こんばんわ
先週末あたりから世の中では、ランサムウエア(?)で大騒ぎになっていますね。
日本ではそれほど被害の報告はないとのことですが、あまり楽観視しないで注意していきたいものです。
こういうウィルスが流行ったりすると私は、ある話を思い出します。こんな話です。。。
20年以上前の話になるのですが、まだインターネットがそんなに復旧しておらず、大手企業はインターネットに接続されていましたが、中小の企業はファイル共有、プリンター共有、グループウエアなど社内ネットワークが引けたところで、これからインターネットメールが送受信できるシステムを導入しようとしているという時代でした。私は中小の企業向けにインターネットメールができるような環境を提案して歩いていて、お客様の既存環境を調べて、インターネットメールができるところまでを提案するというようなことをしていました。インターネット回線もせいぜい、64Kbps、128Kbpsの専用線をひくという感じで、ユーザも数十人程度とかそんな規模の感じでした。あるお客様のシステムを導入した時でした。今考えるとぞっとしますが、その時の構成は、あるUNIXにネットワークインターフェースを2つ用意し、一つをインターネットに接続されいるルータに、もう一つのインターフェースを社内ネットワークに接続するという構成でした。当然ルータには DNS / SMTP / POP などでフィルタはしていて、UNIXも一応不要なアプリケーションを削除して、いまでいうところのipfilterは設定していて余計なプロところは受け付けなくなっていました。ipforwardingも当然OFF。まあそれなりに接続は制限しているという環境ではありました。
当初は社内の営業担当のユーザ10人程度がSMTP/POPでメールの送受信をするという使い方だったのですが、使い始めてそれほど経たないうちに、お客様のところにJPCERT/CCから連絡が入ります。
連絡の内容は、
「とあるサイトから、そちらのサーバからの接続要求がずっときていると報告がきています。なんらかの不正アクセスが行われた形跡があるので対策を取ってほしい」
とのこと。
「今世の中で流行している不正アクセスの可能性があるので、とりあえずサーバをネットワークから切り離して、〜と、〜と、〜の情報を確認してメールしてください」
とのこと。
私は言われた通りに指定された場所のアーカイブを取得してメールを送信します。メール送信するときに自分のパソコンは大丈夫なのかな?と少し心配になりますが、メールにて送信します。
すると、JPCERT/CCから
「*という不正アクセスにあっていると思います。この不正アクセスでは、ユーザのPOPの通信を傍受して、一覧を作成して、あるサイトに送信するという動作をします。今行うべき対応は、OSを再インストールして、パッチを最新のものにしてください。FireWallが導入されているのであれば、FireWallも最新の状態にしてください」
とのこと。私はOSは最新のものにすることは容易だが、FireWallは現在導入されていないので、導入するには時間がかかると説明しました。すると、
「わかりました。OSを最新の状態に常に保っていただけるだけで、ほとんど攻撃を受けることはなくなると思います。常に最新に保っていただくようにしていただき、可能であればFireWall製品の導入を検討してください」
とのことでした。今思うと結構のんきですね。。。今ならば瞬殺ですよね。。。
私はその時初めて、ルータのフィルタとFireWallのフィルタの威力の違いを思い知ります。フィルタとステートフルインスペクションの違いを思い知ります。フィルタではIP/PORTなどで見分けるだけですが、ステートフルインスペクションでは振る舞いや、中のデータなども解析します。例えば、同じIP/PORTの組み合わせで短時間内に複数回接続するとフィルタでは接続できますが、ステートフルでは接続できません。話すと長くなるので(実はよくわからないので(笑))この話はここでやめます。
お客様も元々はFireWallが高いので導入を思いとどまっていたのですが、実際に不正アクセスを目の当たりにするとFireWallの重要性を感じたらしく、早速FireWallの導入を検討していただけました。今思うと結構のんきですね。。損害賠償とか、不正アクセスの報告を株主にするとかもなかったです。そもそもすごく簡単な不正アクセスにあったのだと思いますので、今であれば相当責任に問われたことと思います。
無事FireWallを導入して、FireWallとOSを最新に保つように注意して運用するようにしたところその後そのようなことは起きなくなりました。というか起きなくなったと思いたい。。。というかJPCERT/CCから連絡が来なくなったので大丈夫なはず。本当ところ100%確信が持てず、自信が持てる状態には結局ならず、常に不安な状態からお客様も抜け出せることはなかったのではないかと思います。
まあ、すごく昔聞いた昔話が長くなってしまいましたが、macOS Sierra を 10.12.5 にしました。いつもいつも不正アクセスに怯えながらパソコンを触っていたのではちっとも楽しくないかもしれませんが、世の中にはそんなことが起こることがあるといつも意識しておきたいと思います。
あ、肝心のアップデートですが、いつも通り何も考えずズバッとアップしました。
どこが良くなったのかも、どこが悪くなったのかも良くわかりません。。。
最近はアップデートしたら立ち上がらなくなるというようなことは全然起きませんね。
(油断しているといつか痛い目に合いそう。。)
0 件のコメント:
コメントを投稿