ネットワーク

80. サイバー攻撃対策

トヨタ自動車の関連会社に対するサイバー攻撃のために
生産活動が中止になるという問題があったが
サイバー攻撃やウィルス対策について解説する。

■対象はPHPサーバー

今、攻撃に対象のほとんどがPHPサーバーである。
PHPはスクリプトであるためそのサーバーのIPアドレスを使って
PHPが動作するかを攻撃者は調べる。
例えば

PHP5 や TESTPHP などありそうな名前で

PHPを動作させようと試みる。動作できればそのサーバーは
PHP動作可能として次々とPHPを送りつけてサーバーの情報の
盗みを開始する。
つまりこれはPHPがコンパイルを必要としないスクリプトであることに
つけ込んでいる手法でPHPは使うべきでないと小職が以前より
警告申し上げているのはこの点である。

IBM iでPHPを使うのはさあいらっしゃいと言っているようなもので
サイバー攻撃の対象となることはまちがいない。
IBMのユーザーは絶対にPHPを使うべきではない

■TELNETからの侵入

PORT23がオープンになっているということはTELNETサーバーが
待機していると見なしてTELNETによるログインを試みる。
弊社では3台のIBM iを20年近くインターネットに公開しているが
毎晩 TELNETからの侵入しようとする攻撃を受けている。
幸いIBM iのセキュリティは強固なのでログインに何度か失敗すると
その装置を閉じるようになって通信を遮断している。
TELNETからの侵入の試みは手動ではなくプログラムによる
アタックのようである。
これを拒否する手段もIBM iには用意されているので
必要であればこのサイトで紹介した方法をこちらで参照されたい。

■ HTTPサーバーAlaskaの対策

弊社製品のHTTPサーバーAlaskaではアクセスに失敗するような
侵入の試みがあると操作員メッセージ(QSYSOPR)に
その旨とIPアドレスが報告される。
このIPアドレスを AlaskaのCONFIGに REJECTとして
登録しておくと二度とそのIPアドレスからの受信を
受付けることはしない。

■ VPN(=Vertual Private Network) からは侵入できない。

 法人の多くはインターネット経由はVPNで接続しているケースが
多いのでVPNは一般のインターネットからはアクセスすることが
できないので外部からの侵入されることはない。

■ランサムウェア

多いのは内側からの侵入である。
ウィルス・バスターを導入していないPCからのUSBメモリを
社内PCのUSBに接続してしまったことによって感染するケースである。
またはメールの添付フフイルをうっかり解凍してしまう場合に
起こるケースである。
今回のトヨタのグループ会社がランサムウェア(身代金を要求する脅迫状を
送りつけるウィルス)に感染してしまったのは恐らくこのケースで
この対策のためにUSBは一切使用を禁止している会社も珍しくはない。

 メールとUSBが最も多い感染源である。

■サイバー攻撃はどこから

サイバー攻撃は現在、発信元はロシアからが多いのだが
あるナイジェリアの住民はロシアから依頼されてアメリカを
攻撃しているとインタビューで語っていた。
このアタッカーはプログラムも何も理解していないのだが
AIを投入すれば後はAIが自動的にやってくれると嘯いていた。
今やサイバー攻撃に高度な知識や技術も必要ないのだ。
AI でやれる時代になってきたのである。