セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > バラクーダラボ > 「無名性によるセキュリティ」はもう通用しない

「無名性によるセキュリティ」はもう通用しない
クリスティーン・バリー(Christine Barry)(バラクーダネットワークス、チーフブロガー)

2013年08月12日

「無名性によるセキュリティ」という古い言葉を聞いたことがあるかもしれません。現代の多くのシステム管理者は資産を守るためにこのコンセプトを用いてきました。もしご自身もその1人であるか、あるいは身近にそういう人を知っているなら、この記事は役に立つでしょう。

無名性によるセキュリティのコンセプトは2つの要素から成っています:

  1. その人物は全く重要ではなく、全く知られておらず、取るに足らない存在なので、攻撃を受ける可能性はない。
  2. そのWebサイトやサーバなどは非常に存在価値が低いので、わざわざ攻撃する価値もない。

このコンセプトは、ハッキングツールの入手が非常に容易になり、攻撃者達が世界規模でスキャンを自動化する手段を学ぶまでは、長年有効でした。しかし悪意のあるハッカー達はもはや、手動でWebサイトやネットワークを検索したりはしません。単純にIPアドレスをかたっぱしから自動でスキャンしていきます。つまり、公開されているIPはすべて攻撃対象になり得るのです。こうなると、どれだけ「無名」であるかは問題ではありません。スキャナがノックするドアがあれば、自動的に応答してしまう状況にあります。

一度スキャンにより脆弱性が判明すれば、攻撃者は即座にその情報を得ることになります。この時点でこのシステムは攻撃可能なターゲットとして認識されます。その次に何が起きるかは攻撃者次第です。こうなるとひどい事態がいくらでも発生する可能性があります。

  1. システムがボットネットで利用するために侵入されるかもしれない。
  2. もし攻撃者がスクリプトキディ(ネットで簡単に手に入るツールを利用するだけの幼稚なハッカー)であれば、単に自慢するためだけにイタズラされるかもしれない。
  3. 攻撃者はその時点では何もせず、後になって不意に戻ってくるかもしれない。
  4. システムがスパム送信に悪用されるかもしれない。

もちろん、脆弱性がなくてもターゲットになる可能性はあります。数週間前にパスワードがいかに簡単に見破られるかについてここで述べました。あるレポーターが、全くトレーニングを受けず、単にインターネットからダウンロードした無料のツールを使って約8,000ものパスワードを1日で解析してみせたのです。ちょっとした実験でここまでできるとしたら、プロのハッカーやそれを目指す者達ができることを想像してみてください。実際、攻撃者達はボットネットのみを使って、特定のターゲットを定めることも中を覗き込むこともせずに、WordPressやその他のCMSサイトに対し延々と自動攻撃を繰り返すことができるのです。

攻撃が自動化されたことにより、公開されている全てのIPが潜在ターゲットになってしまいました。無名性に守られているシステムなど、もはや存在しません。そしてボットネットの台頭により、全てのシステムは潜在的に攻撃者にとって脆弱な存在となりました。どうか、ご自身のセキュリティに対してプロアクティブになってください。「無名性」は、もう無意味です。

米国Barracuda Labs Security Blogの2013年8月12日付け投稿の抄訳です。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT