S大隊毎週木曜日恒例のアサミ・・・全体集会でT中隊長から、
「Windows Updateをするように!」
という周知・指示があった。
そのとき
「Fire Wallがあるのに、なぜかセキュリティセンターから注意がありました。」
という話があった。
まったく、な〜に考えているんだろうね!
Fire wallで防げないVirus侵入もある。(最近はこちらのほうが多い!)
最近のVirus(マルウェア)は、TCP port 25や80・110といったFire wallの開いているポートを利用して攻撃する。また、S大隊が被害者という状況だけでなく、Virusに感染すると自覚のない加害者になることもある。
このことが判っていないようなのでS大隊が自覚のない加害者となっているログを利用して解説したメールを書いた。
以下に、インターネットを介して外部のサーバを攻撃した記録の一部を紹介し
ます。(40日ほど前のことです。)
@ 外部のWebサーバのアクセスログ
※ クライアントのアドレスが 129.60.5.84 ということが判ります。
※ インターネットへのアクセスにProxy Serverを利用していると、アクセスされた側からは、
Proxyのアドレスが「クライアントの如く」見えます。
※ Microsoft IISの脆弱性を利用しています。
※ 脆弱性を対策してあるサーバなので、攻撃は失敗しています。
※ 時間はグリニッジです。日本時間は+09:00なので、ちょうどお昼休み時間ということが判
ります。
#Software: Microsoft Internet Information Server
#Date: 2005-10-25 15:31:03
#Fields: time c-ip cs-username cs-method cs-uri-stem sc-status cs(Referer)
(抜粋)
03:28:15 129.60.5.84 - GET / 404 -
03:28:17 129.60.5.84 - GET / 404 -
03:28:17 129.60.5.84 - GET / 404 -
03:28:19 129.60.5.84 - GET /_vti_inf.html 404 -
03:28:19 129.60.5.84 - GET / 404 -
03:28:19 129.60.5.84 - GET / 404 -
03:28:19 129.60.5.84 - GET / 404 -
03:28:20 129.60.5.84 - GET /_vti_inf.html 404 -
03:28:20 129.60.5.84 - GET / 404 -
03:28:20 129.60.5.84 - GET / 404 -
03:28:21 129.60.5.84 - GET / 404 -
03:28:21 129.60.5.84 - GET / 404 -
03:28:21 129.60.5.84 - GET / 404 -
03:28:21 129.60.5.84 - GET / 404 -
(以下略)
A Url-Scan(簡単に言えば対策用プログラム)でRejectしたアクセスの内容
※ こちらの時間は日本時間です。
[10-26-2005 - 12:28:16] ---------------- Initializing UrlScan.log
----------------
[10-26-2005 - 12:28:16] -- Filter initialization time: [10-05-2005 -
23:42:12] --
[10-26-2005 - 12:28:16] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:17] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:17] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:19] Client at 129.60.5.84: Content-Length 41
exceeded maximum allowed. Request will be rejected. Site Instance='3',
Raw URL='/_vti_bin/shtml.exe/_vti_rpc'
[10-26-2005 - 12:28:19] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:19] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:20] Client at 129.60.5.84: Content-Length 41
exceeded maximum allowed. Request will be rejected. Site Instance='3',
Raw URL='/_vti_bin/shtml.exe/_vti_rpc'
[10-26-2005 - 12:28:20] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:21] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:22] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:22] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:22] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:29:46] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:29:46] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:29:46] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:29:46] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:26] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:26] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:26] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:27] Client at 129.60.5.84: Content-Length 41
exceeded maximum allowed. Request will be rejected. Site Instance='3',
Raw URL='/_vti_bin/shtml.exe/_vti_rpc'
[10-26-2005 - 12:33:27] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:28] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:28] Client at 129.60.5.84: Content-Length 41
exceeded maximum allowed. Request will be rejected. Site Instance='3',
Raw URL='/_vti_bin/shtml.exe/_vti_rpc'
[10-26-2005 - 12:33:29] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:29] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:29] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:30] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:30] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:39] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:39] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:39] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:39] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
B 当該アドレスをWhois解決してみましょう
APNICのページで 129.60.5.84 を解決してみます
http://www.apnic.net/apnic-bin/whois.pl
inetnum: 129.60.0.0 - 129.60.255.255
netname: NTT-INET
country: JP
descr: Nippon Telegraph and Telephone Corporation
descr: Information Sharing Laboratory Group
mnt-by: MAINT-JP-NTTELECTCOMLAB
ということが判りました。
ログを見てどの程度の方が
「あっ!Virusに感染したマシンからの攻撃だ!」
と理解できたかわからぬ。ポイントは
-
人間業ではない秒単位のアクセスであること
-
GET /_vti_inf.html なんてMicrosoft Internet Information Serverの脆弱性を狙っていること
である。
※ これを読んで「だからやっぱりApacheだぜ!」なんていう人もだめだな!Fixされていない(パッチの出ていない)脆弱性はApacheの方が多いのだから。
※ Fixされている(パッチの出ている)脆弱性に対して未対処なのは、IISかApacheかなんて問題ではなく、サーバ管理者のスキルとモラルの問題だ!。
※ しかし、ここの団体は以前にも
こんな事件を起こしているんだ。全く過去に学びが無いよね。
ソーシャルセキュリティに対する意識の欠如!
先のログ解説メールを出した後、僕が尊敬するMSG中隊長からメーリングリストで返事が来た。
MSGです。
天災>そのとき
天災>「Fire Wallがあるのに,なぜかセキュリティセンターから注意がありました.」
天災>というお話がありました.
Firewallがあってもまだまだ抜けがあるんですね。
昔nimdaか何かは伝搬が早すぎてVaccineの配布が間に合わなくて伝染したことがありました。
会社のFirewallを過信することなくこまめにWinupします。
私の自宅はBBR置かずにFletsツールで直接つないでいるので、
会社と比べてずいぶんNortonのWarning(ウィルスを検出・除去完了報告)が出ます。
余談ですが、
T中隊長さんの意図は(分かってらっしゃると思いますが念のため)
Virusをブロックする使命を持ったセキュリティセンタが
ブロックしきれずに社内にVirusが漏れたのに、
どうして俺たちがあいつらに注意されなきゃいけないんだ、チクチク
ってことですよね。
まったく、な〜に考えているんだろうね!
分かってらっしゃると思いますが念のため
と書いてあるけれど、
その憶測通り!僕は判ってません!
なぜならば、
Virusをブロックする使命を持ったセキュリティセンタが
ブロックしきれずに社内にVirusが漏れたのに、
どうして俺たちがあいつらに注意されなきゃいけないんだ、チクチク
って考え方が
まったく、ダ〜メ!だから。
最近のVirus感染は、
-
ユーザの操作によって
-
ユーザ自らが感染元にアクセスして
感染するから。
メールの添付ファイルやHTMLメールを見て感染したりするのは有名だ。それだけでなく、悪意を持ったスクリプトの仕掛けられているWebページを閲覧して感染するユーザがいるのだ。
メールからもWebページからの感染もいずれもユーザの操作によって感染しているのである。これはFireWallでは防ぎようがない。
S大隊では、無い坊主という貧弱Webイントラネットシステムを利用しているのだが、IIS上で動いているんだなぁ、これが!。
-
インターネット上のWebページ閲覧というユーザ操作でVirusに感染する
-
感染者が毎朝の習慣で無い坊主を見る
-
無い坊主がVirusに感染する
-
あとはバイオハザードの如く、S大隊に感染が広がる
なんてすばらしいシナリオだ!
今回の格言
ユーザの操作によって感染する場合、FireWallでは防ぎようがない!Social Securityという考え方で対処すべき。
→ ユーザー教育 → ユーザーの意識改革が必要!
今回の愚痴
ま〜たく、こんなことも知らないで・考慮しないで、威張ってるんじゃない!偉らそぶるな!求む!反省!
今回の応用
ライバル会社同士、お互いのインターネットWebページを見ているのは一般的だから、ライバル会社のIPでのアクセスで動作する悪意を持ったスクリプトなんて凄いな!
初出 Dec 01 2005
更新 Feb 07 2006
