社内ネットワークのセキュリティを考える場合は,インターネットに直接接続している部分――いわば,「玄関口」――の守りをいかに固めるかがまず考えられる。しかし,攻撃者が狙うのは玄関口ばかりではない。守りが手薄になりがちな「裏口」も同様に狙われる。今回のコラムでは,どのような箇所が裏口となりうるのかを説明するとともに,その対策について考えたい。

社内のRASが狙われる

 まず,代表的な裏口として,社内ネットワークに設置されたRAS(Remote Access Server)が挙げられる。電話回線を通じて社内ネットワークへ直接接続できるRASは,その利便性のために多くの企業で使用されている。しかし,セキュリティが“甘い”場合が多く,容易に侵入を許してしまうケースが後を絶たない。また,直接社内ネットワークに接続されているために,侵入されると大きな被害を受けることになる。

 セキュリティが甘い一因として,RASの認証への過信が考えられる。「そもそも,アクセス・ポイントの電話番号を知らないとRASへ接続できない。さらに,ログイン時にはユーザー名とパスワードを入力しなくてはいけない」――。このように考えて,簡単には侵入されないと高をくくっている管理者も多いのではないだろうか。

 しかし,それは大きな間違いである。確かに,RASの電話番号は一般に公開されていない。しかし実際には,手当たり次第に電話をかけてRASを見つける「ウォー・ダイヤリング」などの手法により,RASの電話番号が明らかとなる場合があるので,必ずしも安全ではない。

 ユーザー名とパスワードによる認証についても万全とは言えない。パスワードを使用する他の認証システムと同様に,社員番号などの安易なユーザー名とパスワードを使用している場合には,容易に破られてしまう危険性がある。特に,ネットワーク管理者に無断でRASを設置している場合には,安易なパスワードが設定されていることが多い。

 対策としては,セキュリティ・ポリシーをきちんと決め,表玄関同様守りを固める必要がある。具体的には,RASを社内ネットワーク内に設置せず,RASとネットワークの間にファイアウオールを設置して,RAS経由で使用できるプロトコルや,アクセス先のマシンなどを制限する。また,社員が独自にRASを設置することを禁止する。

ダイヤルアップ接続が狙われる

 RASは社外から社内への接続口だが,社内から社外への接続口が狙われることもある。個人契約したISPに,社内のパソコンからPHSや携帯電話,電話回線でダイヤルアップ接続する場合だ。社内ネットワークに接続したままこれらのISPを利用すると,そのマシンは外部からISPを経由して社内ネットワークに通じる裏口となってしまう。もしISP側の回線からマシンが被害を受けると,その被害が社内にまで及ぶ危険性があるのだ。

 ISP側と社内ネットワーク側のインタフェース同士がルーティングされている場合には,ISP側から社内ネットワークに直接アクセスできてしまうので,大きな脅威となる。ルーティングされていない場合でも,安心はできない。ISP側からウイルス(ワーム)が侵入する恐れがあるからだ。

 企業の多くはウイルスの危険性を認識し,社内と社外のゲートウエイでウイルス対策を施している。しかし,この裏口を経由されると,直接社内ネットワークに到達され,被害が広がることになる。

 対策としては,セキュリティ・ポリシーで外部ISPへの接続を禁止することが考えられる。あるいは外部に接続可能なマシンを,社内ネットワークに接続させないという方法が考えられる。

無線LANが狙われる

 RASやダイヤルアップ接続のように,外部との接続を意図したわけではないのに裏口となるポイントがある。IEEE802.11bを利用した無線LANのアクセス・ポイントだ。ノートPCの利便性を高めるために,社内に設置する企業が増えている。しかし,無線LANは電波が届く範囲であれば社外からでも利用できるために,裏口となりうる。利用には十分注意が必要だ。

 電話のウォー・ダイヤリングと同様に,ウォー・ドライビング用のツールを利用すれば,アクセス・ポイントを見つけることは難しいものではない(関連記事)。そのため,RASの電話番号と同様に,アクセス・ポイントの場所を秘密にしても,対策として有効ではない。

 アクセス・ポイントの認証機能も現状では十分ではない。一般的に,無線LANのアクセス・ポイントへ接続するには,「WEP暗号」,「ESS-ID」, 「MACアドレスによる制限」の3種類の認証が使われる。しかし,いずれもセキュアではない。

 WEP暗号には,解読を容易にする重大なぜい弱性が発見されている。ESS-IDもネットワーク自体から取得可能なので,認証機能としては役に立たない。MACアドレスによる制限は有効であるが,ユーザーの端末を全て登録しておく必要があり,運用の手間がかかる。

 そして,何より問題なのが,十分とは言えないこれらの機能でさえ使用していないケースが多いことである。利便性を優先させているために,ESS-IDをデフォルトの「ANY」のままで使用し,WEP暗号やMACアドレスによる制限は利用していない企業が非常に多い。無線LAN経由での侵入は,社内ネットワークに直接アクセスされるので非常に危険である。それにもかかわらず,何の対策も施していないネットワーク管理者が多いのが現状なのである。

 根本的な対策としては,無線の電波自体を社外に漏らさないという方法が考えられる。無線LANを利用する範囲をシールドし,外部に電波が漏れないようにすれば,社外からのアクセスの危険性を低減できる。しかし,実際に部屋を完全にシールドするのは,費用がかかることはもちろん,技術的にも難しく容易には実現できない。

 「普及した802.11bではなく802.11aなどの他の規格を利用する」,「802.11bの上でWEPではなくメーカー独自の暗号方式を利用する」といった対策もあるが,いずれも万全とはいえない。

 結局,すぐに実施できる対策は,WEP暗号を利用した上で,MACアドレスによる制限を施すことである。不十分とはいえ,施していないよりは数段“まし”である。不十分な点は運用でカバーしていくしかない。例えば,無線LANを社内ネットワークとは分離することなどが考えられる。とにかく,RASの場合と同様に,セキュリティ・ポリシーをきちんと定め,無線LANの危険性を十分認識した上で利用する必要がある。

◇     ◇     ◇     ◇     ◇     ◇

 「裏口」を守るのに,特別な方法は存在しない。前述の繰り返しになるが「玄関口」と同様に,リスクと,それに対するセキュリティ・ポリシーを明確にし,対策を施せばよいのである。今回あえて「裏口」としたものの,実際には「玄関口」として取り扱うべき項目なのだ。

 そして,「玄関口」の守りに管理コストが必要なのと同様に,「裏口」を守るには相応の予算や人員が必要である。管理者あるいは経営者は,そのことを認識しなくてはいけない。


若居和直(WAKAI Kazunao)
株式会社ラック 不正アクセス対策事業本部
wakai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。