「コンピュータが乗っ取られる」「サーバーから機密データを盗まれた」という話をよく耳にするが,登録されたユーザー以外は使用できないはずのWindowsマシンに,なぜ外部から侵入できるのだろうか?侵入者は,事前に周到な準備をしてから攻撃をしかける。侵入を許す前に,その兆候を察知して攻撃を未然に防ぐことは不可能なのだろうか?
個人情報保護の観点から,情報漏えい対策を急ぐ企業が多くなってきた。情報漏えい事件の手口を見ると,社内に犯人または協力者がいることが多いが,外部の人間がネットワーク経由で不正に侵入してくる危険性も侮ってはいけない(図1)。不正侵入事件が起これば,真っ先に責任を問われるのがシステム管理者であることを十分理解しておく必要がある。社内の情報を盗まれなかったとしても,侵入者が他の企業を攻撃するときの踏み台にされることもあり得る。
読者の皆さんは,このようなリスクがあることは既に十分認識しているだろう。しかし,対策として何をすればいいのか,あるいはそれ以前の問題として,なぜ外部からWindowsマシンに侵入できるのか,その辺の理解はあいまいなのではなかろうか。そこで今回は,侵入者がWindowsマシンに侵入するときの代表的な手口を紹介することにしよう。
侵入者は常に研究を怠らず,様々な手口を編み出してくる。しかし,侵入の準備段階(侵入ターゲットのWindowsマシンに関する情報収集)に限って言えば,そのプロセスには一定のパターンがあるようだ。闇雲に多数の侵入方法を試みても時間を浪費するだけなので,侵入者は事前調査によって攻撃方法を十分に絞り込んでくる。この段階で侵入を検知するか,あるいは事前調査そのものを難しくすることができれば,不正侵入の防止に役立つはずだ。
なお,以後の解説は外部から侵入してくる場合を想定しているが,もし侵入者が社内の人間の場合,侵入行為の成功率が何倍にも跳ね上がることを覚えておいてもらいたい。
◆侵入準備その1
侵入対象のIPアドレスを調べる
まず心得ておいてほしいのは,「侵入者は当てずっぽうにIPアドレスを入力したり,無作為にIDやパスワードを試したりはしない」ということだ。このようなことをしても,時間と労力を浪費するばかりで効率が悪いからだ。
では,侵入者は手始めに何をするかというと,Webサーバーのように外部に公開されているサーバーを侵入の手掛かりとすることが多い。Webサーバーを標的にする理由は,そのサーバーのIPアドレスを簡単に入手できるからだ。
例えば,標的にするWebサーバーのドメイン名が「www.abc123.co.jp」だったとしよう。このサーバーのIPアドレスを知りたければ,DNS*サーバーにドメイン名を問い合わせるだけでよい。Windowsパソコンから検索する場合なら,図2のようにnslookupコマンドで簡単に調べられる。