はてなの不正アクセス
今回の侵入を受けたサーバーには一部セキュリティ設定上の不備により通常は不可能となっているパスワードによる認証が可能となっており、他のサーバーよりも侵入を受けやすい状態となっておりました。これは、社内で定めておりますセキュリティポリシーが一部正しく遵守されていない状態となっていたもので、今後このようなことが起こらぬよう、改めてセキュリティ対策の見直しと業務の具体的改善策を練り、実行に移していきます。
パスワード認証を許可していたことではなく、総当りでヒットするようなパスワードを設定していることを反省すべきだと思います。
普通のクラッカーは総当りなんてまずしないので、パスワードを潰したりすることにあまり意味はないと思っています。もちろん公開鍵認証を使うほうが安全なのは確かだから、それを推奨するのはいいですが、こうしておけば安全! という思考あまり安全じゃあない気が。
今回の不正侵入を受けて本日弊社社内にて協議検討を行い、管理体制とセキュリティポリシーの見直し並びに監視体制の強化、新たに監視システムの開発を行う方針を決定いたしました。
このあたりはさすがと思いますが、本当でしょうか? そこがはてなの素晴らしいところ?
sshdにパスワード認証で総当りするリナックスワームのようなものは最近流行っているようで、知人宅に置いているリナックスマシンへもかなりのログイン試行がされていたので、今回の件は特にはてなが狙われたわけではなく、数打ちゃ当たる戦法で責めてみたところ、偶然弱いパスワードのはてなに感染したというだけと思います。詳細がわからないので勘ですが、はてなを狙ったのならボットを仕掛けるだけで終わらないでしょー、という単純なあたりから。
知人宅における、このワームらしきものへの対応は、
- sshdのポート番号をデフォルト以外にしとく
としました。
(パスワード認証をdisableにしてさえおけばログインできないのは確かですが、アクセス負荷が気になった)
このワームらしきものの攻撃元を調べると企業のサーバーばかりなのは、開発用のアカウントなんていう共有アカウントを作るから、利便性の面から簡易なパスワードを設定せざるおえなくなり感染しやくなっているからと予想してます。
個人的には、
- 秘密鍵を共有するのは気持ち悪すぎ
- 他人と共有していないのに安易なパスワードを設定しているような人は精神的な面からどうにかしておかないと会社にとって脅威になりかねない
ということを思いました。
まとまってない。社外からのアクセスについては触れません。