ID22342
はじめに
これまで、DS918+を導入しblogを公開してから1年程度のサーバー管理をしてきましたが、アドレスを公開する前後では、サイバー攻撃を受ける割合が相当増えました。
WordPressへのログインは、ログを取っていない(何かいいプラグインがあるかも知れません)のでわかりませんが、DSMへのログイン攻撃が増加しました。これは、別の記事でも述べている通り、正に、「Low and Slow」によるブルートフォース攻撃です。ブルートフォース攻撃では、DSMのログインに対して、2~3分ごとに、IDをAdminやその他考えられるIDに変更しながら、パスワードを試行してくるのです。
今年2020の春ごろにDS918+のログを何気に見て気がついたので良かったものの、そのログから3ヶ月以上の間ひたすら2~3分毎に試行を繰り返していました。少し冷や汗が出てきます。
この攻撃に対して、どのように対処したら良いのか、最近起こった「ドコモ口座」の内容に絡めて解説します。
ドコモ口座の不正引き落としサイバー事件
ドコモ口座は、簡単な手続きで広くユーザーに使ってもらうというコンセプトがあったようです。その結果、ドコモ口座の取得には本人認証がなく、偽名での口座開設が可能だったこと、更に、コンピュータからのドコモ口座へのアクセスも可能であった事から、コンピューターパワーを使ったサイバー攻撃により、口座IDとパスワードが盗まれたのではないかと推定されています。
ドコモ口座について
ドコモ口座は、数十もの銀行と連携しており、ドコモ口座のアプリをインストールした携帯電話などに現金を振り込み(チャージ)できます。そのチャージで簡単に決済ができる仕組みです。
連携しているとは、ドコモ口座にログイすれば、ドコモ口座と連携している自分の銀行の口座から、ドコモ口座への入金が簡単にできてしまう事を意味します。
日本の銀行が、二段階認証を進めているのに、連携している「ドコモ口座」が「ザル」では、セキュリティは台無しになります。ドコモ口座は、セキュリティホールになっていました。
考えられるパスワードの漏出
ドコモ口座の構造が分かれば、攻撃手法は想像に難しくありません。私が経験した「Synology NASに対する不正ログイン攻撃」の手法が、まず考えに浮かびます。
そうです、2~3分おきにIPアドレスを変えながら(これを「Low and Slow」攻撃と言います)、一定のIDとその都度パスワードを変えて試行する事を、数ヶ月でも繰り返すやり方です。これをブルートフォース攻撃(あのブルートの力任せという意味)と言います。
前回、春頃と今回、クリーンインストールした直後に攻撃された際のログを見ると規則的に試行しているのが分かります。
あとは、類似の手法として、リバース・ブルトーフォース攻撃です。これは、パスワードを一定にその都度IDを変えて試行することを繰り返すやり方です。これらのほとんどは、攻撃に気付かれないように「Low and Slow」のやり方と合わせて攻撃してきます。最後に、参考文献では、「パスワードスプレー攻撃」というものもあるようです。少しロジックが凝っているので、ハッカー好みかもしれません。詳しくは、参考文献を確認してください。
Synology NAS製品での対策
Synology製品のルーターおよびNASであるRT2600acおよびDS918+では基本的に以下の対策を講じることができます。ルーターを直接攻撃あるいはアクセスしてくることは、機器の性質上から少ないのですが、それでもインターネットからのログインでルーターの管理を実施できるようにしている場合は、NASと同様の対策が必要です。Synology Routerの設定については、別の記事をご参照ください。NASの場合の設定は、「コントロールパネル」から行います。
- 管理者権限ユーザーの2段階認証を設定
- 「ユーザー」画面から設定する
- 管理者を選択して、2段階認証を有効に設定する
- パスワードを出来る限り長く複雑にする
- ユーザー画面から設定する
- 今回の「ドコモ口座の事件」では、他の銀行と同様にパスワードは4桁でした。ブルートフォース攻撃をしやすい桁数です
- なぜなら、ドコモ口座へのログインは、パソコンを使用できるため、世界に溢れるその手のツールを使って、パスワードをハッキングする事は容易です
- Synology NASやパソコンは、銀行口座のようにパスワードの長さ制限について、人間のレベルとしてほとんど無いと言えます。できるだけ長くして複雑にすれば、ハッキングでパスワードを盗まれるリスクは低下します
- 「ファイアウォール」によるIPアドレス、ポートの閉鎖
- 「セキュリティ画面」の「ファイアウォール」タグから設定する
- Synolgoy製品には、NASとRouterがありますが、いずれもLinux系のOSが使用されています。もちろん、Linuxはサーバーを意識した設計であり、UNIXを親に持つため、サーバー系のツールが豊富にあります。Synolgoyは、台湾の企業であり世界的な企業です。自社製品に対する最適化は日々続けています。安心して導入しましょう。
- NASでは、今回の攻撃に対して、「ファイアウォール」の設定によって、どうにかこうにか、攻撃を退けることができました。
- 設定としては、受け付けない「IP」、「国」、「Port」を設定(Deny}することができますが、1つの設定に15か国までしか選択することができません。すべての国を選択し終えるには、数十のルールを作りました。日本以外のすべての国をDenyにします。この設定の結果、身に見えて2~3分の間隔でのアタック間隔は長くなり数十分程度になりました。漏れもあり完全ではありません。この漏れ対策は、以下の「自動ブロック」に続きます
- 「DoS保護」
- 「保護」タグから設定します
- 「DoS保護を有効にする」をチェック
- 「自動ブロック」によるブロックリスト化
- セキュリティ画面の「アカウント」タグから設定します
- 「自動ブロックを有効にする」をチェック
- 「ログイン回数」を10 (緊急時には1:リアルタイムでの対策時の設定、でも1でもいいかも知れません)
- 「分以内」を1440 (長い間隔でも漏らさないため)
- 「ホワイト/ブロック リスト」ボタンで現れる画面から、「ブロックリスト」タグを開くと、自動で登録されたブロックIPアドレスを確認できます。このリストはエクスポートして、別のNASにインポートしておきましょう
- 「ホワイトリスト」タグでは、ローカルのアドレスを設定しておきましょう。いざという時に、ローカルでのログインができるように。
- 漏れたIPアドレスは、自動的に「ブロックリスト」に登録されますが、この設定の結果、「ファイアウォール」の設定により、70余りのIPアドレスがブロックリストに登録されました。その後、数日間続いたDSMへのログイン攻撃は、全く無くなりました
- 自分の操作として出先から、DSMへのログインを上記の設定を超えて失敗した場合、自分の通信事業者のIPアドレスがブロックリストに追加されてしまい、出先からのログインができなくなります。その場合の対処方法は以下の通りです
- 自宅に帰ってから、ホワイトリストに登録していローカルアドレスでログインして、ブロックリストから、おそらく通信事業者は日本のはずなので、日本を目当てにプロックされている項目を探して解除する。その他自分に関連するものも解除する
- 出先からは、VPNに接続してローカルアドレスでログインして、上記の内容と同様に解除します
- もしもSynology Routerを使用しているなら、「Threat Invension」は是非導入すべきです。もちろん「ファイアウォール」も設定することもできます。
参考文献
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
https://www.itmedia.co.jp/news/articles/2009/09/news048.html
「ブルートフォース攻撃」と「リバースブルートフォース攻撃」の違い
https://wa3.i-3-i.info/diff312attack.html
パスワードスプレー攻撃とは?仕組みと被害の特徴、対策方法について徹底解説, 2019 – CyberSecurity.com –
1) ブルートフォース攻撃とリバース・ブルートフォース攻撃 : ブルーとフォース攻撃とは、あるIDに対して、総当たりのパスワードを入力して当たりを探す、力任せの攻撃。転じて、リバースが付くリバース・ブルートフォース攻撃は、パスワードを固定してして、IDを総当たりで行ってくる攻撃
2) パスワードスプレー攻撃 : 同じパスワードで、同時に多数のアカウント(ID)に対して、不正アクセスを試みる攻撃
3) Low and Slow攻撃 : 攻撃もとのIPアドレスを一回一回変えながら、しかも、数分の間隔を空けて、不正アクセスを試みる攻撃の手法。ブルートフォースなどの攻撃手法と組み合わせて攻撃してくる
https://cybersecurity-jp.com/column/30629
まとめ
Synology NASの不正ログイン試行への対策について解説しました。レンタルサーバーを使わない茨の道を選んだのですから、頑張って地道に確実に行きたいものです。
編集履歴
2020/09/11 はりきり(Mr) 2020/12/31、追記 (自分がログインを何度も失敗してブロックされた場合の対処方法)