[画像のクリックで拡大表示]

ネットワーク管理者であるA君が管理しているサーバーが,不正アクセスの被害を受けた。事故報告書(一部)を元に改善すべき点を洗い出した(下記の下線部分)。改善するための具体的な施策について,先輩から,選択肢a~eのアドバイスをもらった。不正アクセスの問題を改善するための対策として的確でないアドバイスはどれか。選択肢から一つ選びなさい。

[選択肢]
a. TelnetではなくSSH(secure shell)を使って,通信内容を暗号化する
b. Webサーバーのログを別のサーバー(ログ・サーバー)に転送するようにする
c. NTPを設定して,各機器の時刻を同期させる
d. ファイアウォールの設定変更で,内部から外部への不要な通信を制限する
e. 運用者にインシデント対応マニュアルを徹底させ,初動対応時の証拠保全を図る

[解説]
 正解は,選択肢aの「TelnetではなくSSH(secure shell)を使って,通信内容を暗号化する」です。

 ネットワーク管理者には,不正アクセスの再発防止策を適切に実施できるスキルが求められます。

 SSH(secure shell)は,遠隔地のマシンにログインしたり,遠隔地のマシンでコマンドを実行できるプロトコルです。SSHがTelnetと違うのは,通信が暗号化されるところです。確かにSSHを使うと通信は暗号化されますが,パスワードが以前と同じように簡単なものであれば,侵入されてしまいますので意味がありません。パスワードを推測困難な複雑なものに設定し,定期的に変更するといった対策が必要です。また,送信元アドレスによる制限,公開鍵認証の使用,管理者権限でのログイン禁止といった対策も検討する必要があるでしょう。

 なお,SSHに関する攻撃としては,SSHプログラムの脆弱性を狙った活動もあれば,推測可能なパスワードを狙うような利用者の脆弱性を狙う攻撃もあります。警察庁が2006年に発行した「SSHサービスに対する攻撃について」によれば,攻撃者が不正アクセスで試行したユーザー名は,システムユーザー名を対象にしている場合が圧倒的に多く,日本人名と考えられるユーザー名やキーボードの配列パターンも報告されています。

 その他の選択肢は,いずれも適切なセキュリティ対策です。

 不正アクセス者は,証拠隠滅のためにログを改ざんしたり削除する場合があります。Syslogなど使ってネットワーク上の別のサーバーにログを保管するのも対策の一つです。

 NTPを使ったサーバーの時刻同期は重要なセキュリティ対策の一つです。不正アクセスの被害が発生した場合,不正アクセスの原因,侵入経路,被害範囲などを特定するために,ログを時系列で解析していきます。サーバーやネットワーク機器の時刻が同期していないと,正確な解析ができなくなったり,解析に時間がかかったりしてしまいます。

 ファイアウォールでは,外部から内部への接続制限だけでなく,踏み台行為を防止するという目的で内部から外部への接続を制限することも重要です。各サーバーからの通信経路を検討し,必要な通信だけを許可させるべきです。例えば,DMZ上でHTTPサービスだけを提供するサーバーは,通常,インターネットへの接続要求は発生しません。ここで,WebサーバーがHTTPサービスを利用して広がるワームに感染します。もし,このWebサーバーがインターネットに向けて自由に接続要求を発信することができたとすると,感染したWebサーバーは,次の感染先サーバーを探したりDoS攻撃に加担するために,インターネットに向けて大量にパケットを送信する可能性があります。こういった被害を予防するために,ファイアウォールでの内部から外部へのアクセス制御のルールを点検しておくことが大切です。

 不正アクセスの原因,侵入経路,被害範囲などを特定するためには,初動対応時の証拠保全が重要です。証拠となるログやウイルス・ファイルなどを安易に削除してしまうと,後の調査が困難になってしまいます。

(関連情報)
SSH サービスに対する攻撃について(警察庁)
http://www.cyberpolice.go.jp/server/rd_env/pdf/20060817_SSH.pdf

@Policeセキュリティ講座 システム/ネットワーク管理者向けカリキュラム(警察庁)
http://www.cyberpolice.go.jp/server/elearning/index.html