2005/06/15


利用者各位


社団法人私立大学情報教育協会
事務局

当協会のWebサーバへの不正アクセスと改竄について経過報告

 当協会で運営するWebサーバ(juce-cont.juce.jp。以降juce-cont)が、先日、不正アクセスと改竄を受けました。juce-contは、試験的に情報交流を行ったり、全文検索システムに利用しているサーバです。
 これまでに判明している情報、今後の対応について取り急ぎご連絡申し上げます。
※文中の時間は全て日本時間

発見に至った経緯

5月16日(月)午前9時30分前後:

 当協会およびISP宛に、電話およびメールで、juce-contのWebの中に、米国の銀行を騙るサイト(以降偽装サイト)があると指摘する連絡が、同銀行の代理と称する者からあった。事務局からもその偽装サイトが確認できたので、juce-contをシャットダウンした。
 それに先立ち、5月14日(土)午前1時33分過ぎに、メールで最初の指摘があったが、この時点ではこのメールに気づかなかった。

その後の対応
 サーバ・ネットワーク保守業者に連絡を取り、ログの解析、ファイアウォールの見直し、システムの再構築を行い、再稼動させた。また、当協会には、juce-contのほかに、主に広報・情報提供を目的に稼動しているWebサーバ(www.juce.jp。以降www)があるが、同様の被害にあっていないか、利用者に危険性はないか確認したところ、不正に侵入された形跡はなく、ウィルス等、通常のWeb利用者にとって脅威となるものは発見されなかったため、wwwは継続して稼動することとした。

ログ解析について
現在までのところ、以下のことが判明しています。

5月5日(木・祝)午前2時29分 apache(Webサービス)がリスタートされるなど、不審な動きが認められる。
5月13日(金)午後11時29分 偽装サイトへの最初のアクセス発生
5月13日(金)午後11時30分  juce-contから海外ドメインのメールアドレス宛にメールが送信された。その後合計19件の送信が確認された。送信内容は残っていないため不明であるが、偽装サイトに、ユーザID、パスワード、クレジットカード番号等を入力させるスクリプトが仕込まれていたことから、これらの情報が送信された可能性が非常に高い。
  ※juce-contでは、通常、内部宛にログの送信以外メールを送信する設定を行っていなかった。

juce-contから、その他の個人情報等が流出した形跡はありません。また、ウィルス等、閲覧者に危害を加える改竄が行われた形跡もありません。

関係各機関との連携

上記の記録から、今回の不正アクセスは、偽装サイトを閲覧した利用者のアカウント情報、クレジットカード情報等を騙し取る、いわゆるフィッシングを目的にしたものと判断し、関係各機関に報告・ログ提供などを行い連携をとっております。

5月17日 JPCERTへの報告・今後の対策相談
5月18日 警視庁ハイテクセンターへの被害相談
5月19日 警視庁麹町署への被害相談・ログ提出
5月19日 カード情報等が送信されたあて先のメールサービス業者への情報提供・調査依頼

今後の対応
 現在、サーバのセキュリティ対策をより厳重なものに変更しているほか、セキュリティ基準の見直し、緊急時の対応手順の確立など、より安心してご利用いただけるよう、対策をとって参りたいと考えております。

なおこの件についての対応窓口は以下の通りです。

社団法人私立大学情報教育協会事務局