自動起動するプログラムをチェックするだけでは十分とはいえない。別の形で侵入して動作していたり,通常のユーザーになりすまして不正な操作をしていたりする可能性もある。
開いてるポートをチェックする 接続状態にあるポートや,待ち受け状態にあるポートをWindowsマシンで調べるためには,コマンド・プロンプトから以下のコマンドを実行する。 Netstat -a
表1では,Windows XPコンピュータ上で通常開いているポートを紹介している。特定のクライアントやサーバーで,ポートがこれ以上開いていたとしてもすぐに心配する必要はない。ポートはサービスの種類によって動的に割り当てられる場合もある。 例えば,RPC(リモート・プロシージャ・コール)は,DHCPやWINSをリモートから管理する場合に,1024番以降のポートを動的に割り当てる。詳細についてはマイクロソフトのサポート技術情報「ファイアウオールで動作するようにRPCの動的ポート割り当てを構成する方法(該当サイト)を参照してほしい。 Netstatコマンドでは,以下のポイントについて確認する。 ●複数の接続が,社外のIPアドレスに対して成立していないか。複数の接続とは環境によって異なるが,10以上の接続が目安となろう。 ●意外なポート,特に番号が1024番以降の高位のポートが開いていないか。ハッキング・プログラムやroot kitsはリモート接続を成立させるために高位のポートを使うことが多い。 ●未解決(ペンディング)となっている接続が多くなっていないか。これが多いと「SYN flood攻撃」の兆候と考えられる。 ●見たことのないバッチ・ファイルがないか。root kitsは「C:\」「C:\winnt」「C:\windows」「C:\winnt\system32」「C:\windows\system32」といったフォルダにバッチ・ファイルを作成する。 もしroot kitsや他のハッキング・プログラムと怪しまれる動作が確認できたら,Windowsのごみ箱に隠しフォルダや不正のフォルダがないかも確認しよう。これらの中にはごみ箱にファイルを作成するものがある。 ごみ箱は,デフォルトでは「C:\recycler」フォルダにある(Windows9x/Meでは「C:\Recycled」フォルダ)。[ごみ箱を空にする]を実行した後も残っているファイルやフォルダは,怪しいと考えられる。 ハッキング・ツールによっては,Netstatがコンピュータ上の開かれたポートを表示しないようにするものがある。Netstatが不審な開かれたポートを表示しなくても,どこかにハッキング・プログラムがあると思われる場合は,オープン・ソースのユーティリティ「Network Mapper(nmap)」のようなポート・スキャナを別のコンピュータから実行してみて,ハッキングされた恐れのあるコンピュータのどのポートが開いているかを確認する。NetworkMapper(nmap)は,「http://www.insecure.org/nmap/」からダウンロードできる。
AD内に存在する悪意のユーザーを探す ハッキングの究極の目的は,システム上の特権を入手することである。特権を取得すれば,システムを自由に操作できる。AD内で特権を保有するグループ(管理者,ドメイン管理者,エンタープライズ管理者,サーバー・オペレータなど)を確認して,不正なメンバーがいないかを確認しよう。不正ユーザーを見分けやすくするために,各グループのメンバーは制限するようにしよう。
システムがハッキングされたことを発見してもパニックに陥ってはいけない。冷静さを保って論理的に進めよう。図4の実行プランでダメージを最小限に留める。
(1)ネットワークを切り離す
(2)不正な無線LANの検出
(3)他にも攻撃されたマシンはないか
(4)ファイアウオールの構成を確認する
(5)ADを調べる
(6)全アカウントのパスワードを変更
(7)ハードディスクの交換
(8)ぜい弱性を特定して対処する
(9)攻撃されたマシンを再構築する すべてのプログラムはCD-ROMから再インストールし,パッチはすべて手動で適用し,データ・ファイルだけを復旧させる。バックアップ・データからOSやレジストリ,プログラムを復旧させてはいけない。
(10)全マシンでウイルス・スキャン
(11)WAN回線を再接続する
(12)ハードディスクを解析する
(13)当局に届け出る 日本の場合は,都道府県警察本部のサイバー犯罪相談窓口に届け出る。連絡先は「警察庁サイバー犯罪対策」(該当サイト)で確認できる。 * * * ここまでで紹介したステップをもとにすれば,ハッキング復旧計画を立てられるだろう。自社の組織形態に合うよう調整したうえで,災害復旧計画に組み込んでおくとよい。 |
