| 
| 
|
平成17年2月25日
国家公安委員会
総務大臣
経済産業大臣
|
不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
|
1
| 趣旨
平成11年8月に成立した「不正アクセス行為の禁止等に関する法律」(平成11年法律第128号。以下「不正アクセス禁止法」という。) 、第7条第1項の規定に基づき、国家公安委員会、総務大臣及び経済産業大臣は、不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を公表する。
|
参考:不正アクセス禁止法(抜粋)
第7条 国家公安委員会、総務大臣及び経済産業大臣は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に資するため、毎年少なくとも一回、不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を公表するものとする。
2 前項に定めるもののほか、国は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならない。
|
|
2
| 公表内容
○
| 不正アクセス行為の発生状況
平成16年1月1日から平成16年12月31日までの不正アクセス行為の発生状況を公表する。
| ○
| アクセス制御機能に関する技術の研究開発の状況
警察庁、総務省又は経済産業省のいずれかに係るアクセス制御機能の研究開発の状況、募集・調査した民間企業等におけるアクセス制御機能の研究開発の状況をそれぞれ公表する。
|
|
第1
| 平成16年中の不正アクセス禁止法違反事件の検挙状況等について
平成16年中に全国の都道府県警察から警察庁に報告のあった不正アクセス行為を対象とした。
なお、本文中平成12年の数字は、不正アクセス禁止法の施行日である平成12年2月13 日から平成12年12月31日までの間のものである。
1
| 不正アクセス行為の認知状況
(1)
| 認知件数(注1)(注2)
平成16年中の不正アクセス行為の認知件数は356件で、前年と比べ、144件増加した。
なお、平成13年中の不正アクセス行為の多発は、ホームページ書き換えプログラム(コンピュータ・ワーム)によるものである。
| 平成12年
| 平成13年
| 平成14年
| 平成15年
| 平成16年
| 認知件数
| 106
| 1,253
| 329
| 212
| 356
| 海外からのアクセス
| 25
| 448
| 13
| 35
| 37
| 国内からのアクセス
| 73
| 258
| 286
| 158
| 303
| アクセス元不明
| 8
| 547
| 30
| 19
| 16
|
|
|
(2)
| 被害に係る特定電子計算機のアクセス管理者(注3)
被害に係る特定電子計算機のアクセス管理者を見ると、一般企業が202件と最も多く、次いでプロバイダの126件となっている。
被害に係る特定電子計算機の
アクセス管理者
| 平成12年
| 平成13年
| 平成14年
| 平成15年
| 平成16年
| プロバイダ
| 59
| 182
| 243
| 98
| 126
| 一般企業
| 25
| 429
| 62
| 76
| 202
| 大学、研究機関等
| 8
| 101
| 3
| 16
| 6
| その他
| 14
| 139
| 21
| 22
| 22
| うち行政機関
| -
| -
| 12
| 3
| 12
| 不明
| 0
| 402
| 0
| 0
| 0
| 計
| 106
| 1,253
| 329
| 212
| 356
|
|
※
| 「プロバイダ」とは、インターネットに接続する機能を提供する電気通信事業者をいう。
「大学、研究機関等」には、高等学校等の学校機関及びその附置機関を含む。
「その他」の「うち行政機関」には、独立行政法人、特殊法人、地方公共団体及びこれらの附属機関を含む。
なお、平成12年及び13年は「その他」の内訳の集計をしていない。
|
|
(3)
| 認知の端緒
認知の端緒としては、利用権者(注4)からの届出が172件と最も多く、次いで警察職員によるサイバーパトロールや被疑者の取調べ等の警察活動が146件、被害に係る特定電子計算機のアクセス管理者からの届出が29件、発見者からの通報が7 件の順となっている。
認知の端緒
| 平成12年
| 平成13年
| 平成14年
| 平成15年
| 平成16年
| アクセス管理者からの届出
| 30
| 168
| 47
| 12
| 29
| 利用権者からの届出
| 23
| 118
| 92
| 78
| 172
| 警察活動
| 35
| 930
| 185
| 100
| 146
| 発見者からの通報
| 7
| 21
| 0
| 19
| 7
| その他
| 11
| 16
| 5
| 3
| 2
| 計
| 106
| 1,253
| 329
| 212
| 356
|
|
|
(4)
| 不正アクセス行為後の行為
不正アクセス行為後の行為としては、オンラインゲームの不正操作(他人のアイテムの不正取得等)が129件で最も多く、次いでインターネット・オークションに関する不正操作(他人になりすましての出品・入札等)が103件であり、他にホームページの改ざんが40件、電子メールの盗み見等の情報の不正入手が33件、不正ファイルの蔵置(不正ツールやフィッシング(注5) 用ホームページデータの蔵置等 )が11件、利用権者のパスワード変更が10件、データの消去等が9件、インターネット・バンキングの不正送金が7件等であった(重複計上あり) 。
|
|
2
| 不正アクセス禁止法違反事件の検挙状況
不正アクセス禁止法違反の検挙事件数(注6)は65事件(142件)、検挙人員は88人で、前年と比べ検挙事件数は7事件増加(3件減少)し、検挙人員は12人増加した。すべての検挙が不正アクセス行為によるものであり、不正アクセス助長行為の検挙は無かった。
不正アクセス行為の態様については、識別符号窃用型(注7)が62事件(131件) であり、セキュリティ・ホール攻撃型(注8)が4事件(11件)であった。(うち1 事件は、識別符号窃用型とセキュリティ・ホール攻撃型の両方の行為が行われた)。
なお、検挙人員88人中62人が成人であり、26人が少年であった。
| 平成12年
| 平成13年
| 平成14年
| 平成15年
| 平成16年
| 不正アクセス行為
| 検挙事件数
| 30
| 35
| 51
| 58
| 65
| 検挙件数
| 62
| 66
| 102
| 143
| 142
| 検挙人員
| 34
| 51
| 68
| 76
| 88
| 不正アクセス助長行為
| 検挙事件数
| 4
| 1
| 2
| 2
| 0
| 検挙件数
| 5
| 1
| 3
| 2
| 0
| 検挙人員
| 5
| 1
| 3
| 2
| 0
| 計
| 検挙事件数
| 31
(重複3)
| 35
(重複1)
| 51
(重複2)
| 58
(重複2)
| 65
| 検挙件数
| 67
| 67
| 105
| 145
| 142
| 検挙人員
| 37
(重複2)
| 51
(重複1)
| 69
(重複2)
| 76
(重複2)
| 88
|
|
|
3
| 検挙事例
1
| インターネット・オークションに係る識別符号を窃用した不正アクセス禁止法違反及び詐欺事件
|
|
無職の男(31)が、インターネット・オークションを利用して金をだまし取る目的で、平成15年8月から16年1月までの間、他人が使用するオークション・サービス用ID12個のパスワードを推測して不正アクセスした上、当該IDを使用して架空のオークション出品操作を行い、偽名で開設した口座等に現金を振り込ませる手口で、76 人から総額約900万円をだまし取った。平成16年2月、不正アクセス禁止法違反、詐欺罪、私電磁的記録不正作出・同供用罪で検挙した(埼玉、山形、茨城、京都、岡山)。
2
| セキュリティ・ホール攻撃による個人情報ファイルの取得方法の公表に係る不正アクセス禁止法違反及び威力業務妨害事件
|
|
公務員の男(40)が、社団法人が一般からの情報受付のために公開したホームページに係るセキュリティ・ホールを指摘する目的で、平成15年11月、公開のイベント会場において、セキュリティ・ホールを攻撃して同社団法人のWebサーバに不正アクセスし、処理情報を取得する手法を実演して、多数の参加者に公表した。16年2月、不正アクセス禁止法違反及び威力業務妨害で検挙した。さらに、16年3月、同手法をまねて同社団法人のWebサーバに不正アクセスしたイベント参加者の会社員ら3人を不正アクセス禁止法違反で検挙した(警視庁)。
3
| 識別符号通知プログラムを使用して収集した識別符号の窃用によるオンラインゲームに係る不正アクセス禁止法違反事件
|
|
コンピュータ保守管理作業員の男(20)が、オンラインゲームで使用するアイテムを他人から不正に取得する目的で、平成14年12月から15年7月までの間、ID及びパスワードを自動的に通知する自作のプログラムを電子掲示板等でその機能を隠して掲示及び配付し、同プログラムの使用者から収集したオンラインゲーム・サービスのI D及びパスワードを窃用して不正アクセスし、当該オンラインゲーム・サービス利用者が保有していたアイテムを、不正に自己の保有となるよう移動させた。16年3月、不正アクセス禁止法違反で検挙した(北海道、埼玉、熊本)。
4
| 電子メール等により言葉巧みにだまして入手した識別符号の窃用によるオンラインゲームに係る不正アクセス禁止法違反事件
|
|
中学生(14)らが、オンラインゲームで使用するアイテムを他人から不正に取得する目的で、平成15年8月頃から11月までの間、電子メール等を利用して「アイテムを譲る」などと言葉巧みに持ちかけてだます方法で、他人が使用するオンラインゲーム・サービス用ID15個のパスワードを入手して不正アクセスした上、他人が保有するアイテムを不正に自己の保有となるよう移動させた。16年4月、不正アクセス禁止法違反で2人を検挙した(京都)。
5
| 電子メールアドレスの入手を目的とした不正アクセス禁止法違反及びいわゆる架空請求メールの送信による詐欺事件
|
|
出会い系サイト運営者の男(33)ら3人が共謀し、運営している出会い系サイトの宣伝・勧誘の電子メールを送信するための電子メールアドレスを入手する目的で、平成15年10月、他人が運営する出会い系サイトの会員管理用のパスワードを元従業員の男(29)から聞き出した上で、別の男(38)に作成させた電子メールアドレス等の自動抽出プログラムを使用して不正アクセスし、当該出会い系サイトの会員情報を入手した。また、プログラムを作成した男が単独で、いわゆる架空請求メールを送信し、他人名義の口座に振り込ませる手口で81人から約200万円をだまし取った。16年5月、不正アクセス禁止法違反で4人を検挙し、6月、不正アクセス禁止法違反及び詐欺で1人を検挙した(鹿児島)。
6
| 不正アクセスにより入手した電子メールアドレスに対して迷惑メールを送信した不正アクセス禁止法違反事件
|
|
無職の男(35)が、元勤務先の社長に対して嫌がらせをする目的で、平成16年4月から5月の間、元勤務先のメールサーバに、在職時に知り得た会社従業員の電子メールアドレス用のID及びパスワードを使用して不正アクセスし、同社の製品案内等の電子メールの受信希望者に係る電子メールアドレスのリストを発見したことから、約3,000人の電子メールアドレスにあてて、同社が送信したかのように装い、いわゆるコンピュータウイルス等を添付した電子メールを送信した。16年7月、不正アクセス禁止法違反で検挙した(愛知)。
7
| インターネット・バンキング利用の不正送金に係る不正アクセス禁止法違反及び電子計算機使用詐欺事件
|
|
自営業の男(37)が、いわゆる出会い系サイトを通じて知り合った女性の口座から不正に金を得る目的で、平成16年6月から7月の間、信用金庫のインターネット・バンキング用の認証サーバに、女性のパソコンの設定を行った際に知り得た女性名義の口座のID及びパスワードを使用して不正アクセスし、インターネット上で購入した他人名義の口座へ575万円の送金操作を行い、同口座から現金を引き出した。16年9月、不正アクセス禁止法違反及び電子計算機使用詐欺罪で検挙した(京都)。
8
| 他人になりすまして電子メールを送信した不正アクセス禁止法違反事件
|
|
アルバイトの男(26)が、元勤務先の会社経営者に対して嫌がらせをするため、同経営者の電子メールを盗み見る目的で、平成16年5月、リマインダ機能(注9)を利用してパスワードを入手した上で、不正アクセスして同経営者の電子メールの内容を盗み見た。さらに、同人からID及びパスワードを教示された知人の自営業の男(33) が、同様に不正アクセスし、同経営者になりすまして内容虚偽の電子メールを送信した。16年9月、不正アクセス禁止法違反で2人を検挙した(栃木)。
9
| 換金目的でオンラインゲームのアイテムを窃取した不正アクセス禁止法違反事件
|
|
無職少年(19)が、知人がオンラインゲームで使用するアイテムを不正に取得して換金する目的で、平成16年4月、オンラインゲームのサーバに、以前聞いていたID 及びパスワードを使用して不正アクセスした上、更に別の知人のID及びパスワードを窃用した不正アクセスにより操作可能としたゲーム上のキャラクターを介して、多数のアイテムを他人に譲渡し、現金約29万円に換金した。16年9月、不正アクセス禁止法違反で検挙した(香川)。
10
| インターネット・バンキング利用の不正送金に係る不正アクセス禁止法違反及び電子計算機使用詐欺事件
|
|
会社員の男(43)が、他人の口座から不正に金を得る目的で、平成16年6月から7 月の間、銀行のインターネット・バンキング用の認証サーバに、あらかじめインターネット・カフェのパソコンに仕掛けていたキーロガー(注10)を用いて収集した口座開設者のID及びパスワードを使用して不正アクセスし、同口座開設者の口座からインターネット上で購入した他人名義の銀行口座へ約36万円の送金操作を行い、同口座から現金を引き出した。16年10月、不正アクセス禁止法違反及び電子計算機使用詐欺罪で検挙した(警視庁)。
|
4
| 検挙事件の特徴
(1)
| 犯行の手口
検挙した不正アクセス行為の多く(62事件(131件))が識別符号窃用型であった。識別符号(ID及びパスワード)の入手方法については、利用権者のパスワードの設定・管理の甘さにつけ込んだもの(ID等から容易に推測されるパスワードが利用されていたもの等)が引き続き最も多く、31事件(65件)であった。次いで、立場上識別符号を知り得る立場にあった元従業員や知人等によるものが13事件(21 件)、言葉巧みに利用権者から聞き出した又はのぞき見たものが7事件(14件)、リマインダ機能における質問への安易な回答が設定されていたものが5事件(6件) 等、特に高度な技術を有していない者でも行える形態が多かった。
しかし、プログラムの脆弱性を利用した情報の不正取得のように、セキュリティの脆弱性を突くセキュリティ・ホール攻撃型が4事件(11件)(うち、1事件は、識別符号窃用型とセキュリティ・ホール攻撃型の両方の行為が行われた。)であったほか、識別符号窃用型のうちキーロガー等のプログラムを使用して識別符号を入手したものが4事件(19件)と、高度なコンピュータ技術を悪用したものも増加した。
|
(2)
| 被疑者
アクセス管理者及び利用権者にとって、元交際相手や元従業員等顔見知りの者による犯行は29事件(49件)、面識のない他人による犯行は27事件(82件)であり、ネットワーク上のみの知り合いによる犯行は12事件(13件)であった(重複計上あり。)
また、被疑者の年齢は、10代が26人と最も多く、次いで30代が23人、20代が21人、40代が17人、50代が1人の順となっている。最年少の者は14歳であり、最年長の者は51歳であった。
|
(3)
| 犯行の動機
不正アクセス行為の動機としては、元交際相手や元勤務先等に対する嫌がらせや仕返しのためが最も多く、23事件(35件)であった。次いで好奇心を満たすためが15事件(23件) 、オンラインゲームで不正操作を行うためが10事件(31件)、不正に金を得るためが9事件(32件)、顧客データの収集など情報を不正に入手するためが5事件(12件)の順となっている(重複計上あり) 。
前年と比べると、嫌がらせや仕返しのためが1事件(5件)増加、好奇心を満たすためが3事件(24件)、不正に金を得るためが2事件(41件)それぞれ減少し、オンラインゲームで不正操作を行うためが5事件(26件)、情報を不正に入手するためが3事件(7件)それぞれ増加した。
|
(4)
| 利用されたサービス
識別符号窃用型の不正アクセス行為で検挙した62事件(131件)において、当該識別符号を入力することにより利用されたサービス別に見ると、オンラインゲームが23事件(47件)と最も多く、次いで電子メールが15事件(24件)、インターネット・オークションが7事件(34件)、ホームページ公開サービスが6事件(6件)、インターネット・バンキングが4事件(4件)等となっている(重複計上あり)。
|
(5)
| その他
不正アクセス禁止法違反のほか、他の罪についても検挙した事件は、17事件であった。その内訳は次のとおり。
| 事件数
| 電子計算機使用詐欺
| 5
| 詐欺
| 5
| 私電磁的記録不正作出・同供用
| 4
| 電子計算機損壊等業務妨害
| 2
| 組織犯罪処罰法違反
| 2
| 脅迫
| 1
| 恐喝未遂
| 1
| 威力業務妨害
| 1
| 電気通信事業法違反
| 1
|
|
注 重複計上あり
|
|
5
| 都道府県公安委員会による援助措置
都道府県公安委員会は、不正アクセス行為を受けたアクセス管理者からの申出への対応として、不正アクセス禁止法第6条の援助規定に基づくアクセス管理者に対する助言・指導を3件(すべて愛知)実施した。
|
6
| 防御上の留意事項
(1)
| 利用権者の講ずべき措置等
ア
| パスワードの適切な設定・管理
識別符号窃用型の不正アクセス行為で検挙した62事件(131件)中、28事件(61件)では、パスワードがIDから容易に推測できるもの(例えば、IDが「abcd1234」に対して、パスワードが「abcd」や「1234」)や誕生日に関連する番号等であったことから、利用権者においては、そのような行為を防ぐため、他人による推測が難しいパスワードを設定する必要がある。
また、3事件(4件)が利用権者が書き出した又は口にしたパスワードを偶然に見聞きした者の犯行であり、7事件(14件)が利用権者からパスワードを言葉巧みに聞き出した、後ろからのぞき見た又は利用権者の周辺を探して見つけ出した者の犯行であるなど、アクセス管理者又は利用権者がパスワードの設定・管理を適切に行っていなかったことが問題点として挙げられる。利用権者等においては、パスワードを不用意に教えない、また、パスワードを定期的に変更するなど識別符号を適切に設定・管理する必要がある。
さらに、フィッシング事案による被害の増加が懸念されていることから、個人情報を聞き出そうとするメールに対し、不用意に回答しないよう注意する必要がある。
|
イ
| リマインダ機能の適切な設定
リマインダ機能を悪用して、アクセス管理者からパスワードを入手する手口が引き続きみられた。アクセス管理者及び利用権者においては、パスワード再発行時に必要となる情報(質問に対する回答)について、他人による推測が困難となるような仕組み及び内容とする必要がある。
|
ウ
| 不特定多数の人が利用できる端末を利用する際の注意
インターネット・カフェ等のパソコン端末に、キーロガーを仕掛け、IDやパスワード等を入手する手口が見られたことから、不特定多数の者が利用できる端末では、IDやパスワードを始め、口座番号やクレジットカード番号等の個人情報の入力を伴うサービスをできるだけ利用しないようにする必要がある。
|
|
(2)
| アクセス管理者の講ずべき措置等
ア
| セキュリティ・ホールに関する対策
セキュリティ・ホール攻撃型の不正アクセス行為の発生が前年に比べて増加しており、また、この種の手口による事犯は、一旦発生すれば被害が大きくなる危険があることから、セキュリティ水準の向上・維持が必要である。特に、サーバの管理者等は、インターネット上等で公表される最新のセキュリティ情報を確認し、使用しているオペレーティング・システム又はアプリケーション・プログラムにセキュリティ・ホールが発見されたことを知ったときは、速やかに修正プログラムをインストールするなどセキュリティ・ホールを解消するための措置を講じる必要がある。
|
イ
| 不特定多数の人が利用できる端末の適切な管理
インターネット・カフェ等の不特定多数の人が利用できる端末の管理者及び運営者は、個人情報等の入力については十分注意を払うよう利用者に注意喚起を行うとともに、リカバリーソフト(注11)の導入、不必要な履歴の削除、利用者によるプログラムのインストールの制限等の措置を講ずる必要がある。
|
ウ
| その他
アクセス管理者は、サーバを適切に管理するだけでなく、利用権者に対して識別符号の適切な設定・管理について注意喚起を行うほか、容易に推測されるおそれのあるパスワードを設定できないようにする仕組みを活用するなど、不正アクセス行為を防止するために必要な措置を講ずる必要がある。
|
|
(参考)
注1
| 認知
認知とは、被害の届出を受理した場合のほか、余罪として確認した場合、報道を踏まえて確認した場合、援助の申出を受理した場合その他関係資料により不正アクセス行為の事実確認ができた場合としている。
|
注2
| 件数
件数とは、犯罪構成要件に該当する行為を被疑者が行った数をいう。
なお、不正アクセス行為の件数の計上については、一つのアクセス制御機能に対する一つの手口による侵害行為が1回あったことをもって1件としている。ただし、被疑者が異なる場合(共犯を除く。)はそれぞれ1件として計上し、短期間に一つのアクセス制御機能に対して同一手口による侵害が連続的に行われ、実質上1回の行為とみなし得る場合は包括して1件としている。
|
注3
| 特定電子計算機のアクセス管理者
特定電子計算機とは、ネットワークに接続されたコンピュータをいい、アクセス管理者とは、特定電子計算機を誰に利用させるかを決定する者をいう。
例えば、インターネットへの接続や電子メールの受信についてはプロバイダが、インターネット・ショッピング用のホームページの閲覧についてはその経営者が、それぞれアクセス管理者である。
|
注4
| 利用権者
利用権者とは、ネットワークに接続されたコンピュータをネットワークを通じて利用することについて、当該コンピュータのアクセス管理者の許諾を得た者をいう。
例えば、プロバイダからインターネット接続サービスを受けることを認められた加入者や、企業からLANを利用することを認められた社員が該当する。
|
注5
| フィッシング
銀行等の企業からのメールを装い、メールの受信者に偽のホームページにアクセスするよう仕向け、そのページにおいて個人情報(クレジットカード番号、ID、パスワード等)を入力させるなどして当該情報を不正に入手するような行為をいう。その情報を元に金銭をだまし取る手口がフィッシング詐欺といわれる。
|
注6
| 事件数
事件数とは、事件単位ごとに計上した数であり、一連の捜査で複数の件数の犯罪を検挙した場合も1事件と数える。
|
注7
| 識別符号窃用型
アクセス制御されているサーバに、ネットワークを通じて、他人の識別符号を入力して不正に利用する行為(不正アクセス禁止法第3条第2項第1号に該当する行為)をいう。
例えば、他人のインターネット・オークション用のID及びパスワードを使用して、当該インターネット・オークションを利用する行為が該当する。
|
注8
| セキュリティ・ホール攻撃型
アクセス制御されているサーバに、ネットワークを通じて情報(他人の識別符号を入力する場合を除く。)や指令を入力して不正に利用する行為(不正アクセス禁止法第3条第2項第2号又は第3号に該当する行為)をいう。
例えば、IDを不正に登録して使用する行為や、セキュリティの脆弱性をついて操作指令を与える等の手法による不正アクセス行為が該当する。
|
注9
| リマインダ機能
利用権者がパスワードを忘れてしまった時に、アクセス管理者が何らかの方法で本人確認を行った上でパスワードを再発行する機能をいう。本人確認の方法としては、サービス利用のための登録時に、本人が決めた情報を登録しておき、パスワードの再発行時にその情報を利用権者に入力させるもの(例えば、「ニックネームは?」等の質問に対して、あらかじめ登録しておいた情報を答えとして入力すると、パスワードが再発行される)等がある。
|
注10
| キーロガー
インストールしたパソコン端末において、キーボードで打鍵した文字を記録するプログラムをいう。
|
注11
| リカバリーソフト
コンピュータ内の情報を利用前の状態に戻すソフトをいう。
|
|
|
第2
| 不正アクセス関連行為の関係団体への届出状況について
1
| 独立法人情報処理推進機構(IPA)に届出のあったコンピュータ不正アクセスの届出状況について
平成16年1月1日から12月31日の間にIPAに届出のあったコンピュータ不正アクセス(注1)が対象である。
コンピュータ不正アクセス被害届出件数は594件(昨年:407件)であった(注2)。平成16年はアクセス形跡の届出が大幅に増加したが、実被害件数は減少した。
以下に、種々の切り口で分類した結果を示す。各々の件数には未遂(実際の被害はなかったもの)も含まれる。また、1件の届出にて複数の分類に該当するものがあるため、それぞれの項目での総計件数はこの数字に必ずしも一致しない。
(1)
| 手口別分類
意図的に行う攻撃行為による分類である。重複があるため、届出件数とは異なり総計は557件(昨年:510件)となる。
なお、この件数には、ワームに関する届出は含まれていない。
ア
| 侵入行為に関して
侵入行為に係わる攻撃等の届出は515件(昨年:313件)あった。
(ア)
| 侵入の事前調査行為
システム情報の調査、稼動サービスの調査、アカウント名の調査等である。
402件の届出があり、ポートやセキュリティホールを探索するものであった。
|
(イ)
| 権限取得行為(侵入行為)
パスワード推測やソフトウェアのバグ等いわゆるセキュリティホールを利用した攻撃、システムの設定内容を利用した攻撃など、。侵入のための行為である63件の届出があり、これらのうち実際に侵入を受けたものは43件である。
パスワード推測:23件
ソフトウェアのバグを利用した攻撃:12件
システムの設定内容を利用した攻撃:5件
|
(ウ)
| 不正行為の実行及び目的達成後の行為
実際に侵入を受けた43件について、その後行われた種々の行為である。1件の侵入で種々の行為が行われているため重複がある。
ファイル等の改ざん、破壊等:24件
プログラムの作成(インストール)、システムファイルの改ざん、トロイの木馬などの埋め込み等:11件
資源利用(ファイル、CPU使用):6件
踏み台とされて他のサイトへのアクセスに利用された:5件
証拠の隠滅:1件
|
|
イ
| サービス妨害攻撃
過負荷を与えたり、例外処理を利用してサービスを不可もしくは低下させたりする攻撃である。10件(昨年:15件)の届出があった。
過負荷を与える攻撃:6件
例外処理を利用した攻撃:3件
spamメール:1件
|
ウ
| その他
その他には、ソーシャルエンジニアリングや、サービスの外部からの利用が含まれ、33件(昨年:57件)の届出があった。
メール中継に関するもの:4件
そのうちメール中継に実際に利用されたもの:3件
メールアドレス(ドメイン)の詐称:11件
なりすまし:3件
オープンプロキシ:2件
その他:13件
|
|
(2)
| 原因別分類
不正アクセスを許した問題点/弱点による分類である。 実際に侵入を受けた43件(昨年:64件)、メール中継に係わる問題(弱点)のあった3件(昨年:9件)などの計55件(昨年:92件)を分類すると以下のようになる。突出した件数となった被害原因は無く、様々なセキュリティ対策の不備が狙われていると推測される。
ID、パスワード管理の不備によると思われるもの:9件
古いバージョンの利用やパッチ・必要なプラグインなどの未導入によるもの:11 件
設定の不備(セキュリティ上問題のあるデフォルト設定を含む)によるもの:10件
不明:25件
|
(3)
| 電算機分類
攻撃や被害の対象となった機器による分類である。
WWWサーバー:21件
メールサーバー:6件
ファイアウォール:4件
ルータ:2件
Proxyサーバー:1件
その他のサーバー・不明:30件
クライアント:519件
|
(4)
| 被害内容分類
被害内容による分類である。機器に対する実被害があった届出件数は72件(昨年:126件)である。なお、対処に係わる工数やサービスの一時停止、代替機の準備などに関する被害は除外している。
メール中継に利用された:4件
サーバーダウン:5件
不正アカウント作成:1件
WWW書き換え:15件
パスワードファイル盗用:3件
サービス低下:3件
オープンプロキシ:2件
ファイルの書き換え:21件
その他:31件
|
注1
| コンピュータ不正アクセス
システムを利用する者が、その者に与えられた権限によって許された行為以外の行為を、ネットワークを介して意図的に行うこと。
|
注2
| ここにあげた件数は、コンピュータ不正アクセスの届出をIPAが受理した件数であり、不正アクセスやアタック等に関して実際の発生件数や被害件数を直接類推できるような数値ではない。
|
|
2
| JPCERT コーディネーションセンター(以下、JPCERT/CC)に届出があった不正アクセス関連行為の状況について
平成16年1月1日から12月31日の間にJPCERT/CCに届出のあったコンピュータ不正アクセスが対象である。
(1)
| 届出のあった不正アクセス関連行為(注1)に係わる報告件数(注2)は5,217件であった。
ア
| プローブ、スキャン、その他不審なアクセスに関する報告
防御に成功したアタックや、コンピュータ/サービス/弱点の探査を意図したアクセス、その他の不審なアクセス等、システムのアクセス権において影響を生じないか、無視できるアクセスについて4,974件の報告があった。
[1/1-3/31: 591件、4/1-6/30: 861件、7/1-9/30: 1658件、10/1-12/31: 1864件]
|
イ
| システムへの侵入
管理者権限の盗用が認められる場合やワーム等を含め、システムへの侵入について19件の報告があった。
[1/1-3/31: 2件、4/1-6/30: 14件、7/1-9/30: 2件、10/1-12/31: 1件]
|
ウ
| 電子メールの送信ヘッダを詐称したメールの配送
電子メールの送信ヘッダを詐称した電子メールの配送について30件の報告があった。
[1/1-3/31: 15件、4/1-6/30: 8件、7/1-9/30: 5件、10/1-12/31: 2件]
|
エ
| ネットワークやコンピュータの運用を妨害しようとする攻撃
大量のパケットや予期しないデータの送信によって、サイトのネットワークやホストのサービス運用を妨害しようとするアクセスについて2件の報告があった。
[1/1-3/31: 2件、4/1-6/30: 0件、7/1-9/30: 0件、10/1-12/31: 0件]
|
オ
| Web 偽装事案(phishing)
Web のフォームなどから入力された口座番号やキャッシュカードの暗証番号といった個人情報を盗み取るWeb 偽装事案について30件の報告があった。
[1/1-3/31: 0件、4/1-6/30: 8件、7/1-9/30: 4件、10/1-12/31: 18件]
|
カ
| その他
コンピュータウイルス、SPAM メールの受信等について165件の報告があった。
[1/1-3/31: 38件、4/1-6/30: 31件、7/1-9/30: 15件、10/1-12/31: 19件]
|
|
(2)
| 防御に関する啓発および対策措置の普及
JPCERT/CC は、日本国内のインターネット利用者に対して、不正アクセス関連行為を防止するための予防措置や、発生した場合の緊急措置などに関する情報を提供し、不正アクセス関連行為への認識の向上や適切な対策を促進するため、以下の文書を公開している(詳細はhttp://www.jpcert.or.jp/参照。)。
ア
| 注意喚起
[新規]
phpBB の脆弱性を使って伝播するワームに関する注意喚起
libpng に複数の脆弱性
TCP プロトコルに潜在する信頼性の問題(更新)
Juniper JUNOS PFE のIPv6 処理にメモリリークの脆弱性
キーボード入力などを記録し外部に送信するプログラムに関する注意喚起
IEEE 802.11 DSSS 無線機器におけるDoS の脆弱性
Windows LSASS の脆弱性を使って伝播するワームW32/Sasser
Windows に含まれる脆弱性に関する注意喚起
CISCO IOS におけるSNMP メッセージ処理の脆弱性
TCP プロトコルに潜在する信頼性の問題
Netsky.Q のサービス運用妨害攻撃に関する注意喚起
Microsoft ASN.1 Library の脆弱性に関する注意喚起
|
イ
| 活動概要(届出状況等の公表)
発行日:2005-01-25 [ 2004年10月1日~ 2004年12月31日]
発行日:2004-10-18 [ 2004年7月1日~ 2004年9月30日]
発行日:2004-07-16 [ 2004年4月1日~ 2004年6月30日]
発行日:2004-04-15 [ 2004年1月1日~ 2004年3月31日]
|
ウ
| JPCERT/CC レポート
[発行件数] 50件
[取り扱ったセキュリティ関連情報数] 302件
|
|
(4)
| 脆弱性情報流通
日本国内の製品開発者(ベンダ) などの関連組織とのコーディネーションを行ない、JVN (JP Vendor Status Notes) にて公開した脆弱性情報は30件であった(詳細はhttp://jvn.jp/参照)。
[1/1-3/31: 0件、4/1-6/30: 0件、7/1-9/30: 7件、10/1-12/31: 23件]
そのうち、平成16年7月の経済産業省告示「ソフトウェア等脆弱性関連情報取扱基準」に従って、独立行政法人情報処理推進機構(IPA) に報告され、JVNにて公開した脆弱性情報は11件であった。
[1/1-3/31: 0件、4/1-6/30: 0件、7/1-9/30: 3件、10/1-12/31: 8件]
|
注1
| 不正アクセス関連行為とは、コンピュータやネットワークのセキュリティを侵害する人為的な行為で、意図的(または、偶発的) に発生する全ての事象が対象になる。
|
注2
| ここにあげた件数は、JPCERT/CC が受け付けた報告の件数である。実際のアタックの発生件数や、被害件数を類推できるような数値ではない。また類型ごとの実際の発生比率を示すものでもない。一定以上の期間に渡るアクセスの要約レポートも含まれるため、アクセスの回数と報告件数も一般に対応しない。報告元には、国内外のサイトが含まれる。
|
|
|
2.
| 民間企業等で研究を実施したもの
(2)
| 調査
警察庁が平成16年12月に実施したアンケート調査に対し、アクセス制御技術に関する研究開発を実施しているとして回答のあった大学及び企業は次のとおりであり、それぞれの研究開発の概要は、別添3のとおりである。
アンケート調査は、次の条件により抽出した500団体を対象に実施した。
・
| 国立・私立大学のうち理工系学部を設置するものから無作為に抽出
| ・
| 主なセキュリティ関連団体に所属する企業及び業種分類が「情報・通信」「サービス」「電気機器」「金融」である上場企業から無作為に抽出
|
なお、別添3の内容は、アンケート調査の回答内容(研究開発のうち実用化しているもののみ)をそのまま掲載している。
|
|
(別添1)
対象技術 侵入検知技術
| テーマ名 情報通信危機管理基盤技術の研究開発
| 開発年度 平成12年度~17年度
| 実施主体 独立行政法人情報通信研究機構
| 背景、目的
我が国の電子政府構想の根幹を揺るがし、我が国経済の将来を背負う電子商取引などを危機的状況に陥れる不正アクセスやサイバーテロに対処するため、ネットワーク上に生じた異変を的確に検出・分析し、対策を提示する先端的要素技術を研究開発する。
| 研究開発状況(概要)
今後極めて大きな市場が見込める電子商取引等のIT市場の発展を阻害する恐れのある不正アクセスやサイバーテロを未然に防止するため、平成12年度に、総務省通信総合研究所(現:独立行政法人情報通信研究機構)に、不正アクセス模擬実験装置等を備えたネットワークセキュリティ施設、危機管理用安全対策施設、検証実験用テストフィールドの3つからなる情報通信危機管理研究施設を整備し、不正アクセス行為やサイバーテロを検証・再現し、対策に関する研究開発を開始した。
平成13年度には、これらの施設を拡充し、不正アクセスを記録・検証する方法、サービス不能攻撃への対処方法、不正アクセス模擬実験装置を実ネットワークに接続し検証する方法及び電磁波漏洩対策等の研究開発に着手した。
平成14年度には、攻撃に対して自動的にシステム構成切替え被害を最小限にとどめる抗脆弱性クラスタ技術、侵入検知機能とアクセス制御機能との広域連携によるネットワーク保全装置等に、平成15年度には、利用状況やセキュリティポリシーにあわせて自動設定可能なアクセス制御装置、持ち込み機器への自動検査及び自動アクセス制御機構等の研究開発に着手した。
平成16年には、不正アクセス模擬装置をネットワーク上で拡大する技術、広域に設置された観測点からセキュリティログを収集したり、大量のセキュリティログから効率的に、高精度にインシデントを分析する技術等に着手した。
| 詳細の入手方法(関連部署名及びその連絡先)
独立行政法人情報通信研究機構 情報通信部門 情報セキュリティ推進室 丹代 武
電話 042-327-5774
| 将来の方向性
ナショナルセキュリティーや国民経済・生活に対する大きな脅威となっている「サイバーテロ」や大規模不正アクセスに対抗する国家レベルのネットワーク危機管理技術の研究、標準化等を行い、現実のサイバーテロや情報戦争に対応できる技術の獲得を目指す。
|
|
対象技術 侵入探知技術
| テーマ名 大規模ネットワークセキュリティの確保に向けた研究開発
| 開発年度 平成14年度~平成16年度
| 実施主体
| 松下電工株式会社、工学院大学、安川情報システム株式会社、NTTアドバンステクノロジ株式会社(情報通信研究機構(NICT)からの委託)
|
| 背景、目的
最近の不正アクセス数増加等、システム運用・管理に対する脅威が増加するなかで、より安全性・信頼性の高い大規模ネットワークシステムを構築するために、セキュリティの確保が不可欠であり、セキュリティ侵害への対処方法や再発防止などの対策を行うことを可能にするセキュリティ運用の仕組みの研究開発が求められている。
そこで、分散化・階層化された様々なネットワーク機器等の情報(稼動状況、通信のやりとりを記録したデータ、アクセスログ等)の集中的な管理と不正データの発信源調査を基盤とする総合的なセキュリティ運用の仕組みについて研究開発を行う。
| ・
| 平成14年度より以下の研究開発を実施中。
(1) 様々な機器のログを集中的に管理するための仕組みの研究開発
(2) 送信元IPアドレスを偽装したデータから真の発信元を探査するための発信源探査技術の研究開発
| ・
| 平成16年度末に開発終了予定。
|
| 詳細の入手方法(関連部署名及びその連絡先)
独立行政法人情報通信研究機構 芝本部 研究開発推進部門委託研究推進室
(http://www2.nict.go.jp/ns/s802/itakukenkyu.htm) 電話 03-3769-6810
| 将来の方向性
上記セキュリティ技術を確立し、高度情報通信ネットワーク社会の安全性・信頼性の確保に資する。
|
|
対象技術 侵入検知技術
| テーマ名 広域モニタリングシステムに関する基盤技術の研究開発
| 開発年度 平成16年度~平成18年度
| 実施主体
| 横河電機株式会社, 株式会社日立製作所, 沖電気工業株式会社(情報通信研究機構(NICT)からの委託)
|
| 背景、目的
近年のインターネットの急速な普及とブロードバンド化の進展は、利用者の裾野を急拡大するとともに、あらゆる社会経済活動の基盤を構成する不可欠な要素となり、電子商取引の発展や電子政府・電子自治体の実現など高度な利用を創成する土壌となっている。一方で、このような情報通信ネットワークへの依存度の高まりは、その恩恵を十二分に享受している反面、情報通信ネットワークの機能不全や社会的混乱等を狙ったインシデントの発生や被害の拡大を助長させる一つの要因ともなっている。
さらに、利用者においては、最新のセキュリティパッチの適用等のセキュリティ対策が十分に講じられているとは必ずしも言えない状況である。このような利用者の意識不足がワーム感染の拡大に一層拍車をかける危険性が指摘されている。また、このような利用者が気付かない状態でワームに感染し、攻撃の踏み台となって大量の不要なパケットを送信するような事例が幾つも確認されているほか、このような事例が数多く積み重なることにより、ネットワークへの重大な支障や通信障害をきたすような大規模インシデントの発生に発展することも懸念される。
こうした中、本研究では、インターネット上の多地点で、トラフィックログ情報とセキュリティログ情報を収集して、その大規模情報を効率的に統合管理し、多地点・複数レイヤにまたがる分析を行うことで、広域ネットワークに影響を及ぼす異常なインシデントの早期発見を実現する基礎技術を確立する。また、異常が検出されてからの迅速な対応を促すために、セキュリティオペレーションおよびそのための情報交換を円滑にする基盤システムを開発する。
| ・
| 平成16年度より以下の研究開発を実施中。
(1) 広域モニタリングシステムのプローブシステムの開発
(2) 広域モニタリングシステムのネットワーク装置情報収集方式の開発
(3) 広域モニタリングシステムで収集したデータの分析システムの開発
(4) 広域モニタリングシステムのオペレーション方式の開発
| ・
| 平成18年度末に開発終了予定。
|
| 詳細の入手方法(関連部署名及びその連絡先)
独立行政法人情報通信研究機構 研究開発推進部門委託研究推進室
(http://www2.nict.go.jp/ns/s802/itakukenkyu.htm) 電話 03-3769-6810
| 将来の方向性
上記セキュリティ技術を確立し、高度情報通信ネットワーク社会の安全性・信頼性の確保に資する。
|
|
対象技術 侵入探知技術
| テーマ名
| ネットワーク環境の脆弱性レベルをリアルタイムで定量評価し、情報流通をセキュアに運用するための意志決定システムの研究開発
|
| 開発年度 平成16年度~平成18年度
| 実施主体
| エヌ・ティ・ティ・コミュニケーションズ株式会社、株式会社日立製作所、日本電気株式会社(情報通信研究機構(NICT)からの委託)
|
| 背景、目的
e-Japan 重点計画-2003 において、『2006 年度までに、インターネット等におけるネットワークセキュリティの飛躍的向上を図るため、情報通信ネットワークの安全性及び信頼性の確保に必要となる総合的な研究開発を実施する』ことが目標として掲げられているように、ネットワーク利用の依存が高まる中でVPN等を利用して相互に接続する各サイト(イントラネット)間においても情報流通のセキュアな運用が求められている。ネットワーク相互接続のリスクは、接続相手の中で最もセキュリティレベルの低いサイトの影響を受けることであり、接続相手として安全であるか否かの判断は現状ではISMS認証の取得状況あるいはセキュリティポリシー作成やその監査結果が判断の基準となっており、接続相手のセキュリティレベルを定量的に且つ相互に確認できる仕組みがないことが課題となってくる。 本研究開発では、日々新たに発見されるソフトウェアのバグ等の脆弱性に対して、比較的短い時間間隔においてサイト内の端末の脆弱性の有無を自動で収集し、各サイトに設置されている侵入検知システム(IDS)のアラート等の脅威情報と合わせて分析し、脆弱性レベルの定量的な評価を行う。また、各サイトの脆弱性レベル等を収集・管理し、複数のサイトをまたがった分析を行い、分析結果を各サイトへ配信する流通機構を確立し、各サイトの意思決定者が自サイトや接続相手サイトのセキュリティレベルを確認して、容易に適切なアクセス制御を実施できることで、自サイトへの被害を未然に防ぐ等、脅威を低減することが可能とする。
| ・
| 平成16年度より以下の研究開発を実施中。
(1) ネットワークの脆弱性レベル・脅威レベルの数値化手法
(2) セキュリティ情報管理とネットワーク管理のための意思決定支援技術
(3) サイト間のアクセス制御技術
| ・
| 平成18年度末に開発終了予定。
|
| 詳細の入手方法(関連部署名及びその連絡先)
独立行政法人情報通信研究機構 芝本部 研究開発推進部門委託研究推進室
(http://www2.nict.go.jp/ns/s802/itakukenkyu.htm) 電話 03-3769-6810
| 将来の方向性
上記セキュリティ技術を確立し、高度情報通信ネットワーク社会の安全性・信頼性の確保に資する。
|
|
対象技術 その他認証技術
| テーマ名 モバイルセキュリティ基盤技術の研究開発
| 開発年度 平成16年度~平成18年度
| 実施主体
| 株式会社日立製作所、株式会社エヌ・ティ・ティ・ドコモ、株式会社KDDI研究所、日本電気株式会社(情報通信研究機構(NICT)からの委託)
|
| 背景、目的
近年、モバイルキャリア網内に閉じたサービスにとどまらず、インターネットを利用したモバイルサービスが増加し、特定のモバイル通信事業者のみからだけではなく、一般のサービス提供者からサービスを享受するシーンが増加している。
そのような状況の中、通信路の盗聴、IDの偽造・改ざん、不必要な情報漏洩等、インターネットを利用することによる不正行為の可能性が増加している。安心してサービスを提供・享受するためには、正確なユーザ(端末)認証および正確なサーバ認証が必須である。
複数のモバイル網や、インターネット網等の異種網間の不適切な接続により、網内、網間を流れるデータの偽造・改ざんが行われる可能性があり、そのようなモバイル環境特有のセキュア基盤の構築が必須と考えられる。また、携帯端末の処理速度、メモリ容量、通信速度、通信安定性等のモバイル特有の制約を解決するためにモバイル特有のセキュリティ方式の実現が必要であると考えられる。さらに、これらのセキュリティ対策は、各モバイル通信事業者が独自に取り組むのではなく、相互運用性が確保された共通的に利用され得るインフラとならなければならない。
このような中、本研究開発では、モバイルコマースにおいて共通的に利用可能で且つ安全なセキュリティ基盤を構築することを目的とする。
| ・
| 平成16年度より以下の研究開発を実施中。
(1) モバイルセキュリティ技術(長期・短期属性認証技術)
(2) モバイルセキュリティ検証技術
(3) モバイルサービス代行技術
(4) モバイルコマースアプリケーション技術
| ・
| 平成18年度末に開発終了予定。
|
| 詳細の入手方法(関連部署名及びその連絡先)
独立行政法人情報通信研究機構 研究開発推進部門委託研究推進室
(http://www2.nict.go.jp/ns/s802/itakukenkyu.htm) 電話 03-3769-6810
| 将来の方向性
上記セキュリティ技術を確立し、高度情報通信ネットワーク社会の安全性・信頼性の確保に資する。
|
|
対象技術 その他認証技術
| テーマ名 モバイル端末におけるセキュリティ保護技術に関する研究開発
| 開発年度 平成16年度~平成18年度
| 実施主体 株式会社日立製作所(情報通信研究機構(NICT)からの委託)
| 背景、目的
近年、モバイル端末を用いた電子マネーや二次元バーコードと組み合わせたモバイルチケット、更にe-コマースなどのモバイルサービスが急速に普及しつつある。このような状況において、モバイル端末の不正な解析による端末内部の情報取得・改ざんや、モバイル端末の盗難・紛失などによる第三者の不正利用等が、モバイル端末利用者にとって大きな脅威となってきている。
本研究開発は、1つのモバイル端末で、多種多様なサービスを低コストで安全に享受できる世界の実現を目指すものであり、その実現のためモバイル端末単体の耐タンパ性を保ち、更に認証情報を適切に組み合わせた複合認証技術を確立する。その結果、利用者が異なるレベルのセキュリティが必要な多種多様なサービスを安全かつ簡単に受けることができる。さらにこれらの研究成果の統合により、モバイル端末の安全性を確保する技術を確立し、その安全性を利用者に明示する仕組みを実現する。
| ・
| 平成16年度より以下の研究開発を実施中。
(1) 耐タンパ技術に関する研究開発
(2) 複合認証システム技術に関する研究開発
(3) セキュアモバイル端末利用システムに関する研究開発
| ・
| 平成18年度末に開発終了予定。
|
| 詳細の入手方法(関連部署名及びその連絡先)
独立行政法人情報通信研究機構 研究開発推進部門委託研究推進室
(http://www2.nict.go.jp/ns/s802/itakukenkyu.htm) 電話 03-3769-6810
| 将来の方向性
上記セキュリティ技術を確立し、高度情報通信ネットワーク社会の安全性・信頼性の確保に資する。
|
|
対象技術 その他認証技術
| テーマ名 ICカード等における認証のための高度な暗号技術に関する研究開発
| 開発年度 平成16年度~平成18年度
| 実施主体 株式会社日立製作所(情報通信研究機構(NICT)からの委託)
| 背景、目的
ユビキタスネットワーク社会では、IT におけるPC やサーバのみならず、携帯電話やPDA(Personal Digital Assistance)などの携帯端末、クレジットカードや電子マネー機能を搭載したIC カード、そしてRFID (Radio Frequency IDentification)タグなど、多種多様な機器がネットワークを介して互いに情報をやり取りする。このような人・機器のネットワークによる繋がりは今後ますます緊密になり、それに伴い多様なサービス提供が可能になると想定される。 また、これらの小型電子機器の普及に伴って、通信における信頼性確保や、機器に格納されている情報保護の問題等が重要視されているが、一般的に小型電子機器では、コスト面や実装上の制約等の理由により、セキュリティ機能が省かれる場合が多く、通信内容の改ざんや秘匿すべき情報の漏洩防止などに十分な対処を実施できないことも少なくない。 こうした問題は、データの真正性検証、機器認証など、必要最低限の認証技術を実装することで回避できる。しかし、IC カードなどの小型電子機器で利用される認証技術においては、機能を実装するためのハードウェア回路規模やマイクロプロセッサのメモリ使用量などに対して厳しい要件が課される。さらに、外部からの微小な電力供給に依存して動作するRFID タグなどの電子タグでは、消費電力量についても制約がある。 従って、これからのユビキタスネットワーク社会におけるセキュリティ確保のため、小型電子機器での利用に適した、新たな認証技術の確立が急務であり、本研究開発においては、ユビキタスネットワーク社会で各種活用されるユビキタスネットワーク端末において、なりすまし等をはじめとした危険を未然に防ぐことのできる「認証技術」に関する研究開発を行う。
| ・
| 平成16年度より以下の研究開発を実施中。
(1) 認証方式の設計技術
(2) 認証方式の安全性評価技術
| ・
| 平成18年度末に開発終了予定。
|
| 詳細の入手方法(関連部署名及びその連絡先)
独立行政法人情報通信研究機構 研究開発推進部門委託研究推進室
(http://www2.nict.go.jp/ns/s802/itakukenkyu.htm) 電話 03-3769-6810
| 将来の方向性
上記セキュリティ技術を確立し、高度情報通信ネットワーク社会の安全性・信頼性の確保に資する。
|
|
対象技術 その他認証技術
| テーマ名 インターネットアプリケーションのセキュリティ脆弱性に関する研究
| 開発年度 平成12年度から
| 実施主体 独立行政法人産業技術総合研究所グリッド研究センター
| 背景、目的
電子政府、電子自治体、ネットバンキング、電子商取引などの様々なサービスが、Web アプリケーションとして構築される動きが急激に拡大しつつある。しかし、Webアプリケーションのアクセス制御機能は、統一された安全規格があるわけでなく、各サイトで個別にその都度設計・実装が行われており、その安全性は、システムの発注者が仕様書に安全基準を正しく盛り込めるか、あるいは受注者が自主的に正しい設計・実装を行うかにかかっている。我々のこれまでの調査で、なりすましアクセスを許してしまう欠陥のあるサイトが実際に数多く運用されていた事実が判明している。
こうしたアクセス制御機能の欠陥(セキュリティ脆弱性)の問題は、発注仕様書の作成、システムの開発、納品物の検収に携わる各現場の技術者が、安全なアクセス制御に関する正しい知識を持つ他に解決の道はない。この研究は、実運用サイトに存在した欠陥の原因を分析し、正しい設計・実装のための技術情報を事例に基づいて公表することで、同じ欠陥が繰り返し生産される事態を防止することを目的とする。
| 研究開発状況(概要)
平成16年度の成果:
近年普及が進みつつある「SSL-VPN」に分類されるアクセス制御製品について調査し、複数の製品において、15年度に公表したcookieの非secureモードでの発行を原因とする欠陥と同一の問題が存在する(SSLのクライアント認証を使用せずにユーザ名とパスワードでログインするモードを使用している場合に、セッションハイジャック攻撃を許してしまう)ことを発見した。この事実を、「ソフトウェア等脆弱性関連情報取扱基準」(平成16 年経済産業省告示第235号)に基づき、届出機関である情報処理推進機構に届け出た。その結果、一部の製品はその欠陥が修正され、この事実は同機構より9月30日に公表された。
平成15年度の成果:
SSL暗号化による情報保護を約束していて、かつ、cookieに頼ったアクセス制御方式を採用している国内の22サイトを調査し、cookieの非secureモードでの発行を原因とする欠陥(パケット盗聴によるセッションハイジャック攻撃を許し、その結果として、サイトに登録されている個人情報等の漏えいを招く欠陥)のあるサイトが20か所に及ぶことを明らかにした。この問題の原因と解決方法をテクニカルレポートにまとめて出版した。これを受け、経済産業省からこの問題について周知徹底を図るよう関係団体に要請する通知がなされた。
これまでの研究で培ってきた欠陥検査の手法を基に、アクセス制御機能の欠陥を機械的に検出する脆弱性診断ソフトウェアを考案し、特許出願した。
平成14年度の成果:
秘密情報を含まないcookieに頼ったアクセス制御方式の欠陥について調査し、国内の5 つのサイトにおいて、のべ4百万~5百万人分ほどと推定される個人情報が、パスワードなしに誰でもいつでも閲覧可能な状態にあったことを指摘した。これらの事例を基に、この欠陥の原理と解決策を解説する文書を公表した。
政府認証基盤(GPKI)および地方公共団体組織認証基盤(LGPKI)において、通信路の信頼の起点となるはずのルート証明書およびそのフィンガープリント(真正性確認情報)が、信頼できない通信路によって配布されており、誤った安全確認手段を国民に習慣づけてしまう危険性があることを指摘した。
平成13年度の成果:
クロスサイトスクリプティング脆弱性について調査し、国内の大手サイト8か所において個人情報が漏洩する可能性があり、うち3サイトではクレジットカード番号も盗まれ得る状態であることを指摘した。また、プライバシーマークおよびオンラインマークの取得事業者から無作為に抽出した50サイトと、銀行22サイトのうち、約8割に同脆弱性が残存していることを確認した。後に、経済産業省からこの問題について周知徹底を図るよう関係団体に要請する通知がなされた。
平成12年度の成果:
国内18か所のWebメールサービスのうち7ヶ所に、URLに含まれるセッションIDが漏洩することが原因でメールの内容を盗み見られる欠陥があることを指摘し、事例に基づく原因の解説を公表したところ、「REFERER問題」として広く知られることとなり、他のサービスにおいても同様の欠陥が自発的に修正されることとなった。
現在の研究状況:
これまでに発見、分析してきた欠陥パターンを体系化し、安全なWebアプリケーションの構築のために必要な開発手法の整理を進めている。 | 詳細の入手方法(関連部署名及びその連絡先)
これまでに公開した論文、資料等は下記のURLより入手できる。
http://SecurIT.gtrc.aist.go.jp/
| 将来の方向性
Webアプリケーションを含むシステムの発注仕様書で安全基準を指定するのに利用できる、実効的な欠陥防止対策リストの作成。
|
|
|
|
