今回のこれは変だよ!はサイト管理者や天災の著作ではない。とても面白い投稿があったので一部伏字の上完全載録する。
投稿全文 【ウィルスSASSER vs 天災先生】
※ここでのKKKはオタク3人衆ではありません。名前と役職から、KKKとすることにしました。
【プロローグ】
KKK「いやあ私、セキュリティの説明しろって言われてるんですけどね。正直よく分からんのですよ、ハッハッハ」
【4/15昼】
AM「BSさんの教室に割り当てたIPって、xxxでしたよね?大至急、確認してください」
BS「ええと、その通りでした」
AM「やっぱり! まいったなぁ。実はですね、そのIPから外部のWebサーバにアタックしたらしいんですよ」
BS「ええっ! ネットは新兵訓練中に調べ物で使ってるだけなんですが」
AM「ブーロードバンドルータ配下につないでいるんですよね。誰のPCか特定できますか?」
BS「ちょっとだけ時間をください。すぐ確認してきます。」
AM「大至急お願いします。」
【10分後】
BS「三人に絞り込めましたが、そのうち誰なのかはわかりません」
AM「経過報告を師団のセキュリティセンタにしてもらっていいですか?外部のサーバ管理者からクレームが来てるらしいんです。Webサーバのアクセスログにアタックの痕跡が残ってたんだそうです。センタでプロキシのログを辿ったら、S大隊管理のIPってことがわかって。センタからS大隊セキュリティ管理者のT中隊長に連絡が行って。O阪出張中のT中隊長からボクに連絡が入って。新兵教育訓練環境だったら、BSさんに調べさせるように言われたんですよ」
BS「わかりました。早速、連絡入れてみます。」
【電話】
BS「何度電話しても話中だな。待てよ、受講者全員に紹介したWebはHxxxx.NETだけだな。サーバ管理者、アクセスログ、クレームと言えば、もしかして…。センタは後回しにして、天災さんに電話しておこう」
BS「もしもしBSです。お疲れ様です。あのう今、師団セキュリティセンタにクレームが入った件の調査中なんですが、まさか天災さんは関係ありませんよね?」
天「そうですよ。ボクが連絡を入れたんですよ。今からボクの席のほうに来れますか? お話したいことがある」
【天災モード炸裂】
天「お見せしたいものがあります。これボクのサーバのアクセスログです。」
BS「…ハイ。」
天「これを見て何か分かりませんか?」
BS「いや、すみません。今ちょっと混乱していて理解が至りません。」
天「そうか、わかりませんか。この部分を見てください。これは昔のIISの脆弱性を狙った攻撃の跡です。」
BS「いや、でも、新兵訓練中に悪戯してるような人はいませんでしたが。」
天「まだ分からない? 誰かウィルスにかかってる奴がいるんじゃないか?」
BS「ウィルスですか?」
天「いいか、よく見てごらん。短時間に長いURLを狙い撃ちしてる。これは人間の手の仕業じゃないね。ウィルスの動きに見えますよ。感染したPCがいないかどうか、すぐに確認したほうがいいね。IPが分かってるんだったら、突き止めるのは簡単だろ。」
BS「ヤマハに持たせてたIPなので、怪しいPCは絞れてますが。特定には至ってないんです。」
天「何言ってんだよ。ヤマハってことはNATを使ってるんだろ。」
BS「はい。」
天「それで、下にぶら下げてるPCはそのIPを使って外に出てくんだろ。PCがどれだか分からなくてもヤマハは突き止められるじゃないか!そんなことも分からないの?」
BS「…その点は問題ないんですが、、、」
天「自分のとこのPCがウィルスに感染してるかどうかも把握してないの?笑っちゃうね。この程度のアクセスログも読めないの?そんなレベルでネットワークエンジニアなんて、どうかしてるよ」
※
webmaster注: この
天災さんはとても鼻持ちなら無い言い方をしているね。まずは謝っておこう。m(__)m
BS「天災さんは被害者ですね。それは間違いない。でもね、何で私がこんなことまで責任を負うの?
IPv6とかIPsecとかSIPの教え方が悪いっていう話なら分かるけど。私は単なる新兵訓練担当講師ですよ。ネットワーク管理者じゃないですよ。新兵のPCのウィルス対策まで仕切ってないですよ。そもそもセキュリティ説明の担当はKKKさんなんですよ。こんなことになるんだったら、最初から仕切らせてもらいたい。」
AM「今日については、T中隊長がBSさんを指名したからなんですよ。」
天「それは現場の環境が判る人が他にいないから。判る人っていう理由で選ばれたんだよ。
BS「今あっちにいるE崎さんにウィルス感染の確認をしてもらいます。」
天「ところで、どうして連絡入れたのがボクって分かったの?」
BS「私のカンですよ。他に思い当たる人もいないし。」
天「カン! カンで当てちゃったんだ! 凄いな。センタが名前を出したわけじゃないんだ?」
BS「センタとはまだ連絡が取れてません。話中が続いてます。E崎さんから連絡が入ったら、またセンタに電話してみます。」
【調査結果】
E「BSさん、悲しい結果となりました。」
BS「感染してました?」
E「まだスキャンしていませんが、可能性は高いです。アンチウィルスソフトを入れていなかったのが11名中1名。パターンファイル更新不能なほど古いソフトを入れてたのが1名。パターンファイル更新を怠っていたのが8名。11名中10名のPCに問題がありました。KKKさんからウィルス対策について何の話もなかったそうです」
BS「わかりました。とりあえずセンタに報告を入れます。全員のPCからケーブルを抜いて、ネットは使用禁止にしてください。」
【センタの指示】
セ「こちらセキュリティセンタです。」
BS「S大隊所属のBSと申します。不正アクセスの可能性をご指摘いただき、誠に申し訳ございません。早速サーバ管理者に連絡を入れました。ウィルス感染の疑いがあるとの指摘をもらいました。次いでIPを使用していたPCを確認しました。ウィルス対策がなされていないことが判明しました。この後の処置について、御指示を頂戴いたしたく。」
セ「連絡済のサーバ管理者のかたとおっしゃるのは?」
BS「天災さんです。同じS大隊所属で、顔見知りなんです。」
※
webmaster注: 天災さんからは、「攻撃対象(被害者)サーバがぽくのサーバであった事を君たちからは誰にも言うなよ。」って言われていたにも関わらず
BSさんは「攻撃対象サーバの持ち主は
天災さんである。」と
R小隊長や
T中隊長に喋ってしまいました。残念!
AMさんは喋りませんでした。
セ「既に御存知だったら、話が早いですね。一応お名前を伏せて調査しようと考えていたのですが。その状況でしたら、ほぼ間違いなくウィルスに感染しているでしょう。ウィルスを検出した上で、所定の書式で被害状況を報告してください。こちらも技術的なことはよく分からないので、書式通りの報告で結構です」
BS「被害者は天災さんですが、私が被害状況報告を書くのですか?」
セ「一次感染者も被害者です。大隊のセキュリティ管理者経由で提出してください」
【R小隊長】
BS「R小隊長、すみません。事件です。」
R「どうしたの?」
BS「カクカク天災さんがシカジカ大変なんですよ。心配なのは、ウィルス対策の説明がされていなかったこと。既に実戦部隊に配属済みの新兵利用のPCが要注意です。」
R「それは心配だね。そもそも何故こういうことになったのかな?」
BS「今回セキュリティ対策の説明をしていなかったらしいんです。初日のKKKさん担当なんですが、ワイヤ固定の話だけだったそうで。第一、新兵教育訓練部隊Cの幹部将校は働かない! もう、やってらんないですよ。『こんなことも分からないのか』って罵倒されるのは結局ボクなんですよ。ヤマハを挟んだからPCの特定が出来ないのは、ボクのせいじゃない。」
AM「ちょっと待ってください。ヤマハを置いたのが悪いって言ってます?」
BS「いえ、授業前日の依頼で間に合わないところ、BBR設置で突貫対処していただいたことは今でも感謝しています。問題は、初日担当者がきちんと責任を果たさなかったこと。だいたい何で彼がセキュリティの担当なのか!コマ割を決めてるのはUGさんですが、そこが間違いの元でした。もう今後は私が担当します。UGさんにもKKKさんにも何も言わせない。」
【T中隊長】
T中隊長「もしもし中隊長のTです。」
BS「お疲れ様です。不正アクセスの騒ぎはカクカク天災さんがシカジカです。検出したウィルスを報告書に書いて管理者経由で提出する予定です。」
T中隊長「うん。その管理者ってオレなんだよな。まいったな。ま、すんませんが、後のことはよろしくお願いします」
【エピローグ】
HIEDA.NETコンテンツに「SASSERがやってきた!」が追加されました。私は大隊参謀本部付補佐に内容を相談しつつ、再発防止策をまとめました。しかし次回の5/9開始の新兵教育訓練担当から外れたため、再発を防ぐ立場にありません。
以上が投稿の全文である。
追記:BBR配下のPC特定方法
固定IPならば簡単。ログに残ったトラフィックの時刻とIPで判明。DHCP配布ならば、更にDHCPのログ、或いはIP割当テーブルを見てPCを特定。
初出 08 May 2005
最終更新日 26 Jan 2006