スパマーがExchangeサーバーを狙っている

PaulRobichaux

2003.10.27

(Paul Robichaux)

　新種の攻撃がインターネットで始まっている。この新たな脅威はSoBigやSlammer，それにSwenのようなウイルスではない。Exchange Serverシステムを標的にした狡猾（こうかつ）なスパム（迷惑メール）攻撃である。そしてこの攻撃は，想像よりはるかに成功している。

あなたのExchangeサーバーがスパムの温床に
　スパマーはインターネットを走査して，インターネット・メールの送信を行うSMTP（シンプル・メール・トランスファ・プロトコル）サーバーを探す。スパマーは検索した情報を使ってExchangeサーバーを識別した後，そのSMTPサービスを対象に，総当たりのパスワード推測攻撃をかける。つまり強固に守られるようになってきたWindowsのリモート・プロシージャ・コール・サービスを攻撃する代わりに，成功するまでSMTP AUTH LOGONコマンドを浴びせ続けるのだ。

　「でもちょっと待った」とあなたは言うだろう。「Exchange Server 2003とExchange 2000 Serverはデフォルトでリレーがオフになっているだろう！」と。その通り，認証されていないユーザーに対してはオフになっている。

　しかし，認証されたユーザーとしてExchangeを利用できたら，スパマーは何百万ものスパム・メッセージを乱射できる。その結果，そのサーバーとIPアドレスは様々なブラック・リストに載る羽目になるだろう。そしてスパムを受信して腹を立てた人から，洪水のような怒りのメッセージを受け取ることになる。さらに悪いことに，こうした活動はサーバーのキューやトランザクション・ログをいっぱいにし，マシンの性能を落とすだろう。

　アカウントの監査をオンにしていなければ，その攻撃はほとんど目に見えない。そのため，この攻撃の卑劣な性質がさらに悪質なものになる。特にInternet Information Server/Services（IIS）に付属するSMTPコンポーネントのログは，SMTP AUTHが使われたことを記録しないので，攻撃を受けたことを示すAUTHリクエスト数の急激な増加を探せない。最初の警告は，スパムが生成した多数の配信不能レポート（NDR）をサーバーが受け取り始めることだろう。

対策はそれほど難しくない
　幸いにして，この攻撃からあなたのサーバーを守る手順は簡単である。まずあなたの管理者アカウントが，文字と数字と記号を混ぜた15文字以上の強度の高い複雑なパスワードになっていることを確認する（16文字かそれ以上のパスワードを付けたときは，Windowsは簡単に解読できるそのパスワードのLMハッシュをローカルに保管できない）。ほかのユーザー・アカウントも複雑なパスワードを付けていないといけないが，総当たりのパスワード推測からあなたの管理者アカウントを守ることが何よりも重要である。

　第2に，リレーを許可していないなら，インターネットに接続しているすべてのサーバーでそれが止まっていることを確認しよう。もしリレーを許可しているなら，その決定を考えなおすことをお勧めする。例えばもしあなたが外部のPOPユーザーをサポートするためリレーを許可しているのなら，このタスクを他の方法で（例えばユーザーのインターネット・サービス・プロバイダのほうを使うことで）代替できないかどうかを考えてみることだ。

　第3に，インターネットに接続しているどのSMTPのバーチャル・サーバー上でも，基本認証とWindows統合化認証の双方を無効にすることを検討する。ただし，そうするとパスワード推測攻撃は防げるが，ユーザーが電子メールを送る前に認証することもできなくなってしまう。もしこの機能を有効にしておくなら，アカウントの監査も有効にし，Windowsのイベント・ログでログオンが失敗したときに生成される「イベントID528」が長い間続けて起きていないかを定期的に監視することだ。

　第4に，もし侵入検知システム（IDS）を使うなら，失敗したSMTP認証リクエストを警戒するように設定する（つまり，TCPポート25番上のパケットのオフセット54の位置に「535 5.7.3 Authentication unsuccessful」というテキストを探すように設定する）。この設定で，だれかが攻撃しようとしていることが分かるようになる。

　米Microsoftはこのタイプの攻撃について知っており，既にパッチも公表されている（該当サイト）。しかし，すぐにパッチを当てることができないなら，上記の対策を行うべきだ。また，用心するに越したことはない。

読者はこう考えた
　この件に関しては，読者からもたくさんの意見や質問が届いている。

　Thomas Shinder博士はInternet Security and Acceleration（ISA） ServerのMicrosoft MVP取得者で，ISA Serverの導入に関する優れた2冊の本を書いている。彼は，ISA Serverを使ってSMTP AUTHトラフィックがログに記録できることを指摘してくれた。Exchange Serverはこれらのトランザクションをログに記録しないが，外側にあるファイアウオールやSMTPプロキシでコマンドの到着率をモニターするように設定しく。すると攻撃が始まったとき，警告を発せられる。この対策をとる場合，攻撃の兆候を示す認証リクエストの頻度は場合により変化することを考慮したい。受け取るリクエスト数に適した閾値を設定する必要があるだろう。

　数人の読者はNorth American Network Operators Group（NANOG）のメーリング・リストにあるこの攻撃関連のディスカッションを指摘してくれた（該当サイト）。この中には，中国のIPアドレスでのアクセスを広範囲に阻止することで，SMTP AUTH攻撃を阻止できるという主張がある。しかし，非常に多数のリクエストを受けて苦しんでいるのでなければ，この解決策は攻撃自体より多くの問題を起こす可能性が高いだろう。

　何人かの読者は「なぜ他人のマシンをわざわざ攻撃しようとするんだろう」と疑問に思っている。その答えは，「金になるから」である。Brian McWilliams氏の「WIRED」の記事「Cloaking Device Made for Spammers」（該当サイト）には，スパマーがスパマー自身のWebサイトの本当の場所をごまかすため，乗っ取ったPCをどう使うかが書かれている。

　これを機会にあなたのユーザーは，ウイルス対策ツールやPestPatrolの無償のPestScanスキャナ（該当サイト）のようなツールで，自分たちのマシンを走査してもらうべきだろう。感染したマシンは最初から設定しなおすこと。それをクリーンにしようとしてはいけない。すべてのスパイウエアを取り除くことは非常に難しいのだ。

　1つ完全に明白なことがある。SMTP AUTH攻撃のような攻撃は今後も続くだろう。スパマーは世界にメッセージの洪水を起こすため，大量の安価なコンピュータ・パワーを盗んでいるのだ。私たちは皆，自分たちのシステムが安全であることや，上記のようなタイプの悪用を適切に防ぐように設定してあることを，常々確認する義務がある。