平成9年9月26日
情報処理振興事業協会

コンピュータ不正アクセス被害の届出状況について

 IPA(情報処理振興事業協会、石井賢吾理事長)は、コンピュータ不正アクセス被害の届出状況をまとめた。 コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準 (平成8年8月8日付通商産業省告示第362号)に基づき、平成8年8月にスタートした制度であり、 同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報を IPAに届出ることとされている。

●届出の概要

平成9年8月のコンピュータ不正アクセス被害の届け出が3件あった(別紙参照)。
このうち過去の事例とタイプの異なる2件について概要を報告する。

(1) ある公共施設ネットワークは、パソコン通信を利用し、 一般ユーザや全国の登録ユーザに対して公共施設情報を提供している。 このネットワークを運用・管理している公共施設で、5月28日から29日にかけてと 6月11日の2回にわたり不正アクセスがあった。

(2) 8月17日午後、個人でホームページを開設している者が自分で開設しているホームページにアクセスしたところ、掲示板に大量の無意味なメッセージが書き込まれているのを発見した。
 開設者が調査したところ、メッセージは当該ホームページへ直接書き込まれたものでなく 他のコンピュータから書き込まれたものだった。 このコンピュータでは掲示板に誰でもどの様なデータでも自由に書き込める様になっていた為、 多量のhtml文を書き込まれた。
 この結果、これら大量の不正メッセージにより他のメッセージが消失してしまった。
図2参照)

●注意事項

(1)公共施設では被害後以下の対策を施した。

 パソコン通信の管理者は、ユーザIDにパスワードが設定されているかどうか、不適切なパスワードでないかどうか確認することが重要である。 また、管理者側でセキュリティ機能を設定したと思っていても実際は考えたとおり設定されていないこともあるので、 公開する前に内部で十分な検査を行うことが必要である。
 管理用のユーザIDに全ての機能や権限を与えてしまうと、仮にこのユーザIDのパスワードが盗まれた場合システムは重大な危機に陥る。複数の管理者用のユーザIDに機能や権限を分散させることが重要である。

(2)被害を受けたホームページ開設者は掲示板のCGIを変更して他のコンピュータからの書込みができない様にした。
 掲示板を利用しての他のコンピュータの掲示板への不正な書込みが発生している。 ホームページで掲示板を開設する場合は以下の点に注意していただきたい。

(注1)ホームページへ入力されたデータを受け取り処理したり、処理したデータをホームページに表示するプログラム。

 IPAでは皆様方から届け出された不正アクセス被害について原因、分析を行い、 当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定していきます。 策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映して行きます。 これからもコンピュータ不正アクセス被害の届け出にご協力をお願いします。

問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
e-mail  isec-info@ipa.go.jp