もう一つの可能性

このページで書いた、不正アクセス。

http://www.signalysis.co.jp/blogs/tech/2020/01/02/200102/

基本的には、それほど高度なテクニックを使っている訳ではなく、常識的なセキュリティ設定の範囲で十分にブロックできるとは思うから、気にしないで忘れたらいい、とは思ったけれども、何か、ずっと引っ掛かっていた。

こういう気になることがあると、結局目の前の、今片付けなければならない仕事に集中できなくなる。
本当に悪い習性だ。今まで、どれだけこのせいで失敗して来たか。仕事の優先順位の付け方がおかしい。自覚してるのに。
できることは、とにかく、考えられるだけ考えて、「引っ掛かっている内容」の正体を見つけて、自分なりの結論を出したら、さっさと意識の中から追い出してしまって、目先の仕事に集中することかな、なんて思った。

で、China, Jiangsu, Wuhanと、China, Jiangsu, Nanjingからのアクセス要求、一貫してrootのユーザ名で複数のポートにアクセスしに来ているけれども、ポートを探していると最初は思っていた。ただ、もしポートを探すならば、同じポートを複数回アクセスするということはないと思った。また、一件ランダムに見えるポート番号にも実は意味があるとしたら、どんな意味か。
で、自分が考えたのは、まず、複数回しつこくアクセスしに来ているのは、「電源が切られていたら応答できないから、繋がらなくても再び時間を置いて、同じ場所にアクセス要求をかけている」ということかな、と思った。だとしたら、応答しない、か、接続できない我が社のサーバに、しつこく何度でも接続要求を投げている理由が説明できる。

それならば、rootと、今回繰り返しているポートは何なのか。どこかに、rootで、そのポートで応答するマシンが存在しているはずで、そのマシンがどのIPで接続できるかを探している、と考えると、いわゆる「踏み台探し」とか、セキュリティの甘いマシンを探し出してランサムウェアを仕掛けたり、クレジットカード番号や個人情報などを盗んだり、というのとは目的が違うということになる。それなら、このアクセスパターンの説明がつく、と思った。

つまり、バックドアを仕掛けたマシンが世界中に散っていて、それを探しに来ている、という可能性があると自分は考えた。
某国では(今更匿名にする意味があるのか?)大量の借款を世界中にばら撒き、「経済支援」を行い、その際に、某社製の通信機器を使うように強く勧めているというニュースがあった。推測に過ぎないけれども、経済支援を行った相手に、通信機器を使わせる、それらの通信機器は当然中央官庁などの政府機関で使うことになるんだろう。民間企業に押し付ける、ということは考えにくい。もしくは、政府の息のかかった外郭団体などということになるかも知れない。それらの通信機器にバックドアが仕掛けてあれば、実質的にその国の国家情報のかなりを吸い上げることができる。もしくは、webカメラのような監視機器かも知れない。世界中の監視映像を、盗み見ることができる。

そのための、接続要求ではないか、と考えると、このアクセスログのパターンの説明がつくような気がした。

私の知人の「防犯カメラ」の向きが、朝見たら変わっていた、というのは、もしかしたら、このアクセスがあったのかも知れない。「防犯カメラ」は、ファイアウォールの内側に設置して、スマホなどで接続する際にはVPN経由とかにしないと、このアクセスの餌食になるかも知れない。けど、通常はデフォルトで「出来合いのサーバ」経由でアクセスするんだろうなぁ。何よりも、まず、国内で流通している防犯カメラや通信機器などを全機種、リバースエンジニアリングしてカーネルのプログラムをチェックし、バックドアの存在の有無を検証しないと、某国のスパイ活動の餌食になる気がした。膨大な数の機密情報が某国に流れる。なんて、一旦は考えた。
でも、よく考えてみたら、そんな簡単に「証拠」を掴まれるようなことをするだろうか?だとしたら、出荷時の「デフォルト」のまま使われているマシンを探している、ということも考える。それならば、デフォルト設定から変えてしまえば、バックドアと違って、rootのユーザ名を変えるだけでブロックできる。それならば、まずは安心ということになるだろうか。ここから先は、この不正アクセスを繰り返している人に聞かないと、わかりませんね。

この「目的」についての推測は、可能性に過ぎないけれども、1日に1500回を超える不正な接続要求が中国から来ていることは、事実だし、おそらく、私の会社のサーバだけではなく、多くのサーバに同じような「接続要求」が飛んできているはずだという気がする。現場のエンジニアは知っていたとしても、影響とか、対策について、認識の甘い人たちも少なくないんじゃなかろうか。

30年前にも同じことを騒いだ覚えがある。「その気さえあれば、簡単に侵入できるマシンが、ゴロゴロしている。」物理的に無理だと思えたのは、専用回線を使用しているシステムくらいで(ルパン三世は、電話線に何かタッピングしていたけど・・・)、20〜15年位前になると、無防備なWiFiルータでは、クレジットカード情報なんかも平文で飛び交っていて、大企業の近くや住宅街で、開発者向けのネットワークモニターで電波を拾えば、1日に何十組だってクレジットカード情報や社内情報が拾えただろうと思う。今は、WiFiでも、無料の公衆LANなどを除いてごく初歩的な接続認証がかかっているから、昔ほど簡単ではないとは思う。だから敢えて今初めて「こうすれば盗める」と言う話題を書いたけれども、「その気があるならできる」ということは、技術屋には常識だったと思う。そして今は、実際に「その気がある」人が大勢いるということなんだろう。

こんなことを書く私が「超危険人物」だったでしょうか?そういえば、「悪いことをしていないのなら、何をどう盗み見されたって平気はなず。」なんて言う人もいた気がする。そうかなぁ。そう言うことを言う人には、だったら、トイレも、風呂も、寝室も、何から何までガラス張りの部屋で生活してみな、なんて言いたかったけれども。・・・いかん、いかん、このまま「こっちの話題」にブレると、またフラッシュバックを起こす。別の流れで仕事ができなくなる。
もう、十分に消化したはずなんだけれども、やっぱり、体が重くなって、動きも悪くなるし、思考停止に近くなる。何もしたくない、「ただ生きているだけモード」に切り替わっちゃうから、この話は終わり。

でも、改めて思う。やっと話が通じる時代が来た。言っていることを理解してもらえる時代が来た。
これは、僕にとって喜ばしいことかも知れない。理解してもらえる、と言うのは、無条件に嬉しい。そう考えるべきなんだろうな。

これで、この話題は打ち切る。どれだけサーバに不正アクセスがあっても、うちのサーバとか、僕や松尾くんがセットアップするお客様のサーバには、絶対に不正侵入はさせない。今僕が考えるべきことは、ただそれだけなんだろうと思う。以上。

認証系

面倒な時代になった。

昔だったら、「ID」と「パスワード」の入力を求めて、IDが違っていたら「IDが違います」と表示し、IDが合っていて、パスワードだけ違ったなら、「パスワードが違います。」と表示するのが親切だった。
ところが、今、こんな画面表示をしていたら、(というか、そういう応答を返していたら、)「あ、パスワードは違うけれど、IDは合ってるな」と、推測されてしまう。だとしたら、そのIDに対するパスワードを、今度は同じID(ユーザ名)で、パスワードだけ変えて接続要求を繰り返せば、いい、ということになって、不正侵入に一歩前進されてしまう。そうなると、「IDまたはパスワードが違います。」と、どちらが違っているか伏せた応答を返すしか、セキュリティレベルを考えたなら、方策がない。

おそらく、だけれども、中国の、というか、アクセス元が中国なだけで、中国の国家とは思えない気がした、そのアクセスは、Vodafoneと使い分けていた、ということは、ひとつ前のページで騒いだ中国サーバも、そのIP利用の個人設置である可能性が高い気がするし、もしかしたら、あれほど、必死になっているということは、中国が容認している某国の出稼ぎ労働者か、もしくは、中国が中継ノードを提供している某国のハッカー集団の一人の、ノルマ稼ぎかも知れない気がするけれども、相手が誰であれ、こちらとしてはブロックする以外に方策はない。

ログを眺めていて、感じたことがある。この「不正アクセス」のプログラムを書いた人たちの技術レベルは、それほど高くはない。力任せに、手当たり次第に「隙のあるサーバ」を狙っていて、実際に、隙だらけのサーバがあちこちにあるから、うまくしたら、容易にハッキングできてしまう、という、ただ、それだけのことなのかも知れないと思った。細かい根拠は、色々とあるけれども、知ってる人は誰でも知ってるし、基礎知識のない人に書いても、ほとんど意味がないので割愛する。なんだかなぁ、どのアクセスも、20代の若い盛りの「ネットワークを勉強しました、あれ、こんなことができるかも」で悪事を働き始めたガキどもの仕業、という気がするんだけれども、どうなんだろうか。実際に、日本だの、アメリカだのが、サーバー防衛軍を設立するだのと大騒ぎしている、「仮装敵」の「ハッカー集団」も、力任せに悪事を働いているだけで、それほど技術力が高い訳じゃない気がする。アメリカなんて、とっくに気付いていて、防衛予算をトランプに出させるために、「敵」を誇大に吹き込んでいるんじゃないか、という気もした。

その一方で、そのガキどもに、簡単に侵入を許すサーバも少なくないんだろうな、とも思った。まず、スカスカのrootのパスワード。だって、rootのパスワードを「root」にしておくなんて、「鍵をなくしたら家に入れないから」って言って、鍵のあるドアノブに、その鍵をぶら下げておくみたいなもんで、やめろ、って言いたかった。
それを30年前に強硬に主張したもんだから、僕の訳のわからない人生の「転機」が訪れた。本当に、今でもトラウマになってる。ただ、感謝すべきかなと思うことにしている。おかげさまで、マスターベーションを全世界に実況中継されてもビクともしない程度のメンタルが、鍛えられたのかも知れない。その境地に至るまで、滅茶苦茶騒ぎ続けたけれども。ゴーンさんがいうところの、「日本の、基本的人権を無視した司法制度」的な発言には、一部共感している。あれは、国家権力とマスメディアによる、集団リンチに近かった気がする。もう、今となってはどうでもいいけど。
話を戻す。

もうちょっと、リスクに対する認識を改めるべきだ。って、30年前から、どれほど、まずボヤき、部屋の中で走り書きして、次はネットに書き始め、たぶん、もう、4000ページくらいは書いている気がする。1ページが、ざっくりと平均3000文字を超えてるから、どれくらい書き殴ったんだろうか。でも結局、意味ねぇなぁ。
例えば、グレタ・トゥーンベリさんなんかが、国連演説をしたって、日本の経産大臣は(また蒸し返しているけど)「石炭火力を温存したい」でしょ?東大の、実績ある教授が、原発の下に活断層がある、って言って、NHKの取材でそれを話したって、全部カット。公式記録には「活断層の存在は確認できない」とかになったんだっけか。こんな国、勝手に潰れろ、なんて気分になってくる。福島級が、もうあと2回くらい、福井とか、愛媛とか、あちこちで起ってから、それでようやっと、「原発は、リスクが大きすぎる」なんていうことになるのかなぁ。日本の国土の1割くらいが「居住不能地域」にならないと、「この程度は問題ない」ってな認識なのかも知れない。原発関連事業者と国家公務員にとっては。もう、諦めるしかないね。
人を撥ねて、あるいは、轢き殺してからでないと、「君の運転は、危険だね」という指摘に聞く耳を持つようにならない。だったら、指摘したって、意味ない。それが、「既得権」に縛られた某政党の政治なんじゃないかと、僕は思うけれども、僕はもう十分生きたから、あとは、若い人たちが勝手に、その結果を浴びてください。若い人たちが政治を変えようとしないのなら、僕の知ったこっちゃない。
全然、話が戻ってない。今度こそ、戻そう。

以前、アメリカが某国の、某通信機器メーカの製品を名指しで非難した。その根拠がなかったと思えるだろうか。おそらく、通信屋のいわゆるところの「バックドア」が仕掛けられていた証拠は、押さえていたんじゃないか、という気がする。
前にも一度書いた。私の知人が、その某国産の安い「監視カメラ」を事務所に設置していたところが、ある朝みたら、カメラの方向が変わっていたらしい。間違いなく、遠隔操作されていたと思ったらしい。正直な話、僕は某国製の通信機器、あるいは、某国製の通信制御CPUが入っている機器を使う気に、なれない。いや、私生活がどうこうなんてのは、気にしない。でも、仕事の話が漏れるのは、取引先に迷惑がかかる。

正規の通信機器や、プロバイダを利用して「不正」を試みても、できることには限界がある。そんな、大袈裟に「サイバー部隊創設」なんてやらなくたって、丁寧に細かく対処していけば、大した金をかけなくたって防御できると思う。アメリカも日本も、民間人の無知を利用して大騒ぎして予算を取ることだけは得意みたいだから、もう何も言いませんが。
ただ、国家ぐるみの犯罪で通信機器自体にバックドアが仕掛けられていたら、この防御は困難を極めると思う。

確か日本には、「消費生活センター」とかあって、家電製品とかの安全性をテストしていたような気がする。似たような「通信機器安全センター」みたいなのを創設して、日本国内で流通している全ての「通信機器」を、最低3台は納入させる法律、っていうか、あるいは、業界団体の協力が得られないならば、最低3台は国家予算で購入して、「リバースエンジニアリング」が可能なように、ストックしておくべきじゃないか、なんて思った。
3台と言うのは、1台はそのまま保存する。1台は、CPUを外して、ICE(In Circuit Emulator)を繋いで、CPUの周辺機器にバックドアを仕掛けたプログラムが記録されていないか、読み出す。その際に外したCPUが生きていて、そのCPU単体を検査できるならば、そのCPU内部のフラッシュメモリ領域のプログラムを吸い上げる。もし、非破壊的にCPUの取り外しができないならば、3台目を利用して、CPU内部のプログラムを調べる。

なぜ、フラッシュメモリ領域と書いたか。もし、僕が、通信機器にバックドアを仕掛けるならば、「通信機器」は必ずネットワークに接続されるから、万が一の際には「証拠を隠滅」するために、バックドアを仕掛けたプログラムを、「まともなプログラム」に「更新」させる仕掛けも、同時に仕込むだろうと考えたから。それを見越した上で、犯罪の証拠を押さえるなら、ネットから切り離した環境で、CPUを動作させ、CPU自体の機能を使って、フラッシュ領域のプログラムを吐き出させる必要があるかな、と考えた。そう考えたら、やはり3台は必要かなと思った。

きっと、国内の通信機器メーカーからは反発があるだろうし、アメリカの企業からも反発はあるかもなぁ。だったら、いっそのこと、「国連人権監視委員会」の下部組織か何かで、「通信機器不正防止委員会」とか(名称は適当)を作って、そこに、全世界で利用されている「通信機器」を3台程度納入させ、例えば、その通信機器の内部に、外からの、例えば、中国国内の特定のIPからのアクセスに対しては、あるいは、特定のIDやパスコードを持ったアクセスに対しては、通信データをduplicateして、不正に送信する機能がプログラムされていないか、徹底的に検証する、そうした委員会を設置したっていいんじゃないか、と言う気がする。
その某国が、国際援助との抱き合わせで、被援助国にその通信機器を使うように迫っていたとしたなら、その国際援助を受けた国の国内情報は、全てがダダ漏れで、その某国に流れていくと思って間違いない気がする。
それを防ぐためには、国連などの下部組織で「通信機器の不正」を検証する目的で、数台のマシンを納入させ、コードを丸裸にして、不正がないことを検証するプロセスが必要になる気がする。

僕自身は、某国の通信機器をどうしても信じられない。安倍総理が、IRと同様に、金をつかまされていないか、不安でならない。
どこまで、「不正のない機器」を前提として、「通信の秘匿という安全を確保」できるのか。疑問でならない。国を敵に回したら、携帯電話での通話なんて、全部傍受されますからね。

別に、某国で、政府監視下にある「特定のアプリ」を使わないと、行政サービスすら受けられない、そんなことは、世界中の誰にも関係がないことだけれども、某国の通信機器を使ったなら、国家機密が某国に全部流れる、それは、あってはならないことのように、私には思える。

日本については、・・・どうでもいいけど。(昔のことを思い出した。)
やっぱり、どうでもいいや。もうこれ以上、この話題は、僕の人生には関係ない。何を書いたって、意味がない。なんか、そんな気がした。
(一番キツイ、トラウマの根っこに、自分で好き好んで首を突っ込んじゃった。)