不正アクセスはどこから 2003.1.11
    Internet 一時的なダイアルアップ接続であれ固定接続であれ、インターネットに接続したとたん、どこからかやってくる不正アクセスを受けてしまう。無防備にPCをインターネットに接続すると危険ですと雑誌などで盛んに警告しているが、ほとんどのインターネット利用者は無感心のことと思う。果たして、不正アクセスは、雑誌が警告する程さかんに行われているのだろうか。

     昨年春頃から定額性のダイヤルアップ接続サービスに加入したことをきっかけに数時間に渡ってインターネット接続するようになった。接続のたびにIPアドレスが変わるので不正アクセスなど受けないだろうと思っていたが大間違いである。

     『不正アクセス』という言葉からは、どこか特定のサイトを狙い打ちするものとのイメージを抱くが実態はどうも違う。機械的に生成したIPアドレスに向けて無差別に、サーバーの弱点をさぐるパケットを飛ばしてくるようだ。

     狙ったIPアドレスに、現在サーバーが接続されているかどうかに関係なくパケットを飛ばしている。こちらのIPアドレスが接続の度に変わっても、同じ様なパケットを受けてしまう。その手のプログラムを使って自動で行っているものと思う。

     このIPアドレスに繋がっているサーバーに弱点有りとプログラムが結果を残せば、その後に本格的な狙い打ちの不正アクセスが始まるのかも知れない。

     現在は、固定アドレスによる常時接続を行っているので毎日なんらかの不正パケットを受信する。ルータのフィルタリングやサーバーのセキュリティ設定をしっかりしておかないと、いつサーバーを乗っ取られても不思議ではない状況だ。サーバーのログを少し見てみよう。

     全て書いても仕方ない。代表的なものをそれぞれ紹介する。

    Denied packets from 205.252.48.130.
     Port 0 (icmp,ppp0,input): 3 packet(s).
    Total of 3 packet(s).

     これは、ping の受信。こちらのサーバーは ping 応答は返さないことにしている。

    Denied packets from 212.43.179.244.
     Port ftp (tcp,ppp0,input): 1 packet(s).
    Total of 1 packet(s).

     これは、ftpサーバーへのアクセス。セキュリティホールを抱えたサーバーを探しているのだろう。当方はこれをサポートしていない。

    Denied packets from 217.131.175.60.
     Port netbios-ns (udp,ppp0,input): 1 packet(s).
    Total of 1 packet(s).

     これは、Windows Network のネームサービスへのアクセス。このアクセスは結構多い。Windowsにはこのサービスに弱点があるのだろうか。

    h0B87qW31347: ruleset=check_rcpt, arg1=, relay=adsl-156-160-41.jan.bellsouth.net [66.156.160.41], reject=550 5.7.1 ... Relaying denied

    h09NFTW24659: ruleset=check_rcpt, arg1=, relay=[218.144.116.220], reject=550 5.7.1 ... Relaying denied. IP name lookup failed [218.144.116.220]

     これらは、mail の中継エラー。こちらのメールサーバーが踏む台にできるかどうか探っているのだろう。

    Denied packets from mail.area-net.com (12.22.230.7).
     Port https (tcp,ppp0,input): 2 packet(s).
    Total of 2 packet(s).

     これは、セキュアなWebサービスへのアクセス。セキュリティホールを抱えたサーバーを探しているのだろう。当方のWebサービスはこれをサポートしていない。

    [client 218.77.25.55] File does not exist: /var/www/html/scripts/root.exe
    [client 218.77.25.55] File does not exist: /var/www/html/MSADC/root.exe
    [client 218.77.25.55] File does not exist: /var/www/html/c/winnt/system32/cmd.exe
    [client 218.77.25.55] File does not exist: /var/www/html/d/winnt/system32/cmd.exe
    [client 218.77.25.55] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
    [client 218.77.25.55] File does not exist: /var/www/html/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
    [client 66.228.194.40] File does not exist: /var/www/html/testproxy.asp

     これは、NTサーバーのIIS(Webサーバー)のセキュリティを突くアクセス。あいかわずこのパケットを受信するということは、世の中には、まだまだ弱点を抱えたIISサーバーが動いているということの証しか。

    Unknown users:
    121568info@suwa-koubou.jp: 2 Times(s)
    266425sales@suwa-koubou.jp: 2 Times(s)

     これは、未登録ユーザーへのメール受信エラー。このエラーは意味深だ。このエラーの意味する所については明日考察して見たい。

     インターネットの中をいつもこれらのパケットが飛び交っている。いつ交通事故にあうかも知れぬ。用心するに越したことはない。