（2001年2月24日掲載）

　中国のあるサイトで「2001年2月16日から1週間ほどの期間をかけて日本のサイトにウェブページ改ざん攻撃をかける」という宣言があったとの情報が2月20日に私の会社に入ってきました。実際、ホームページが虐殺死体の写真（戦争中のものと思われる）に改ざんされた日本企業のサイトがありました。内閣でも、省庁に警戒を指示する通達を2月22日付で出しているようです。
　私は、今までに何度か、FTP（ファイル転送プロトコル）がウェブページの改ざんに悪用されうると説明してきましたが、狙われやすいのは、マイクロソフトのWindowsサーバにIIS（Internet Information Server）というウェブサービスプログラムを載せたシステムのセキュリティホールだそうです。それをふさぐためのパッチ（プログラムの補修のこと）はマイクロソフトから提供されているのですが、すみやかにそれを施すのを怠ってセキュリティホールを放置したまま運用しているサーバが多いのです。そのため、たとえFTPを遮断していても、ウェブサービス用のHTTP（ハイパーテキスト転送プロトコル）で送り込まれる要求によってウェブデータが書き換えられてしまうことがあるのです。

　2月22日夜、私は、私のサーバに次のようなHTTPアクセス記録があったのを発見しました。

202.105.151.55 - - [21/Feb/2001:16:14:25 +0900] "GET / HTTP/1.1" 200 125 202.105.151.55 - - [21/Feb/2001:16:14:26 +0900] "GET /_vti_inf.html HTTP/1.1" 404 299

解説　202.105.151.55はアクセス元のIPアドレスです。IP（インターネットプロトコル）アドレスとは、インターネットにつながるコンピュータに付けられる32ビットの二進数の番号で、8ビットずつの四つの区切りをそれぞれ0〜255の十進数で表記します。上位ビットから順に、広い範囲のネットワーク群、個々のネットワーク、ネットワーク内のサブネット（LAN）、およびコンピュータを識別する部分から成ります（それぞれ何ビットかはケースバイケースで異なります）。

この202.105.151.55というIPアドレスへの経路をたどってみたところ、中国にあることがわかりました。ところが、経路は202.105.*.*（「*」は任意の番号）のネットワークを通過して202.104.*.*のネットワークに入り、そこで堂堂巡りに陥っていました。また、その両者のIPアドレスブロック（番号範囲）とも、対応するドメイン名も管理元についての情報もDNS（ドメインネームシステム）で検索できないことがわかりました。
　私は、日本に対する攻撃宣言をした中国のクラッカーからのアクセスであった可能性があると考え、2月23日に、私の会社が属する企業グループのセキュリティ担当者のメーリングリストに次のように情報を流しました。 　その後、202.105.151.55というIPアドレスへの経路は、堂堂巡りにならずに到達したり、また堂堂巡りになったりしていることがわかりました。この記事を書いている今（2月24日）もそれが繰り返されています。ますます怪しい。もしクラッカーだとすれば、攻撃する時だけ通信可能にするために経路を正しく設定し、それ以外の時は経路を堂堂巡りにして逆探知をかわしているのかもしれません。
　あるいは、経路を堂堂巡りにしても通信可能にする方法も考えられます。クラッカーは発信元IPアドレスを偽造し、アクセス先からクラッカーの発信元IPアドレスへ向けて送られてくる返りパケットが自サイトを素通りするようにして、それをルータで傍受するのです。専用機としてのルータの代わりに汎用コンピュータをルータとして動かせば、ルーティングプログラムを改造することによって可能であると考えられます。

　さて、前記のアクセス記録の一つ目は、サーバのホーム（トップ）ページの入手要求で、まったく正常なものです。二つ目は、存在しないファイルの入手要求でエラーコード404が記録されていますが、これもよくあることです。膨大なアクセス記録からこのような記録を見つけ出して怪しいと気付くのは不可能に近いことです。
　私がこれを怪しいアクセスとして発見できたのは、実は、メインサーバとは別に動かしているログインサーバに記録されていたからです。ログインサーバは、メインサーバを不正アクセスからガードしつつ、私だけが外出先から自宅のサーバを操作できるようにするための乗り入れ口です。
　第75回の記事を書いた時にはログインサーバでウェブサービスプログラムを動かしていませんでしたが、その後、情報公開とは別の目的で動かしていました。
　ログインサーバのURLは公表していませんから、当然ながら、そこへのHTTPアクセスはめったにありません。それがあったのでおかしいと思い、アクセス元IPアドレスをキーとしてメインサーバのアクセス記録を検索したら、そこにも同じアクセスが見つかりました。このことから、攻撃の餌食になるウェブサーバを片っ端から探していたものである可能性が高いと判断したのです。
　私は、これまでも、侵入に使われやすい危険なプロトコルであるFTPとTELNET（仮想端末プロトコル）をわざとインターネット全域からログインサーバに着信させ、それで発見したアクセスを「ネットワーク攻撃記録」のページでさらし者にしています。つまり、ログインサーバを攻撃未遂の発見のためのおとりにも使っているのです。それに加えてウェブサービスプログラムも動かしていたので、ウェブサーバへの攻撃未遂と疑われるアクセスを発見できたのです。

　おとりサーバを設けて安全に運用するには、それだけ技術的知識と労力を必要とします。このようなことをしているインターネットサイトはきわめてまれでしょう。しかし、私は今回、それのおかげで、クラッカーのものと疑われるIPアドレスという情報を入手してほかの人たちに提供することができました。私はそのIPアドレスからのアクセスを遮断してはいませんが（セキュリティホールが発見されていないウェブサービスプログラムを使っているので）、場合によってはアクセス遮断のために私自身がその情報を使うこともありうるでしょう。つまり、おとりサーバは、うまく使えば安全策のために役立つのです。これから、このノウハウをインターネット技術関係の仕事に活かすことを考えていきたいと思っています。

ご注意　202.104.*.*および202.105.*.*は信頼できないIPアドレスブロックであるというのは、2001年2月24日時点での調査に基づいた私個人の判断です。いずれ、これらについてのアドレス情報が中国のインターネット技術者によってきちんと管理される日は来るでしょう。現時点でクラッカーはこれらのIPアドレスブロック内にいる可能性があると私は思いますが、一方、中国の善良なユーザーもいるかもしれません。ネットワーク管理者の皆さんは、そこからのアクセスを遮断するかどうかは自己責任に基づいて判断してください。当然ながら、それらのIPアドレスブロックの範囲外から攻撃が来る可能性もあります。発信元IPアドレスに基づくアクセス遮断は、抜本的な安全策ではありません。

---

付記：ネットワーク攻撃記録の公表はとりやめました。