現在のインターネット上ではサイトの規模、
個人や法人に限らず様々な脅威に晒されています。
ここでは、実際にどのような攻撃を受けており、
その脅威はどのようなものであるかを解説します。
常時接続環境が増えつつある現在、
小規模サイトにおいてもセキュリティ対策が望まれています。
これはなぜでしょうか?
「我々のところを攻撃しても何もメリットは無い」と言い切る方もいらっしゃいます。
しかし、単に相手を攻撃するだけではありません。
本来攻撃すべきサイトに対する踏み台として利用される場合もあります。
また、思いもよらない方法によって誹謗中傷を受けることもあります。
過去には、ほんの軽い誹謗中傷に端を発し、気づかない間に大きな話となり、
最終的にはビジネスに影響を及ぼすといったこともありました。
SOHO環境では、自宅で仕事を行うということが中心になりますが、
企業内では情報システム部門がセキュリティを確保しているため、
自身ではセキュリティのことを気にせずに仕事を行うことができました。
しかし、SOHO環境のように自宅で仕事を進める場合、
会社や取引先との間で機密事項が漏れてしまった場合、または見積書が漏れてしまったがために仕事に支障をきたすということも少なくありません。
そして、小規模サイトの多くは、企業のように専任の管理者を置くことができないため、手薄なっているところも少なくありません。昨今、こういうサイトが直接攻撃を受ける、または踏み台として他サイトへの攻撃に利用されるということが発生しています。
現在必要なことは「なぜ守らなければならないのか」という疑問ではなく
「守らなければならない」という意思が必要なのです。
しかし、闇雲にセキュアな環境を目指すことはできません。
その一つが利便性に問題が出てくるという点です。
たとえば、本当にセキュアな環境にするにはネットワークを物理的に切り離すことで実現できます。これでは外のネットワークからアクセスされないと同時に自ネットワークから外にもアクセスできなくなります。
ネットワークのセキュリティ確保は、
セキュアな環境と利便性という相反するもののトレードオフをどこに設定するかであると言えます。
|
|
時々耳にする言葉として
「私たちのネットワークはFirewallを導入しているから安心だ」
「実績のある業者がセットアップしているから大丈夫だ」
というものがあります。
これには大きな間違いがあります。
セキュリティ上、「安全である」「大丈夫である」ということは、
構築した時点では言えるかもしれません。
しかし、時間の経過と共にそれはどんどん陳腐化してゆきます。
ネットワークセキュリティを確保するために重要なことは、
システムや業者の技術ではありません。
もろん、これらは初期導入時に必要なものです。
導入時のまま放置していること、そして安心してしまうことが問題なのです。
セキュリティを確保するための3つの要素があります。
これを怠ると費用や手間をかけて設定したものが意味の無いものになってしまいます。
場合によっては、費用や手間をかけずに構築したネットワークの方がセキュアな環境になっているときもあります。
| セキュアな環境を維持する3要素 |
|---|
|
セキュアな環境を維持するには、まず最新の情報を入手しなければなりません。
現在、どのような問題が発生しているのか。そして、その問題は自ネットワークにおいて関係あるのか等です。もし、Firewall製品を導入している場合は、その製品に関係のある情報を得ることも可能です。
もし、関係のある問題があれば、その対処方法を考えます。そのサービスを停止すべきか、続行するのであればどのように対処すべきかといったものです。大抵は、ソフトウェアにパッチをあてる作業や、設定を追加するといった作業が伴います。
場合によっては、停止し代替のサービスを提供するといったこともあります。
情報の入手や対処方法を考えるにあたって必ず必要ななものが日常の監視です。
自サイトではネットワークを利用してどのようなサービスを提供しているのか、
何が動いているのか、そして外部からどのようなパケットが届いているのかを監視し自サイトの状態を把握する必要があるのです。
自サイトの状態を把握していなければ、最新の情報を入手したところで、何が関係あるのか見当もつかないといったことにもなりかねません。
これらの事に必須となる条件があります。
それは、セキュアな環境に対する意識です。
この意識が欠けていると、新しいセキュリティ情報の入手を行わなくなります。
新しいセキュリティ情報の入手を行わなくなると、
発生している問題が判らず対処が遅れるということになります。
さらには、日常の監視を怠る結果に繋がってくるのです。
サイトをセキュアな環境にするためには、ソフトウェアやハードウェアの機能ではなく、管理する方達の意識と、その意識に基づいた3つの要素が必要となります。
常時接続環境において特に言えることですが、
気づかない間に攻撃を受けている場合が多くあります。
また、パソコンの調子が悪いと勘違いしている場合もありますが、
この状態においても攻撃を受けているかもしれないのです。
主な攻撃はいくつかの種類に大きく分類されます。
ポートスキャンを攻撃としてみなすかどうかにおいては意見の分かれるところですが、
本書では、攻撃の準備として行うポートスキャンは攻撃の一つとみなします。
多くの場合、攻撃を行う前に攻撃対象を絞る必要があります。
これは、主にポートスキャン
と呼ばれる行為により攻撃対象の絞込みを行います。
この攻撃対象は、対象となるホストと、そのホストでは何処に攻撃をすることが有効か、どこから侵入できそうか等を探ります。
もちろん、対象となるホストが確定している場合であっても、
ポートスキャンが行われます。
よって、ポートスキャンは攻撃を受ける前兆として考える必要があり、
そこで見つけた弱点が攻撃を受けることとなります。
|
|
これは、空き巣などが泥棒に入るときの手順と同じと考えることができます。
泥棒は、目的の住居や事務所などで施錠されていない部分を探し、
または壊しやすい鍵の個所を探します。
次に、実際に侵入し、貴重品などを盗むという手順です。
留守にするときだけでなく、使用していない窓やドアは施錠を行う。
これと同様のことがネットワーク上においても言えるのです。
しかし、必ずポートスキャンが行われるとは限りません。
たとえば、トロイの木馬を仕掛け、管理者やユーザのパスワードを取得する場合、
弱点を突いて侵入やプログラムを送り込むこともありますが、
ユーザが自らトロイの木馬を入れてしまう場合もあります。
これは、Web PageにActiveXコントロールなどを使用して、
そのページを参照したWebクライアントに仕掛けるというものです。
この場合は、特に目標となるネットワークやホストが決まっているわけではなく、
不特定多数を相手にしていることになりますが、
気づかないうちに仕掛けられているということがあるのです。
では、その弱点とは何でしょうか?
よく言われるものに、脆弱性や危険性などがあります。
主なものを以下に列挙します。
主に、セキュリティホールを狙いrootやAdministrator権限を取得するケースや、
対象となるホストで何らかのプログラムを動作させるものがあります。
また、これはスクリプトやプログラムのバグを利用する場合もあります。
特にプログラムのバグによって他のプログラムを動作させたり、
動作を停止させてしまうものには"Buffer Over Flow"と呼ばれる種類があります。
攻撃を受ける理由はいくつか存在します。
主なものを列挙します。
多くの場合は、この例のどれかに該当します。
たとえば、退職した元社員(元職員)が嫌がらせの目的で侵入しデータ等を消去するといったケースや、単なる好奇心からゲーム感覚で攻撃するケースなど様々です。
自サイトが攻撃される覚えが無いからと言って安心はできません。
たまたま目にとまったサイトだから攻撃したという例や、ドメインの一覧を入手し、それらを全て絨毯爆撃方式で攻撃していくことも多くあります。
冒頭で述べたように「我々のところを攻撃しても何もメリットは無い」
と考えるのは明らかに誤りなのです。
昨今、非常に多いケースがメールサーバの3rd party relayを利用したspamメールの配信です。
内容は通信販売やマルチ商法の勧誘など多岐にわたります。
多くの人は、このようなメールを受け取っても興味を持つどころか嫌な気分になりがちですが、インターネットの電子メールという特性利用し、無料で多くの人に対して強制的にメールを配送してしまいます。
この場合、たとえば10万人にメールを送信したと過程し、99%の人が内容とこのメールのために使用した通信費用のことで嫌悪感を持ち、残り1%の人が興味を持ったとします。
このとき、10万人の1%にあたる1,000人が興味を持ったということです。
spamメールを配信する側は、これだけでも十分な利益を得ることができます。
しかも、メールの配信は無料であり、10万人に対して送信するためのサーバは、全く異なる組織のメールサーバを勝手に利用しているためコストがかかりません。さらに、郵便によるダイレクトメールや電話によるセールスと異なり、10万人に対して送信するには、目の前にあるキーボードを叩くだけで済むのです。
ここで、実際にどのような攻撃に晒されているかを見てみましょう。
これまで行われてきた主な攻撃例を実際に解説します。
なお、ここでは「どのような攻撃があるのか」という点にのみ解説し、
その手法などは一部を除いて公開しません。
| 攻撃の実例 |
|
|---|---|
| ポートスキャン |
リモートアクセス |
| spam |
パスワード解析 |
| IP Spoofing |
盗聴 |
| DoS |
リモートアクセス |
| バックドア |
リモートコントロール |
| トロイの木馬 |
Web Page改竄 |
| スクリプト |
|
セキュアな環境を構築するうえで、重要なことは闇雲に恐れないということと、
セキュリティを甘く見ないということです。
この2つは矛盾しているようですが、両者共に重要なのです。
たとえば、闇雲に恐れた結果、非常にセキュアなサイトになったと仮定します。
しかし、こういったサイトの多くは利便性が下がる結果となります。
なぜなら、最もセキュアなサイトはネットワークから物理的に切り離したサイトであるからです。これでは通常の業務は行えません。
そして、セキュリティというものを甘く考えてしまった場合、
結果的に世界中から攻撃を受け、
業務に支障をきたすこととなることも考えられます。
この攻撃を受けるホストはWebサーバやメールサーバだけではありません。
たとえば、クライアントで動作しているプログラムを悪用したり、
踏み台として利用されるといったことが現実に発生しています。
では、この矛盾する2つをどのように考えるべきでしょうか。
セキュアな環境を構築するということは、何かを守るということです。
この何かによって大きく異なります。
サーバにあるデータ、CPUやネットワークなどの資源、顧客の情報、そしてサイトの信用といったものが挙げられるでしょう。これらの何を守らなければならないのかということを考えたうえで、恐れずかつ甘く見ないということが必要になってきます。
まず、闇雲に恐れても仕方がありません。
攻撃する側が、どのような攻撃を行い、その攻撃を受けたときの影響は何かということを見極めて対策をとっていくことが必要になります。
そうしなければ、全く意味の無い部分に対して貴重な時間と費用を投入することになります。
正確な数字を出すことは困難ですが、おおよそ現在のサイトに対する脅威のほとんどは既存の手法によるものです。
言い換えるなら、これまでにどのような手法で攻撃が行われたかを把握することによって、ほとんどのの攻撃は回避可能です。回避が難しいものは、唯一新しい手法で攻撃された場合になります。
つまり、日頃から情報を収集し、適切な対処を行っておくことが必要なのです。
この作業を行わなければ、時間と共にセキュアな環境とは言えなくなるのです。
Copyright(C) 2001 Information-technology Promotion Agency, Japan. All rights reserved.
