PR

三輪 信雄 ラック 不正アクセス対策事業本部長

思わぬ落とし穴が見つかる

 そんなある日,社内のエンドユーザーから顧客情報にアクセスできなくなったという苦情がシステム部に届いた。サーバーを調べてみると,誤ったパスワードを繰り返し入力したことで,システムがアクセスを拒否していた。しかし,当人はその時間にはアクセスしていないという。そこでシステム部門がログを調査したところ,驚くべきことが分かった。誤ったパスワードは,リモート・アクセス・サーバー経由で入力されていたのだ。

 社内ネットワークには,ベンダーが遠隔保守するためのリモート・アクセス・サーバーが何台か接続されていた。もちろんこれらの装置の着信用電話番号は公開していない。しかし,この電話番号は代表番号に近い番号だった。順番に電話番号を試していき,モデムなどが応答した番号に自動的に侵入を試みる「デーモン・ダイヤラ」によって発見されたと推測できた。

 一般にリモート・アクセス・サーバーからの不正アクセスは見落としがちである。しかし,実はリモート・アクセス・サーバーはインターネットからの侵入より脅威が大きい。インターネットからはたとえ侵入に成功しても,何らかのアクセス制限があるのが一般的。また,発見される可能性も高い。一方,リモート・アクセス・サーバーは,侵入されたA社と同様,ログも残さず,アクセス制限も設けられていないことが多い。

 さらに,ベンダーの保守用のIDとパスワードは,安易に設定されている場合が多い。A社の場合も,簡単に推測できるIDとパスワードだった。

 A社はベンダーと相談し,まずリモート・アクセス・サーバーのパスワードを複雑なものに変更した。さらに発信者電話番号によってアクセスを制限,同時に発信者電話番号などを含んだログを取ることにした。

 幸いなことにその後リモート・アクセス・サーバーからの不正アクセスはない。しかし,侵入は情報を盗む目的で,一度だけではなく長期にわたって何回も繰り返されることが多い。証拠を押さえるためにも,長期間ログを保存する必要がある。