AWSネットワークを構築するには?必要な要素と手順・セキュリティ対策を解説
本コラムでは、AWSネットワークを構築する手順や、機能・情報セキュリティ対策を紹介します。
COLUMN
最先端のセキュリティのAWSで不正アクセスを受けてみました
不正アクセスの標的となるサーバをインターネットに開放してみました
インターネットは大変便利ですが、利便性の裏にウイルス、マルウェア、不正アクセスを試みるロボット(BOT)、悪意のあるハッカーからのアタックといった危険性も持ち合わせていることは皆さんもよくご存知ではないでしょうか。今回は、インターネットに悪意のあるアタックの標的となるサーバを公開し、不正アクセスに関する実態を調べてみます。
標的となるサーバインスタンスをデプロイ
悪意のあるハッカーからの攻撃をうける標的サーバを構築してみます。短期間の検証のためだけのサーバですので、わざわざ物理マシンやOSパッケージを購入するのも気が引けますので、クラウドを利用してマウスポチポチでさくっと作って、利用が終わったら削除して利用料を支払っておしまいと言うライトな感じがよさそうです。
と言うわけで、AWSにAmazonLinuxを一番安い t3.nano でデプロイしました。
設定変更によりセキュリティを固める
ハッカーやボットからの大量のアタックをうけるサーバですので、セキュリティを下記の通りかなり厳しく設定しました。
SSHでログインできるアカウントは一つに限定(非管理者権限)
意図的に設定ミスしておりSSHでログインできない
ログイン処理の過程で強制ログアウトさせる
それでもログインに成功した場合、監視プロセスがOSを強制停止する
上記のようにガチガチにセキュリティを固めてみました。以上により準備が整いましたので、接続元をしぼらずに大々的にSSHを開放してみます。
インターネット開放後、2時間でBOTに見つけられてしまう!
このサーバのIPアドレスは対外的に告知してもいません。ドメインにも関連付けしていないため、不正アクセスが来るのか不安でしたが、ポートを開放して2時間もするとさっそくBOTがかぎつけ、SSHサービスがオープンしていることを認識されました。不正なログインを何度も行ってきたことを確認でき、めでたく悪意のあるBOTに発見されたようですので、このままサーバを2週間ほど放置して経過を観察してみたいと思います。
実機のsecureログ(*)ログは一部加工しています
May 15 06:53:12 myhost sshd[2874]: User root from **.**.**.** not allowed because not listed in AllowUsers
May 15 06:53:12 myhost sshd[2874]: input_userauth_request: invalid user root [preauth]
May 15 06:53:13 myhost sshd[2874]: Received disconnect from **.**.**.** port 40890:11: Bye Bye [preauth]
May 15 06:53:13 myhost sshd[2874]: Disconnected from **.**.**.** port 40890 [preauth]
May 15 06:53:13 myhost sshd[2876]: Invalid user adm from **.**.**.** port 41426
May 15 06:53:13 myhost sshd[2876]: input_userauth_request: invalid user adm [preauth]
May 15 06:53:13 myhost sshd[2876]: Received disconnect from **.**.**.** port 41426:11: Bye Bye [preauth]
May 15 06:53:13 myhost sshd[2876]: Disconnected from **.**.**.** port 41426 [preauth]
May 15 06:53:14 myhost sshd[2878]: Invalid user adm from **.**.**.** port 42114
May 15 06:53:14 myhost sshd[2878]: input_userauth_request: invalid user adm [preauth]
May 15 06:53:14 myhost sshd[2878]: Received disconnect from **.**.**.** port 42114:11: Bye Bye [preauth]
May 15 06:53:14 myhost sshd[2878]: Disconnected from **.**.**.** port 42114 [preauth]
May 15 06:53:14 myhost sshd[2880]: Invalid user user from **.**.**.** port 42754
May 15 06:53:14 myhost sshd[2880]: input_userauth_request: invalid user user [preauth]
May 15 06:53:14 myhost sshd[2880]: Received disconnect from **.**.**.** port 42754:11: Bye Bye [preauth]
May 15 06:53:14 myhost sshd[2880]: Disconnected from **.**.**.** port 42754 [preauth]
May 15 06:53:15 myhost sshd[2882]: Invalid user ubnt from **.**.**.** port 43280
May 15 06:53:15 myhost sshd[2882]: input_userauth_request: invalid user ubnt [preauth]
May 15 06:53:15 myhost sshd[2882]: Received disconnect from **.**.**.** port 43280:11: Bye Bye [preauth]
May 15 06:53:15 myhost sshd[2882]: Disconnected from **.**.**.** port 43280 [preauth]
May 15 06:53:16 myhost sshd[2884]: Invalid user adm from **.**.**.** port 43918
May 15 06:53:16 myhost sshd[2884]: input_userauth_request: invalid user adm [preauth]
May 15 06:53:16 myhost sshd[2884]: Received disconnect from **.**.**.** port 43918:11: Bye Bye [preauth]
May 15 06:53:16 myhost sshd[2884]: Disconnected from **.**.**.** port 43918 [preauth]
May 15 06:53:16 myhost sshd[2886]: Invalid user guest from **.**.**.** port 44518
May 15 06:53:16 myhost sshd[2886]: input_userauth_request: invalid user guest [preauth]
May 15 06:53:16 myhost sshd[2886]: Received disconnect from **.**.**.** port 44518:11: Bye Bye [preauth]
May 15 06:53:16 myhost sshd[2886]: Disconnected from **.**.**.** port 44518 [preauth]
May 15 06:53:17 myhost sshd[2888]: Invalid user test from **.**.**.** port 45072
May 15 06:53:17 myhost sshd[2888]: input_userauth_request: invalid user test [preauth]
May 15 06:53:17 myhost sshd[2888]: Received disconnect from **.**.**.** port 45072:11: Bye Bye [preauth]
May 15 06:53:17 myhost sshd[2888]: Disconnected from **.**.**.** port 45072 [preauth]
May 15 07:56:43 myhost sshd[3049]: Invalid user adm from **.**.**.** port 35611
May 15 07:56:43 myhost sshd[3049]: input_userauth_request: invalid user adm [preauth]
[注] 不正アクセスの接続元として記録されているIPアドレスはハッカーの端末ではなく、ハッカーに侵入されBOTをインストールされた端末であると想定されますので、非公開と致します。
不正アクセス被弾の集計結果発表
2週間サーバをインターネットにこっそりと公開し、不正なログイン試行を受け続けた結果を集計してみました。
第一位の発表です。圧倒的に多かったのは Unix/Linux 系OSの管理者・特権ユーザであるrootが第一位となりました。ユーザが確実に存在すること、ログインに成功すればそのコンピュータの全権限を掌握できることから、13,063件と2位以下に2桁の差をつけて圧倒的件数を記録しました。
第2位と第3位はuserとtestで、それぞれ174件と172件でした。皆様の会社に検証環境、評価環境など気軽に立てたサーバで、ユーザ名:(パスワード)の組み合わせが user:(user) や test:(test) といったユーザを作成したまま放置されているサーバはありませんか?guest:(guest)も含め、この手のよくあるユーザ名でパスワードがユーザ名と同一のアカウントは真っ先に不正ログインの被害にあってしまうアカウントです。このようなユーザは放置せず、類推不可能なパスワード、認証キーペアやその他いろいろな仕組みを組み合わせるなどして、不正ログインができないようにしておきましょう。
その他にも注意すべきアカウントとして、先のよく使われる文字列を組み合わせたftptestなどtestを含むアカウント名へのアタックが220件、それから容易にそのユーザが存在することが推測可能なtomcat postgres などのミドルウェア名と同じユーザ名へのアタックやWindowsやウェブサービスの管理者として利用されるAdministratorやadminでのログインも数十件記録されていました。
実際の不正アクセス件数はもっと多い(ログに残る不正アクセスの試行はほんの一部)
サーバへの不正アクセス試行の総件数の集計結果を公開しておりますが、残されたログから全てが分かるわけではありません。サーバ上のログに記録される不正アクセスの試行は、ほんの一部です。セッションが成立する前に行われるアタックなど、ログに出力されないものも多く存在します。また、今回、AWSのセキュリティ機能で接続そのものを許可しなかったサービスへのアタックなどは、通信そのものがブロックされていますので、不正な接続はサーバまで届きません。最近は、連続でログインに失敗した接続元は自動的にしばらくの間、接続をブロックする機能も有効になっていることが多く、これらの通信はサーバに届きませんので、ログには記録されません。これらの機能を無効にし、すべての接続を受け付けてしまえば、もっとたくさんの不正アクセスの試行が記録されていることでしょう。また、通信成立前に行われるアタックもカウントが可能であれば件数はもっと増加すると考えられます。
業務で利用される商用サーバへの不正アクセスはもっと多い
今回の検証で利用したサーバは、世間一般に広く告知されていないこっそりと公開されたサーバです。それでも二時間もするとBOTを埋め込まれたコンピュータからのランダムな接続試験にSSHサービスが応答したため、BOTプログラムに発見されてしまいました。ドメインを取得し、世間に広く告知されている商用サービスを提供するサーバへの不正なアタックは、何倍(膨大な件数)にも増加します。
世界中の不特定多数で共同利用されるインターネット回線はそのままでは安全とは言えません。自ら学びサーバセキュリティの設定を実施するか、閉域網の活用などを専門家・業者に依頼して十分な安全性を確保して下さい。
AWS CIS Benchmarkに沿って、運用中のクラウドセキュリティ設定を第三者視点でチェック!
RECOMMEND
その他のコラム
無料ダウンロード
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
あなたはクラウド化の
何の情報を知りたいですか?
- そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
- 【AWS・Azure・Google Cloud】
どれが自社に最もマッチするの? - 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
- 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
- システムインフラの維持にかかるトータルコストがあまり変わらない。。
- 情シス担当者の負担が減らない。。
- セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
-
そもそも”クラウド化”とは?
その本質的なメリット・デメリット - 自社にとって
最適なクラウド環境構築のポイント - コストを抑えるための
具体的なコツ - 既存環境からスムーズにクラウド化を
実現するためのロードマップ
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
クラウドのわからない・
面倒でお困りのあなたへクラウドのご相談できます!
面倒でお困りのあなたへ
クラウドのご相談できます!
無料オンライン相談窓口
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
NTT東日本が選ばれる5つの理由
- クラウド導入を
0からワンストップでサポート可能! - 全体最適におけるコスト効率・業務効率の改善を
中立的にご提案 - クラウド環境に問題がないか、
第3者目線でチェック
してもらいたい - 安心の24時間・365日の対応・保守
- NTT東日本が保有する豊富なサービスの組み合わせで
”課題解決”と”コスト軽減”を両立
特に以下に当てはまる方はお気軽に
ご相談ください。
- さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
- オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
- オンプレミスとクラウド移行した際のコスト比較を行いたい
- AWSとAzure、どちらのクラウドが自社に適切かわからない
- クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
- クラウド利用中、ネットワークの速度が遅くて業務に支障がでている
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。
□接続元ホスト数 765台
□総ログイン試行回数 15857回
□狙われたユーザ名 上位10件
------------------------
------------------------