サーバへのランサムウェア攻撃、原因は閉じていなかったポートへの不正アクセス
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」11月26日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・「ポートが閉じられていない状態」の危険性
・ポートを閉じる「単位」ごとに異なるメリットとデメリット
ニュース解説
ランサムウェア攻撃の被害を受けた組織から続報が発表されており、感染原因として「閉じられていなかったポート」が挙げられています。ランサムウェア攻撃の被害を防ぐためにセキュリティで気を付けるべきポイントについて説明します。
今回のインシデントは、顧客からシステムの利用ができない旨の連絡があり、原因を調査したところ、ランサムウェア攻撃が判明しました。今回の続報で、ランサムウェアの感染原因について、閉じられていなかったポートに対する不正アクセスにより攻撃された可能性が高いと発表されています。
再発防止策として、現在までにサーバへの不正アクセスを防止するセキュリティ強化の対策措置を実施済みで、サーバ運用に関わる体制や手順の見直しも実施されています。また、強化したセキュリティ対策に関して第三者機関による安全性診断を実施中で、安全性が確認され次第、システムを再開する予定であるということです。
「ポートが閉じられていない状態」の危険性
閉じられていなかったポートとは、ランサムウェア攻撃の被害を受けたシステムが、ネットワーク経由で使うことができるサービスを制限していなかったということです。内容について、できるだけわかりやすく説明します。
ポートとは、コンピュータ同士がネットワーク経由でデータを送受信する際に使われる論理的な接続口です。コンピュータのプログラム単位にポート番号が割り振られ、IPアドレスとともに、どのプログラムがどのプログラムと通信を行っているか判断される材料の一つとなります。
IPアドレスとポート番号を建物に例えると、IPアドレスは住所、ポート番号は部屋番号に置き換えられます。例えば、皆さんが初めて友達の家に行くとき、建物の住所と部屋が何号室であるかを確認されると思います。もし、住所はあっていても部屋番号を間違えてしまえば、別の人に遭遇してしまいますね。コンピュータでも同じように、ポート番号が違えば、別のサービスに接続されてしまいます。
ポートが閉じられていない状態というのは、部屋のドアに鍵がかかっていない状態です。皆さんのお家でも、本人が不在ならばドアには鍵がかけられているでしょうし、在宅中だとしても来訪者がその人本人であることを確認してから家に招き入れるはずです。ポートが閉じられていないということは、すべてのアクセスを受け付け、誰の侵入も許してしまう状態であったため、ランサムウェアにも感染してしまったことが考えられます。
ちなみに、IPアドレスは建物の住所に当たりますので、ネットワーク経由で通信を行うすべてのコンピュータに必要とされます。サイバー攻撃の場合、住所に相当するIPアドレスは特定せず、無作為に攻撃が実行されています。
その他のトピック
ポートを閉じる「単位」ごとに異なるメリットとデメリット
ポートを閉じるためには、ネットワーク単位で行う場合と、ホスト単位で行う場合があります。それぞれのメリットとデメリットについて説明します。(全文はこちら)