0009hyo

２０００年９月の被害届出一覧
２０００年１０月１３日
情報処理振興事業協会
項目	届出概要	被害内容	対策・注意事項
－	－	－	対策参照サイト：「対策集」(届出・相談の対策を中心にまとめたもの) http://www.ipa.go.jp/security/ciadr/cm01.html
侵入1	侵入及びログ削除などメールが動作しなくなり調査して判明 webサーバ経由でメールサーバに侵入した模様ファイアウォールの増設、セキュリティーソフトの導入	侵入されたファイルを削除された	ポートのスキャンに関しては、以下を参照 http://www.jpcert.or.jp/at/199x/98-0004-01.txt ポートへのアクセスと侵入に対しては、不必要なポート及びサービスの閉鎖セキュリティホールの確認と閉鎖こまめなログの確認ファイアウォール等の導入の際には適切な設定を実施。外部からのアクセスが一般向けに許可されていないかどうか特に確認等により対処する
侵入2	侵入及びweb改ざんページの閲覧により発見 Frontpage 98のセキュリティホールを利用された模様システムのバージョンアップを実施予定	webの改ざん
侵入3	侵入及びシステムファイル改ざん inetd.confが書き換えられ、telnetが起動し、侵入された書き換えの経緯は不明である	侵入されたシステムファイルを改ざんされた
アクセス形跡1	スキャン／プローブルータのログにより判明 139番ポートへのアクセスがあった	システムへの実被害はなし
アクセス形跡2	スキャン／プローブ月次まとめ(８月分) オープンプロキシ、メール第三者中継サイト、linuxconfセキュリティホール、 rpcセキュリティホール、telnetポート等を探索した形跡があった	システムへの実被害はなし
アクセス形跡3	スキャン／プローブ telnet等の侵入口を探索した形跡があった	マシンに負荷が発生した
メール中継1	spamメール中継受取人からの連絡によりログを調査して判明メールサーバの設定を変更して対処	実際にメール中継を行われたメール中継に使われたサーバダウン等の影響	メール中継に関してはメールサーバソフトウェアにより対応は異なる下記に、関連情報のリンク等があるので参照されたい「spamメール中継対策」 http://www.ipa.go.jp/security/ciadr/antirelay.html 中継可能サイトリスト(net-abuse、ORBS)に関しての情報リンクもあり
メール中継2	spamメール中継大量のエラーメールで判明自ドメインメールのみ処理する設定に変更 ORBSに掲載されていた	実際にメール中継を行われたアプリケーションログが満杯になった
メール中継3	spamメール中継大量のエラーメールで判明 sendmailバージョンアップと設定で対応 ORBSに掲載されていた	実際にメール中継を行われた
メールアドレス詐称	メールアドレス詐称しspam送付大量のエラーメールにより判明中継可能サイトを経由して送られている	メールアドレス詐称大量のエラーメール受け取り苦情メール受け取り	技術的に利用されてしまうこと自体を防ぐのは困難爾後策としては、エラーリターンメール処理への個別対処詐称された旨の広報、警察への届出等参考ページ http://www.cert.org/tech_tips/email_spoofing.html ※苦情などへの対処を予め検討しておく ※窓口を一本化し、組織全体での統一的対処が肝要
ケース1	MLを使って増幅させている当該メールは破棄する設定とした webページで状況を公開した当該MLの運用企業へ対策を依頼	メールサーバダウンネットワークが過密
ケース2	－	マシンへの実被害はなし
ケース3	他にメール爆撃と思われるメールあり	メール処理に遅延が発生した
ケース4	－	メール配信一時不能
メールトラブル	大量の不審なメールが届いており、メール爆撃もしくはアドレスを詐称されたためと思われる詳細は確認中である	アドレス詐称らしいメールが大量に届いた

問い合わせ先：
　ＩＰＡ(情報処理振興事業協会)セキュリティセンター不正アクセス対策室
　電話:03-5978-7508　ファクシミリ:03-5978-7518　 e-mail: isec-info@ipa.go.jp