To: info@jpcert.or.jp
コンピュータ緊急対応センター(JPCERT/CC)殿　　　　1998年 4月 27日

From: joe@ash.or.jp
届出者　升村　丞

［不正アクセス情報届］

1.不正アクセスを受けたサイトについてご記入ください。 
　　組織名称: マルチメディア研究会ＡＳＨ
　　ドメイン名: ash.or.jp
　　組織の概要: マルチメディアの研究
　　インターネット・サービス・プロバイダか否か [はい/いいえ]: いいえ

2.あなたの連絡先をご記入ください。
　　氏名: 升村　丞
　　電子メール・アドレス: joe@ash.or.jp
　　電話番号: 076-261-4921
　　FAX 番号: 076-261-4921

3.影響を受けたホストの情報
　　ホスト名：srv01.ash.or.jp
　　ＩＰアドレス：210.154.87.18
　　ハードウェアと OS のバージョン情報:
　　　ハードウェア：ＡＴ互換機
　　　ＯＳ：LINUX 2.0.0
　　　Network：OCNエコノミー
　　影響を受けたホストの役割:
　　　ルータ、DNSサーバ、メールサーバ、WWWサーバ、FTPサーバ
　　攻撃の結果、そのホストは被害を受けましたか [はい/いいえ]: はい
　　　・Ｗｅｂサーバが停止しました。
　　　・メールの送受信ができなくなりました。
　　　・ファイルのアクセス権がめちゃくちゃになりました。
　　　・掲示板などの書き込みができなくなりました。
　　　・カウンタが動作しなくなりました。

4.不正アクセスの内容
　　不正アクセスの 分類
　　　・当サーバへの侵入
　　　・侵入者が「トロイの木馬」プログラムをインストール
　　不正アクセスが行われた日時と期間:
　　　1998年 04月 19日 2時から、1998年 04月 22日 7時まで、約3日間
　　どのようにして不正アクセスを発見したか:
　　　４月１９日に、Ｗｅｂサーバが停止しました。
　　　ファイルのアクセス権がめちゃくちゃになり、掲示板などの書き込みができなくなりました。
　　攻撃元 (もしわかれば):
　　　侵入者は、以下のドメインと思われます。
　　　　d082.pop135-2.israsrv.net.il
　　　　d199.pop135-2.israsrv.net.il
　　　　d020.pop135-2.israsrv.net.il
　　　　dialup1-123.pop002.israsrv.net.il
　　　　dialup1-132.pop002.israsrv.net.il
　　侵入方法:
　　　・侵入経路は、国内のプロキシーサーバを経由して、pop3 ポートから侵入された可能性が高いです。
　　その他:
　　　・被害状況などは、以下のＵＲＬにまとめてあります。
　　　・情報は、リアルタイムに更新しています。将来的には、公開予定です。
　　　　　http://ash.or.jp/joe/trojan/
　　　・海外からの直接アクセスは、tcp_wrapperにより、アクセス禁止にしてありました。

5.JPCERT/CC のどのような対応を希望なさいますか。
　　　・上記の不正アクセスの解決に協力して欲しいです。
　　　　　その不正アクセスは、現在も継続中か:はい
　　　　　最後に不正アクセスが行われた日時: ４月２５日
　　　　　不正アクセスの発生頻度: 週１回から２回程度
　　　・当サイトは、イスラエルのハッカーにより集中的に狙われています。
　　　　　1997/11 Ｌａｎｄアタックのための踏み台
　　　　　1998/02 当サイトのルータのパスワード変更
　　　　　1998/03 アメリカ国防総省へ侵入のための踏み台
　　　　　1998/04 トロイの木馬による当サイトへの攻撃
　　　　そのため、ローカルネット化し、プロキシーサーバを導入する予定です。
　　　　その対策もホームページ上にまとめていますので、コメントを頂ければ幸いです。
　　　　　http://ash.or.jp/joe/trojan/ashenv.htm ａｓｈ環境構築方法
　　　　　http://ash.or.jp/joe/trojan/proxy.htm  ａｓｈプロキシーサーバの設定方法