コンピュータ不正アクセスの届出状況について
W32/SQLSlammerワーム出現!!
2003年 2月6日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
情報処理振興事業協会セキュリティセンター(IPA/ISEC)は、2003年1月のコンピュータ不正アクセスの届出状況をまとめた。
1.W32/SQLSlammerワーム出現!!
1月25日(土)世界中にネット障害を引き起こしたW32/SQLSlammerが出現した。このワームは、Microsoft SQL Server 2000のセキュリティホールを利用して感染し、大量のデータを送信するため、ネットワークの帯域が占有され、ホームページの閲覧やメールの受信が遅くなるなどの影響が発生した。
このワームは瞬時に全世界に広がり(下表参照)、下表参照)、日本国内においても、25日(土)14:30以降、急激にアクセスが増え(下図参照)、一部でネットワークの遅延が確認された。被害の拡大が懸念されたが、IPAでは26日(日)に緊急対策情報を掲載し、また、各ベンダーからも情報提供がなされたため、国内では、管理者により適切な対策が取られ、休日明け以降も大規模なサービス停止に至る被害は発生しなかった。
なお、韓国では数時間に渡りインターネットが使用できない被害が発生した。
図:IPA/ISECにおける観測データ(参考データ)
注:試験的に運用しているインターネット公開サーバ(IPアドレス範囲16)へのアクセス数であり、検出数及び国別の割合は必ずしも実情を表しているとはいえません。
| 国/地域別検出数(発信元) | |
|---|---|
| アメリカ | 1,677(43.7%) |
| 中国 | 445(11.6%) |
| 韓国 | 281(7.3%) |
| ドイツ | 175(4.5%) |
| イギリス | 118(3.1%) |
| カナダ | 87(2.3%) |
| 日本 | 73(1.9%) |
| 台湾 | 58(1.5%) |
| オーストラリア | 53(1.4%) |
| チェコ | 53(1.4%) |
| イタリア | 52(1.4%) |
| 香港 | 50(1.3%) |
| その他 | 711(18.5%) |
| 合計 | 3,833 |
2. コンピュータ不正アクセス届出状況
1月の届出件数は30件(2002年12月:22件)であった。
既知の脆弱性を突かれて被害が!!
1月の届出のうち、実害があった届出は侵入被害が7件、ワーム感染(W32/SQLSlammer)が1件、メール不正中継が1件、アドレス詐称が2件、その他(不正自動架電)1件であった。
侵入被害7件の内件がWebサーバへの侵入であった。その原因としては、RAQ4*1やApache*2、OpenSSL*3などの既知の脆弱性を突かれたと思われる被害や設定不備によるものであった。
- *1)RAQ4:サン・マイクロシステムズ社のインターネットサーバー
- *2)Apache:無償で公開されているフリーのWebサーバソフトウェア
- *3)OpenSSL:インターネット上で暗号化したやりとりを行う無償のライブラリ
様々なアプリケーションソフトウェアで脆弱性が発見されており、実際の被害原因も多岐にわたる。今回のW32/SQLSlammerの事例のように、自らのコンピュータが被害に遭うだけでなく、踏み台とされ、他のコンピュータへの攻撃に加担することにもなりうることを再認識して頂き、セキュリティ対策を行って頂きたい。
まずは己を知ること
不正アクセス被害に遭わないためには、最新のセキュリティ情報を収集し修正プログラムを適用するなどの適切な対策を行う必要がある。その為には、セキュリティ対策の基本として、自身が管理しているコンピュータについてしっかりと把握することが必要である。
- OSやアプリケーションの種類及びバージョンを把握する
- 不要なサービスは停止する
デフォルト設定では不必要なサービスが稼動している可能性がある - 脆弱性を確認する
パッチ管理ツールや脆弱性監査ツールを利用するのもよい
パッチ管理ツール
MicrosoftBaselineSecurityAnalyzer(HfNetChk)
http://www.microsoft.com/japan/technet/security/tools/tools/mbsahome.asp
MicrosoftSoftwareUpdateServices
http://www.microsoft.com/japan/windows2000/windowsupdate/sus/default.asp
脆弱性監査ツール
SARA(SecurityAuditor'sResearchAssistant)
http://www-arc.com/sara/
Nessus
http://www.nessus.org/
セキュリティ情報源
- IPA/ISEC http://www.ipa.go.jp/security/
- JPCERT/CC http://www.jpcert.or.jp/
- CERT/CC http://www.cert.org/
- SANS Institute http://www.sans.org/
- SecurityFocus http://online.securityfocus.com/
製品提供元のサポートサービス
Web、定期的なメールを利用した公開情報脆弱性・攻撃に係わる情報源
セキュリティ対策関連のメールサービス 3.今月の呼びかけ:「ファイアウォールを導入しよう!!」
−常時接続環境の必需品!−
常時接続環境の急速な普及に伴い、不正アクセスの届出も増加している。ワクチンソフトによる対策だけでは、今回のW32/SQLSlammerや不正アクセスによる攻撃を防ぐことができない。
そこで、ファイアウォール(防火壁)を導入し、守りを強固なものにしよう。最近は、ワクチンソフトとパーソナルファイアウォールの両方の機能を持ったソフト(一万円程度)も提供されているので、常時接続環境であれば、ぜひ導入して、対策をとることを推奨する。なお、ワクチンソフト同様、検出データファイルのバージョンアップ等が必要である。
パーソナルファイアウォールの導入による効果は
- 不必要な外部からのアクセスを遮断できる
- 不必要な情報発信を阻止できる
- 不正アクセスなどの履歴情報(ログ)を保持できる
などがあげられる
4.不正アクセス届出の詳細
1) 届出種別の内訳は次のとおりである。
| 2月 | 3月 | 4月 | 5月 | 6月 | 7月 | |
|---|---|---|---|---|---|---|
| 侵入 | 4 | 4 | 6 | 3 | 12 | 8 |
| アクセス形跡 (未遂) |
22 | 16 | 24 | 23 | 23 | 17 |
| ワーム感染 | 0 | 0 | 0 | 0 | 0 | 0 |
| ワーム形跡 | 3 | 5 | 2 | 3 | 2 | 0 |
| アドレス詐称 | 1 | 0 | 1 | 0 | 3 | 4 |
| SPAM | 0 | 2 | 1 | 0 | 0 | 0 |
| メール不正中継 | 1 | 0 | 1 | 1 | 0 | 1 |
| DoS | 1 | 0 | 0 | 2 | 1 | 2 |
| その他 | 4 | 2 | 1 | 2 | 2 | 1 |
| 合計(件) | 36 | 29 | 36 | 34 | 43 | 33 |
2)届出の届出者別件数は次のとおりである。一番多い届出は、個人ユーザからのもので、約63%を占めている。
| 届出者 | 届出件数 | |||||
|---|---|---|---|---|---|---|
| 2003/1 | 2002年 合計 | 2001年 合計 | ||||
| 一般法人ユーザ | 5 | 16.7% | 5 | 16.7% | 151 | 24.4% |
| 教育・研究機関 | 6 | 20.0% | 6 | 20.0% | 54 | 8.7% |
| 個人ユーザ | 19 | 63.3% | 19 | 63.3% | 414 | 66.9% |
3)届出の被害原因別件数は次のとおりである。不明を除くと古いバージョン・パッチ未導入が最も多く、約33%を占めている。
| 原因 | 届出件数 | |||||
|---|---|---|---|---|---|---|
| 2002/12 | 2002年 合計 | 2001年 合計 | ||||
| ID、パスワード 管理不備 |
0 | 0.0% | 3 | 1.3% | 5 | 1.3% |
| 古いバージョン・ パッチ未導入 |
2 | 66.7% | 50 | 22.2% | 252 | 66.1% |
| 設定不備 | 0 | 0.0% | 33 | 14.7% | 43 | 11.3% |
| 不明 | 1 | 33.3% | 70 | 31.1% | 37 | 9.7% |
| 原因なし | 0 | 0.0% | 69 | 30.7% | 44 | 11.6% |
5.1月に掲載した脆弱性情報
1月にIPAにて掲載した脆弱性に関連する他組織からのお知らせ。
マイクロソフト セキュリティ情報
- Locator Serviceの未チェックのバッファにより、コードが実行される (MS03-001)
- Microsoft Content Management Server用の累積的な修正プログラム (MS03-002)
- Outlook 2002がVersion 1のExchange Server Security証明書を処理する方法に存在する問題により、情報が漏えいする(MS03-003)
CERT/CC Advisories
- ISC DHCPDにバッファオーバーフローの脆弱性 (CA-2003-01)
- CVSサーバにリモートから攻略可能な脆弱性(CA-2003-02)
- 「MS-SQLワーム」に関する情報(CA-2003-04)
詳細は以下を参照。
「脆弱性関連情報2002年1月分」
http://www.ipa.go.jp/security/news/news0301.html
コンピュータ不正アクセス被害の届出制度について
コンピュータ不正アクセス被害の届出制度は、経済産業省のコンピュータ不正アクセス対策基準に基づき、’96年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータ不正アクセス対策を検討している。また受理した届出は、届出者のプライバシーを侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。
コンピュータ不正アクセス対策基準
- 通商産業省告示第362号 平成 8年 8月 8日制定
- 通商産業省告示第534号 平成 9年 9月24日改訂
- 通商産業省告示第950号 平成12年12月28日改訂
問い合わせ先:
IPAセキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
| TEL: | 03-5978-7508 |
| FAX: | 03-5978-7518 |
| E-mail: |  |
| 相談電話: | 03-5978-7509 |
| URL: | http://www.ipa.go.jp/security/ |
更新履歴
| 2003年 2月 6日 | 掲載。 |
|---|