Scribble at 2023-06-03 08:39:05 Last modified: 2023-06-03 08:51:16

リンクする意味はないと思うので画面だけ見ていただくが、受け手のインスタンスを公開しておいて、その ssh サーバで受けた外部からの攻撃内容を公表しているというのが主旨らしい（「サーバ」にはヴァーチャルだろうと物理的な筐体だろうと単独の計算資源インスタンスという意味だけでなく、ミドルウェアとしての DBMS やウェブ・サーバやメール・サーバという意味でも使う。ややこしいので、計算資源は「インスタンス」と書いておく）。つまり、これこれの IP アドレスを発信源として、これこれのユーザ名とこれこれのパスワードを送って ssh サーバへ接続できるかどうかという、総当たり攻撃（brute force attack）してきている様子を逆に公表しているわけである。

ちなみに brute force attack は「力技攻撃」などと書かれることもあるが、どうにもこの「力」という感じは片仮名の「カ」なのかどうか、誤読しないまでも読み手の reading の速度を停滞させるため、僕はあまり使わないようにしている。なので、例の「こみゅりょく」と発音されるフレーズを始めとする「～りょく」という表現も、僕は殆ど仕事でも使わない。スラッシュドットで「スルー力」というフレーズを初めて見たとき、「するーか」と読んでいて、なんでロシア語みたいな言葉を使うんだろうと10秒ほど不思議に感じたほどだ。それに、明朝体で表記されていればマシだが、ゴシック体だと判別が難しい。

もちろん、ウェブ・サーバなんてインターネットに公開している限りは必ず外部からの攻撃を受ける。したがって、こういう攻撃があるという前提でポートを開くのがサーバ・エンジニアの基本であろう。なので、別のこんなものは珍しくもなんともないし、いまさらこんなリストを見せられても感心したり驚くようなことでもない。そして、サーバをメンテナンスする側としては、このような質（どういう安易なユーザ名やパスワードを想定して攻撃してきているのかという）よりも、量が問題となる。もちろんだが、どういうパスワードであっても原理的には総当たり攻撃で必ず有限時間内に突破されてしまうからだ。そして、それゆえに ssh のように重要なサービスへの接続はパスワード認証なんかで通してはいけないのである。もちろん、僕は会社員としての妥協として、鍵を管理するスキルなどない社内の人員はステージング・サーバどころかプロダクション・サーバへもパスワード認証を許可しているが（とは言っても ftp を使わせるほど妥協はしていないが）、情報セキュリティの長として推奨などしない。

ということで、具体例として某県の史跡を世界遺産に登録しようというキャンペーンのサイトで使っているサーバのログを見ると、# sudo tail -n 100 /var/log/secure で確認した限りでは、おおよそ数秒に１回くらいの割合で "check pass; user unknown" が残っている。もちろん、鍵認証しかしていないので、こんな攻撃が通るわけない。だが、#sudo tail -n 100 /var/log/messages を見ると、ssh ではないが smtp ポートにはデタラメなアカウント名を使ったリクエストが10秒に１回くらいの割合で来ている。こちらも、メールのパスワードなんてそれこそ RedHat 8 の運用を任された20年くらい前から32桁で設定し続けているので大きな問題はないが、やはり量によっては何らかの対応をしないといけない。