システム奮闘記:その8

攻撃された話やセキュリティー対策



Tweet

(2001年12月21日に掲載)

スパムメール攻撃

いつもの通り、Linuxサーバを見ていると、あれっと思った。 root宛に沢山メールが来ていた。 どれも送り損ねのメールで、送り先が海外になっていた。 最初は、海外に送り損ねたなぁと思い、関係部署の人に聞いてみたが、 そうではなかった。 原因が何であるか、見当がつかなかったので、そのままにしていた。 次の日、前日よりも多くの送り損ねのメールが root に来ていた。 私は、まさかと思った。 メール送信者をログで調べてみると、うちの会社の人でない。悪い予感が的中した。 スパムメールにやられていた! 「もしや設定時に抜けていた所が・・・」と思い、恐る恐るsendmail.cfの元になる sendmail.defを見てみると案の定、そうだった。
本来のsendmail.defの設定
#[nosourceroute]
# generate rules not to relay source routed mails (yes/no)
REJECT_SOURCE_ROUTE_RELAY=yes
私が行っていたsendmail.defの設定
#[nosourceroute]
# generate rules not to relay source routed mails (yes/no)
#REJECT_SOURCE_ROUTE_RELAY=yes

  「#」を外していなかったのだ。
  つまり設定では「スパムメールにやられてください」になっていた  (--;;
 早速、sendmail.cfを作り直して、スパムメールは収まった。


セキュリティーホールを埋める作業

2001年2月の終り。 社内で「ホームページが見れない」という声が出てきた。 プロキシーのデーモン(squid)が落ちている様子はなかった。 しかし、なぜかnslookupのコマンドが効かない。 namedのデーモンが死んでいた。そのため、DNS検索ができなかった。 すぐにnamedデーモンを立ち上げたが、数時間後、また死んだ。 それの繰り返しが起った。原因が全くわからなかった。 この時は「Linuxが不安定になったのかいな?」との程度にしか思わなかった。 次の日も、同じ現象が続いていた。さすがに、放置しているわけにはいかない。 そこで、困った時のBLUEで、MLに投げてみたら、DoS攻撃にあっていると言われた。 対処方法は、BINDのバージョン・アップだった。 さっそく安全なバージョンのBINDをとってきた。 いざ、インストールしようとしたら、エラーがでる。 時々、RPM形式のファイルのインストールはエラーが出る。 しかし、tar.gz 形式のファイルを置いてある所が見つからない。 思わず頭を抱えてしまった (--;; 情報がないかなぁと思い、ネットサーフィンをしていると、 今度は「RedHat6.1にセキュリティー・ホール」という記事を発見。 ゲゲ─!! まさにうちのバージョンやん!! 泣きっ面に蜂とは、まさにこの事だった (TT) BINDの上、OSを入れ替える必要がでてきた。 でも、災い転じて福となす発想で「RedHat6.2」に入れ替えたら BINDのバージョンの上がるかもと考え、上司にサーバーをダウンさせることを伝えた。 そして、社内で承認を得て、OS入れ替えの大作業が始まった。 必要なデータをバック・アップにとった。 そして、RedHat6.2のインストールが始まった。 これで解決と思いきや、話はドンデモナイ方向へ進んでいった。 なんと、最後のLILOのインストールでコケたのであった!! しかし、その当時、私は「LILO」とは何か知らなかった。 そのため、インストールそのものが失敗だと思った。 この誤解(?)から地獄が始まった (TT)

地獄のインストール物語のはじまり

何度、インストールをしてもLILOのインストールでコケる。 こりゃアカンと思い、インストール方法を変更。 RedHat6.1をインストールしてから、RedHat6.2にアップ・グレードする。 この手でいこうと思い、早速、実行に移した。 この方法だとスムーズにRedHat6.2にアップ・グレードできた。 これで解決だと思いきや、またまた、ドンデモナイ事が発覚。 ネットワーク関係がうまく作動しない!! 何度、設定ファイルなどを見たけど、おかしな所がない。 完全にパニックに陥った!! (@o@) 気が変になってきたので、この日は諦めた。 次の日、再び挑戦だが、うまくいかず、 時間ばかりが過ぎていく。 社長から内線があり、社長室に呼ばれた。
社長と私のやりとり
社長 一体、いつになったら回復するねん
外部からのDoS攻撃に遭っています。
対応にはシステムの入れ替えが必要なのですが
それがうまくいっていません。
社長 なんで、うちの会社に攻撃する奴がおんねん
現に攻撃が来ています。
社長 今まで使っていたソフトではアカンのか?

  社長に説明するのだが

 なかなかわかってくれない (TT)

  ネットを調べようにも、ネットから隔離されていると、どうしようもない。
  電話で、友人に聞いたら「アップ・グレードはやめた方が良いよ。
中途半端にファイルが書き変わるからトラブルが起こりやすい」だった。

  困った挙げ句、最後のカケに出た。

  RedHat6.2をインストールして、LILOでコケたら、コケた段階で
インストール作業を終わらせ、起動ディスクで立ち上げて、
手動でLILOをインストールすれば良いのでは。

  最後の手であった。これが失敗すると、打つ手なし。
  こうなりゃ祈るしかない。
  日本人らしく(?)、仏教徒&神道&キリスト教徒&etc...の私は、
各宗教の神に祈るのみだった。

 神様、仏様、稲尾様ならぬ起動ディスク様!

  祈りが通じて、見事に起動ディスクでLinuxが立ち上がった。
  そして、手動でLILOをインストールした。
  rebootをかけて、再起動。うまくいった!!

  各種設定を終わらせて、無事、復旧。
  BINDのバージョン・アップもできた。
  やれやれの状態だった。

  後で「LILOとはなんぞや」で本を読んだら、Linuxの起動時に
カーネルを読み込むためのプログラムだった。
 LILOやGRUBについては「システム奮闘記:その71」をご覧下さい。
 (ブートローダーGRUBの話)

  無理にLILOをインストールしなくても、起動ディスクを使えば
問題がないことがわかった。
  まだまだ精進せねばと思う瞬間だった  (--;)

  不幸中の幸い。この事件以降、うちの会社で、セキュリティー問題を
取り上げてくれるようになった。


コンピューターウイルス対策

2001年7月末。 この頃から社内にウイルス・メールが、やってくるようになった。 ウイルス攻撃の第一波は、サーカム・ウイルスだった。 社内に「不明なメールの添付ファイルを開けないように」と通達した。

CodRedの攻撃

2001年8月。CodeRedが攻めてきた。 幸い、うちの会社はWindowsNT/2000のサーバーがないため被害はなかった。 しかし、ネットワーク回線がISDN回線で64Kと細い。 回線の帯域がCodeRedのパケットが占有されて、通信に支障が出る心配をした。 Apacheのログを見て、どんどん攻撃数が増える。 国内からの攻撃の場合は、攻撃元の管理者に注意を促すメールを書いた。 ほとんどの所が感染に気づいていなかった。 なんと、プロバイダーやSI会社からの攻撃があった。間抜けだが、笑うに笑えない。 中には「Windows2000サーバーをテスト的に立ち上げて、 3、4時間動かしていたら感染してしまいました。感染力は恐ろしいです」という 返事をくれた会社があった。 この話を、ネタとしてBLUEのMLに流してみた。 「グローバルでテスト・サーバーを立ち上げる奴がいるかよ」という反応があった。 相変わらず攻撃が続くため、不謹慎だが「目指せ1万件」という心境になってきた。 被害がないだけに「もう知らん。勝手にしてくれ」という感じだった。

コンピューターウイルス:ニムダの攻撃

2001年9月。今度は、ニムダウイルス。 これには参った。IEやOutlookExpressにも感染する。 2つのソフトの、バージョンアップが迫られる。 大急ぎで、社内にインターネット利用禁止の通達を流した。 営業所にバージョンアップの指示を出すものの、パソコンに詳しい人がいない。 でも、バージョン・アップをしないといけないし、ウイルス感染検査で、 トレンドマイクロ社の無償検査のサイトで検査をさせる必要がある。 そのため、電話でのやりとり。パソコンをあまり触らない人に 色々、指示するため、なかなか思うように作業が進まない。メチャクチャ疲れる。 全国13ヵ所の営業所に電話。地獄そのもの。うんざり。 まだ、うちの会社ような中小企業なら、対処が早くできる。 私の知人がいる大企業では、大混乱に陥っていた。 インターネット禁止で、ネットが使えるのは数台のパソコンだけ。 知人曰く「うちのシステム部や、システム子会社はダメだ」とボヤいていた。 CodeRedの時もパニックに陥っていた。
 CodeRedにニムダ。 これだけ世間を騒がせながら、Microsoft日本法人の社長の阿多とやらは 「IISが普及した代償」と反省のカケラもない。日経ITproの記事。  「ウイルスに狙われるのはIIS浸透の代償」とマイクロソフト阿多社長  社会的責任が重いのに関わらず反省のない経営陣は、即刻、退くべきだ! 「MS製品を使うのはマゾだ。己れから加害者になるぞ!」と思う。 しかし、悲しいかなぁ。Linux技術者が不足しているため、人件費が高く、 Windowsシステムの方が安くなってしまう。 ユーザーも、Windowsの方が扱いやすいと思い込んでいる所があるようだ。 でも、あるSI会社の知人は  ニムダなどで、Linuxシステムの構築の案件が増えた!  と言っていた。 Microsoftが陥落する日も近いかも (^^)  その後もウイルス対策は続く。半永久的な戦いだ。
その後のウイルス対策の話
(1) システム奮闘記:その32
Postfixでのウイルスメール対策。添付ファイルの拡張子での判断
(2) システム奮闘記:その40
Windowsでのパケットフィルタリング
(3) システム奮闘記:その43
Linux版のウイルスフィルターの導入


後書き セキュリティー対策。これは疎かにはできない。 被害にあうと悲惨なことになる。しかし、それだけではない。 被害者が加害者になる悲劇が起る!!  加害者になった被害者。私は罪を問うのは酷な気がする。  クラッカーやウイルスを作った奴が原因なのに、捕まえられないため、 加害者になった被害者に罪を押しつけている気がする。  悪質なクラッカーは見つけ次第、見せしめで処刑ぐらいしても良いと思う。  ウイルス作成ソフトなどを配布しているサイトがあれば、厳重に取り締まり、 配布した人を逮捕するくらいはしても問題がないと思う。  この意見を書くと、理屈好きな法学者は「国家権力うんぬん」と言い出すが、 ウイルス攻撃などはサイバー・テロ。即ち「テロ」そのものだ。  テロは強制的な力を持って取り締まらなくてはならない。  バカな法学者は現実を無視して理屈論に走る。何も考えずに「犯罪者の人権」と叫ぶ。  そうなれば、被害者の人権はどうなるか。完全に踏みにじられることになる!    インターネットの歴史を紐解くと、性善説で構築されてきた歴史がある。  研究者達の世界だったので、悪意のある人がいるという前提条件がなかった。  そのため、セキュリティーに関しては、あまり重視されなかった歴史がある。  私は研究者達を責める気はない。時代背景を越えて物事を考えるのは不可能だからだ。  2000年問題も、当時、メモリー節約の発想だったのが仇になった結果だった。  サイバー・テロ問題。  これは21世紀の大きな課題になっていくと思う。

次章:「ディスクパーティションの話」を読む
前章:「中小企業で無償データベースのPostgreSQL導入」を読む
目次:システム奮闘記に戻る

Tweet