IPA(情報処理振興事業協会、村岡茂生理事長)は、コンピュータ不正アクセス被害の届出状況をまとめた。
1.2000年12月の届出の概要
2000年の12月のコンピュータ不正アクセス被害届出は20件であった。 内訳は脆弱性探索を含む侵入に係わるものが10件、 DoS(*1)攻撃と思われるものが2件、 spamメール(*2)中継(*3)が6件、 メールアドレス詐称(*4)が1件、 ウイルスの送信が1件である (別表参照)。 概要を以下に報告する。(1)侵入
侵入を受けた被害の届出が8件あった。
ケース1:侵入&システム改ざん、spamメール(*2)送信。 公開サーバがダウンしたため調査して判明した。 ネットワーク関係の設定が改ざんされており、また、sendmail(*5)がリコンパイルされ、spamメールを送信された。 telnet(*6)が外部から利用可能であったためパスワードクラックにより侵入された模様である。 OSインストールなどを実施予定。
ケース2:webページ改ざん。 webページの確認中に発見した。 webのトップページが改ざんされていた。 IIS(*7)のセキュリティホールを利用して侵入した模様である。 IISのセキュリティホールを修復して対処した。
ケース3:webページ改ざん。 外部から連絡があったため調査して判明した。 他にログの消去が行われていた。 通常は利用していないドキュメントであったため内部では気がつかなかった。 ポートスキャンと、内部サーバの探索の形跡があった。 FrontPageのセキュリティホールをついての侵入と思われる。 FrontPageの利用を停止し、またすべてのIDのパスワードを変更(念のため)して対処した。
ケース4:侵入&システム改ざん。 ftp(*8)やtelnet(*6)ができなくなったためコンソールをチェックして判明した。 アカウントファイルの削除などが行なわれていた。 侵入経路などは調査中である。
ケース5:侵入&踏み台、spamメール(*2)中継(*3)。 メールサーバの動作が重くなり、また、中継メールの苦情が届いたため調査して判明した。 侵入経路などは不明である。
ケース6:web改ざん。 webトップページが改ざんされていたほか、システムログが消去されていた。 侵入経路などは不明である。
ケース7:侵入&システム改ざん。 rootへの切換ができなくなっており、また、ユーザからメーリングリストが使えないとの問い合わせがあり調査して判明した。 システムファイルの改ざん、アカウントの追加などが行なわれていた。 侵入形跡を発見したが、詳細は不明である。 OS再インストール及び最新パッチの適用、外部からメール以外のアクセスを禁止するなどにより、システムの再構築を行なって対処した。 全ユーザのパスワードも変更予定である。
ケース8:侵入&web改ざん。 閲覧者から連絡があり調査して判明した。 webのトップページが改ざんされていた。 IIS(*7)のセキュリティホールを利用して侵入した模様である。 OS及びサーバソフトに最新パッチを導入して対処した。
(2)スキャニング、プローブ(探索)形跡
ポートスキャン(*9)と呼ばれるスキャニングや、 セキュリティホールや設定の不備等の脆弱性を探索するプローブの形跡の届出が2件あった。 いずれも、実際の侵入は受けていない。
ケース1:侵入試み。 ログにログに侵入試みの形跡があった。 別OSに対するアタックの手口であったため被害を免れた模様である。
ケース2:探索形跡。 月次まとめの報告である。 オープンプロキシ(*10)、第三者中継可能サーバ、rpc(*11)等ソフトウェアのセキュリティホール探索の形跡があった。
(3)DoS(*1)攻撃の形跡
DoS攻撃と思われる攻撃に関する届出が2件あった。
ケース1:DoS(Ping)。 ログの確認により判明した。 上位サイトでのフィルタリングにより対処した。
ケース2:ブロードキャスト宛に大量のパケット送り付け。 Smurf(*12)攻撃の模様(DDoS(*13)の疑いあり)である。 ルータのハングアップやネットワーク停止が発生した。 ブロードキャストをフィルタで拒絶して対処した。
(4)spamメール(*2)中継(*3)
spamメール中継の届出が6件あった。 いずれも実際の中継に使用されてしまったものである。
ケース1:メール未着の問い合わせがあり調査して判明した。 大量のメールが滞留し、メール運用に支障が発生した。 第三者中継可能サーバリストに掲載されていた。 メールサーバソフトを変更して対処予定である。
ケース2:組織内の通報及びログの確認にて判明した。 当該メールサーバの運用を停止した。 ソフトウェアのバージョンアップ、設定変更などを予定している。
ケース3:spamメール中継/アドレス詐称(*4)。 受信メール量の増加、抗議内容のメールの受信、サーバのレスポンスの低下により調査して判明した。 中継と詐称は別件の模様。 メールの遅延やシステムダウンが継続的に発生した。 メール中継に関しては設定変更にて対処した。
ケース4:メール管理者宛てに大量のエラーメッセージが届いたため調査して判明した。 第三者中継可能サーバリストに掲載されていた。 運用上の都合によりSMTPのリモート利用の設定を変更している間に利用された。 現在は、設定を元に戻しており、中継はできないようになっている。
ケース5:ログファイルの検査中に発見した。 アドレス詐称メールの中継に利用された模様である。 設定変更のほか、当該ドメインあてメールを削除処理予定である。
ケース6:第三者中継可能サーバリストに掲載されており、また、中継形跡の情報があった。 アドレス詐称メールの中継に利用された模様である。 メールサーバソフトの変更と設定により対処予定である。
(5)メールアドレスの詐称(*4)
メールアドレスの詐称に関しての届出が1件あった。 メールアドレス(ドメイン名)を詐称(勝手に使用)されて、spamメールを発信されてしまったものである。 多数のエラーメール(宛先アドレスが存在しない)があったため調査して判明した。 サーバ処理に遅延が発生した。発信元及び中継サイトに警告のメールを送付して対処した。
メールを送付されてしまうこと自体を予防することは困難であり、メールを送られてしまった場合に自組織からspamメールを送っているものではないことを証明する手段を確保しておく必要がある。(6)メールマガジンのウイルストラブル
メールマガジンでのウイルストラブルの届出が1件あった。 メールマガジンでウイルスをばらまいてしまったものである。 メールマガジンとして本来発行元しか送信できないように設定してあるはずが誰でも発信できるようになっていたため、ウイルス感染者からのメールが登録者に配信されてしまったものである。 発行元では設定を適切なものに変更して対処した。
- ) DoS: Denial of Service, サービス妨害もしくはサービス不能。 過負荷をかける等によって本来のサービスを提供できなくなること、 またそれを狙った攻撃。
- )spamメール: 大量に送られる(ばらまかれる)メールのこと。
- )中継: ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。 spamメール送信者は、送信元を隠すなどの目的でこの機能を利用することが多い。
- )メールアドレス詐称: メールの送信元の記述に自分のものではないアドレスを使用すること。 実存するドメイン名を用いた場合、そのドメインを有する組織からのメールであるかのように見える。
- )sendmail:メール処理に広く用いられているソフトウェア。 最新もしくは最新に近いバージョンでは、メール中継等の制御に関わる機能が強化されている。
- )telnet: TELetype NETwork。 ネットワーク経由で他のマシンへ接続する際に用いられるプロトコル、またそのためのプログラム。 外部ネットワークから利用可能になっている場合、侵入口として狙われることが多い。
- )IIS: Internet Information Server。 webサーバソフトウェアの1つ。
- )ftp: File Transfer Protocol。 TCP/IP(国際標準のプロトコル)をベースとしたネットワークシステムにおいてファイルを転送するためのプロトコル。 また、そのためのプログラム。
- )ポートスキャン: ポートやアドレスに順次アクセスする行為。 専用のツールを用いて行なわれるケースが多く、98年6月頃より国内でも多数見受けられる。
- )オープンプロキシ: 外部の第三者から利用可能になっているプロキシ(*15)。
- )rpc: Remote Procedure Call。 ネットワーク上の異なるマシンで処理を実行する手続き。 あるいはそのプロトコル。 分散コンピューティング環境の基盤となる技術。
- )Smurf Attack: DoS攻撃の1つ。 当該攻撃に利用されたプログラムの1つがsmurfと呼ばれていたため付いた名称。 偽のICMP応答要求パケットを使用するものである。
- )DDoS: Distributed DoS。 協調分散型DoS。 多数のセキュリティの甘いサイトを踏み台にクラッキングツールを仕込み、一斉に1つのサイトを攻撃するもの。
- )ポート: マシン同志が通信を行なう際に利用される出入口のこと。 ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。 その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。
- )プロキシ(サーバ): proxy(プロキシもしくはプロクシ)は代理という意味。 インターネットとの接続の際に、セキュリティ確保やWebアクセスの高速化のために設置される。 外部の第三者が利用可能な状態になっていると、身元隠しに利用される危険性がある。
個人ユーザからファイアウォールの導入によるアクセス形跡の分析や調査に関する報告、問い合わせ、相談がよせられている。 基本的な知識を身につけて有効活用を計って頂きたい。 →(1)
ダイヤルQ2や国際電話による多額請求の相談が引き続き多数寄せられている。 金銭的被害のほか、マシンの初期化が必要となる、犯罪に加担させられる等の危険性もあるので十分注意されたい。 対策情報はこちら→「個人ユーザの対策」。
企業等のシステム管理者からは、メール関係のトラブルが届出・相談とも多い。 中でも、メールアドレス(ドメイン)詐称メールの送信(ばらまき)とその中継に利用されたケースが多く寄せられている。 メールサーバ管理者は、再度設定等を確認されたい。 →(2)、(3)
(1)個人環境でもファイアウォール等を活用して防御しよう
○せっかくのファイアウォール導入がパニックに
常時接続や定額料金による長時間接続に伴い、個人環境においてもファイアウォール等を導入するケースが増加しており、届出・相談においても、そのような環境でのアクセス形跡の報告や相談が増えている。 このようなツールは個人環境の保護に有効であるが、ツールの機能やログの見方がよく分からずに利用しているために、通常の利用範囲で記録されるログ情報や防御された探索の警告に過剰に反応してしまうケースも出ている。
○冷静にメッセージを読み取ろう導入に当たっては、ネットワークの基本的な知識を身につけ、それぞれのツールの役割や機能を理解されたい。 また、導入後は、定期的にログ(出力メッセージ)を確認することが重要である。 実際のメッセージの形式や読み方についてはそれぞれのツールのマニュアルやヘルプ機能、サポートセンターの情報を参照し、メッセージの内容を正確に読みとって、冷静に対処されたい。
○確認の際のチェックポイントは
- 実際に最も有力な手がかりになるのはポート番号と対応のサービスである。
ポートとポート番号、対応のサービスについての基礎知識を身につけよう。 (注14参照)- ネットワークに接続していれば探索や攻撃はある程度必ずやってくる。
ツールを導入すると多くの出力があり驚くかもしれないが、それは、ツールの導入によりネットワーク稼動の状況がわかるようになったものであって、ツールを導入したので探索や攻撃が来るようになったわけではない。- 「警告が表示された」=「侵入されてしまった」というわけではない。
「アクセスがブロックされた」もしくは「拒否された」旨のメッセージであれば、探索や攻撃に対して防御できたことを示している。- 個人環境に対しては「トロイの木馬」プログラム探索のアクセスが来ることが多い。
そのような探索は無差別・網羅的に行われている。 あらかじめ当該プログラムを引き込んで実行(起動)してしまっており、さらに探索に対して反応してしまったという状況が揃っている場合に不都合が生じるが、いずれかが防御できていれば実害は発生しない。
実際、届出・相談のあった範囲では、プログラムも引き込んでおらず、また、探索に対しても前項のように防御(ブロック)できた状態であったものが多い。- 自分のマシンへのアクセスだけではなく自分のマシン「から」のアクセスにも注意しよう。
自分のマシンからのアクセスの場合、プライベート情報漏洩のほか、踏み台となってウイルスのばらまきや他のマシンへの攻撃に加担させられている場合もある。(2)メール関係のトラブル1:メールシステムを踏み台にされる(第三者中継)
○増加するメール中継被害
メール中継に関する相談、届出が増加している。
注3にもあるように、いわゆる第三者中継が可能なサーバは、spamメール送信の際の身元隠しに使われてしまう。 利用されてしまったメールサーバが過負荷のために本来の処理ができなくなったり、ダウンしたりといった直接的な影響のほか、spamばらまきに加担したとして信頼を失墜したり、苦情処理で業務に支障が出るといったケースも報告されている。
○アドレス詐称メールのばらまきに加担最近ではアドレス(ドメイン)詐称メールのばらまきに利用されたと思われる中継の報告が多くなっており、元々の送信者が突き止めにくい状況の中で、中継サイトが悪者とされるケースが増えているものと思われる。
○バージョンアップ・設定で対処各メールサーバソフトウェアの比較的新しいバージョンにおいては、第三者中継を拒否・制御するような機能が追加・強化されている場合が多い。 メールサーバ管理者は、なるべく新しいバージョンを導入の上、それぞれのサイトの運用方針に従ってメールサーバを適切に設定されたい。 対策情報はこちら→「メール中継対策」。
(3)メール関係のトラブル2:メーリングリスト/メールマガジンでウイルスばらまき
○不用意な設定は不要メールのばらまきに直結
メーリングリストやメールマガジンの運用において、設定が適切に行なわれていない場合、不要なメール、特にウイルスに感染したファイルが添付されたメールが送信されてしまう場合がある。
○ウイルスばらまき加担にも今月届出のあったものは、メールマガジンにおいて発行者以外の一般読者からメール悪用タイプのウイルスがばらまかれてしまったケースである。 最近メール悪用タイプのウイルスが巧妙化・悪質化しており、感染被害が爆発的に増加しているが、その一因はメールマガジンやメーリングリストでのばらまきである。
○運用方針に則り設定をメールマガジン発行者、メーリングリスト運用者においては、運用方針及び実際の設定状況を確認・再検討されたい。 対策(設定ポイント)情報はこちら→
「メールに関わるトラブルについて」。
被害防止には、基本的な対策が重要である。 実際の対策については下記IPA Webを参照のこと。
- 「コンピュータ不正アクセス被害防止対策集」(個人ユーザ/管理者向けの各種対策情報)
http://www.ipa.go.jp/security/ciadr/cm01.html- 個人ユーザの対策については、このページの特に下記の部分に掲載されている。
「個人ユーザのWebサーフィン、メール利用などに係わる脅威(危険性)に対する対策」
http://www.ipa.go.jp/security/ciadr/cm01.html#user- 「spamメール中継対策」(メールサーバソフトウェア毎の対策情報リンクはこちら)
http://www.ipa.go.jp/security/ciadr/antirelay.html- 「メールに関わるトラブルについて」(メールマガジン/メーリングリストの注意事項はこちら)
http://www.ipa.go.jp/security/ciadr/mailtrbl.html
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、 1996年8月にスタートした制度であり、 同基準において、コンピュータ不正アクセスの被害を受けた者は、 被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。 メールのほか、ファクシミリ、郵送でも受け付けている。 様式その他の情報は下記から入手可能である。
http://www.ipa.go.jp/security/ciadr/index.html
IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。
問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
FAX (03)5978−7518
相談電話 (03)5978−7509
e-mail isec-info@ipa.go.jp