IPA(情報処理振興事業協会、村岡茂生理事長)は、コンピュータ不正アクセス被害の届出状況をまとめた。
2000年の11月のコンピュータ不正アクセス被害届出は14件であった。 内訳はスキャニングを含む侵入に係わるものが7件、 DoS(*1)攻撃と思われるものが1件、 spamメール(*2)中継(*3)が5件、 メールアドレス詐称(*4)が1件である (別表参照)。 概要を以下に報告する。(1)侵入
侵入に係わる届出が4件あった。
ケース1:侵入及びシステムファイル改ざん等。 侵入及びシステムファイル改ざん。 管理者権限のアカウントが作成されており調査して判明した。 システムが改ざんされ、一旦削除してもまた作成されるようになっていた。 他に、不正アクセス用のプログラムのインストールが行われていた。 最初の侵入の手口は不明である。
ケース2:侵入及び踏み台。侵入及び踏み台。 他のサイトからの連絡により調査して判明した。 rpc(*5)またはftp(*6)のセキュリティホールを利用して侵入した模様である。 不正アクセス用のプログラムがインストールされ、他のサイトへの攻撃に使われていた。 システムの再インストールとサービスの停止により対処した。
ケース3:侵入及びシステムファイル改ざん。 サーバの不意の再起動により調査して判明した。 前日にはサーバ停止が起こっていた。 アカウントの追加、telnetdの起動が行われており再侵入の形跡があった。 システムの再インストールにより対処した。
ケース4:侵入及びシステムファイル改ざん等。 サーバディスクのマウントが切断される、ファイルのタイムスタンプ異常(同一の日付になっていた)などにより調査して判明した。 不正アクセスのプログラム(盗聴用)のインストールやログの改ざん等が行われていた。 システムの再インストール、tcp_wrapperの導入、ユーザアクセスの制限などにより対処した。
(2)スキャニング、プローブ(探索)形跡
ポートスキャン(*7)と呼ばれるスキャニングや、セキュリティホールや設定不備を探索するプローブの形跡の届出が3件あった。 いずれも、実際の侵入は受けていない。
ケース1及びケース2:ファイアウォールの警告により判明した。BackOrifice(*8)の探索の形跡があった。
ケース3:侵入検知システムの警告により判明した。バックドアの探索や、ftp(*9))ポートの探索があった。
(3)DoS攻撃の形跡
DoS攻撃と思われる攻撃に関する届出が1件あった。 侵入検知システムの警告により調査して判明したもので、マシンへの実被害はなかった。(4)spamメール中継
spamメール中継の届出が5件あった。いずれも実際の中継に使用されてしまったものである。システム構成の変更の際等に設定に不備が生じたものが多くなっている。
ケース1:大量のエラーメールがあり調査して判明した。 システムの構成変更の際に中継可能となってしまっていた。 第三者中継可能サーバリストに掲載されていた。 ファイアウォールの設定を変更して対処した。
ケース2:メールサーバ内滞留のチェックにより判明した。 システム構成の変更時に、ワクチンサーバの設定に不備があった。 システム管理者はワクチンサーバの設定を変更して対処した。
ケース3:大量のエラーメールがあり調査して判明した。 アドレス詐称メールの中継にも使われた模様である。 第三者中継可能サーバリストに掲載されていた。 メールサーバソフトウエアのバージョンアップと設定変更にて対処した。
ケース4:プロバイダから連絡があり調査して判明した。 メールサーバのサーバダウンが発生した。 第三者中継可能サーバリストに掲載されていた。
ケース5:システムの構成変更の際に中継対策をとっていなかった内部サーバが外部から利用可能となってしまったものである。
(5)メールアドレスの詐称(*5)
メールアドレスの詐称に関しての届出が1件あった。 メールアドレス(ドメイン名)を詐称(勝手に使用)されて、spamメールを発信されてしまったものである。 大量のエラーメールが発生したため調査して判明している。 メールサーバのダウンなどの影響があった。
メールを送付されてしまうこと自体を予防することは困難であり、メールを送られてしまった場合に自組織からspamメールを送っているものではないことを証明する手段を確保しておく必要がある。注)
- ) DoS: Denial of Service, サービス妨害もしくはサービス不能。 過負荷をかける等によって本来のサービスを提供できなくなること、 またそれを狙った攻撃。
- )spamメール: 大量に送られる(ばらまかれる)メールのこと。
- )中継: ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。 spamメール送信者は、送信元を隠すなどの目的でこの機能を利用することが多い。
- )メールアドレス詐称: メールの送信元の記述に自分のものではないアドレスを使用すること。 実存するドメイン名を用いた場合、そのドメインを有する組織からのメールであるかのように見える。
- )rpc: Remote Procedure Call。 ネットワーク上の異なるマシンで処理を実行する手続き。 あるいはそのプロトコル。 分散コンピューティング環境の基盤となる技術。
- )ftp: File Transfer Protocol。 TCP/IP(国際標準のプロトコル)をベースとしたネットワークシステムにおいてファイルを転送するためのプロトコル。 また、そのためのプログラム。
- )ポートスキャン: ポートやアドレスに順次アクセスする行為。 専用のツールを用いて行なわれるケースが多く、98年6月頃より国内でも多数見受けられる。
- )BO, BO2: Back Orifice (2000)。 Windows で動く遠隔管理用として公開されているソフトウェア。 トロイの木馬として悪用されると外部からの遠隔操作を許してしまう危険性がある。 2000はバージョンアップ版。 同様のソフトウェアとして、NetBusがある。
- )ポート: マシン同志が通信を行なう際に利用される出入口のこと。 ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。 その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。
10月に引き続き、CATV環境でのウイルス感染等の被害、ダイヤルQ2や国際電話による多額請求の相談が寄せられている。 金銭的被害のほか、マシンの初期化が必要となる、犯罪に加担させられる等の危険性もあるので十分注意されたい。(1)常時接続サイトへのウイルスなどの侵入・不正アクセス被害(「よびかけ」参照)
○危険な共有許可:常時接続は要注意
インターネットを利用していていつのまにかウイルスに感染していた、見知らぬファイルができている、覗かれているようだといった相談が寄せられている。 中でもCATV網等のいわゆる常時接続(料金固定接続)での相談が多くなっている。 被害を引き起こした要因として「共有する」設定が要注意である。 Windowsパソコンにおいて「共有する」とは、自分のパソコンのファイル(ディスク)を、ネットワークに繋がっている他の人に使ってもかまわないと開放することを意味している。
○書き込み許可なら何でもあり:犯罪に加担させられることも最近個人ユーザのインターネットプロバイダへの専用線接続、ADSL、ISDN、CATVなどのいわゆる常時接続、テレホーダイ等の長時間接続サービスの利用が増加している。 このような接続においては、ダイアルアップによる短時間接続に比して外部からの不正なアクセスを受ける危険性が増大する。 さらに、そのような環境においては、同じ環境に接続している他のマシンや外部から自己マシンが「見える」状態である場合があり、ディスクの共有を許可した状態でインターネットに接続すると、見知らぬ誰かにディスクの内容を盗み見られたり、ファイルを改ざんや破壊されたり、ウイルスや悪戯・不正アクセスのプログラムを仕込まれたり、それにより他の人にウイルスをばらまく、不正なアクセス(犯罪に加担)をする等の被害・障害を招く危険性がある。 また、悪戯のプログラムを仕込まれたような場合の復旧にはパソコンの初期化などが必要となる。
○共有をはずそう:メール、ネットサーフィンだけならまず不要LANやサーバを運用しているようなパワーユーザは別として、個人ユーザにおいて通常共有許可は不必要であるので、「共有しない」設定として欲しい。 どうしても共有許可を行う必要がある場合には、ユーザ制限やパスワード保護による防衛が必須である。 ユーザ側で設置しているルータ等の接続機器にもパスワードを設定し、また、ファイアウォール等により不要なパケットが通過しないようなフィルタリングを適切に実施して被害を防止する。 共有の確認方法及び共有しない設定にするための方法は 「呼びかけ」 もしくは 「Windowsのディスク(ファイル)共有の確認と解除」ページを参照のこと。
注記:利用しているOSにより表示などの状況は異なる。 WindowsNT及びWindows2000においてはOS管理のための共有が予め設定されており、これをはずすことはできない。 しかし、これらについては、無条件に他へ向けて開放しているわけではなく、上記被害が発生することはない。 ただし、ユーザ登録等のシステム設定については特に用心のこと。 また、Windows2000の場合、このOS管理のために設定されている共有については、手のマークが表示されない。
(2)ダイアルQ2や国際電話による多額の請求被害
○突然届く多額の請求:ソフトウェアは無料でも
かけた覚えのないダイヤルQ2等の多額の請求が届くものであり、IPAに複数の相談が寄せられている。 電話会社には1年間に10万件にも上る問い合わせ・苦情が寄せられているという。
アダルトサイト(が多いといわれている)などにアクセスした際に、表示に必要なユーティリティであるなどとして掲載されているプログラムをダウンロード、実行してしまい、接続先を切り替えられてしまったために発生するものである。 ブラウザの設定(セキュリティレベルが低い状態)によっては特定のページを閲覧しただけでそのような状態なる場合もある。
○何度消しても戻らない:マシン復旧にも一苦労、被害は金銭だけではない状況によっては電話会社との交渉などにより支払いを免れられることもあるが、そのようなケースはまれであると覚悟しておくべきである。 また、そのような状態になったパソコンでは、レジストリの書き換えなどシステム改ざんにより、一旦設定を修復しても再起動後にまたおかしな状態になってしまうことがある。 他に悪戯のプログラムが仕込まれている可能性もあり、一般のユーザで安全な状態に戻すのは非常に難しく、ハードディスクの初期化やシステムの再インストールといった対処方法を取らざるを得ない。
○実行後ではもう遅い:不審なプログラムを動かさない予防策が重要そのような状態に陥らないためには、ブラウザの設定や不審なプログラムのダウンロードに注意するとともに、電話会社での設定による国際電話やダイヤルQ2の利用制限、チェック用ソフトウェアの導入等による予防が有効である。
被害防止には、基本的な対策が重要である。 実際の対策については下記IPA Webを参照のこと。「セキュリティ対策セルフチェックシート」(システム管理者向け)
http://www.ipa.go.jp/security/ciadr/checksheet.html「コンピュータ不正アクセス被害防止対策集」
http://www.ipa.go.jp/security/ciadr/cm01.html個人ユーザの常時/長時間接続サイトで被害やダイヤルQ2・国際電話請求被害の対策については「対策集」の中の特に下記の項を参照のこと。警察庁やNTTやKDDIなど、関連情報の入手やチェック用ソフトウェアのダウンロードが可能なサイトへのリンクもこの項lに掲載されている。
「個人ユーザのWebサーフィン、メール利用などに係わる脅威(危険性)に対する対策」
http://www.ipa.go.jp/security/ciadr/cm01.html#user
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、 1996年8月にスタートした制度であり、 同基準において、コンピュータ不正アクセスの被害を受けた者は、 被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。 メールのほか、ファクシミリ、郵送でも受け付けている。 様式その他の情報は下記から入手可能である。
http://www.ipa.go.jp/security/ciadr/index.html
IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。
問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
FAX (03)5978−7518
相談電話 (03)5978−7509
e-mail isec-info@ipa.go.jp