ITセキュリティ基礎知識シリーズ

第3回　インターネットからのサイト攻撃と防御

シリーズ第3回では、インターネットを通じた伝統的なサイト攻撃の例(脅威の例)とその防御方法についてご説明いたします。脅威として知られているものは、防御手段がありますが、全てに対応しているサイトは、必ずしも多くありません。

Webサービスの利用を困難にするDOS攻撃

（図3-1）DDOS攻撃の例

DOS（Denial of Service)攻撃とは、ホームページ等インターネットを通じてサービスを提供しているサイトに対し、無意味な接続要求を多量に行うことで、そのサイトのネットワーク資源やコンピュータ資源を過負荷状態にし、結果的に本来の利用者が接続しにくい状態を引き起こしたり、コンピュータを停止させたりする攻撃をいいます。DOS攻撃は、接続を繰り返すことを行う単純なものから、電文を複数個用意し、セッション中にまで入り込んだままで放置し、接続中のクライアント数をシステムの上限値を越えてしまうまで引き上げるものもあります。DOS攻撃は、通常特定のインターネット上のアドレスから送られてきます。対処方法としては、このような攻撃が感知された場合への対応としては、IDS（Intrusion Detection System：侵入検知システム）をファイアウォールの前のネットワーク側に置くことが挙げられます。IDSには様々なものがありますが、社会システムやビジネス上でインターネット接続が極めて重要なシステムなど、標的になりやすいシステムでは、IDSから有人監視センターに検知や状況等の通知が行え、監視側の命令により特定通信を遮断することで対応しています。

DOS攻撃の一種に、DDOS（Distributed Denial of Service）とよばれるものがあります。これは多くの人が協調して、いろんなネットワークアドレスから攻撃を仕掛けたり、踏み台として複数の第三者の脆弱性をもつサイトを経由したりして攻撃をしかけるものです。攻撃元が多数存在することから、IDSを用いた遮断や正当なアクセスなのか、それとも攻撃なのかの判別が容易ではありません。このような攻撃を防ぐためには、インターネットにサイトをもつサーバすべてが、踏み台にされないように安全対策を施すことが重要なのです。踏み台にされるという意味では、被害者なのですが、実際の被害に対しては加害者となる例です。（図3-1）

侵入のための準備ポ-トスキャン

大抵のインターネットに接続しているサイトには、ファイアウォールが設置されています。ファイアウォールは、そのままでは、何の通信も通過させません。あるサイトが、ホームページで情報を提供するのであれば、「プロトコル（通信規約）：httpの接続要求は、外部から入ってくる」というようにファイアウォールを設定します。Eメールを使うのであれば、「プロトコル：Sendmailが出入りする」ようにファイアウォールの設定をします。すなわち、ファイアウォールは、通ることができるものなのです。ファイアウォールを抜けたハッカーたちは、まずサーバヘの侵入口を探そうとします。サーバがどのようなサービスを行っているかを知ることで、侵入口を探します。そのために行われるのが、ポートスキャンといわれるものです。サーバで動いているサービスには、ポートといわれる番号がついていて、この番号を探ることで、何のサービスが動いているかを知ることができます。

団地の入り口（ファイアウォール）を抜け、一軒一軒扉のノブを回してみるようなものです。うっかり鍵を掛け忘れていたり、ノックと間違えて、素直に部屋の鍵を開けてしまったりしたら、ハッカーの思う壷、攻撃の第一段階、侵入口の発見完了です。

ポートスキャンによって、ハッカーはサーバのOSもしっかり確認します。パッチレベルの低い（OSの修正が施されていない）OSであることがわかれば、セキュリティ上の弱点があることが明白にハッカーに知られてしまいます。

ポートスキャンは、一方で、システム管理者が、管理するサーバがどのようなサービスを行っているかということを確認するためにも使用されますので、決して世の中から消えることはありません。

ポートスキャンそのものが、悪さをするわけではありませんが、ポートスキャンをされるようであれば、狙われていることと同義なので、防御をしっかり確認することが必要です。ポートスキャンの有無は、ネットワーク監視・サーバログ監視によって発見するしかないのが一般的です。サイトの監視が、ポートスキャンまで行えているかどうか、確認されることをお勧めします。（図3-2）

（図3-2）ポートスキャン

トロイの木馬

トロイの木馬とは、サーバに仕掛けられたプログラムで、サーバのサービス（プログラム）を通常は行いながら、仕掛けた人や組織にバックドアなどを通じて、サーバで得られた情報を流したり、仕掛けた人のリモートコントロールに従って、サーバにあるデータを破壊したりします。手口が、トロイの木馬の故事に似ているため、このように呼ばれます。

よく知られたトロイの木馬の手口には名前がつけられていますが、その手口、内容も様々で、きりがありません。たとえば、パスワードを解析するプログラムがトロイの木馬のプログラムに置き換えられたとします。このプログラムは、通常のパスワードの解析処理をしながら、せっせとユーザーIDとパスワードを外部に送るという、スパイさながらの働きをします。得られたパスワードとユーザーIDを使って、仕掛けた人は、更に行為をエスカレーションします。まさに、サーバがのっとられた状態になるのです。（図3-3）

（図3-3）トロイの木馬の手口

この攻撃を防ぐには、普段からサーバをしっかりと守ることが、必要ですし、不明なプログラムがサーバ上で動いていないか、考えられない通信が行われていないかなど総合的に監視して、早期発見することが重要です。日本で個人情報が漏れたという報道の中には、この手口でやられたのではないかと思われるものも見受けられます。

ここに挙げたものは、インターネットからもたらされる脅威のほんの一例です。セキュリティ事故を防ぐために総合的な対策が求められているのです。

（※本ニュースは、漫歩創媒が発行した「Whenever BizCHINA」の転載です）