もう一つの可能性

このページで書いた、不正アクセス。

http://www.signalysis.co.jp/blogs/tech/2020/01/02/200102/

基本的には、それほど高度なテクニックを使っている訳ではなく、常識的なセキュリティ設定の範囲で十分にブロックできるとは思うから、気にしないで忘れたらいい、とは思ったけれども、何か、ずっと引っ掛かっていた。

こういう気になることがあると、結局目の前の、今片付けなければならない仕事に集中できなくなる。
本当に悪い習性だ。今まで、どれだけこのせいで失敗して来たか。仕事の優先順位の付け方がおかしい。自覚してるのに。
できることは、とにかく、考えられるだけ考えて、「引っ掛かっている内容」の正体を見つけて、自分なりの結論を出したら、さっさと意識の中から追い出してしまって、目先の仕事に集中することかな、なんて思った。

で、China, Jiangsu, Wuhanと、China, Jiangsu, Nanjingからのアクセス要求、一貫してrootのユーザ名で複数のポートにアクセスしに来ているけれども、ポートを探していると最初は思っていた。ただ、もしポートを探すならば、同じポートを複数回アクセスするということはないと思った。また、一件ランダムに見えるポート番号にも実は意味があるとしたら、どんな意味か。
で、自分が考えたのは、まず、複数回しつこくアクセスしに来ているのは、「電源が切られていたら応答できないから、繋がらなくても再び時間を置いて、同じ場所にアクセス要求をかけている」ということかな、と思った。だとしたら、応答しない、か、接続できない我が社のサーバに、しつこく何度でも接続要求を投げている理由が説明できる。

それならば、rootと、今回繰り返しているポートは何なのか。どこかに、rootで、そのポートで応答するマシンが存在しているはずで、そのマシンがどのIPで接続できるかを探している、と考えると、いわゆる「踏み台探し」とか、セキュリティの甘いマシンを探し出してランサムウェアを仕掛けたり、クレジットカード番号や個人情報などを盗んだり、というのとは目的が違うということになる。それなら、このアクセスパターンの説明がつく、と思った。

つまり、バックドアを仕掛けたマシンが世界中に散っていて、それを探しに来ている、という可能性があると自分は考えた。
某国では(今更匿名にする意味があるのか?)大量の借款を世界中にばら撒き、「経済支援」を行い、その際に、某社製の通信機器を使うように強く勧めているというニュースがあった。推測に過ぎないけれども、経済支援を行った相手に、通信機器を使わせる、それらの通信機器は当然中央官庁などの政府機関で使うことになるんだろう。民間企業に押し付ける、ということは考えにくい。もしくは、政府の息のかかった外郭団体などということになるかも知れない。それらの通信機器にバックドアが仕掛けてあれば、実質的にその国の国家情報のかなりを吸い上げることができる。もしくは、webカメラのような監視機器かも知れない。世界中の監視映像を、盗み見ることができる。

そのための、接続要求ではないか、と考えると、このアクセスログのパターンの説明がつくような気がした。

私の知人の「防犯カメラ」の向きが、朝見たら変わっていた、というのは、もしかしたら、このアクセスがあったのかも知れない。「防犯カメラ」は、ファイアウォールの内側に設置して、スマホなどで接続する際にはVPN経由とかにしないと、このアクセスの餌食になるかも知れない。けど、通常はデフォルトで「出来合いのサーバ」経由でアクセスするんだろうなぁ。何よりも、まず、国内で流通している防犯カメラや通信機器などを全機種、リバースエンジニアリングしてカーネルのプログラムをチェックし、バックドアの存在の有無を検証しないと、某国のスパイ活動の餌食になる気がした。膨大な数の機密情報が某国に流れる。なんて、一旦は考えた。
でも、よく考えてみたら、そんな簡単に「証拠」を掴まれるようなことをするだろうか?だとしたら、出荷時の「デフォルト」のまま使われているマシンを探している、ということも考える。それならば、デフォルト設定から変えてしまえば、バックドアと違って、rootのユーザ名を変えるだけでブロックできる。それならば、まずは安心ということになるだろうか。ここから先は、この不正アクセスを繰り返している人に聞かないと、わかりませんね。

この「目的」についての推測は、可能性に過ぎないけれども、1日に1500回を超える不正な接続要求が中国から来ていることは、事実だし、おそらく、私の会社のサーバだけではなく、多くのサーバに同じような「接続要求」が飛んできているはずだという気がする。現場のエンジニアは知っていたとしても、影響とか、対策について、認識の甘い人たちも少なくないんじゃなかろうか。

30年前にも同じことを騒いだ覚えがある。「その気さえあれば、簡単に侵入できるマシンが、ゴロゴロしている。」物理的に無理だと思えたのは、専用回線を使用しているシステムくらいで(ルパン三世は、電話線に何かタッピングしていたけど・・・)、20〜15年位前になると、無防備なWiFiルータでは、クレジットカード情報なんかも平文で飛び交っていて、大企業の近くや住宅街で、開発者向けのネットワークモニターで電波を拾えば、1日に何十組だってクレジットカード情報や社内情報が拾えただろうと思う。今は、WiFiでも、無料の公衆LANなどを除いてごく初歩的な接続認証がかかっているから、昔ほど簡単ではないとは思う。だから敢えて今初めて「こうすれば盗める」と言う話題を書いたけれども、「その気があるならできる」ということは、技術屋には常識だったと思う。そして今は、実際に「その気がある」人が大勢いるということなんだろう。

こんなことを書く私が「超危険人物」だったでしょうか?そういえば、「悪いことをしていないのなら、何をどう盗み見されたって平気はなず。」なんて言う人もいた気がする。そうかなぁ。そう言うことを言う人には、だったら、トイレも、風呂も、寝室も、何から何までガラス張りの部屋で生活してみな、なんて言いたかったけれども。・・・いかん、いかん、このまま「こっちの話題」にブレると、またフラッシュバックを起こす。別の流れで仕事ができなくなる。
もう、十分に消化したはずなんだけれども、やっぱり、体が重くなって、動きも悪くなるし、思考停止に近くなる。何もしたくない、「ただ生きているだけモード」に切り替わっちゃうから、この話は終わり。

でも、改めて思う。やっと話が通じる時代が来た。言っていることを理解してもらえる時代が来た。
これは、僕にとって喜ばしいことかも知れない。理解してもらえる、と言うのは、無条件に嬉しい。そう考えるべきなんだろうな。

これで、この話題は打ち切る。どれだけサーバに不正アクセスがあっても、うちのサーバとか、僕や松尾くんがセットアップするお客様のサーバには、絶対に不正侵入はさせない。今僕が考えるべきことは、ただそれだけなんだろうと思う。以上。