私のコンサルティング会社は最近ある企業から,電子メールの送受信時にバックアップが失敗したり,サーバーの性能が落ちたりするという相談を受けた。その企業に行ってみると,原因はテープ・ドライブの故障やサーバーの性能が低いということではなく,もっと深刻だった。私がサーバーにログオンしたところ,その動作は極端に遅かった。このサーバーはディスク関係で大量の処理を抱えており,高いCPU利用率を示していた。
Exchangeがスパムのリレーとして使われていた
Windowsは,Ctrl+Alt+Delete操作でタスク・マネージャを開くと,CPUの利用率順にプロセスを表示してくれる。それを見るとExchangeのプログラムstore.exeがCPU能力のほとんどを使い果たしていた。そのマシンではExchange 2000 ServerとWindows 2000 Serverが稼働していた。問題の原因はExchangeのデータベースが壊れたことだろうか? 電子メールの容量が莫大だからか? ところがその企業は電子メールのヘビー・ユーザーではなく,サーバーに接続するユーザーはたった15人だった。
私は管理ツールの「Exchangeシステム・マネージャ(ESM)」を起動して(かなり時間がかかった),設定を調べた。[サーバー]-[<サーバー名>]-[プロトコル]-[SMTP]-[既定のSMTP仮想サーバー]-[現在のセッション]と開くと,SMTP(シンプル・メール・トランスファ・プロトコル)の仮想サーバーに対し6つのコネクションが5分以上接続したままになっていた。これは,そのサーバーに何かとっても悪いことが起きていることを示す兆候である。
ほとんどの場合,Exchangeのセッションは,大量の添付ファイルがある電子メール・メッセージを送受信しない限りは,数秒しか続かない。デフォルトのSMTP仮想サーバーを見ると,50以上のキューが電子メール送信やリトライ待ちなど様々な状態で残っていた。明らかにだれかがその会社のメール・サーバーをリレーとして使っていたのだ。しかしどうやって? ご存知のように,Exchange 2000はデフォルトではオープン・リレーにはならない。そのサーバーは当時の最新バージョン(Windows 2000 Service Pack 4とExchange 2000 SP3)であり,最新の「重要なセキュリティの更新」を適用してあった。私はリレーの設定を見直して,Open Relay Database(ORDB.org,該当サイト)からリレーのテストを行い,オープン・リレーが閉じたことを確認した。
デフォルトのSMTP接続をクリアしようとするたびに,その接続は同じIPアドレス体系を保ちながら,いつも違うドメイン名で再び登場するようだった。私はそのIPアドレスを追跡して,それが中国にあるISP(インターネット・サービス・プロバイダ)により割り当てられたものであることを確認した。サーバーのオープン・リレー機能が止まったことを確認した後,私はそのサーバーへだれかが認証を受けて接続し,スパムを送っていたのだと結論づけた。バックアップが失敗していたのは,そのスパマーが送ろうとしたメールをすべてバックアップしようとしていたからだった。
私はマイクロソフト管理コンソール(MMC)の「Active Directoryユーザーとコンピュータ」スナップインを開いて,その企業の社員の助けを得ながら,無効なユーザーをすべて削除した。Administratorsグループに所属する何人かのユーザーは実際にはそのグループに所属してはならなかったので削除した。最初に疑ったのは,以前雇われていた社員が,パスワードをスパマーに「売った」ために,スパマーがそのメール・サーバーをメッセージ転送に利用できたのではないかということだった。私はいくつかの悪質な行為がそのサーバーで実行されたのだと考え,ハッキング用のプログラムがないか調べるために,レジストリにある以下のrunサブキーをチェックした。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
・HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersionPolicies\Explorer\Run
これらのサブキーはどれもクリーンなままだった。サーバー上でウイルス・スキャンも行ったが,サーバーはクリーンだった。見たところそのサーバーにはどんなハッキング・ツールも仕掛けられていないようだ。
さらに,処理中のスパム・メッセージの送信を阻止しようとした。ファイアウオールをインターネットから切断して,すべてのセッションを削除した。さらにESMを使いキューからメッセージの削除を実行したのだが,長い待ち時間を要した。そこで,すべてのExchangeサービスを停止してコマンド・プロンプトを開き,D:\exchsrvr\mailroot\vsi 1\queueディレクトリからメッセージを削除した。
Exchangeサービスを停止したことでサーバーの性能は大きく改善したが,1万以上のメッセージが様々なキューに入っており,コマンド・プロンプトを使ってもメッセージの削除に1時間以上を要した。ユーザー全員のパスワードも変更した。さらにD:\exchsrvr\mailroot\vsi 1\badmailにある異常メールのディレクトリも調べた。そのディレクトリには非常に多くのメッセージがあったので,ディレクトリ内のファイル数すら分からなかった。コマンド・プロンプトでなんとかすべてのファイルを削除したが,およそ8時間もかかった。その後,スパムが発信されたIPアドレスからのトラフィックを拒否するように,ファイアウオールのルールを作成した。こうした構成変更の後,インターネットにファイアウオールを再接続してサーバーを監視した。幸いなことにスパム送信のための接続は二度と現れなかった。
ハッカーはこうしてもぐりこんだ
この企業のネットワークには,VPN(仮想プライベート・ネットワーク)トンネルで接続された2つの拠点がある。元々その企業に対して私は,VPNで接続するユーザーのセキュリティを確保したり,VPNの暗号化を強化したりするため拠点で「ミニ」ファイアウオールを使うよう勧めていた。しかし,その企業は節約のためファイアウオールを利用せずに,モバイル・クライアントを直接インターネットにつないでいた。
結果的にその企業は,このスパムの件で,拠点へファイアウオールを導入することを決めた。ファイアウオールを設置するため拠点の1つに出向いたとき,侵入者がハックしていたマシンが見つかった。このマシンには以下のようなハッキング・プログラムがインストールされていた。
・Bat.mumu.A.worm
・Hacktool
・W32.valla.2048
・w32.HLLW.lovegate.J@mm
・Bat.Boohoo.worm
・MSBlast
このマシンはVPNトンネルが開いた状態で常時稼働していたという。これでは侵入者が攻撃するのは時間の問題だ。私は常々リモート接続するクライアントをファイアウオールで守るように勧めている。それらがブロードバンド接続している場合には特にそうだ。もし直接インターネットに接続するVPNクライアントを使うなら,使い終わったとき必ず電源を切るように徹底させたい。社内ネットワークにアクセスする必要がないのなら,VPNトンネルも無効にしておく。私は先ほどのマシンを再構成して,ファイアウオールの背後に置くようにした。
コンピュータが乗っ取られた場合,確実にすべての弱点をふさぐ唯一の方法は,ハードディスクをフォーマットしてOSを再インストールすることである。うっかりハッカーのプログラムを見落として,再度侵入者がそのマシンを自由にすることもよくある。マシンを再構成することで,ようやくハッカーの全ツールを確実に削除できるのだ。OSを再インストールする場合は,最新のサービス・パックと重要な更新の適用も忘れないこと。幸いなことに,前述した企業の場合,侵入者はサーバーをスパム送信だけに使うつもりだったようだ。だが,その気になればもっと大きな損害を与えられたはずである。
私が所属するコンサルティング会社はここ数カ月で辟易するほど多数のハッキング活動を見てきた。あなたのネットワークを安全に保つには,確実にすべてのコンピュータに最新のサービス・パックと重要な更新を適用し,すべてのファイアウオールに最新のパッチを当てることだ。もしブロードバンドで直接インターネットに接続しているマシンを使ってVPNトンネルを構成する社外拠点があるなら,そこへファイアウオールを設置するか,最低限でも使用後に電源を切るようにユーザーをトレーニングしたい。さらに社内ネットワークに接続しないときは,トンネルをふさぐ方法をユーザーに確実に教えこんでおこう。
ネットワーク攻撃は非常に盛んに行われている。この状況は先々もよくなることはなく,悪くなるだろう。自分のネットワークを守るために適切な対策を採っていることを確認しておこう。
