Fail2banから見る総当たり攻撃の状況

さて，それではFail2banを使うことでどれくらい総当たり攻撃を防げたのかを検討してみましょう。筆者がFail2banを使っているのはメーリングリストの運用に使っているサーバで，主に監視しているサービスはPostfixとDovecot，Postfixに関してはfilter.d/にあるpostfix.confを使ってsmtpdに対する不正な接続を監視し，Dovecotでは同じディレクトリのdovecot.confを使ってPOP3/IMAPへの総当たり攻撃を監視しています。

6月の下旬から10月中旬までの4ヵ月弱（約110日）の間のログを調べたところ，postfix jailによるbanは2363回，dovecot jailによるbanは660回記録されていました。単純に平均するとPostfixに対する不正接続は1日約20回，Dovecotに対する不正アクセスは約6回生じていることになります。

もっとも，ban回数は日付ごとにずいぶん多い少ないがあり，Postfixの場合は7月5日が最大で289回，以下6月27日が168回，7月6日が131回，6月29日が124回，7月19日が86回となり，7月2日，3日，8月20日，9月9日が最も少ない4回になっていました。

Dovecotの場合は，7月4日が最大で24回，以下，7月19日が22回，7月11日と22日が18回で，8月19日，9月5日，9月7日等，計12日が1回のみのbanにとどまっていました。

この結果を見ると，SPAMにしろ不正ログインにしろ，毎日同じペースで来るわけではなく，ピーク時と閑散時は数十倍程度の差があることがわかります。今回の場合，7月4日（JSTだと7月5日）は米国の独立記念日にあたるので，恐らくそれに便乗したSPAM等が流行した結果，平均の10倍強のban回数が記録されたのでしょう。

一方，banされたIPアドレスについて調べてみると，postfix jailでは総計1298のIPアドレスがbanされており，そのうち895のアドレスは1回のみのbanなのに対し，最大では72回もbanされたIPアドレスがありました。

dovecot jailでは総計418のIPアドレスがbanされ，そのうち181のアドレスが1回のみのban，複数回banされているアドレスは4回banされたのが2ヵ所，3回が1ヵ所，2回が234ヵ所で，Postfixに比べると攻撃元は分散しているようです。

Postfix, Dovecotそれぞれについて，banされた回数の多いIPアドレスとそのアドレスを運用しているISPを整理すると，下表のような結果となりました。なお，Dovecotの2回banは234ヵ所あるので，そこから10件のみ抽出してみました。

この表を眺めると，SPAM型のPostfixに対する攻撃元は欧米から中国まで広く分散しているのに対し，不正アクセス型のDovecotへの攻撃元は中国が大半を占めているようです。中国はインターネット利用者数が世界一なので，利用者が多い分悪用者が多くなるのも当然なのかも知れませんが，個人が趣味で運用しているレベルのサーバでは，悪用者の多い地域からのアクセスはあらかじめIPアドレスレベルで拒否しておくのも手かなぁ，と考えていたりします。

今回，Fail2banのログを眺めていて「面白いな」と思ったのは，監視対象にしていたにもかかわらず，sshdに対する総当たり攻撃は記録されていなかったことです。恐らくその理由は，このホストを運用しているホスティング会社の方針で，sshdのポート番号がデフォルトの22から別の番号に変更されているせいでしょう。

もちろん，ポートスキャン等をかければ，どのポート番号が反応するかを外部から調べることも可能ですが，「⁠総当たり」のような野蛮な方法を使おうとする攻撃者は，そういう余計な手間をかけるよりも，デフォルトのポート番号のまま運用しているサーバを探す方が簡単だしパスワード設定が甘いことも多い，と思っているようです。

そう考えると，SMTPのように世界中の不特定のメールサーバと通信しなければならないサービスのポート番号は変更できないものの，SSHやPOP/IMAPのように利用者を特定できるサービスでは，あらかじめポート番号をデフォルト値から変更しておく，というのは，簡単なものの，案外有効なセキュリティ対策なのかも知れません。