不正アクセスの波がやってきた

December 3, 2007 – 8:57 pm

プライベートに自宅でサーバを立ち上げるとなると、何といっても、十分なセキュリティを確保することが重要だ。我が家のPCサーバを踏み台などにされたらたまらない。ある意味、セキュリティ確保は、サーバを立ち上げようとするものの最低限の社会的責任だろう。ほぼ2ヶ月前にサーバ用PCを動作可能な状態にして以来、このブログの公開に先立って、1ヶ月間にわたってPCを連続稼動し、この間、システムログの監視を続けてきた。予想したとはいえ、連日、不正アクセスが試みられている。これに対抗するため、一応の対応策もとった。

インターネットへの接続に先立って、ブロードバンドルータ(Buffalo BBR-4HG)では、ファイアウォール機能を働かせ、SSH、Web、Mail用のポートだけを開け、その他のポートは全て閉じた。これに加え、サーバ用PC上でも、同様にCentOS5のファイアウォール機能をONにし、ルータと同様にSSH、Web、Mail用のポートのみを開いた状態にした。こうした設定を行った後、インターネットへの接続を開始し、システムログの監視を続けた。

接続すると、すぐ、SSHへの不正なアクセスが認められた。接続初日には3つの発信源からのアクセスが試みられていた。いずれも、3~4秒間隔で、ABC順にユーザーアカウントを変えながらアクセスを試みている。トータルで約700回のアクセスアテンプトがあった。2日目は、1アドレスのみのアクセスであったが、実に、1800回のアクセスアテンプト、ほぼ3時間にわたって不正アクセスが試みられていた。ここで、試みられたアカウント名、root、webmasterといったシステム関連のものか、あるいはbety、markといった欧米人の一般的な名前を用いたものが多かった。こうした傾向は、我がほうが対策をとるまで、連日、続いた。うわさ通り、中国、台湾、東欧からのアクセスが多いという印象であった。

それまでとは毛色の違った不正アクセスが、接続開始後の約2週間目に認められた。アクセスを試みるアカウント名が全て日本人の名前なのである。朝8時半頃から開始され、アクセスの試みは、ほぼ1時間にわたって続いた。さらに、それまでと異なるのが、不正アクセス発信源が xx.xx.or.jpなるドメイン名を持つものである。れっきとした日本の組織だ。このドメインに対応するURLでホームページを開いてみると、北海道の某組織、このホームページの「情報管理室」なるページには、「・・はISO9000を取得済みです。ISOマニュアルに従い、・・・の品質を最適にするように、努めて居ります。」と品質PRまで行っている。この不正アクセス、この組織のサーバが乗っ取りにあったのか?システム管理者自らが、このような愚行をおこなったのか?定かではない。いずれにしても、大きな問題である。我が家のサーバ、こうした問題を起こさぬよう気をつけねばならない。気を引き締めよう。

連日の不正アクセスへ対抗するため、応急措置をとることにした。いろいろネット上で検索した結果、Advanced SSH security tips and tricksなる記事を見つけた。ここには、ユーザが不正なパスワードを使用した場合、適当な時間間隔(例えば1分間)SSHサービスをブロックするiptablesの設定方法を紹介している。これに習って、我が家のPCサーバのiptablesの設定を書き換え、これを適用した。この措置の適用後、1日あたり3件程度の不正アクセスは存在するものの、発信源の夫々が行ういわゆる連続的な辞書攻撃は撃退することができた。不正アクセス発信源が極端に多くならない限り、この方式、有効だろう。ともかく、一連の不正アクセス受難経験、我が「サイト」においても、より明確なセキュリティポリシーを策定する必要を感じさせるものであった