【ホームページの管理】「ちょっと待って、この犯人、ウクライナのプロキシを経由してるのよ!」ペネロピ・ガルシア クリミナルマインドより
最終更新日: 2017/12/28 11:30am
こんにちは。
小高@イーレンジャーです。
年末も慌ただしく、ブログの更新が滞ってしまいました。
明日は仕事納めの大掃除です。みなさま、今年もどうもありがとうございました。来年もよろしくお願いいたします。
さて、先日、Amazon Primeでクリミナルマインドを見ていました。
このドラマには、敏腕ハッカーのペネロピ・ガルシアという人がいて、コンピュータを縦横無尽に操作して事件を解決に導きます。
ガルシアが犯人のアクセス経路をトレース(逆探知)するとき、ページタイトルのセリフがありました。「ウクライナのプロキシサーバーを経由してアクセスしてきているから、そんなに簡単にはトレースできないのよ!」という意味でした。
「これは面白い」と(川越のファイアウォール担当者である)私は思いました。
なぜなら、川越のウェブサイトにもたくさんウクライナから不正アクセスがあるからです。下は、弊社で管理させていただいている50以上のウェブサイトに不正アクセスしてきた「攻撃元」の最近の状況です。この中にもしっかりウクライナが入っています(赤枠で囲ったところ)。
川越のファイアウォール担当者として面白いと思ったもう一つの理由は、「プロキシサーバー」という言葉が出てきたからです。
プロキシサーバーは「代理人サーバー」とも呼ばれていて、インターネットの初期にはいたるところにありました。Squid(烏賊)というソフトウェアが有名です。
プロキシサーバーが設置される場所は「ホームページを閲覧するコンピュータとウェブサーバーの間」です。この間で、「ホームページをキャッシュ(一時保存)して、閲覧者がホームページをみるときに、ウェブサーバーの代わりにホームページをみせる」という役割をもっていました。
これを絵にすると下のようになります。閲覧者が「あるホームページ」をみるとします。1回目のアクセスでは、プロキシサーバーは、そのホームページを提供するウェブサーバーからホームページを取得して閲覧者に提供します。そして、このときホームページを一時保管(キャッシュ)します。閲覧者(もしくは、その近くにいる人)が同じホームページを再度見るときは、プロキシサーバーは一時保管したホームページを閲覧者に提供します。
なんでこんなことをするのかというと、インターネットの黎明期には「ネットワークが遅かった」ためなのですが、現在でもプロキシサーバーはいたるところにあります。
1つの理由は、国によってインターネットが速い国もあれば、遅い国もあるからです。インターネットの世界はグローバルですので、ホームページの閲覧は国をまたぎます。たとえば、国土の広いアメリカでは「ラスト・ワンマイル」といって、インターネットの幹線と家庭の接続が問題視されていました。アメリカのインターネット環境が整備されたのは、情報ハイウェイ構想を掲げたクリントン政権下です。
日本は今では「世界一インターネットが速い国」です。これに対して、中国は遅い国として知られています。
もう1つの理由は、プロキシサーバーを介すことで、「閲覧者のコンピュータがインターネットに直接さらされない」ためです。多くの企業にプロキシサーバーが残っている理由は、主にこちらになります。
前置きがながくなりましたが、FBI敏腕捜査官ペネロピ・ガルシアの「ウクライナのプロキシサーバーを経由してアクセスしてきているから、そんなに簡単にはトレースできないのよ!」に話を戻しましょう。
このシチュエーションでは、犯人はプロキシサーバーの機能をつかって、悪いことをしています。これを絵にかくと以下のようになります。
上の絵は「単純化した攻撃者のアクセスルート」です。攻撃者は犯人の意味です。犯人は、例えば「踏み台サーバー」から直接アクセスすることもあれば、プロキシサーバーを複数台経由してアクセスして悪いことをします。
先ほど、「プロキシサーバーを利用するのは閲覧者のコンピュータがインターネットに直接さらされないため」と書きました。「直接さらされない」という機能は「プロキシサーバーでアドレスの置き換えが行う」ことで実現されています。これをNAT(ネットワークアドレス変換:Network Access Translation)といいます。プロキシサーバーを経由された場合、逆探知しようにもできない、という事態が起こります。
現実問題としては、プロキシサーバーの管理者に問い合わせれば犯人を逆探知することができます。敏腕捜査官のペネロピ・ガルシアは、どんなコンピュータにも(FBIの権威で)侵入することができますから、アメリカ国内のプロキシサーバーなら逆探知ができるはずです。ですが、クリミナルマインドのこのシーンでは、「ウクライナだからできない」ということになっているわけです。
(ペネロピ・ガルシアの足元にも及ばない)川越のファイアウォール担当者として、同様の「プロキシのジレンマ」を感じています。
プロキシサーバーのほとんどは善意で設置されていますが、それを経由して攻撃された場合には、こちら側からはプロキシサーバーまでしかたどることができません。
たとえば、攻撃が踏み台サーバーや踏み台PC(たとえばボットネットのような)の場合には、アクセスを遮断すべきです。それが、プロキシサーバーを経由した場合、そのプロキシサーバーからのアクセスを遮断してしまうと「プロキシサーバーを使っている攻撃者以外のアクセス」も遮断することになってしまいます。これがジレンマの原因です。
このジレンマを解消する一つの方法は公開範囲です。日本語しか書かれていないホームページは海外からのアクセスを遮断してしまう、というやり方がありえます(Googleが日本語ホームページを「自動翻訳」するようになったら通用しない)。この場合でも、日本国内からのアクセスについては同様のジレンマに陥りますが、経験的に不正アクセスは圧倒的に海外からやってきます。
「川越のホームページ」の難しい点は、川越が観光の町であることです。インバウンドが盛り上がって以降は積極的に海外に向けて情報を発信しますので、海外を切り捨てるなどありえません。
弊社では2段階のルールでホームページへの不正アクセス対策をしています。1つ目が汎用のIDS(不正侵入探知システム:Intrusion Detection System)、2つ目が独自開発のシステムです。
現在(2017/12/28)で90,966のIPアドレスがブラックリストに登録されています。
「プロキシサーバのジレンマ」については、現在、完璧といえる解決策はありません(残念ながら)。
プロキシサーバーの起源から考えれば、現在、国内でプロキシサーバーを設置する理由はセキュリティ対策しかないと思います。これを行うのは、大企業や行政機関と仮定すれば、この配下から攻撃してくることは考えずらいと思います。
ですが、海外となると状況は異なりますので、トレードオフにならざるえない、と考えています。
←「【ホームページの管理】小江戸ハーフマラソンのバースト状況」前の記事へ 次の記事へ「【ITサポート】オクトパスのページを作成しました。」→