自宅でのWebサーバーの運用ととセキュリティの確保

2004.04.06
当サイトの記事には広告が含まれます
スポンサーリンク

自宅サーバーとセキュリティ

 常時接続回線を使って自宅サーバーを公開していると、便利なことがいっぱいで、あまりデメリットに目が行き届きにくくなりますが、きちんと、そのデメリットにも目を向けなくては行けません。一番、シビアに考えなければいけないのが、これから紹介するセキュリティの確保です。常時接続回線に接続して、自宅サーバーを公開した瞬間に、そのサーバは有名なサイト、たとえばYahoo!や楽天、そして首相官邸サイトなどと同じ環境に身を置いたことになります。

自宅サーバーの危険

 不正侵入者は自分みたいなサイトは攻撃をせずに、どこか有名なサイトを攻撃するのではないかと思いたくなりもなりますが、実は自分のサイトが不正侵入者の踏み台にされて、自分のコンピュータが他のサイトの攻撃マシンに早変わりしてしまうということがありえるのです。この場合は、無意識のうちに犯罪に手を貸したことになってしまいます。不正侵入者は、まずセキュリティの甘いところを片っ端に調べて、甘いところが見つかればそこから侵入をしていきます。つまり自分の安全だけでなく、まわりに迷惑をかけてしまうことを防ぐために、セキュリティには十分に気を付ける必要があります。インターネットへ接続を行っているときに主に気を付けなければいけないものは次の5点です。

ウイルスの感染

 ウイルスに感染すると、サーバーの中のファイルを破壊されたり、他の人へ感染を拡大させたりすることが考えられます。最近のウイルスはドンドン巧妙になってきていて、自動アップデート機能を持つものや不正侵入のための裏口を作ったり等、いろいろな種類のものがドンドン増え続けています。

スパムメール

 勝手に誰かからダイレクトメールが送りつけられることがあります。それがスパムメールです。掲示板やWEBページからメールアドレスを収集して、闇でこのメールアドレスの一覧リストが売買されて一方的に送りつけてきます。スパムメールは届くたびに削除するのも面倒ですが、一番迷惑なのは、そのSPAMメールを配信させられたSMTPサーバーになってしまうことです。大量のアクセスで回線が混雑し本来送るべきメールが送信できないということにもなりかねません。自宅にメールサーバーを設置するときには、スパムメールの踏み台にされないように十分な注意を払う必要があります。もしかすると、有害なスパムメールの発信元としてマークされて、プロバイダなどからサービスを停止させられてしまうことも考えられます。

不正侵入、不正アクセスの踏み台

 踏み台というのは不正侵入者にコンピュータを利用されてしまうことをさします。不正アクセスを行った場合は、どこからアクセスがあったのかが記録として残りますので、不正侵入者は自分のマシンで直接不正侵入先に忍び込むのはいやがります。そこで、誰かのサーバーを一旦介して不正アクセスを行います。そして不正アクセスを行われた方から見ると、犯人のコンピュータのことはまるで判らず、「誰かのコンピュータ」が犯人だと思うのです。この誰かのサーバーのことを踏み台と呼んでいます。

DoSアタック(サービス停止攻撃)

 DoSアタックは大量のパケットを攻撃対象に送って、相手のサーバーを過負荷状態にします。この過負荷状態に耐えきれず、OSがハングアップしたり、他のユーザーからの受付を一切出来なくなったりして、実質的にサービス停止状態にすることができ、これをDoSアタックと呼んでいます。最近では複数のマシンから並行して同じサーバーに一斉に攻撃する方法がとられているようです。

ファイルののぞき見、消去、書き換え

 もし、コンピューターの中のファイルが誰かに見られてしまったりすると、他人には知られては困る情報が漏れだしてしまう可能性があります。パソコンの中には年賀状の住所録のような個人情報に相当するようなもの、IDとパスワードの対応関係などなど、人には見られては困るような情報が山ほどあると思います。また、見られる以外にも大事なファイルが消される、または更新されるといったりリスクも含んでいます。

攻撃の原因

 なぜ自分のサーバーが不正アクセスの対象や踏み台にされてしまうのでしょうか。それは、ケースによって色々な場合がありますが、主にソフトウエアのバグ、自宅サーバーやブロードバンドルーターの設定ミス、ウイルスへの感染などがあげられます。ソフトウエアのバグについては利用者としてはどうしようもありません。修正版が発表されサーバーにインストールするまでサービスを停止するか、危険を承知で使うしかありません。まずは修正版の発表に関する情報には目を光らせて、発表されたらすぐに適用するよう心がけるのがまずは第一歩かと思います。

 自宅サーバーやブロードバンドルーターの設定ミスについては、管理者としてはきちんと設定が出来ているつもりでも、実は不正侵入を許す設定になってしまっている場合があげられます。たとえば、CATVインターネットのユーザー間で、相手のコンピュータやその共有ファイルは見えてしまうということが以前ありました。CATVインターネットでは、その加入者全体が一つの大きなLANの中で接続しているような設定になっていて、簡単に他人との間でファイル共有が出来てしまうような場合があったためです。まずは、何かの設定を行うときには、ファイルの共有は自分の家の中のパソコン間でしかファイル共有が許されないといった固定観念は捨てて、自分がどのような環境のどのようなネットワークに接続していて、だから何に気を付けなければいけないのかと言うことに常に注意しておく必要があります。

セキュリティを高めるためにはどうするか

IDとパスワード

 IDとパスワードは色々なところで要求され、おのおのごとに別々のものを準備すると覚えていることも困難になってきます。かといって同じIDとパスワードばかりを使っていると、何か一つの組み合わせが見破られてしまうと、連鎖的に他のサービスまで狙われてしまうかもしれません。従って、何種類かのIDとパスワードを準備しておいて、適時、その組み合わせを使い分ける注意が必要でしょう。

 また、パスワードについて、容易に人から推測されてしまうようなものは使用してはいけません。たとえば、

  • IDと同じパスワード
  • 自分の名前やニックネーム
  • 生年月日やメールアドレス
  • 英単語
  • 数字だけ
  • 6文字以下の短いパスワード

 また、自宅サーバーの運用を行う上で、もっとも重要なパスワードはUNIX系OSの場合はROOT権限のパスワードということになります。もしもROOT権限を則られてしまったら、完全にそのサーバーは不正侵入者に乗っ取られてしまったのと同じことになってしまいます。「私はROOT権限のパスワードにはかなり長めのパスワードを付けるようにしていて8文字のパスワード設定しています」と仮に書いてしまうと、それだけでも不正侵入者から見ればアタックするときの組み合わせが減ったことになりパスワードを見破られやすくなります。パスワードの絞り込みを行えるような情報ですら絶対に提供すべきではありません。

ポートの絞り込み

 既に随所で説明しましたが、ポートフォアーディングは自分がインターネット側にサービスを提供したい最低限のポート番号だけを指定するようにしましょう。また、念のために、使わないポート番号については全てをフィルタリングして外側からは使えないようにしましょう。もしもポートフォアーディングの設定を間違えてしまってもフィルターが脆弱性を守ってくれます。これらの設定はブロードバンドルーターで実施しますが、同様にサーバー側でも実施しておくと良いでしょう。最近のLinuxディストリビューションやWINDWOS XPではファイアウオールの機能が標準で付いてきています。

サーバーソフトのバージョン

 サーバーソフトについては出来るだけ最新版を使用するようにしましょう。とは言っても、最新のベータ版やアルファ版といったものは避けておいた方が無難です。何か、未知のセキュリティ問題が潜在化しているかもしれません。最新の正式公開版が良いでしょう。また、セキュリティパッチが発表されていれば、同時にそのパッチは施工しておくことを薦めます。

FTPサーバーでの注意点

 公開用の特定のディレクトリ以外は外部からはアクセスができないようにします。

メールサーバーでの注意点

 メールサーバーをSPAMメールの踏み台とされないように設定することが必要です。メールの送信を許すIPアドレスを特定のアドレスに限定したり、SMTP認証を使ったり、POP BEFORE SMTPなどの機能を使って、利用できるユーザーを限定する機能は必須だと言っても過言ではありません。これらの機能が付いていないメールサーバーソフトは使うべきではないでしょう。

ウイルスチェック

 サーバーには常時監視機能が付いたウイルスチェックソフトを走らせておきましょう。また、メールの送受信を行うときにそのメールの内容をスキャンしてくれるような機能が付いたウイルスチェックソフトであればなお安心です。

コメント