IPA(情報処理振興事業協会、村岡茂生理事長)は、コンピュータ不正アクセス被害の届出状況をまとめた。
2000年の10月のコンピュータ不正アクセス被害届出は10件であった。 内訳はスキャニングを含む侵入に係わるものが3件、spamメール中継が3件、メールアドレス詐称が3件、プロキシ利用が1件である(別紙参照)。 概要を以下に報告する。(1)侵入
侵入に係わる届出が2件あった。
ケース1:侵入及びシステムファイル改ざん等。 侵入後、ログ改ざん、webファイル改ざん、グループやIDの追加、プログラムのインストール等の種々の行為を行われた。 最初の侵入はOSもしくはサービスのセキュリティホールを利用して行われた模様であるが、ログの改ざんのため、実際の手口は不明である。 システム再構築を実施して対処した。
ケース2:侵入及びweb改ざん。 侵入を受け、webページ上の掲示板のメッセージ削除を行われた。侵入経路は不明である。
(2)スキャニング、プローブ(探索)形跡
ポートスキャン(*1)と呼ばれるスキャニングや、セキュリティホールや設定不備を探索するプローブの形跡の届出が1件あった。 9月1ヶ月分のログから不正なアクセスと思われるものを抽出したもので、実際の侵入は受けていない。 オープンプロキシ(*2)、第三者メール中継(*3)可能サイト、rpcのセキュリティホール等の探索形跡があった。(3)オープンプロキシ(*4)の利用
オープンプロキシの利用に関する届出が1件あった。 外部からの連絡によりシステム管理者が確認したところ、プロキシが第三者に利用された形跡があった。 当該ネットワークのユーザになりすましてwebの掲示板への書き込みが行われていた。 プロキシサーバのバージョンアップなどで対処予定である。(4)spamメール(*4)中継(*3)
spamメール中継の届出が3件あった。 いずれも実際の中継に使用されてしまったものである。
ケース1:ログが膨大になり調査して判明した。 サーバの設定を強化して対処した。
ケース2:大量のエラーメールがあり調査して判明した。 メールサーバ本体は中継対策を講じていたが、メール添付ファイルをチェックするウイルス対策機器(ワクチンサーバ)には中継対策が実施されておらず使われてしまった。 アドレス詐称メールの中継に使われた模様である。 ワクチンサーバの設定を変更し対処した。
ケース3:大量のエラーメールがあり調査して判明した。 アドレス詐称メールの中継にも使われた模様である。 当面の対策として個別のドメインからのメール処理を拒否、根本対策としてメールサーバのバージョンアップ等を実施予定である。 第三者中継可能サーバリストに掲載されていたので対策実施後削除依頼予定である。
(5)メールアドレスの詐称(*5)
メールアドレスの詐称及び詐称と思われるメールトラブルに関しての届出が3件あった。
いずれも、メールアドレス(ドメイン名)を詐称(勝手に使用)されて、spamメールを発信されてしまったものである。 大量のエラーメールもしくはspam受け取り先からの連絡により調査して判明している。 中には、ドメインとしては存在するが、そもそもメールシステムが稼動していないドメインの名称を利用されてしまったケースもある。
メールを送付されてしまうこと自体を予防することは困難であり、メールを送られてしまった場合に自組織からspamメールを送っているものではないことを証明する手段を確保しておく必要がある。注)
- ) ポートスキャン:ポート(*6)やアドレスに順次アクセスする行為。 専用のツールを用いて行なわれるケースが多く、98年6月頃より国内でも多数見受けられる。
- )オープンプロキシ: 外部の第三者から利用可能になっているプロキシ(*7)。 不正なアクセスの際の身元隠しに利用される危険性がある。
- )中継: ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。 spamメール(*4)送信者は、送信元を隠すなどの目的でこの機能を利用することが多い。
- )spamメール: 大量に送られる(ばらまかれる)メールのこと。
- )メールアドレスの詐称: メールの送信元の記述に自分のものではないアドレスを使用すること。 実存するドメイン名を用いた場合、そのドメインを有する組織からのメールであるかのように見える。
- )ポート: マシン同志が通信を行なう際に利用される出入口のこと。 ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。 その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。
- )プロキシ(サーバ): proxy(プロキシもしくはプロクシ)は代理という意味。 インターネットとの接続の際に、セキュリティ確保やWebアクセスの高速化のために設置される。通常内部から外部へのアクセスの際に利用されるが、外部の第三者が利用可能なサーバとして提供されている場合、あるいは、意図したわけではないが外部から利用可能な状態になっていることがある。そのようなサーバがオープンプロキシである。
(1)常時接続サイトへのウイルスなどの侵入・不正アクセス被害
最近インターネットプロバイダへの専用線接続、ADSL、ISDN、CATVなどの常時接続、テレホーダイ等の長時間接続サービスの利用者が増加している。 常時接続や長時間接続においては、ダイアルアップ接続に比して外部からの不正なアクセスを受ける危険性が増大する。 さらに、そのような環境においては、同じ環境に接続している他のマシンや外部から自己マシンが「見える」状態である場合があり、ディスクの共有を許可した状態で接続すると、ウイルスの感染や不正プログラムの埋め込みにより、情報盗み見や、データ破壊、他人のマシンにウイルスをばらまいてしまう等の被害・障害を招く危険性がある。
個別のユーザにおいて、必要のない共有許可は行わないようにし、もし共有許可を行なう際にはユーザ制限やパスワード保護による防衛が必要である。 ユーザ側で設置しているルータ等の接続機器にもパスワードを設定し、また、不要なパケットが通過しないようなフィルタリングを適切に実施して被害を防止する。(2)ダイアルQ2や国際電話による多額の請求被害
かけた覚えのないダイアルQ2等の多額の請求が届くものである。 アダルトサイト(が多いといわれている)などにアクセスした際に、表示に必要なユーティリティであるなどとして掲載されているプログラムをダウンロード、実行してしまい、接続先を切り替えられてしまったために発生する。
レジスタが書き換えられているなどにより、一旦設定を修復しても再起動後はまた元の状態に戻ってしまうケースもある。
被害防止には、基本的な対策が重要である。 実際の対策については下記IPA Webを参照のこと。「セキュリティ対策セルフチェックシート」(システム管理者向け)
http://www.ipa.go.jp/security/ciadr/checksheet.html「コンピュータ不正アクセス被害防止対策集」
http://www.ipa.go.jp/security/ciadr/cm01.html常時接続サイトへの被害、ダイアルQ2被害については「対策集」の中の特に下記を参照のこと。
「個人ユーザのWebサーフィン、メール利用などに係わる脅威(危険性)に対する対策」
http://www.ipa.go.jp/security/ciadr/cm01.html#user
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。郵送のほか、メール、ファクシミリでも受け付けている。 様式その他の情報は下記から入手可能である。
「不正アクセス被害に関する情報の届出について」
http://www.ipa.go.jp/security/ciadr/index.html
IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。
問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
相談電話 (03)5978−7509
FAX (03)5978−7518
e-mail isec-info@ipa.go.jp