最終更新日：2002年 4月 24日

更新履歴

 2002年 4月 24日
情報処理振興事業協会 
セキュリティセンター(IPA/ISEC) 

2002年第1四半期[1月〜3月] 不正アクセス届出･被害事例と対策情報【別紙】

 (1) 個人(家庭)ユーザの被害

届出のあった被害内容

●電話会社より身に覚えのない国際電話使用料(7万円)の請求書が届き、パソコンの接続先設定を確認したところ国際電話経由の設定に書き換えられていた。 

●サイトを閲覧中に強制的にファイルがダウンロードされ、ダイヤルQ2に接続する様にプログラムが 　埋め込まれていた。 

●システムファイルの削除、ハードディスクをフォーマットされパソコンに保存していた大事なデータ 　（メールの履歴やデジタルカメラで撮った写真など）を削除されてしまった。

●インターネットへのアクセスが遅くなったので、パーソナルファイアウォールをインストールして 　みたら外部からの不正なアクセスを受けていた事が判明した。

対策情報
個人ユーザの被害は、その原因も様々であり、また利用形態も異なる事から、｢これを行えば大丈夫｣と いった万能な対策は存在しない。よって多角的にセキュリティ対策を行う必要がある。 

●個人ユーザのWebサーフィン、メール利用などに係わる脅威（危険性）に対する対策 
    http://www.ipa.go.jp/security/ciadr/cm01.html#user 

●常時接続の危険性について 
    http://www.ipa.go.jp/security/crack_report/20020307/0202.html 

●パソコンが乗っ取られる!?
   http://www.ipa.go.jp/security/crack_report/20020220/0201.html 

(2) SSHv1の脆弱性を狙われた被害

実被害のあった届出75件のうち 7件が、SSHv1(セキュアシェルプロトコル バージョン1)※1のプロトコ ル実装の脆弱性が原因で侵入を受けた被害であった。この脆弱性を悪用した場合、侵入者はSSHデーモン の権限(典型的にはroot権限)で任意のコードを実行出来るため被害内容も深刻なものが多い。 

※1:セキュアシェルSSH (Secure Shell)： セキュアシェルを利用した通信は、ネットワークを介したコンピュータへのログインやコマンド実行、送受信データが暗号化され る。これにより通信経路上での盗聴を防止することが可能となる。 

届出のあった被害内容 

●パッチを適用していなかったためサーバーに侵入された。更に、ネットワーク解析用ソフトも不正に　 　インストールされ、重要な情報（取引先情報やパスワード情報など）が盗まれた。 

●侵入後に他のサイトに対する攻撃の踏み台として利用され、複数のサイトからのクレームを受け、 　はじめて侵入されていたことに気づいた。 

●管理者権限を乗っ取られた上に、パスワードも書換られ制御不能の状態に陥った。 

●Webページ（トップページ）を書き換えられ、信用が失墜した。 

対策情報 

●解決策：パッチの適用又はソフトウェアを更新 　ベンダーより提供されているパッチの適用やソフトウェアの更新、又はSSHv2への移行を行う。但し 　SSHv2に移行した場合でも、SSHv1互換機能の無効化や接続するクライアントのバージョンを合わせ 　るなどの注意が必要である。詳細については、利用しているSSHサーバソフトのベンダー情報を確認 　されたい。 

●緊急回避策：アクセス制限 　パッチの適用が困難もしくは不可能な場合は、サーバー又は経路上のルータでSSHのサービス　 　(Port22/TCP)をアクセス制限(パケットフィルタリング)することにより問題を一時的に回避すること 　が可能である。但し、この場合はSSHの実運用も制限されるので恒久的な対策には適さない。 

関連情報 

●JPCERT/CC  http://www.jpcert.or.jp/wr/2001/wr012401.txt
                       http://www.jpcert.or.jp/wr/2001/wr012601.txt 

●CERT/CC      http://www.cert.org/incident_notes/IN-2001-12.html 

●CIAC            http://www.ciac.org/ciac/bulletins/m-017.shtml 

(3) メールの不正中継による被害

実被害のあった届出75件中、6件がメールの不正中継の被害であった。被害の多くは、UBE ^※２(俗に言う スパムメール)の中継用として悪用され、クレームのメールによりシステム管理者が、はじめて気づくケー スも珍しくない。

※2:UBE：Unsolicited Bulk Emailの略 宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメール（いわゆる「迷惑メール」）。スパムメールはその俗称である。 

届出のあった被害内容 

●スパムメールの中継用として悪用され大量の受信拒否メールやエラーのリターンメールが返送され 　サービス低下及び停止に陥った。 

●テスト用として公開していたWebサーバーがメールの不正中継用として悪用された。 

対策情報 

メールサーバーはメールの送信や中継、転送をするためにインターネットからのアクセスを受け入れな ければならず、そのため攻撃の対象になる可能性が高い。多くのメールの不正中継被害は、メール中継 の制限設定の不備(外部サイトから受信したメールをさらに他の外部サイトへ中継してしまうような設 定)を狙われたものである。特にメールサーバーの構築時や設定時には、第三者に不正中継されないよ うに設定内容を入念にチェックし、必要に応じて設定を見直すことが望まれる。 

●JPCERT/CC技術メモ　-電子メール配送プログラムの不正利用 (予期しない中継) -
 　　http://www.jpcert.or.jp/ed/2001/ed010001.txt 

●IPA/ISEC UBE（迷惑メール）中継対策
 　　http://www.ipa.go.jp/security/ciadr/antirelay.html 

2．脆弱性に関する情報 

最近報告された脆弱性情報の中で、広範囲に影響を及ぼす可能性がある脆弱性を紹介する。

 (1) Internet Explorer 用の累積的な修正プログラム(MS02-015) 

以前に公開された「2002年2月11日 Internet Explorer 用の累積的な修正プログラム(MS02-005)」で修正された問 題に加えて、 以下の2つの新しい問題に対処する修正プログラムである。個人(家庭)ユーザ及び企業や組織内のク ライアント環境においてもパッチの適用が望まれる。
a) Internet Explorer のゾーン判定を回避して、不正なゾーンでスクリプトを実行可能な問題 
b) 悪意のあるユーザが指定したプログラムを自動的に実行可能な問題

関連情報 

●Microsoft http://www.microsoft.com/japan/technet/security/bulletin/MS02-015.asp 

(2) Microsoft Internet Information Server (IIS) の複数の脆弱性について(MS02-018) 

Microsoft 社より Microsoft Internet Information Server (IIS) について、複数の脆弱性が報告されている。この中には、Code Red の時に利用されたものと類似する脆弱性も含まれている。現在のところ、これら の脆弱性を攻略した攻撃やワームの存在は確認されていないが、すぐに悪用され得る脆弱性も含まれている ため、インターネットサーバーのシステム管理者においては、早急に本件の内容を確認し、必要に応じてマ イクロソフト社より提供されているパッチの適用が望まれる。 

関連情報 

●Microsoft http://www.microsoft.com/japan/technet/security/bulletin/MS02-018.asp 

●IPA/ISEC http://www.ipa.go.jp/security/ciadr/20020412iis.html 

(3) 広範囲に該当するSNMPの脆弱性について

SNMP（Simple Network Management Protocol）v1 の実装の多くに、複数の脆弱性が報告されている。これらの脆 弱性を 攻略する攻撃を受けた場合、権限を越えた不正なアクセスやサービス妨害攻撃(DoS攻撃)を許したり、シス テム動作が不安定になるなどの影響を受ける可能性がある。 SNMP は、オペレーティングシステムをはじめ、ルータなどのネットワーク機器を含む多くの実装があるため、システ ム管理者／ネットワーク管理者はベンダーからの情報に注意し、早急に対策（パッチの適用やソフトウェアの更新な ど）を講ずる必要がある。

関連情報 

●JPCERT/CC http://www.jpcert.or.jp/at/2002/at020001.txt 

●IPA/ISEC     http://www.ipa.go.jp/security/ciadr/20020213snmp.html 

●CERT/CC    http://www.cert.org/advisories/CA-2002-03.html 

なお、日々発見・報告される脆弱性情報については、IPA/ISECの情報を確認されたい。

 http://www.ipa.go.jp/security/news/news.html 

3. 対策実践情報

エンドユーザ・ホームユーザ向け 

●個人ユーザのWebサーフィン、メール利用などに係わる脅威（危険性）に対する対策
        http://www.ipa.go.jp/security/ciadr/cm01.html#user 

●Internet Explorer(ブラウザ)のバージョンアップ方法

Windows Updateにアクセスして最新のバージョンにする。

又はホームユーザ向けセキュリティ対策早分かりガイド よりダウンロー ドする｡ 

●Microsoft社製品セキュリティ対策情報「ホームユーザ向けセキュリティ対策早分かりガイド」
        http://www.asia.microsoft.com/japan/enable/products/security/ 

システム管理者向け 

●リモートアクセス環境におけるセキュリティ
        http://www.ipa.go.jp/security/awareness/administrator/remote/   

●セキュアなWebサーバーの構築と運用
        http://www.ipa.go.jp/security/awareness/administrator/secure-web/   

●セキュリティ対策セルフチェックシート
        http://www.ipa.go.jp/security/ciadr/checksheet.html 

●コンピュータ不正アクセス被害防止対策集
        http://www.ipa.go.jp/security/ciadr/cm01.html 

●セキュリティ脆弱性情報
        http://www.ipa.go.jp/security/news/news.html

ベンダー向け 

●セキュア・プログラミング講座
        http://www.ipa.go.jp/security/awareness/vendor/programming/

 ウイルス対策を含むセキュリティ関係の情報・対策などについては、下記ページを参照のこと。 

IPAセキュリティセンタートップページ
        http://www.ipa.go.jp/security/