法人や個人問わず、レンタルサーバーを借りてウェブサイトを運営したり、ファイルを保管したりなど多くの用途で使われますが、2017年2月4日に記載した情報セキュリティにおいても、機密性と完全性、可用性を維持するためにも、サーバーを使用する上で考えられるサイバー攻撃手法を知っておくことは重要です。
今回は、レンタルサーバーを使う上で、あらかじめ確認しておきたいサイバー攻撃手法を紹介します。
パスワードに関連した攻撃
サーバーを使用する上では、欠かせないのがパスワードです。パスワードを設定することで管理者のみがサーバーにアクセスできる様にすることで、機密性を担保します。しかしながら、パスワードの管理体制の甘さに漬け込んで悪意を持った第三者が攻撃を仕掛けてパスワードを不正に入手するリスクがあります。
ブルートフォース攻撃
「ブルートフォース攻撃」は、パスワードを入力する際に、適当な文字列を組み合わせて入力し力任せにログインを試みる攻撃です。また、類似した攻撃手法として辞書に出て来る単語を入力してログインを試みる「辞書攻撃」があります。誰もが知っている単語など推測が容易なパスワードに設定していると、この攻撃でログインされる可能性があります。
パスワードリスト攻撃
パスワードリスト攻撃は、他のウェブサイトで不正に取得したパスワードを使用して、ログインを試みる攻撃です。これは、他のウェブサイトなど同一のパスワードを使いまわしていると、この攻撃で不正にログインされるリスクが高まります。
リプレイ攻撃
リプレイ攻撃は、パスワードなどの認証情報を送信しているパケット盗聴した上で不正取得した上、そのパケットをコピーすることでユーザーになりすまして認証サーバーに再送信することでシステムに不正ログインを試みる攻撃です。
DoS攻撃
DoS攻撃は、「Denial of Service attack」の略で、日本語にするとサービス不能攻撃と呼ばれ、サーバーなどに大量のパケットを送信することで、サーバーに負荷を掛けサービスの提供を不能にしてしまう攻撃です。
一方で、他の複数のコンピューターを踏み台にし、そのから一斉にパケットをサーバーに送信して攻撃する手法をDDos攻撃(Distributed Denial of Service attack)と呼びます。
DoS攻撃は、パケット送信元が1箇所となっており、対策としては特定のIPアドレスのアクセス制限を行うことや、同一IPアドレスからのアクセス回数を制限するといった対策があります。DDos攻撃は、送信元が複数に渡るため、同一のIPアドレスのアクセス回数の制限を行うことや、国内を対象してい運営しているウェブサイトであれば、海外からのアクセスを制限するといった対策があります。
レンタルサーバー各社でもDoS攻撃やDDos攻撃対策を講じたサーバーを提供しているレンタルサーバー業者を使用するのも有効です。大塚商会アルファメールでは、不正侵入防御システム(IPS)で、常時ネットワークを流れるパケットを関しし、攻撃や不正アクセスの予兆があるアクセスを検知し防御するシステムを搭載しています。
ディレクトリトラバーサル
ディレクトリトラバーサルとは、ウェブサイトのディレクトリやファイル名などの位置を示す「パス」に対して、ディレクトリの上位を示す記号を入力するとこで、サーバーに不正にアクセスして、本来であれば、第三者に公開する予定がないファイルを攻撃するものです。
例えば、「C://test」というディレクトリがあり、「test」直下に外部に公開する「koukai」フォルダと機密情報を格納する「kimitsu」という2つのディレクトリがあった場合、本来であれば、外部の人間は「koukai」フォルダの中にあるファイルのみの閲覧が許可されていますが、悪意を持った第三者が親ディレクトリを示す「../」を入力して「test」直下に移行後、「kimitu」フォルダにアクセスすることで、外部に公開したくない機密情報が格納されたファイルにアクセスするものです。
レンタルサーバーでも、ウェブサイトを外部に公開されているフォルダと、その他サーバーなどの運営などに必要なファイルを格納しているフォルダが存在しますが、アクセス権が正しく設定されていないと、第三者がアクセスしてしまい情報を不正に入手されるなど「機密性」が担保できなくなります。また、ウェブサイトを運営するのに必要なファイルを書き換えられることで、ウェブサイトの改ざんなどにつながり、「完全性」が損なわれます。
そのため、レンタルサーバーを使用する場合、各フォルダに対してアクセス権を付与すると共に、FTP接続を行う際のIPアドレスを指定のIPアドレス以外からのアクセスを制限することが有効です。