一般社会に詐欺や不正行為があるようにネットワークにもさまざまな犯罪がある。
一般社会ではある程度危険を察知することができるし、犯罪を抑制したり取り締まる方法も整備されている。ネットワークではまだ知識や制度がしっかりしていないので危険が大きい。
ネットワークには田舎と都会の区別はない。大通りと路地裏の区別もない。国境もない。
コンピュータやネットワーク、情報システムを使う権利をアカウントという
本人しか持っていないもの、本人しか知らないもので本人であるかを確認する必要がある。idカードや指紋、虹彩などの生体認証、ユーザー名とパスワードなど様々な方法がある。
コンピュータウイルスという言葉は、現在ではコンピュータの使用者が意図しない不正な動作をするプログラムの総称として用いられることが多い。
不正な動作とは、システムの破壊、改ざん、盗聴、他のシステムへの攻撃などがある。
元々は生物学的なウィルス同様に他のプログラムに自分のコピーを追加(これが感染)するプログラムの呼び名だった。
一度感染すると、感染したプログラムは普通のソフトウェアなので、実行のたびにウィルスも実行されて被害を拡大する。
しかし、最初の感染はメールに添付されたファイルをダブルクリックしたり、ブラウザが実行するように仕掛けられたり、CD・DVDやUSBメモリに自動実行されるように仕掛けられたり、文書ファイルなどのデータファイルに見せかけてダブルクリックさせる、といったことから起こる。
ウィルス対策ソフトはファイルの中から、ウィルスのプログラムパターンを見つけ出して、報告したり削除したりするソフトである。ウィルスは常に新しいものが作られるので、プログラムパターンを見つけ出すためのパターンファイルは常に新しくしなければならない。
市販のコンピュータにはウィルス対策ソフトが無料で使えるようになっていて、パターンファイルの更新のために後で代金を払うようになっている場合が多い。
嘘のウイルス感染警告をする偽セキュリティソフト型ウイルスへの感染が報告されています。
次のような画面が出ます。これは偽のソフトです
System Progressive Protection などもっともらしい名前、Windowsのロゴに似たマークがあったりします。
感染経路はブラウザ。ブラウザからインストールさせたり、java, Adobe Reader, Adobe flash Player などのセキュリティホールを突いてページを閲覧するだけでウィルスが動き出すものもあります。
ハードディスクをスキャンしていろいろな「悪い」ソフトウェアを発見したと報告しますが、実は自分がウィルスで、駆除のソフトウェアを購入するように導くそうです。
中でも、System Progressive Protection はクローズボタン[✖]で終了できず、時々見つけた悪いソフトをどうするか聞いてきますし、いろいろなソフトを起動出来なくしますので仕事になりません。
ここで紹介しているのは英語ですが、すぐに日本語のものも出てくると思います。
防火壁の意味。ネットワーク経由の攻撃からLANやコンピュータを守るソフトウェア、またはそれが動いているハードウェアのこと。
ウィルスと異なり、ユーザーがなにもしなくても、ネットワーク経由で外から攻撃されるのでウィルスとは別の防御が必要です。
ウェブサーバーは80番ポートでアクセスを待っています。DNSサーバーは53番、sshサーバーは22番です。サーバーでないコンピュータはもちろん80,53というポートは使っていないが、他のポートでサーバーの働きをさせている(通信を待っている)場合があります。こういうソフトウェアをサービスといいます。極端な例ですが、コンピュータの操作命令を受け付けるサーバーを働かせておくとOSのトラブルがあった時に遠隔操作で直すことができるようになります。
このサーバーに多量のデータを送りつけたり、想定外の命令を送ることで誤動作が起こるばあいがあります。これが脆弱性(ぜいじゃくせい)とよばれるものです。
もちろんこのサーバーをしっかり作っておけば問題ないのですが、ポートの監視をして不正なアクセスを通さないようにするのがファイアウォールです。
コンピュータのポートを調べる行為をポートスキャンといいます。
以下は本校のルーターが受けたポートスキャンの様子。208.184.64.102 というアドレスからスキャンを受けているのを攻撃とみなしてルーターが記録に残しています。
ルーターを通さずに直接コンピュータをインターネットにつなぐと、直接このような攻撃に晒されます。
28 18:59:21 4 FIRE FIRE ATTK 28-Nov-2013 18:59:21 Port scan from 208.184.64.102 is finished 28 18:59:21 4 FIRE FIRE ATTK 28-Nov-2013 18:59:21 Port scan from 208.184.64.102 is finished 28 18:59:24 4 FIRE FIRE ATTK 28-Nov-2013 18:59:24 Port scan from 208.184.64.102 is finished 28 19:01:32 4 FIRE FIRE ATTK 28-Nov-2013 19:01:32 Port scan from 208.184.64.102 is finished 28 19:01:33 4 FIRE FIRE ATTK 28-Nov-2013 19:01:33 Port scan from 208.184.64.102 is finished 28 19:01:34 4 FIRE FIRE ATTK 28-Nov-2013 19:01:34 Port scan from 208.184.64.102 is finished 28 19:01:34 4 FIRE FIRE ATTK 28-Nov-2013 19:01:34 Port scan from 208.184.64.102 is finished 28 19:01:38 4 FIRE FIRE ATTK 28-Nov-2013 19:01:38 Port scan from 208.184.64.102 is finished 28 19:03:12 4 FIRE FIRE ATTK 28-Nov-2013 19:03:12 Port scan from 208.184.64.102 is finished 28 19:03:27 4 FIRE FIRE ATTK 28-Nov-2013 19:03:27 Port scan from 208.184.64.102 is finished
遠隔ログインのためのサーバーであるsshdにいろいろなユーザーでログインを試みています。ルーターが記録に残しています。
mama,windows,fritz,...といろいろなユーザーでログインを試みていますが、本校のルーターにはこのようなユーザーがいないので、ログインさせずにInvalid userと記録を残しました。
ルーターを通さずに直接コンピュータをインターネットにつなぐと、直接このような攻撃に晒されます。この場合、パスワードを設定していないユーザーが当たると、ログインされてしまいます。
Nov 25 08:14:00 anmon sshd[13150]: Invalid user mama from 122.154.162.3 Nov 25 08:14:01 anmon sshd[13152]: Invalid user windows from 122.154.162.3 Nov 25 08:14:02 anmon sshd[13154]: Invalid user fritz from 122.154.162.3 Nov 25 08:14:03 anmon sshd[13156]: Invalid user linux from 122.154.162.3 Nov 25 08:14:05 anmon sshd[13158]: Invalid user debian from 122.154.162.3 Nov 25 08:14:06 anmon sshd[13160]: Invalid user darwin from 122.154.162.3 Nov 25 08:14:07 anmon sshd[13163]: Invalid user redhat from 122.154.162.3 Nov 25 08:14:08 anmon sshd[13165]: Invalid user edith from 122.154.162.3 Nov 25 08:14:09 anmon sshd[13167]: Invalid user neo from 122.154.162.3 Nov 25 08:14:11 anmon sshd[13169]: Invalid user neo from 122.154.162.3
ユーザー名が当たっても、遠隔地からはログインできないようにしたり、パスワードをしっかり設定すればログインされません。その時は次のような記録が残ります。
Nov 24 05:48:38 anmon sshd[3226]: User postgres not allowed because account is locked
相手のIPアドレスがわかるとどこから攻撃しているか調べることができます。IPアドレスは誰に対して発行したか記録されているからです。
一般の人はプロバイダの所有するアドレスを使います。警察は事件性があるときはプロバイダの記録を調べ、その時間にそのアドレスを使っていたのが誰かを突き止めます。プロバイダが課金のために記録しているからです。
勝手に他人のコンピュータにログインして乗っ取って使う場合には、攻撃者は乗っ取られたコンピュータの所有者になってしまいます。このようなコンピュータは攻撃の踏み台にされたといいます。
本校のルーターに残っている攻撃者のアドレスを調べてみます。国境をこえて探りを入れられているのが実感できます。
これはタイです。
% APNIC found the following authoritative answer from: whois.apnic.net % [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '122.154.160.0 - 122.154.191.255' inetnum: 122.154.160.0 - 122.154.191.255 netname: CAT-Central country: TH descr: 525/9 Tumbon nakhonsawantok Muang Nakhonsawan 60000 descr: ***send spam abuse to somboon@cat.net.th , tree@cat.net.th*** country: TH admin-c: IC174-AP tech-c: TC476-AP status: ALLOCATED NON-PORTABLE notify: hosmaster@cat.net.th remarks: spaming abus sent to hostmaste@cat.net.th mnt-by: MAINT-TH-THIX-CAT changed: suchok@cat.net.th 20070108 source: APNIC person: IP-network CAT Telecom nic-hdl: IC174-AP e-mail: ip-noc@cat.net.th address: Data Comm. Dept.(Internet) address: address: CAT Telecom Public Company Ltd, address: address: 72 Charoenkrung Road Bangrak Bangkok THAILAND 10501 phone: +66-2-6142374 fax-no: +66-2-6142270 country: TH changed: suchok@cat.net.th 20051202 mnt-by: MAINT-TH-THIX-CAT source: APNIC
これは中国です。
% APNIC found the following authoritative answer from: whois.apnic.net % [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '218.108.0.0 - 218.109.255.255' inetnum: 218.108.0.0 - 218.109.255.255 netname: WASU descr: WASU TV & Communication Holding Co.,Ltd. descr: 6/F, Jian Gong Building, NO.20 Wen San Road, Hangzhou, descr: Zhejiang province, P.R.China 310012 country: CN admin-c: XZ1291-AP tech-c: TF142-AP status: ALLOCATED PORTABLE mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-routes: MAINT-CNNIC-AP changed: hm-changed@apnic.net 20080123 source: APNIC person: Tao Feng nic-hdl: TF142-AP e-mail: fengtao@chinahcn.com address: No.9 ShuGuang Road,HangZhou City,ZheJiang Province phone: +86-0571-28958888-8108 fax-no: +86-0571-85214455 country: CN changed: ipas@cnnic.cn 20100513 mnt-by: MAINT-CNNIC-AP source: APNIC person: Xianlong Zeng nic-hdl: XZ1291-AP e-mail: allon@chinahcn.com address: No.9 ShuGuang Road,HangZhou City,ZheJiang Province phone: +86-0571-28958852 fax-no: +86-0571-85214455 country: CN changed: ipas@cnnic.cn 20071123 mnt-by: MAINT-CNNIC-AP source: APNIC
これはインドです
% APNIC found the following authoritative answer from: whois.apnic.net % [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '115.248.0.0 - 115.248.255.255' inetnum: 115.248.0.0 - 115.248.255.255 netname: RCOM-STATIC descr: This space is statically assigned country: IN admin-c: AH406-AP tech-c: AH406-AP status: ASSIGNED NON-PORTABLE mnt-by: MAINT-IN-SN changed: antiabuse.support@relianceada.com 20080730 source: APNIC role: Antiabuse Helpdesk address: Reliance Communication Ltd address: Antiabuse Helpdesk, 2nd Floor, address: International Area , A Block address: Dhirubai Ambani Knowledge City, address: Thane Belapur Road, KoparKhairane, address: Navi Mumbai - 400710 country: IN phone: +91-22-30334141-5 fax-no: +91-22-30334949 e-mail: antiabuse.support@relianceada.com remarks: Send spam & abuse Reports remarks: include detailed information & time remarks: to antiabuse.support@relianceada.com admin-c: IH158-AP tech-c: AH405-AP nic-hdl: AH406-AP notify: antiabuse.support@relianceada.com mnt-by: MAINT-IN-SN changed: antiabuse.support@relianceada.com 20080506 source: APNIC changed: hm-changed@apnic.net 20111114
これは韓国です。
% APNIC found the following authoritative answer from: whois.apnic.net % [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '211.206.0.0 - 211.211.255.255' inetnum: 211.206.0.0 - 211.211.255.255 netname: HANANET descr: Hanaro Telecom, Inc. country: KR admin-c: IM150-AP tech-c: IM150-AP remarks: *********************************************** remarks: KRNIC of NIDA is the National Internet Registry remarks: in Korea under APNIC. If you would like to remarks: find assignment information in detail remarks: please refer to the NIDA Whois DB remarks: http://whois.nida.or.kr/english/index.html remarks: *********************************************** mnt-by: MNT-KRNIC-AP mnt-lower: MNT-KRNIC-AP changed: hostmaster@apnic.net 20001228 changed: hostmaster@apnic.net 20010627 changed: hm-changed@apnic.net 20041007 status: ALLOCATED PORTABLE mnt-irt: IRT-KRNIC-KR source: APNIC irt: IRT-KRNIC-KR address: 6F, West Hall, 118 Building(IT Venture Tower), address: 78, Garak-dong, Songpa-gu address: Seoul, Korea, 137-857 e-mail: hostmaster@kisa.or.kr abuse-mailbox: hostmaster@kisa.or.kr admin-c: HM127-AP tech-c: HM127-AP auth: # Filtered mnt-by: MNT-KRNIC-AP changed: hostmaster@kisa.or.kr 20101109 source: APNIC person: IP Manager nic-hdl: IM150-AP e-mail: ip-adm@skbroadband.com address: Jung-gu SK NamsanGreen Bldg,Namdaemunno 5(o)-ga, Seoul phone: +82-2-6266-2182 fax-no: +82-2-106-2 country: KR changed: hostmast@nic.or.kr 20100705 mnt-by: MNT-KRNIC-AP source: APNIC