2000年2月の被害届出一覧
2001年3月9日
情報処理振興事業協会
項目
届 出 概 要
被 害 内 容
対策・注意点など
「対策集」(届出・相談の対策を中心にまとめたもの)
( http://www.ipa.go.jp/security/ciadr/cm01.html )
侵入&Webページ改ざん
  • Webの閲覧により発見
  • セキュリティホールを利用して侵入(root権限取得)
  • CGIプログラムをインストール
  • さらにCGIを利用してWeb改ざんを実施
    		•
  • 侵入
  • プログラムインストール
  • Web改ざん
    		•
  • ポートのスキャンに関しては、以下を参照

    •   http://www.jpcert.or.jp/at/199x/98-0004-01.txt
  • ポートへのアクセスと侵入に対しては、
    • 不必要なポート及びサービスの閉鎖
    • セキュリティホールの確認と閉鎖
    • こまめなログの確認
    • ファイアウォール等の導入の際には適切な設定を実施。外部からのアクセスが一般向けに許可されていないかどうか特に確認
     等により対処する


    一般的な対策情報
    「侵入に係わる攻撃への一般的な対策」
      http://www.ipa.go.jp/security/ciadr/cm01.html#intrusion
    種々の脆弱性(セキュリティホール)、インシデントの情報
     CERT/CC(コンピュータ緊急対応センター)ページ
     「CERT Advisories」
       http://www.cert.org/advisories/
     「インシデント(事件)ノート」
       http://www.cert.org/incident_notes/
     「脆弱性ノート」
       http://www.kb.cert.org/vuls/
     SANSページ
     「狙われやすい脅威トップ10」
       http://www.sans.org/topten.htm

    侵入&Webページ改ざん
  • セキュリティホールを利用して侵入した模様
  • プログラムをインストール
  • 再度侵入してWeb改ざん
    		•
  • 侵入
  • プログラムインストール
  • Web改ざん
    		•
    侵入&システム破壊
  • サーバダウンにより調査して判明
  • プログラムをインストールされていた模様
  • フォーマットが(半端に)かかっていて障害発生
  • 最初の侵入の状況が不明だがftpからの模様
    		•
  • サーバダウン
  • 侵入
  • プログラムインストール
  • システム破壊
    		•
    侵入&システム破壊
  • bindのセキュリティホールから侵入した模様
  • システムの設定を変更して裏口を作成、再度侵入し、破壊プログラムを引き込みインストール・実行した
    		•
  • 侵入
  • システム改ざん(設定変更)
  • プログラムインストール
  • システム破壊
    		•
    侵入&ユーザ追加、プログラムインストール等
  • メール接続にエラーが発生し、調査して発見
  • 侵入によりIDを追加し、再度そのIDでアクセス
  • 最初の侵入の手口は不明
  • チャットプログラムをインストールされ、チャット(中継)に利用された
    		•
  • 侵入
  • システム改ざん
  • ユーザ追加
  • プログラムインストール
  • チャット(中継)に使われた
    		•
    侵入&システム改ざん等
  • FTPアカウント奪取の後、CGIスクリプトをインストールして実行し、root権限を奪取した模様
  • Webを改ざんされた
    		•
  • 侵入
  • Web改ざん
  • システム改ざん
  • プログラムインストール
    		•
    侵入&システム改ざん
  • メールPOPが行なえず調査して判明
  • ログに全てのアカウントで接続を試みた形跡
  • サーバの再構築、全パスワード変更、不要アカウントの削除にて対処
    		•
  • 侵入
  • システムファイルの改ざん
    		•
    侵入&システム改ざん
  • 回線混雑のため攻撃を警戒・監視していて発見
  • AnonymousアカウントによるFTPアクセス
  • 初期化してシステムを再構築、最新パッチを適用
    		•
  • 侵入
  • 改ざん
    		•
    アクセス形跡
  • パーソナルファイアウォールのログ(警告)
  • SubSeven Trojan形跡
    		•
  • 実害はない
    		•
    アクセス形跡
  • パーソナルファイアウォールのログ(警告)
  • 137番アクセス、netbus、trojan 'A'tack形跡
    		•
  • 実害はない
    		•
    メール中継
  • 発信先はランダムに作成されたアドレス
  • 緊急対処として特定サイトからのアクセスを拒否して対応
  • 別途中継設定変更予定
    		•
  • メール中継に利用された
  • 件数は時間単位で約500〜1000程度
    		•
  • spamメール中継に関してはメールサーバソフトウェアにより対応は異なる。下記を参照

    •   http://www.ipa.go.jp/security/ciadr/antirelay.html
    メールアドレスの詐称のspamメールの中継に利用されたと思われるケースが増えている
    ※今回のサーバはいずれもMS exchange server
  • 配信エラーが大量に届き調査して判明
  • 送り元は詐称されたもの
  • 設定変更にて対処したが、システムのバージョンアップで、機能を強化する予定
    		•
  • メール中継に利用された
    		•
    アドレス詐称
  • メールサーバがダウンしたため調査して発見
  • プロバイダの意向により、サーバの安全性が確認できるまで、とのことで、メールサーバのサービスが停止されている
  • プロバイダからの要請で警察に連絡・相談
    		•
  • 共通:メールアドレス詐称・大量のエラーメール
  • 大量のエラーメール/li>
  • メールサーバダウン
    		•
  • 送付自体を防ぐのは困難

    • ※送付していない旨の証拠を確保しておく
    ※苦情などへの対処を予め検討しておく
    ※窓口を一本化し、組織全体での統一的対処が肝要
    「IPアドレス、メールアドレス等の詐称への対策」
      http://www.ipa.go.jp/security/ciadr/cm01.html#spoofing
  • メールサーバがダウンしたため調査して発見
    		•
  • メールサーバダウン
    		•
  • エラーメールの調査で判明
    		•
  • マシン障害はなし
    		•
  • エラーメールの調査で判明
    		•
  • マシン障害はなし
    		•
  • エラーメールの調査で判明
    		•
  • マシン障害はなし
    		•
  • レスポンス低下のため調査して判明
    		•
  • サービス低下
    		•
  • 高負荷の調査で判明
    		•
  • 障害までは至っていない
    		•
    spamメール
  • マシンの処理に負荷がかかっているため調査して判明
  • エラーメールも混じっている
    		•
  • 非常に大量のメール
  • マシン処理に負荷)
  • 同一犯かどうか不明
  • 詐称の可能性もある
    		•
  • 書き込み制限などの予防策が有効

    •  対策情報は下記
      http://www.ipa.go.jp/security/ciadr/faq01.html#Q4-3
  • 侵入行為に対しては通常の侵入対策を講じる
    		•
    DoS(smurf)
  • ファイアウォールのログで発見
  • Smurf Amplification Attackであった
    		•
  • 実害はなし
    		•
  • smurfについては下記

    •   http://www.cert.org/advisories/CA-98.01.smurf.html

    問い合わせ先:
     IPA(情報処理振興事業協会)セキュリティセンター不正アクセス対策室
     電話:03-5978-7508 ファクシミリ:03-5978-7518  e-mail: isec-info@ipa.go.jp