第28回 不正アクセスを試みるログ

  • Clip to Evernote
  • Check

いつもお世話になっております。情報セキュリティ担当のJです。
今回は、「不正アクセスを試みるログ」をテーマに書いてみたいと思います。

 弊社ではいくつかのWebサーバを管理しておりますが、毎日のように不正ログインや不正アクセスを試みようとするログ(記録)が、記録され続けております。特に、メールサーバやWebサーバ、IP電話を管理する機器については、様々な国から、無作為に繰り返し攻撃がやって来ます。今回は、メールサーバ、Webサーバ、IP電話機器の約半年間のログ(記録)を集計、分析してみましたので、ご紹介致します。

▼メールサーバ

 約6ヶ月間で、11,855個のユーザ名(infoやadminなど)を使って、約45,000回のログインを試した形跡がありました。こちらの集計に含まれておりませんが、つい数日前にも朝から晩まで4秒間隔で約12,000回に渡ってログインを試す攻撃が来ておりました。海外からの攻撃ですが、日本人の名字、名前を使っており、日本が狙われていることを改めて感じました。不正ログインを試したユーザ名で、試行回数の多かったもの100件をご紹介致します。

 これらのユーザ名(アカウント)を作成する場合は、特に攻撃を受けやすいので、複雑なパスワードを設定したり、定期的にパスワードを変更する、アクセス元を制限するなどの対策を推奨致します。

 また、試験環境やテストの際に、安易に作成してしまいそうなユーザ名(testやtest1など)も多く狙われていることが分かるかと思いますので、こういった「一時的なユーザ」を作成する場合は、安易なパスワードを使わない、テストが終わったら必ず削除するなど、十分な注意が必要です。

▼Webサーバ

 約6ヶ月間で、WordPress(CMS)や、phpMyAdmin(DB操作ソフト)、fckeditor(エディタ)などの「探索」と思われる形跡が、約3,000回ありました。WordPressや、phpMyAdminについては、頻繁に狙われますので、常に最新バージョンを利用する、管理画面へのアクセスについては必ず別の認証方法でアクセス制限を実施する必要があります。

【URLの探索と思われる攻撃】

▼IP電話

 総務省などからも、6月にIP電話等の不正利用に関する注意喚起情報も出ていますが、不正に国際電話を掛けようとする攻撃が多発しております。弊社で利用している機器については、直接的に不正利用することは出来ませんが、攻撃を受けた記録が残ります。昨年まで遡って調べてみましたので、こちらをご紹介致します。

 今年の4月頃より攻撃回数が増え、現在も継続中であることが分かります。ログ(記録)を解析してみますと、内線番号を偽装して外部に電話を掛けようとしていたり、0発信やプラス記号を挿入したりと、機器の設定不備を利用しようとするものが多いようです。

 電話設備については業者任せとなっている企業様も多いかと思いますが、メンテナンスのためにインターネット上のどこからでも電話主装置に入れるような設定になっていないかどうか確認する、国際電話を利用しないのであれば、国際電話の発信規制を申し込むなどの対策をお薦め致します。

 調査したログ(記録)や最近のインターネット上での事件を見ていると、明らかに日本をターゲットとしていることが分かりますので、まずは身近なところから、チェックと改善をお願い致します。

次回は、「セキュリティ専門会社のセミナーで学んだこと」をテーマに書いてみたいと思います。

情報セキュリティ管理者:J