2 不正アクセスの形態
不正アクセス対策を考えるスタートポイントはまずその手法を知る事である。IPAでは不正アクセスを以下のように分類している。まず侵入行為(狭義の不正アクセス)であるが、これは大きく四つの段階に分ける事ができる。
不正アクセス者は準備段階で、インターネット上公開されているデーターベースにより、各サーバのIPアドレスやホスト名を入手し、コマンドによってIP到達可能な範囲を特定する。次にポートスキャンといって各サーバの利用可能なポート(サービス)を調べる。これは各サービスにはそれぞれ脆弱性を持っており既知の情報なので、攻撃可能なサービスを特定するのが目的である。以上情報収集とポートスキャンは現状ではすべて合法的である(不正アクセス行為禁止等に関する法律は後述する)。
次にそのサーバを利用可能とするための権限取得行為に移る。後述するソーシャル・エンジニアリングによりID/パスワードを事前に入手していれば、この作業は困難なく実行できる。一般的に用いられる手法の一つは、システムの設定内容を利用した攻撃である。システムの初期設定としてのIDやパスワードが変更されていない場合公知の情報なので、それを利用する。また簡便なパスワードもパスワード辞書ファイルを用いて簡単に照合されてしまう。またソフトウェアのバグ(セキュリティ・ホール)を利用して、管理者権限を取得したり、またパスワード・ファイルを取得したりする。このセキュリティ・ホールは2種類ある。もともとそのような利用のされ方をソフトウェア設計者が想定していなかった場合と、プログラム・コーディング上のミス(バグ)である。セキュリティホールは頻繁に報告されその数も非常に多いが、いずれにせよバグである事には変わりない。この権限取得行為は何段階かの手続きを踏むが、不正アクセス者の最終目的は管理者権限を取得する事であり、それにより不正アクセス者は思いどおりにそのサーバを操作する事が可能となる。平成9年初にはやったSendmailソフトの不具合を利用して管理者権限を取得するセキュリティ・ホールが有名である。
不正アクセス者は次にその目的を達成する侵入目的実行段階に入る。既に管理者権限を取得しているので、すべての操作が実行可能である。前述の被害内容にWeb改ざんとか、踏み台に利用された等があるが、それは現象面で見た形態であり、すべての操作は正規管理者のコンピュータ操作行為である。
最後に目的達成後の段階であるが、通常不正アクセス者は次回の侵入を容易にするために、自分専用の管理者権限のあるアカウントを追加したり、また自分専用の入り口(バックドア)を作ったり、また捜査、被害者からのクレームを逃れるために、ログ情報の消去・改ざんを行う。
