コンピュータ不正アクセス被害防止対策集

個人でISPに接続している場合や、企業などのネットワークからインターネットにアクセスする一般ユーザにもメール利用の際やwebアクセスの際の危険性がある。個人環境であっても自分が被害者になるほか、踏み台になり他のユーザやネットワークに被害を及ぼしてしまう(DDoS攻撃加担への対策参照)ケースもあるので注意が必要である。また、システム管理者はユーザ教育の一環として対策の徹底をはかる必要がある。

種々の注意事項

• パスワードに関する注意

  以下のようなパスワードを設定する。
  • 最低6文字、通常8文字以上のものを用いる。
  • 数字のみ、英文字のみではなく、記号や大文字小文字を組み合わせる。
  • ユーザIDと同じものや、名前、電話番号、誕生日などを避ける。
  • 辞書に載っているような単語は避ける。
  • 過去に使ったパスワードと同じものを使わない。
  • パスワードが漏れないように、また、万が一漏れた場合への備えとして以下に留意する。
  • メモしない。メモしなければ覚えられないようなものは不適切である。
  • 他人に教えない。システム管理者であってもパスワードを尋ねることはない。
  • 適宜変更する。(最低3ヶ月に1回)

• メール受け取りの際の注意

  ウイルスや悪戯のプログラムが添付ファイルなどとして送られる可能性がある。
  • 添付ファイルやhtmlメールを自動的に開くような設定にはしない。
  • 添付ファイル等がある場合には送信元に確認する。
  • 添付ファイルを開く際には、ウイルス対策ソフト(ワクチン)でチェックする。

• ブラウザの設定等に関して

  ブラウザの種類・バージョンによって情報漏洩などの危険性のある版がある。ブラウザの提供元の情報を確認し、パッチの導入もしくはバージョンアップなどにより対処する。
  ブラウザがアクティブコンテンツを自動的に受け取り実行するようになっていると悪戯のプログラムなどを送り込まれる可能性がある。
  • ブラウザの設定を「セキュリティレベル＝高」もしくは「ActiveX等の起動＝オフ」にして利用する。
    「ブラウザの設定例」
    必要があり該当ページの安全性が確認された場合のみ個別に設定を変更する。(設定変更後「更新」もしくは「再読み込み」等を実行)(利用後設定を戻すことを忘れないように)
    もしくは、「信頼済みサイト」欄を利用する。(上記設定例参照)
  • ボタンを不用意に押さない。
  • ファイルのダウンロードの際は特にページの安全性に注意し、ウイルス対策ソフトでチェックする。

• ワクチンソフトウェアの利用上の注意

  メールの添付ファイルその他の外部から来たファイルは、ウイルスに感染している可能性があるので、ウイルス対策ソフト(ワクチン)でチェックを行う。ウイルス対策ソフトは、PC購入の際のプレインストールのものでは駆除やパターンファイルのアップデートができない場合があるので、必ず確認の上製品版を利用する。ウイルスのパターンファイルは適宜更新し、最新のものを使うようにする。(少なくとも月に1回以上)

• CATV等での「共有」設定に関して

  CATV等での「常時接続」では、同じ接続業者を利用しているユーザの環境が丸見えの場合があるので、Windowsの「共有」を許可しないようにする。
  
  「Windowsのディスク(ファイル)共有の確認と解除」

• ダイヤルQ2、国際電話への対策

  勝手にモデムを海外の番号に接続されてしまうことの防止策としては、電話会社に依頼して海外へはかからないように設定する、モデムが海外の番号に接続しようとすると警告するソフトウェアを導入するなどの方法がある。
  関連情報：
  • KDD(KDDI)のページ(ダイヤルアップチェッカーのダウンロード)
    http://www.kddi.com/topics/atx/checker.html
  • 警視庁ハイテク犯罪対策室のページ(被害例としての「自動架電」の紹介)
    http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku33.htm
  • ※ダイヤルQ2や国際電話ではないが、特定の(内蔵)モデムに関して、 複数のアプリケーションソフトウェアや複数のデバイスが同時に動作している状況でダイアルアップ接続を行なった場合に、 標準装備のモデムドライバが原因で過った電話番号を発信する現象が発生する場合がある。
    該当商品に対しては修正モジュールが出ている。下記を参照のこと。
    • ダイヤルアップネットワーク接続時の間違い電話について
      http://121ware.com/support/pc/R2/data/KB/001/001570/001570.htm
    • 間違い電話にご注意ください！！
      http://support.biglobe.ne.jp/news/news056.html
    • 下記の状況に留意し、適宜確認する。
      • 電話料金、プロバイダへの接続料、クレジットなどの請求
      • プロバイダへの接続の電話番号その他の設定
      • モデムやルータ等の接続機器の設定
      • パスワードを必ず設定する
      • プロバイダへの接続状況
      • プロバイダによりサービス範囲は異なるが、月次の情報がオンラインやメールなどで確認できる場合がある
        モデムやルータ等の接続ログが確認できる場合は、相手先や接続時間を確認する
      • モデムやルータ等の接続機器のランプ（LED)の点滅状況

• 事後策(もしもQ2につながるようになってしまったら)

  • 支払いについては、NTTやKDDIなど電話会社に相談する。
  • ダイアルアップ接続やルータの情報を確認し、電話番号が改ざんされているものについて、登録削除もしくは修正を行なう。
  • 一旦ダイアルアップ設定を削除したり、元の番号に戻してもコンピュータの再起動の際にまたダイヤルQ2に繋がるようになってしまう場合がある。 その場合には、安全のためにはコンピュータの初期化(ハードディスクのフォーマット)を実施するのが良い。
    初期化の手順については機種などにより異なるので、マニュアルを参照されるか、ハードウェアメーカさんにご相談のこと。

• 個人環境ファイアウォール等を有効活用するには

  常時接続や定額料金による長時間接続においては、攻撃を受ける危険性が増加するため、個人環境においてもファイアウォール等の導入が必須・有効である。しかし、ツールの機能やログの見方がよく分からずに利用しているために、通常の利用範囲で記録されるログ情報や防御された探索の警告に過剰に反応してしまうケースも出ている。
  これらのツールの導入に当たっては、ネットワークの基本的な知識を身につけ、それぞれのツールの役割や機能を理解されたい。
  また、導入後は、定期的にログ(出力メッセージ)を確認することが重要である。
  ログのチェックポイント＝冷静に読み取ろう。
  • 実際に最も有力な手がかりになるのはポート番号と対応のサービスである。
    ポートとポート番号、対応のサービスについての基礎知識を身につけよう。
  • ネットワークに接続していれば探索や攻撃はある程度必ずやってくる。
    ツールを導入すると多くの出力があり驚くかもしれないが、それは、ツールの導入によりネットワーク稼動の状況がわかるようになったものであって、ツールを導入したので探索や攻撃が来るようになったわけではない。
  • 「警告が表示された」＝「侵入されてしまった」というわけではない。
    「アクセスがブロックされた」もしくは「拒否された」旨のメッセージであれば、探索や攻撃に対して防御できたことを示している。
  • 個人環境に対しては「トロイの木馬」プログラム探索のアクセスが来ることがある。
    そのような探索は無差別・網羅的に行われている。 あらかじめ当該プログラムを引き込んで実行(起動)してしまっており、さらに探索に対して反応してしまったという状況が揃っている場合に不都合が生じるが、いずれかが防御できていれば実害は発生しない。
  • 自分のマシンへのアクセスだけではなく自分のマシン「から」のアクセスにも注意しよう。
    プライベート情報漏洩のほか、踏み台となってウイルスのばらまきや他のマシンへの攻撃に加担させられている場合(DDoS攻撃加担への対策参照)もある。

• その他の注意

  モデムを着信可能にしている場合(他からの電話によりPCに接続可能になっている)、他のコンピュータから思わぬアクセスがある場合がある。 モデムの設定により防止する、使用しない場合には完全にPCの電源をはずすといったことで対処する。

一般的イメージとして「不正アクセス」＝侵入であろう。侵入が実際に行われる前には、ツールなどを用いた脆弱性の探索(スキャン、プローブなどと呼ばれる)が行われることが多い。

基本的な対策

• 不必要なポート及びサービスの閉鎖
• 外部からのアクセスに対して不必要に過剰な情報を提供しない
• セキュリティホールの確認と閉鎖
• こまめなログの確認
• ファイアウォール等の導入の際には適切な設定を実施。外部からのアクセスが一般向けに許可されていないかどうか特に確認

実際に届出等のあったケースと個別対策情報

スキャンやプローブについては下記を参照
http://www.jpcert.or.jp/at/199x/98-0004-01.txt

• セキュリティホールが存在していたケース →脆弱性の項参照
• パスワード管理の不備を突かれたケース →パスワードに関する注意の項参照

spamメールの中継に利用されてしまうものである。本来のメール配送の遅延やメールサーバのダウンが発生することもあり、また、送信元であるとの疑いを持たれる危険性もある。 技術的対策に関してはメールサーバソフトウェアにより対応は異なる。

対策情報

基本的には各メールサーバソフトウェアのベンダー提供の情報により対処する。
ファイアウォールなどとの関係で設定に変更が必要な場合があるので注意。
参考ページ(spamメール中継対策)
http://www.ipa.go.jp/security/ciadr/antirelay.html

侵入がありその結果として改ざんが行われたケース、改ざんのためのツールを用いたと思われるケースがあるが、実際の手口は不明の場合も多い。

対策情報

(侵入に対する一般的な注意ととも) セキュリティホールを持つサーバソフトウェアを使用しない。
Webサーバ上の情報は、たとえ直接のリンクが張られていなくても外部から閲覧される可能性があることを鑑み、重要情報を同じサーバに置かない。

参考ページ(Web改ざんの防止を目的として行う価値のある対策)
http://www.ipa.go.jp/security/ciadr/webjack.htm

DoSとは、Denial of Serviceの略で、日本語ではサービス妨害もしくはサービス不能といった呼び方をされている。過負荷をかける等によって本来のサービスが提供できなくなることを狙った攻撃である。

基本的な対策

• セキュリティホールや設定不備によりパケットなどを増大させてしまうことがあるので、そのようなバージョン・設定で使わない。
• 本来のサービスに非常に多くのリクエストが来た場合の想定をしておく。

実際に届出等のあったケースと個別対策情報

• smurf攻撃→脆弱性の項参照
• 特定ポートへの大量アクセス
• 特定のサイト、特定ポートへの大量パケットの送り付けに関しては、ルータなどによりフィルタリングにより対処。ただし完全に封鎖はできない場合影響は残るので、アクセス元への連絡による対処も要検討。

コンピュータやネットワークに過剰な負荷をかけてサービス提供を妨害するタイプのDoS攻撃の攻撃元が複数で、標的となるコンピュータにより大きな負荷をかけるような攻撃がDDoS(Destributed DoS:分散型DoS攻撃)と呼ばれるものである。セキュリティの甘いコンピュータにあらかじめDoS攻撃を行なうツールを仕込んでおき、攻撃に加担させる行為が行なわれている。自分が加害者になってしまうので十分注意が必要である。

基本的な対策

• 攻撃加担ツールを仕込まれる要因となるセキュリティホールを塞ぐ。(＝侵入・改ざんへの基本的対処)
• 攻撃加担ツールが仕込まれていないか確認する。
• 各コンピュータ、ルータなどの設定で、余分なパケットが外部に発信されないようにする。ただし、ごく一般的なアクセスのパケットが利用される場合にはこれだけでは対処できない。

システムにセキュリティホールが存在するかどうかの確認方法

システムのセキュリティ診断の一つに、セキュリティホール(脆弱性)検査がある。フリーの脆弱性スキャンツールもあるので、ぜひ活用したい。

参考情報ページ

いろいろなところに関連情報があるが、パケットの状況などによる手動での攻撃ツールの存在の確認方法を含めた情報は下記にまとまっている。

「The World Wide Web Security FAQ（日本語版）」
http://www.w3.org/Security/Faq/001031wwwsfj.ja.sjis.html

IPアドレスを詐称した偽造パケットの送付や、メールアドレス(ドメイン)を詐称したspamメールの送付である。自サイトへの直接アクセス(攻撃)ではなく、知らないうちに第三者サイトに送付されているもの。
実際に自サイトのマシンが利用されているわけではないため、技術的に送信自体を防止することは困難である。運用管理的な対策として、発生してしまった場合を想定して準備しておくことが重要である。

基本的な対策

• 外部からの苦情などがあった場合の対処手段を決定し周知しておく。
• 外部への連絡(対応)窓口は統一する(当該部署を予め設定)
• 自分のサイトからの不正なアクセスではないことを証明するためにマシンの稼動状況等はログを含め常に把握しておく。
• 状況により詐称された旨の(一般向けの)広報、警察への届出

実際に届出等のあったケースと個別対策情報

• IP spoofing→基本的対策
• メールアドレス(ドメイン)詐称
• 届出・相談のあったケースでは、送信元・受信先ともに存在しないアドレスを用いているspamメールに対してのエラーメールにより詐称が判明しているものが多い。また、第三者中継可能サイトを経由している場合が多い。
状況により、対処療法として、下記が有効である。
• 特定のドメインが宛先になっている場合：その特定のアドレス(ドメイン)からのエラーメールを受け取らないようなフィルタリング
• 特定のアドレスが送信元として利用されている場合：受け取ったエラーメールがさらにエラーを発生させる状況を回避するために、仮のアドレス(ID)を作成
• 中継可能サイトを経由している場合：当該サイトの管理者宛てに連絡し、中継を行わないように依頼

  参考情報(CERT/CCの技術情報)(証拠として)
  Nessus (Tenable Network Security社)
  http://www.cert.org/tech_tips/email_spoofing.html

コンピュータやネットワークに過剰な負荷をかけてサービス提供を妨害するタイプの使用しているOSやソフトウェアに脆弱性が含まれている場合、侵入や改ざん・サーバ障害、情報漏洩などが行われてしまう危険性がある。セキュリティホールに関する情報は種々のサイトで提供されているが、システム管理者は最低限はCERT Advisoriesを定期的に確認すべきである。

CERT Advisoriesの場所

CERT/CCのページに掲載されている。
http://www.cert.org/advisories/

JPCERT/CCのメーリングリスト情報で新規のアドバイザリの発行の際に情報を得ることができる。また、邦訳(一部)はJPCERT/CC等のページで公開されている。

• メーリングリスト案内
  http://www.jpcert.or.jp/announce.html
• JPCERT/CCのCERT Advisory (日本語訳)
  http://www.jpcert.or.jp/tr/cert_advisories/

その他に見ておくべき脆弱性及び関連情報

• 「CERT/CC インシデント(事件)ノート」
  http://www.cert.org/incident_notes/
• 「CERT/CC 脆弱性ノート」
  http://www.kb.cert.org/vuls/
• 「SANS 狙われやすい脅威トップ10」
  http://www.sans.org/top20/top10.php

実際に届出等のあったケースと個別対策情報

• Smurf攻撃

  偽のICMP応答要求パケットを使用するものである。Smurf攻撃に対しては、以下で対処
  OSでIPブロードキャストアドレス宛てのICMPパケットに応答しないよう設定
  ルータ等で不要なIP-directedブロードキャストの停止
  詳細に関しては、以下を参照。
  http://www.cert.org/advisories/CA-1998-01.html

• IMAPのセキュリティホールを利用した攻撃

  パッチもしくはバージョンアップにて対処
  詳細は以下を参照
  http://www.jpcert.or.jp/at/199x/97-0004-02.txt

• webサーバ(CGI)のセキュリティホール

  サーバで利用するCGIに特定のコードが含まれているとセキュリティホールとなる。サーバソフトウェアの中には、標準のインストールの際に該当のサンプルプログラムをインストールするものがある。
  不要なCGIプログラムの削除
  CGIプログラム作成の際に当該コードを含まないように注意
  脆弱性を指摘されているCGIプログラムを利用しないように注意

  参考ページ

  • (特定の脆弱性が指摘されているCGIプログラム)
    http://www.ipa.go.jp/security/ciadr/cgivuln.htm
  • JPCERT/CC CA-96.11.interpreters_in_cgi_bin_dir日本語訳
    http://www.jpcert.or.jp/tr/cert_advisories/CA-96.11.txt
  • JPCERT/CC CA-96.06.cgi_example_code日本語訳
    http://www.jpcert.or.jp/tr/cert_advisories/CA-96.06.txt

• BINDのセキュリティホールを利用した攻撃

  バージョンアップにて対処
  詳細は以下を参照
  CERT(R) Advisory CA-2001-02 Multiple Vulnerabilities in BIND
  http://www.cert.org/advisories/CA-2001-02.html

• rpc.statdのセキュリティホールを利用した攻撃

  バージョンアップ等にて対処
  詳細は以下を参照
  CERT(R) Advisory CA-2000-17 Input Validation Problem in rpc.statd
  http://www.cert.org/advisories/CA-2000-17.html

  関連情報として下記も参照
  CERT(R) Incident Note IN-2000-10
  http://www.cert.org/incident_notes/IN-2000-10.html

• IISのセキュリティホールを利用した攻撃

  セキュリティパッチの適用及び設定にて対処
  詳細は以下を参照

  • 緊急警告「Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを」
    http://www.ipa.go.jp/security/ciadr/webjack_a.html
  • (MICROSOFT社)Web コンテンツの改ざんに対する防御策についての説明
    http://www.microsoft.com/japan/technet/treeview/default.asp?
    url=/japan/technet/security/virus/iissec.asp