三者中継サーバ探索、linuxconfセキュリティホール探索等の形跡があった	実被害なし
spamメール	spamメール受取 spamメールの受け取り送付関係者との疑いを持たれる	spamメール受け取り	spamメール・メール爆撃に対しては、状況により巨大メール相手先のアドレス、ドメインその他ヘッダ情報により処理を制御して対処する送信元(管理者)への連絡は別途検討(送信者に直接連絡はしない方が得策)
メール爆撃	メール爆撃メールサーバのスローダウンにて判明大量メールの受け取り(存在しそうなメールアドレス宛てに多数メール) 当該アドレスからのメールを個別に対処	大量メール受け取りメールサーバ障害(サービス低下) 大量のログ
メール中継1	spamメール中継大量のエラーメールの調査により判明中継可能サイトリスト(ORBS)の登録もありサーバの設定で対処	実際にメール中継を行われた大量のエラーメール	メール中継に関してはメールサーバソフトウェアにより対応は異なる下記に、関連情報のリンク等があるので参照されたい「spamメール中継対策」 http://www.ipa.go.jp/security/ciadr/antirelay.html 中継可能サイトリスト(net-abuse、ORBS)に関しての情報リンクもあり
メール中継2	spamメール中継ログ解析中にアラートを発見し調査して判明他に、管理外パケットなどの不審アクセスも判明最新版メールソフトの導入と設定で対処予定	実際にメール中継を行われた
メール中継3	spamメール中継メール処理に異常(未着)があり調査して判明メール中継のため他の処理に遅延が発生	実際にメール中継を行われた
メールアドレス詐称1	メールアドレス詐称しspam送付大量のエラーメールの調査により判明	エラーメール受け取り	技術的に利用されてしまうこと自体を防ぐのは困難爾後策としては、エラーリターンメール処理への個別対処詐称された旨の広報、警察への届出等 ※苦情などへの対処を予め検討しておく ※窓口を一本化し、組織全体での統一的対処が肝要
メールアドレス詐称2	メールアドレス詐称しspam送付大量のエラーメールの調査により判明	エラーメール受け取り
メールアドレス詐称3	メールアドレス詐称しspam送付大量のエラーメールの調査により判明	エラーメール受け取り
メールアドレス詐称4	メールアドレス詐称しspam送付大量のエラーメール及びクレームメールにより調査して判明	エラーメール受け取り