IPA(情報処理振興事業協会、村岡茂生理事長)は、コンピュータ不正アクセス被害の届出状況をまとめた。
1.2001年1月の届出の概要
2001年の1月のコンピュータ不正アクセス被害届出は17件であった。 内訳は脆弱性探索を含む侵入に係わるものが7件、 spamメール(*1)中継(*2)が3件、 メールアドレス詐称(*3)が4件、 その他が3件である(別表参照)。 概要を以下に報告する。(1)侵入
侵入を受けた被害の届出が5件あった。
ケース1:侵入&Web改ざん。 レンタルサーバで運用しているWebページのチェックの際に差し替えがあることが分かった。そのサーバにアクセスするクライアント機のファイアウォールログには侵入(アクセス)の形跡があった。このため、侵入の際にクライアントマシンからサーバアクセスのためのIDやパスワードなどの情報を盗んだものと思われる。
ケース2及び3:Web改ざん。 Webページの確認中等に改ざんを発見した。ラーメンワーム(*4)による改ざんであった。Webページ情報についてはバックアップ等から復旧した。ラーメンワームへの今後の対策としては侵入口となったセキュリティホールを閉鎖して対処した。
ケース4:Web改ざん。 経路等は不明だが、Windows NTもしくはIIS(*5)のセキュリティホールを利用された模様である。届出時ではサーバを停止中、今後セキュリティホール閉鎖の対処予定である。
ケース5:侵入&ツールインストール、踏み台。 不審なファイルがあったため調査して判明した。rpc(*6)のセキュリティホールを利用された模様である。踏み台ツール(CERT Advisoriesに記載のもの と思われる)をインストールされ、他へのアクセスを行われた形跡がある。
(2)スキャニング、プローブ(探索)形跡
ポートスキャン(*7)と呼ばれるスキャニングや、セキュリティホールや設定不備などの脆弱性を探索するプローブの形跡の届出が2件あった。いずれも、ファイアウォールの警告により判明したものである。
ケース1:トロイの木馬探索。 トロイの木馬の存在を探索するアクセスの形跡があった。アクセスはブロックされており、また、当該トロイの木馬プログラムも存在しない。
ケース2:探索形跡。 詳細は不明であるが、外部マシン(ネットワーク)にアクセスしようとした形跡があった。アクセスツールを仕込まれたものらしい。アクセスはブロックされている。
(3)spamメール(*1)中継(*2)
spamメール中継の届出が3件あった。 いずれも実際の中継に使用されてしまったものである。
ケース1:サーバのレスポンスが低下したため調査して判明した。設定変更により対処したが、メールアクセスは継続しており、ドロップ処理している。(メールサーバはPost.Office)
ケース2:上位ネットワークの管理者から連絡があり調査して判明した。当該サーバのサービス停止及びポート閉鎖にて対処した。
ケース3:大量のエラーメールがあり調査して判明した。対処方法については調査・検討中である。
(4)メールアドレスの詐称(*3)
メールアドレスの詐称に関しての届出が4件あった。メールアドレス(ドメイン名)を詐称(勝手に使用)されて、spamメールを発信されてしまったものである。いずれも多数のエラーメール(宛先アドレスが存在しない)があったため調査して判明した。いくつかのパターンがあり、送信元・送信先に同じアドレスを使われたケースもある。ピンポンのような状態が発生し、サーバ処理に遅延が発生したケースやサーバダウンのケースがあった。
メールを送付されてしまうこと自体を予防することは困難であり、メールを送られてしまった場合に自組織からspamメールを送っているものではないことを証明する手段を確保しておく必要がある。(5)その他
掲示板荒らし、ダイヤルQ2接続、ローミング不正使用の被害届出がそれぞれ1件あった。
掲示板荒らし:いわゆる掲示板荒らしにあったものである。その他にアクセスの形跡があった。
ダイヤルQ2接続:NTTから多額の請求が来て調べたところ、その多くはダイヤルQ2の請求であった。ダイヤルアップ先が変更され、ダイヤルQ2に繋がるようになっており、修正しても再起動時にまた変更されるようになってしまっていた。
ローミング不正使用:プロバイダの支払いに使用しているクレジット会社より多額の請求が届き調べたところ使った覚えのないローミング使用の請求であった。何らかの状況によりパスワード情報が漏れたものと思われるが、詳細は不明である。
- )spamメール: 大量に送られる(ばらまかれる)メールのこと。
- )中継: ここでは特に、あるメールサーバが、自分のサイトとは直接関係ない外部アドレスから外部アドレス宛てのメールの経由地点として指定され、利用されること。 spamメール送信者は、送信元を隠すなどの目的でこの機能を利用することが多い。
- )メールアドレス詐称: メールの送信元の記述に自分のものではないアドレスを使用すること。 実存するドメイン名を用いた場合、そのドメインを有する組織からのメールであるかのように見える。
- )IIS: Internet Information Server。 webサーバソフトウェアの1つ。
- )ラーメンワーム:ramen wormもしくはramen kit。セキュリティホール(特定の3種類であるといわれている)を利用してマシンに自分を送り込み増殖していくプログラム群。相手マシンがWebサーバであればindex.htmlに対してラーメンに関するメッセージや画像が表示されるような改ざん(置き換え)を行う。当該セキュリティホールの閉鎖(パッチ導入)で侵入を防止できる。
- )rpc:Remote Procedure Call。ネットワーク上の異なるマシンで処理を実行する手続き。あるいはそのプロトコル。分散コンピューティング環境の基盤となる技術。
- )ポートスキャン: ポートやアドレスに順次アクセスする行為。 専用のツールを用いて行なわれるケースが多く、98年6月頃より国内でも多数見受けられる。
- )ポート: マシン同志が通信を行なう際に利用される出入口のこと。 ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。 その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。
個人ユーザからなりすましによる被害についての相談がよせられている。何らかの要因によりパスワードが漏れてメールの盗み見などが行われているらしいというような相談はよくよせられるが、今回のケースでは、プロバイダの利用条件がなりすまし被害に無防備であり、対策に苦慮した。プロバイダ選択に当たっては、トラブル時への備えも含め各種条件を確認・検討して頂きたい。→(1)
また、最近多発しているWeb改ざん(→(2))、引き続き多数相談が寄せられているダイヤルQ2(→(3))や国際電話による多額請求被害についても、あらためて注意を喚起したい。
(1)Web改ざん対策、基本的な予防策が重要、緊急対策はまずセキュリティホール閉鎖から
○地道な対策と緊急対策
セキュリティホールが要因であると思われるWeb改ざんが多発している。 いくつかのセキュリティホールが集中的に狙われている模様である。 侵入や改ざんに対しては、 日頃からシステムの設定・状況を確認し、侵入を防止する対策を実施する、 脆弱性に関する情報を収集し、適宜対処するという地道な対策が重要である。 全く脆弱性のないプログラムの開発はなかなか困難であり、各種OS、ソフトウェアにセキュリティホールが発見されている。 特定の脆弱性が狙われていると推測される場合には緊急措置としてその脆弱性に対する対応(セキュリティホール閉鎖=バージョンアップやパッチの適用、適切な設定等)が必要となる。 対策はこちら→「緊急警告」、「Web改ざんの防止策」
○ファイアウォールでも防げないセキュリティホール利用の攻撃ファイアウォールを設置していれば侵入や改ざんは防止できるのではないかとの問い合わせを頂戴している。 確かにファイアウォール設置は侵入防止に非常に有効な対策である。 しかし、セキュリティホールとは、通常のアクセス (Webの場合多くは80番ポートを介した通信) の範囲でシステムの異常終了や管理者権限での操作などを可能にしてしまうものであり、 そのようなセキュリティホールを利用した攻撃はファイアウォールが設置されていても防御できない。 したがってファイアウォールによる対策を実施していてもセキュリティホール対策は必須である。→前項「緊急警告」の「FAQ:良くある質問とその回答」参照。
(2)トラブル時ではもう遅い、無料プロバイダ利用条件のこんな壁、事前にしっかり確認を
○なりすまされたらお手上げ、こんなはずでは
「パスワードを知られてしまったようで、なりすましにより掲示板などに勝手な書き込みなどをされて困っている」との被害相談を受けた。 通常であれば、「即刻パスワードの変更」を実施し、場合によっては「現行のIDを解約する」といった対処をとることになる。 しかし、被害に遭ったのはいわゆる「無料プロバイダ」のユーザで、そのプロバイダでは「パスワードは固定で変更できない」「解約手続きが存在せず、ユーザからの解約はできない」という利用条件になっていた。 しかも、「パスワード漏洩時を含めIDを利用した行為の責任はすべてそのIDを取得したユーザにある」「トラブルの際の解決は当事者間で」といった注意書きが明記されている。 これでは悪意のある人間にパスワードが漏洩してしまった場合のなりすまし被害には無防備で、一ユーザとしては完全にお手上げである。
○他にもいろいろある付帯条件、事前にしっかり確認を無料のプロバイダの場合には、無料の裏付けとして、アンケートへの協力や個人情報の提供、それにともなう広告・宣伝文の受け取り、一定額以上の商品の購買など何らかの義務が条件となっていることが多い。 プライバシ情報の漏洩を含め、実際のトラブル時におけるプロバイダのサポート範囲は状況に依存すると思われるが、トラブルにあってから慌てても遅い。 事前(契約申込み前)にパスワードの取り扱い解約の手続きなどを含めて契約条件をしっかり確認しよう。
(3)自分だけはと思っていても被害に遭う、ダイヤルQ2も予防が重要
○減る気配のないダイヤルQ2接続被害相談、ついうっかりで被害甚大
いつのまにか接続先がダイヤルQ2や海外になっており多額の請求が来る被害の相談が相変わらず多い。 実際の請求額は数十万、あるいはそれ以上にも上っているケースがある。 自分だけは大丈夫と思っていても被害に遭うときにはクリック1つが命取りとなる。 各電話会社には苦情や相談が多数あがっており、また詐欺等が疑われるケースもあるが、個々人の実際にかけてしまった電話の料金を支払わずに済むかどうかは状況依存である。 また、一旦接続先切り替えのプログラムを起動させてしまうとその完全な発見・除去は難しく、ハードディスクの初期化といった面倒な作業が必要になるのは既に報知の通りである。
○予防が肝心、最期の砦はダイアルアップの際のチェックNTT東日本・西日本両社ではダイヤルQ2チェックプログラム(電話をかける際にメッセージが表示される)の配布を再開している。 そのようなプログラムの利用を含めた予防策がやはり重要である。 対策ページなどを参照され、自衛して頂きたい。
被害防止には、基本的な対策が重要である。 実際の対策については下記IPA Webを参照のこと。
- 「コンピュータ不正アクセス被害防止対策集」(個人ユーザ/管理者向けの各種対策情報)
http://www.ipa.go.jp/security/ciadr/cm01.html
個人ユーザの対策については、このページの特に下記の部分に掲載されている。- 「個人ユーザのWebサーフィン、メール利用などに係わる脅威(危険性)に対する対策」
http://www.ipa.go.jp/security/ciadr/cm01.html#user
Web改ざんに関しては、- 「Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを」(緊急警告)
http://www.ipa.go.jp/security/ciadr/webjack_a.html- 「Web改ざんの防止を目的として行う価値のある対策」(日常の基本対策)
http://www.ipa.go.jp/security/ciadr/webjack.htm
を参照のこと。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、 1996年8月にスタートした制度であり、 同基準において、コンピュータ不正アクセスの被害を受けた者は、 被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。 メールのほか、ファクシミリ、郵送でも受け付けている。 様式その他の情報は下記から入手可能である。
http://www.ipa.go.jp/security/ciadr/index.html
IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定している。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映していく。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いしたい。
問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
FAX (03)5978−7518
相談電話 (03)5978−7509
e-mail isec-info@ipa.go.jp