|
多くのサイトでは、社員や職員に対しリモートアクセスの接続を提供しています。
たとえば、出先から普段自分が使用しているサーバの資源を利用するためには、
外部から単純に接続するだけではセキュリティ上許可していない場合がほとんどです。
このとき、社員や職員に対してのみ利用できる回線を用意し、
モデムやTAなど通信機器を接続しリモートアクセスサービスを提供するのです。
これによって、Firewallのセキュリティレベルを落とさずに社員や職員に対してLAN上の資源を職場に居る時と同じように利用できるようにすることができます。
しかし、ここに大きな落とし穴があります。
ここでは、限られたユーザに対してリモートアクセスサービスを提供する場合の問題点を解説します。
ウォーダイヤリングと呼ばれる手法があります。
これは、予め予測している範囲の電話番号を使用し順番に電話をかけます。
音声が聞こえれば通常の電話ですが、場合によってはモデムやFAXが反応することがあります。モデムとFAXの違いはその通信方法を調べることによって判別することができます。
ここまで解説すると何が問題であるか予想できるかもしれません。
表(Firewall)のセキュリティを落とさず、
意図しない裏口(リモートアクセス)を作成してしまうのです。
住宅で言えば玄関に厳重に幾つ施錠しておいても勝手口が無施錠である状態です。
リモートアクセスの電話番号は、
通常そのサイトの電話番号に近い加入者番号を使用しています。
状況によっては加入者番号が異なることもありますが、電話回線を敷設する際、
利便性を考え音声通話の代表電話番号の次の番号をFAXの番号とすることがあります。
同時にリモートアクセス用の回線を敷設した場合などはこの付近の番号を使用していることが多いのです。
|
攻撃する側は、どのように調べるのでしょうか。
ここで使用するものが、ウォーダイヤリングを行うソフトウェアです。
ダイヤリングを自動で行うことにより、
寝ている間でも発信しモデムが接続されている電話番号を探します。
対象となるサイトの代表電話番号やいくつかの直通電話番号を調べ、
その近くの範囲をウォーダイヤリングによってしらみつぶしに探すのです。
 |
このことから、リモートアクセスの電話番号は、
代表番号等公開している電話番号の近くに設定しない注意が必要です。
また、フリーダイヤルで社員や職員にリモートアクセス環境を提供している組織もあります。
これはウォーダイヤリングにおいて電話代を浮かせることにも繋がります。
ウォーダイヤリングによって運悪く見つけられてしまった場合や、
フリーダイヤルを用いず正規のユーザには電話代を負担させたくない場合、
これらのためにはどうすれば良いのでしょうか。
一つの解決策として、リモートアクセスの設定をコールバックにする方法があります。
コールバックかつ予め登録してある電話番号のみにしかコールバックしないという設定であれば、万一リモートアクセスの電話回線を発見されてもなかなか侵入することができません。
リモートアクセスの回線は、
必ずコールバックの設定と運用を行うようにしてください。
もし、コールバックを行うと交換台を経由してしまう等の理由でコールバックが使用出来ない場合は、たとえばCTIなどで使用されているハードウェアを導入する方法も考えられます。
CTIのアダプタやソフトウェアには、特定の番号以外を着信拒否とする設定が可能なものがあります。これらを使用し、事前に登録しておいた電話番号にのみ着信を許可するという方法をとることができます。
Copyright(C) 2001 Information-technology Promotion Agency, Japan. All rights reserved.
