2000年9月8日
情報処理振興事業協会
コンピュータ不正アクセス被害の届出状況について

1.はじめに

IPA(情報処理振興事業協会、村岡茂生理事長)は、2000年8月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届出ることとされている。

2.届出の状況(2000年8月の届出の概要)

2000年8月のコンピュータ不正アクセス被害の届け出が11件あった(別紙参照)。概要を以下に報告する。
(1)侵入
侵入に係わる届出が2件あった。
ケース1:侵入及びファイル削除
サーバがネットワークから見えない状態になっており調査して判明した。 ファイルやディレクトリが削除されていた。 侵入経路などは不明である。

ケース2:侵入及びweb改ざん
侵入及びweb改ざん。anonymous FTP(*1)領域にプログラムをインストール・実行されてwebの書き換えを行われた模様である。 ページはバックアップから復旧した。 今後の対策としてanonymous FTPの閉鎖、パスワードの変更等を実施した。

 
  1. ) anonymous FTP:匿名FTP。誰でもアクセスしてファイルの授受ができるようになっているFTP(*2)のアカウントもしくはそのようなサービス。 不特定多数のユーザへのファイルのダウンロード用に提供されている場合が多い。
  2. ) ftp:File Transfer Protocol。TCP/IP(国際標準のプロトコル)をベースとしたネットワークシステムにおいてファイルを転送するためのプロトコル。 また、そのためのプログラム。


(2)スキャニング、アクセス形跡
ポートスキャン(*3)もしくは類似のツールなどを用いたポート(*4)へのアクセス形跡の届出が1件あった。
ログの確認によりいくつかの不審なアクセスがあったことが判明した。
侵入等の被害にはあっていないが回線負荷が大きく、業務に影響が及ぶ状態であった。
 

  1. ) ポートスキャン:98年6月頃より出回っているポートやアドレスに順次アクセスするツール、またアクセスの行為のこと。
  2. ) ポート:元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば/etc/services(UNIXの場合)といったファイルに記載されている。


(3)DoS(*5)攻撃
DoS攻撃の報告が1件あった。
ファイアウォールのログを確認して判明した。 smurf攻撃(*6)の踏み台(増幅サイト)として利用しようとしたものであると思われるが、実際の増幅は行われなかった。 改めて不要なブロードキャストを行なわない設定とし、また、上流でのフィルタリングにより対処した。

      
  1. )DoS:Denial of Service。サービス妨害もしくはサービス不能。 過負荷をかける等によって本来のサービスを提供できなくなること、ま たそれを狙った攻撃。
    2.   
  2. )Smurf Attack:当該攻撃に利用されたプログラムの1つがsmurfと呼ばれていたため付いた名称。 偽のICMP応答要求パケットを使用するものである。


(4)spamメール(*7))中継(*8)
spamメール中継の届出が4件あった。
ケース1:

中継可能サイトリストへの登録メッセージにより判明した。 実際に中継可能サイトリストに登録されており、中継も行われていた。 システム管理者はメールサーバソフトウェアのバージョンアップ及び設定により対 処した。

ケース2:
メールサーバログに不審なメール処理の形跡があり調査したところ、ORBSのチェックメールのものと思われるものであった。 ORBSに掲載されていたが、実際のメール中継は行われていない模様である。設定を確認 して対処予定である。

ケース3:
メールサーバのダウンにより調査して判明した。 メール中継に使われていた。 ウイルスチェックとの関係があり、サーバダウンに対しての根本対応は検討中である。

ケース4:
ログのチェックにより判明した。 システム管理者はメールサーバの設定を変更して対処した。

 
  1. ) spamメール:大量に送られる(ばらまかれる)メールのこと。
  2. ) 中継:ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール送信者は、送信元を隠すなどの目的でこの機能を利用することが多い。


(5)メールアドレスの詐称(*9)
メールアドレスの詐称に関しての届出が3件あった。
いずれも大量のエラーメールの発生により判明している。
ケース1:

サーバとしてプロバイダのサーバを利用している。 メールアドレス詐称が行われた結果大量のエラーメールが届いている模様であるが、ヘッダ情報では実際に当該サーバから発信されているようにも見え、詳細は調査中である。

ケース2:
メールアドレスを詐称して宣伝に見えるメールを大量に送付されたものである。

ケース3:
大量の不審メール・エラーメールを受け取った。メール爆撃もしくはメールアドレス詐称の結果であると思われるが、詳細は調査中である。

 
  1. ) メールアドレスの詐称:メールの送信元の記述に自分のものではないアドレスを使用すること。実存するドメイン名を用いた場合、そのドメインを有する組織からのメールであるかのように見える。


IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。

問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
相談電話 (03)5978−7509
FAX (03)5978−7518
e-mail isec-info@ipa.go.jp