ブロードバンド・ルーターを介さずにパソコンをインターネットに直接つないでいたり,ルーターのポートを開けてLAN内のパソコンをサーバーとして外部に公開したりしていると,毎日のように不審なパケットが何者かによって送りつけられてくる。

 つい先日も,実験のためにWebサーバーを公開したときの1カ月分のアクセス・ログを見てみたら,攻撃を受けた痕跡が大量に記録されていた。

 こうしたインターネットからの攻撃を受けたとき,やるべきことは二つ。まず最優先はサーバーやパソコンが被害を受けていないかをチェックすることだ。被害を受けていたらすぐに修復し,適切なセキュリティ対策を施す。

 それから,攻撃してきたのがどこの誰なのかを突き止める。攻撃パケットをいくつか受け取ったからといって目くじらを立てる必要はないが,あまりにしつこいようなら攻撃者が契約しているプロバイダに連絡するなどの手を打つことも考えたい。そのためには,まず攻撃者に関する情報を集めるところから始めよう。

 インターネットには,こういうケースで役に立つ便利なサービスがたくさんある。攻撃元を突き止める目的以外に,日常的な調べものやトラブル・シューティングに役立つサービスも数多い。まとめて紹介しよう。

IPアドレスから逆探知する

 インターネット経由で攻撃を受けたとき,攻撃元を特定するのに使える最も基本的な情報は,攻撃者がログに残した送信元のIPアドレスである。攻撃者が誰かを調べるためには,まず残されたIPアドレスを基に攻撃者がいる国や地域を割り出す。可能なら利用しているプロバイダ名なども調べたい。

 こうした調査にピッタリのサービスが「IPひろば」である(図1)。IPひろばのWebページにアクセスして調べたいIPアドレスを入力し,「検索」ボタンをクリックする。すると,そのIPアドレスが割り振られている国名や,そのIPアドレスの所有者であるプロバイダ名や企業名,さらにはそのIPアドレスを逆引きしたときに表示されるドメイン名(ホスト名)まで調べてまとめて表示してくれる。

図1●IPひろば
図1●IPひろば
http://www.iphiroba.jp/

 IPアドレスやドメイン名から所有者情報を調べるこうしたサービスのことを,whoisと呼ぶ。whoisサービスは世の中にごまんとあって,IPひろばもその中の一つに過ぎない。

 数あるwhoisサービスの中から筆者がIPひろばを推す理由は,このサービスが,対象IPアドレスが国内の場合に限るものの,指定したIPアドレスが使われている都道府県名や接続回線の種類まで表示してくれるという点にある。攻撃元を探すケースに限らず,IPアドレスやドメイン名に関して調べる際にとても重宝するので,ぜひブックマークに入れておきたい。

 攻撃者がいる場所を調べる方法としては,本コラム下の「関連サービス/Webページ」に記した「TRACEROUTE.V」というサービスも要チェックだ。tracerouteコマンドをGoogleマップと連携させたサービスで,攻撃元のIPアドレスが使われている場所を地図上に表示してくれる。こちらは日本だけでなく全世界に対応しているので,海外から攻撃を受けたときにはこちらでチェックしてみよう。

多彩なアドレス関連ツールを統合

 何も不正なパケットを送りつけるだけが,自分に対する攻撃とは限らない。例えばメールでマルウエアを送りつけてきたり,怪しげなWebページへのリンクを載せたメールを送ってきて不正なスクリプトを実行させるといった攻撃手法もよく使われる。単なる迷惑メールだって,度を過ぎれば正規のメールが受け取れず,立派なサービス妨害攻撃になる。

 メールによるこうした攻撃を受けたときは,IPアドレスやドメイン名の所有者情報を調べるwhoisサービスでは有効な手がかりが得られないことが多い。そんなときは「DNS Stuff」のようなサービスを使ってみるとよい(図2)。

図2●DNS Stuff
図2●DNS Stuff
http://www.dnsstuff.com/

 DNS Stuffは,IPアドレスやドメイン名に関連するさまざまな調査ツールを寄せ集めてWebページ上で実行できるサービスである。例えば入力したドメイン名やIPアドレスが迷惑メール送信用サーバーとして使われているものかを調べられる「Spam database lookup」というツールがある。ほかに,メール・アドレスを入力するとフリーメール・サービスのアドレスかどうかを判定してくれる「Free E-mail Lookup」なんてのもある。

 一つひとつは小粒だが,これだけそろえば迷惑メールの送信元について調べる作業はほぼこなせる。このサービスもブックマークに登録しておけば,いざというときにきっと役に立つだろう。

流行の攻撃手法を確認しよう

 サーバーのログなどをチェックして攻撃の兆候を見つけても,それが自分だけを狙っているのか,それともボットネットや自動化されたプログラムによって無作為に攻撃されているのかはわからない。

 そうした判断を下すには,警視庁が提供している「インターネット定点観測@police」というサービスを使うと便利である(図3)。国内における不正アクセスの状況を定点観測して,1日2回の頻度で傾向をグラフで教えてくれるサービスで,ここを見るだけで「今はTCP139番ポートへの攻撃が流行しているな」といった情報が得られる。ぜひ定期的にチェックしたい。

図3●インターネット定点観測@police
図3●インターネット定点観測@police
http://www.cyberpolice.go.jp/detect/observation.html

関連サービス/Webページ

TRACEROUTE.V

traceroute結果を基に指定したIPアドレスまでの物理的な経路をGoogleMap上に表示

http://www.codefromthe70s.org/traceroute.asp

Online Tools

digやnslookup,ポート・スキャンなどさまざまなツールがWebブラウザ上で使える

http://networking.ringofsaturn.com/Tools/

SenderBase

メールの送信元として使われるドメイン名の信頼度を評価する(レピュテーション)

http://www.senderbase.org/


出典:日経NETWORK 2006年11月号 26ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。