2000年10月13日

情報処理振興事業協会

コンピュータ不正アクセス被害の届出状況について

1.はじめに

IPA(情報処理振興事業協会、村岡茂生理事長)は、2000年9月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届出ることとされている。

2.届出の状況(2000年9月の届出の概要)

2000年9月のコンピュータ不正アクセス被害の届け出が14件あった(別紙参照)。概要を以下に報告する。

(1)侵入
侵入に係わる届出が3件あった。
ケース1:侵入及びログ削除など

メールが動作しなくなり調査して判明した。 RASよりwebサーバに侵入し、さらにメールサーバに侵入した模様であるが、侵入手口は不明である。 ファイアウォールの増設、セキュリティーソフトの導入により対処予定である。


ケース2:侵入及びweb改ざん。

webページを閲覧したところトップページが改ざんされていた。 Frontpage98のセキュリティホールを利用して改ざんされたものと考えられる。 当該ページのバックアップからの修復のほか、システムのバージョンアップにより対処予定である。


ケース3:侵入及びシステムファイル改ざん

inetd.confが書き換えられており、telnetが起動される設定となっていた。 telnetで侵入の形跡もある。 inetd.confの書き換えの手口は不明である。


(2)スキャニング、アクセス形跡
ポートスキャン(*1)もしくは類似のツールなどを用いたポート(*2)へのアクセス形跡の届出が3件あった。
ケース1:スキャン/プローブ

ルータのログの確認により139番ポート(netbios) へのアクセスが複数件あったことが判明した。
侵入やマシンへの重大な影響はなかった。


ケース2:スキャン/プローブ月次まとめ(8月分)

オープンプロキシ(*3)、第三者メール中継(*5)可能サイト等の探索の形跡があった。


ケース3:スキャン/プローブ

ログにtelnet等の侵入口を探索した形跡があった。 マシンへの影響(過負荷)があった。


 

  1. ) ポートスキャン:98年6月頃より出回っているポートやアドレスに順次アクセスするツール、またアクセスの行為のこと。
  2. ) ポート:元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば/etc/services(UNIXの場合)といったファイルに記載されている。
  3. ) オープンプロキシ:外部の第三者から利用可能になっているプロキシ(*4)
  4. ) プロキシ(サーバ): proxy(プロキシもしくはプロクシ)は代理という意味。インターネットとの接続の際に、セキュリティ確保やWebアクセスの高速化のために設置される。外部の第三者が利用可能な状態になっていると、身元隠しに利用される危険性がある。
  5. ) 中継:ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。spamメール(*6)送信者は、送信元を隠すなどの目的でこの機能を利用することが多い。
  6. ) spamメール:大量に送られる(ばらまかれる)メールのこと。


(3)spamメール中継
spamメール中継の届出が3件あった。 いずれも実際の中継に使用されてしまったものである。
ケース1:

受取人から苦情の連絡がありメールログを調査して判明した。 メールサーバの設定を変更して対処した。


ケース2:

大量のエラーメールで判明した。 メールには特にフィルタリングをかけていなかったため、自ドメインメールのみ処理する設定に変更して対処した。 第三者中継可能サーバリストに掲載されていたので削除依頼を行った。


ケース3:

大量のエラーメールで判明した。 sendmailバージョンアップと設定変更で対応した。 第三者中継可能サーバリストに掲載されていたので削除依頼予定である。


(4)メールアドレスの詐称(*7)
メールアドレスの詐称及び詐称と思われるメールトラブルに関しての届出が5件あった。
いずれも大量のエラーメールの発生により判明している。
ケース1:

メーリングリストによりメールを増幅させている模様である。 メールサーバがダウンするなどの影響があった。 当該エラーメールは破棄する設定とした。 また、web上で状況説明を行うとともに、メーリングリスト運用者に対処を求めた。


ケース2:

マシンへの実被害はなかった。


ケース3:

大量の不審メール・エラーメールを受け取った。 メールアドレス詐称の他にメール爆撃と思われる多数のメールが届いており、マシンに影響があった。


ケース4:

メール送信が一時不能になるなどの影響があった。


ケース5:

アドレス詐称の結果と思われるエラーメールが大量に届いている。 詳細は調査中である。


 

  1. ) メールアドレスの詐称:メールの送信元の記述に自分のものではないアドレスを使用すること。実存するドメイン名を用いた場合、そのドメインを有する組織からのメールであるかのように見える。


IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。

問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
相談電話 (03)5978−7509
FAX (03)5978−7518
e-mail isec-info@ipa.go.jp