【本当にあった怖い話】ファイアウォール、無いと攻撃されるまで何分?

サーバー立てただけなのに・・・

「インターネットは危険とか言われてるけどさ、まあでも、可能性を言われてるだけで、本当はそんなにガツガツしてたりしないんでしょう?」と、善良な人々は考えがちです。

そこで、我々は実験をしてみました。

土曜日の朝にAWSで新しいサーバを1台組んで、sshのポートである22を全世界からアクセス可能にして放置してみました。

sshサーバは、公開鍵認証でないとアクセスできないように設定しています。このため、いくらパスワードをとっかえひっかえ試してみても、ログイン出来ないはずです。…sshサーバにバグが無いのであれば。

さて、朝の9時43分にポートを開放したあと、どうなったでしょうか?

8分後に攻撃されました

ポートを開放してから8分後、午前9時51分には最初のログイン試行が記録されていました。「たった8分」ですよ。たった8分で、サーバが立ち上がってるのを嗅ぎつけてきて、早速ユーザーadminでログインしようと企んでました。見るからに悪意があります。ありがとうございました。

その後も明らかに邪悪なログイン試行(ユーザーrootで試すなどはこの範疇です)や、おそらくはセキュリティ調査のために開いてるポートが無いか試してくれてるアクセス(ユーザーが空文字列なので、明らかにログインする気が感じられません)なども含め、1時間に20~30程度がコンスタントに襲ってきています。

sshの「ブルートフォース攻撃」(よくあるユーザー名とパスワードの組でログインできるかどうかを試してみるもの)ですらこの有様です。インターネットの公開サーバに対して、どんな攻撃が来るか分かったもんじゃありません。

例えば raspberry pi という小型パソコンの場合、デフォルトユーザーとデフォルトパスワードは決まっています。こんなものインターネットに接続したら、数分以内に敵の支配下に置かれちまうでしょう。

情報漏洩やページの改ざんもさることながら、あるとき突然警察から電話がかかってきて「おたくのサーバーが他社のサーバーを攻撃してます」と言われてしまうかもしれません。被害者だと気づいたときには、同時に加害者にもなりうる、インターネットとはそういう世界なのです。