東京大学における不正アクセス対策

東京大学　情報基盤センター中山雅哉

２０００年４月１８日

概要

• 東京大学の環境について• 学内ネットワークの管理体制• 不正アクセス等の動向• セキュリティ対策の体制整備について

東京大学の構成概要

• 組織構成：（１９９９年４月１日現在）– 附属図書館 　１– 大学院研究科 １３– 附置研究所 １１– 全国共同利用施設 　

４– 学内共同利用教育・研究施設等 １９これらの組織（部局）が、８つのキャンパスと４０を超える

遠隔研究施設等に分散している

東京大学関連施設の分布

http://www.u-tokyo.ac.jp/outline/p50.htm より

学内ネットワーク（ＵＴｎｅｔ）の変遷

• ＵＴｎｅｔ１（１９９０－１９９２）– 各キャンパスの建物をＦＤＤＩで接続– 事務用、ＩＰ用、マルチプロトコル用に分離

• ＵＴｎｅｔ２（１９９６）– 複数のエリア基幹ＦＤＤＩネットワークとそ

れを相互接続する主基幹ＦＤＤＩネットワークで構成

– ＡＴＭネットワークを別に構築

学内ネットワーク（ＵＴｎｅｔ）

駒場１

駒場２

麻布

白金

浅野弥生工学系

本部・医・理学系

文科系

中野

遠隔研究施設

ＩＮＳ他

ＳＩＮＥＴＷＩＤＥ /IMnet

本郷

柏2000/04/18 現在

ＵＴｎｅｔの構成

• 基幹ネットワーク– 各キャンパスを相互接続するネットワーク– キャンパス内で建物間を接続するネットワーク– 遠隔研究施設を接続する本郷側装置

• 支線ネットワーク– 建物内のネットワーク– 遠隔研究施設のネットワーク

ネットワーク機器は、支線ネットワークに接続される

ＵＴｎｅｔの運用管理体制（１９９３年４月１日～１９９９年３月３１日）

• 基幹ネットワーク– 大型計算機センターで運用・管理

• 支線ネットワーク– 各部局で運用・管理

• 部局管理者：　支線ネットワークの運用・管理を総括　　　　　　　　　　 部局長

• 部局担当者：　部局管理者を補佐する　　　　　　　　　　　　　　　　　　 [ 実質的な支線ネットワーク管理者 ]

• 設置責任者：　接続ネットワーク機器の管理責任者　　　　　　　　　　 本学の教職員

ＵＴｎｅｔに接続されたホスト数の変化

（正引きＤＮＳによる調査）

0

5000

10000

15000

20000

25000

30000

95/02

95/05

95/08

95/11

96/02

96/05

96/09

96/12

97/03

97/08

97/11

98/02

98/05

98/08

98/11

99/02

99/05

99/08

99/11

00/02

接続ホスト数の部局別分布

0246810

1- 21-

41-

61-

81-

100-

300-

500-

700-

900-

2000-

4000-

6000-

2000/01 調査

ＵＴｎｅｔでの運用管理について

• 基幹ネットワークの運用管理– 初期の頃から、安定したネットワーク接続性確保

に重点が置かれており、国際回線を含めた対外接続でも透過なネットワーク接続性が望まれていた。

• 支線ネットワークの運用管理– 接続機器の管理を含め、当初は学生や教官による

ボランティア主体であった。　一部の部局では、外部に業務委託しているケースもある。

学内ネットワークのセキュリティ対策については数年前まで、あまり意識されていなかった

不正アクセスの事例と対策

• ユーザアカウントの不正利用– パスワードクラック ユーザ教育の実施– ネットワークスニファ 支線ネットワークのＳＷ化、ＯＴＰの導入推奨

• 計算機の不正利用– 踏み台 ＯＳのセキュリティ対策の啓蒙– ３ｒｄ　ｐａｒｔｙ　ｒｅｌａｙ 不要サービスの停止、 relay

機能の停止

• 計算機へのＤｏＳ攻撃– ｓｍｕｒｆ 該当アドレスの ICMP をフィルタ ルータでの

directed broadcast の廃棄

不正アクセス等の動向

• postmaster などへの報告事例– ３ｒｄ　ｐａｒｔｙ　ｒｅｌａｙ　の報告

がほとんど

010203040506070

97/07

97/1

0

98/0

1

98/0

4

98/0

7

98/10

99/0

1

99/0

4

99/0

7

99/1

0

00/01

00/0

4

ホス

ト数

不正アクセス等への対応• １９９７～１９９８年

– ネットワーク管理者に学外などから連絡があった場合、該当する機器の管理者と連絡をとり、適切な対策を施すことができる部局の担当者に依頼して対策する方法

• １９９９年～– 部局の担当者に依頼すると共に、状況を確認後、被害軽減の

ために対外ルータで該当機器に対するフィルタ措置を実施– 部局からの依頼に応じ、商用ソフトなどを用いたセキュリ

ティ診断を開始– 学内ホストの事前 ３ｒｄ　ｐａｒｔｙ　ｒｅｌａｙ　

チェックと対策依頼

学内での不正アクセス対策例

• 基幹ネットワークのルータによるパケットフィルタの設定

• 支線ネットワークでの firewall の設置• 外部組織によるセキュリティ監査の導入• 登録ＭＡＣアドレスだけを接続許可する方式 …

セキュリティ対策の体制整備（１）

• 全学的組織の整備について

– 高速計算機委員会（全学委員会）のもとに「セキュリティ対策検討小委員会」を設置。学内体制とガイドラインについて検討　 [ １９９８～１９９９ ]

– 高速計算機委員会が廃止され、「東京大学情報委員会」が設置される [ １９９９ ] 　（現在、セキュリティ対策検討小委員会の報告書を受けて、学内体制の整備について準備が進められている）

セキュリティ対策の体制整備（２）

• 学内セキュリティ対策支援部門の組織化

– 大型計算機センターが教育用計算機センターなどと統合され、「情報基盤センター」が発足した [ １９９９ ] 。学内共同利用部門のキャンパスネットワーキング部に「分散システムセキュリティ支援掛」が設置される

• （学内向けの）セキュリティ関連講習会の実施• 依頼のあった部局に対するセキュリティ診断の実施• セキュリティ関連情報の提供／技術支援　など

全学的セキュリティ対策組織の現状

• 情報委員会（規則は１９９９年１１月１６日施行）– 情報基盤専門委員会– 情報政策専門委員会

• 東京大学のセキュリティポリシーの策定

– 情報ネットワークシステム専門委員会• 従来の UTnet 運営委員会に相当• UT-CERT/CC を設置

部局等 CERT

専攻等ネットワーク委員会

専攻等 CERT

＊専攻等ネットワーク委員会　　専攻等 CERT は、必要に応じて設置

部局長

情報委員会

情報ネットワークシステム専門委員会

UT-CERT/CC

部局等ネットワーク委員会

情報交換

情報交換報告指示指示 報告

情報交換

指示 報告

情報交換

報告

ＵＴ－ＣＥＲＴ構想（案）

UTnet 運用規則の一部改正• 運用管理責任区分の明確化 ( ３条）

– （情報基盤センターの業務は内規で規程）– 部局管理者からの支線ネットワークへの接続機

器の変更等についての大型計算機センターへの報告廃止 (旧５条、新６条）

• 利用範囲における迷惑行為の禁止付加 （旧７条、新５条）

• 設置責任者のネットワーク機器、利用者の運用管理責任の重点化 （８条）

2000/04/18 施行予定