新米ネットワーク管理者の「やってはいけない」

第3回 ネットワークの「やってはいけない」

この記事を読むのに必要な時間:およそ 2 分

攻撃行為をやってはいけない

ひとつ,著者が経験した事例を紹介します。

筆者はネットワークを流れる通信を日々監視し,ボットやワームによる通信をはじめ,お客様のネットワークで影響を受けるような通信を発見し次第,状況を確認し顧客に連絡を実施する,いわゆるセキュリティ監視業務に携わっています。

先日,監視対象となっている顧客管理ネットワークより,管理ネットワーク外に対して攻撃が行われていたため,連絡を行い対処をしてもらいました。ここまではよくあることなのですが,しばらくして担当者より連絡があり,何を思ったのか発生していた通信をテストとして実施すると言われました。

通信先の許諾を得ているのか確認したところ「確認していない」との回答を受けたため,当然のことながら管理ネットワーク外への攻撃行為に該当するので担当者には即刻テストであっても中止するよう提言し,事無きを得たという事例です。

発生している事象の把握を正確に行わないとこのような事例が発生しかねません。この事例については,担当者が「テストだから」という思いこみから管理ネットワーク外へ同様の通信を実施しようとしてしまったことが原因でした。同じようなことのないよう,管理者として注意してください。

管理ネットワーク外へ攻撃行為を実施してしまった場合,次のようなことになりかねません。

  • 所属組織の社会的信用の失墜
  • 損害賠償による訴訟

「おたくの組織から攻撃が来ているので止めてもらいたい」という連絡が来たというのをよく耳にしますが,ボットやワームによる攻撃であれ,テストと思い込んで実施した通信(攻撃)行為であれ,管理ネットワーク外にそのような通信が流れてしまうと,あそこの組織はセキュリティ対策ができていないと思われてしまいます。そうなると,社会的信用は失墜する可能性はもちろん,通信先に悪影響を与えてしまった場合には損害賠償を起こされかねません。これは大げさな話でもなんでもなく,不正アクセスを予見/予防できなかった責任を問われる可能性は大いに考えられます。それ故に,管理者として常に最新の情報に気を配り,対策/対応を行っていかなければならないのです。

ボットやワームの感染,油断してはいけない

管理ネットワーク外へ攻撃行為が行われることによる危険性は先に書いたとおりですが,いくら対策を行ってもすべてを防げるわけではありません。ボットやワームなど,常に新しい手法で対策の裏を書くようなに攻撃を試みてきます。メール感染型の場合,メールの件名や本文に誘われて添付ファイルを開いてしまうなど,人間心理をつくこともあり,対策の徹底は困難です。そのため,万が一感染してしまったときのことを想定して,対策を行うことが重要となります。

ボットやワームについては二次感染が大きな脅威になるので,感染が確認されたホストは即時の切り離しが必要になります。

また,二次感染してしまった時を考慮して,関連ネットワークそのものをいち早く切り離せる準備をする必要があるでしょう。これは,自宅が火事になってしまった場合に周りの家屋へ被害を及ぼさないように,燃えていないところを壊して延焼範囲を減少させるのに似ています。

状況によっては,管理ネットワーク外への攻撃通信を防ぐため,通信すべてを管理ネットワーク外へ出ていかないように対応する必要があるかもしれません。しかし,すべての通信を止めるとなると,その影響範囲の大きさから決断に迷いが生じ,二次被害が発生してしまう可能性も考えられます。そのため,常に最悪の状況を想定して事前に緊急時の連絡方法や対処法を定めておくなどの対策を準備しておくことで,いざという時,素早く決断を行うことができます。あらかじめ起こりうる事象を可能な限り確認しておくことが大切です。

次回,最終回となる第4回は,管理ネットワークを守るための防御方法を具体的に紹介します。

著者プロフィール

賀川亮(かがわりょう)

日々の情報収集と子供の成長監視に余念がない24時間365日体制でセキュリティ監視に勤しむJSOC(Japan Security Operation Center)所属の子持ちのセキュリティアナリスト。

株式会社ラック
URL:http://www.lac.co.jp/

JSOC
URL:http://www.lac.co.jp/business/jsoc/