皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

Windowsの遠隔操作に使われる『RDS（Remote Desktop Services / リモートデスクトップサービス）』、何も変更していなければ『3389/TCP』というポートが使われますが、変更していればその限りではありません。

そんな『RDS（Remote Desktop Services / リモートデスクトップサービス）』に対して『警察庁』は『＠police』にて注意喚起を促しています。

3389番ポートとRDSへの対策など

＜3389番ポートとRDS＞

まず、警察庁が注意喚起を促しているRDSに関しては以下のセキュリティ対策を推奨しています。

・Windows OSを最新の状態にする

・RDSを使用しない場合はサービスを無効にする

・RDSをインターネット経由で接続する場合はアクセス制限を行う

・リモートアクセス可能なユーザーは必要最小限に限定する

・ユーザー名、パスワードは推測されにくいものにする

＜その他のポート番号＞

確かに『3389/TCP』へのパケット数は増加していますが、それよりも注意すべきものがあるように感じます。

１．telnet/23ポート

以前から変わらず一番多いもので、不要であれば閉じておくべきです。

２．microsoft-ds/445ポート

Windowsでファイルやプリンタの共有に使われますが、これは少なくともWAN側の内向きは閉じてしまうべきです。

３．5555番ポート

Android端末のコマンドラインツール（ADB / Android Debug Bridge）などでも使われているポート番号ですが、昨今、攻撃にもよく使われています。

この辺りにも注意をされた方が良いと思われます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日、トレンドマイクロがある分析結果を公表しました。

それによると、このような結果が出ています。

検出が困難になる遠隔操作ツール

トレンドマイクロの調査では、約26%の組織において遠隔操作ツール（リモートアクセスツール）の活動が確認されており、それは既に標準型サイバー攻撃に侵入されてしまっていたと言います。

そして、標準型サイバー攻撃はこれまで以上に検出が困難になっていることが分かっているそうです。

それは、遠隔操作ツール（リモートアクセスツール）の侵入時の活動において以下のものが確認されているとなっています。

１．正規プロセスへの寄生

２．高度なファイル活動

３．Windowsの標準機能を利用したスクリプト実行による活動の隠蔽

これらが確認されたそうです。

このように、巧妙化する標準型サイバー攻撃に対する防御策としては、1つの対策だけではなく、多層で防御していくことが重要とされており、

・エンドポイント

・ネットワーク

・サーバ

・etc

などといった、複数のセキュリティ製品と複数のセキュリティ技術にて多層防御することが良いようです。

標的型サイバー攻撃は、組織に送信された不正メールの添付ファイルや本文中のリンクを受信者がクリックし、そこから遠隔操作ツール（リモートアクセスツール）に感染することから始まるとされています。

そのため、1つはそれを防ぐメールセキュリティにおける対策が求められ、もう1つは不正メールの添付ファイルや本文中のリンクを受信者がクリックしてしまった場合のために、外部の不正サイトへのアクセスを検出・ブロックするためのウェブゲートウェイ対策も必要であるとされています。

ご参考までに。

日本にも、とんでもない数のサイバー攻撃を日々受けています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前にも、『インターネットはサイバー戦争』という記事にて触れましたが、インターネットの世界をリアルタイムでモニタリングすると、すさまじい勢いで世界的にサイバー攻撃がなされています。

当然、日本に向けられたサイバー攻撃もとんでもない数になっています。

さて、ここで注目したいのは、一番攻撃を受けているのは何か？というところです。

23番ポートへの攻撃はNo.1

NICT（国立開発研究法人情報通信研究機構）のサイバーセキュリティ研究所が公開しているデータを見ると、昨年のダークネット観測パケット数の年間統計では、約1,281億ものパケットが観測されています。

そして、昨日のパケット数に目を向けると、No.1は23番ポートに対する8,108,510パケットで全体の37%も占めていました。

この23番ポートというのは、リモートメンテナンスなどの遠隔操作で使われる『telnet』用のポート番号で、暗号化されていない平文ベースの通信を行うものになります。

そこが一番狙われいているということです。

この『telnet:23番ポート』は、未だ多くのネットワーク機器においてメンテナンス用として残っていることが多いのですが、これは必要がなければ閉じてしまうべきです。

ただし、外部業者などから遠隔操作におけるメンテナンスを受けている場合は業者と協議せざるを得ません。

昨今のセキュリティソフトには、ネットワークに危険性があるのか否かを調査するツールがあったりもしますが、これはツールによって検知の仕方が異なりますので、それで問題がなかったからと言って絶対とは言えません。

現に、とあるメーカーのルータを確認したところ、A社のソフトでは問題が出ず、B社のソフトでは問題が発見されました。

このような場合においては、WAN側、LAN側、ともに23番ポートを内向きにすべてを拒否（廃棄）する設定を加えてあげなければポートは開いたままになりますので、万が一狙われてしまった場合においては被害を受ける可能性があるということになります。

そういったことにならないためにも今すぐ確認をし、やむを得ない理由がないのであればすぐに閉じてしまうことをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今の時代、あらゆるところにインターネットに接続されたIoTデバイスが存在し、それが便利なものとして活用されています。

しかし、便利であることとは裏腹に、リスクも増加しているのです。

IoTデバイスに存在するもの

そんなIoTデバイスに存在するものとして、Telnetというものがあります。

Telnetとは、ネットワークに接続された機器を遠隔操作するために使用するソフトウェア、またはそれを可能にするプロトコル（通信規約）のことを言います。

このTelnetは、すべての通信を暗号化せずに平文のまま送信するため、セキュリティ的な観点から考えるとリモート通信方法としての利用は推奨できないものですが、多くのIoTデバイスにはそれが存在します。

そして、さらに悪いことに、これらのIoTデバイスへのログインIDやパスワードがデフォルト（初期値）のまま使われていることが多いという現状もあります。

※　ログインIDやパスワードは、デフォルトが公開されているものも多くあるため、必ず変更しておく必要がありますが、IDなどは固定化されてしまっているものもあるため脆弱です。

IoTデバイスにおいてすべきこと

IoTデバイスにおいて最低限やっておきたいこととしては以下のことがあります。

１．Telnetは原則止めておく（Telnetポートを閉じておく）

２．IDやパスワードをデフォルトから変更しておく

３．脆弱性修正やファームウェア更新は必ず行う

また、ある実験結果によると、IoTデバイスがマルウェアに感染してしまった場合に以下の方法で駆除に成功したという事例もあるようです。

１．IoTデバイスを再起動

２．主電源を切る

３．工場出荷時の状態に戻す

これを行うことによって駆除に成功したデバイスもあるため、万が一の際は行ってみるのも1つの手でしょう。

ただし、工場出荷時に戻した際は機器設定がデフォルトに戻ってしまうため、再設定を行う必要があります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

最近では、パソコンに標準でWebカメラが搭載されたものも多くなりましたが、そのWebカメラの動作が急におかしくなってしまったケースが最近ありましたのでご紹介します。

Webカメラの制御がおかしくなった理由

AさんのパソコンにはWindows10が搭載されており、Webカメラもそれに対応したものが付いています。

しかし、ここ数日で急にWebカメラのアクセス制御がおかしくなってしまったのです。

その原因はズバリ、セキュリティソフトのバージョンアップを行ったことが原因でした。

最近のセキュリティソフトでは、パソコンに不正プログラムを設置されてしまった際のWebカメラへの遠隔操作などの対策として、Webカメラへのアクセス制御をセキュリティソフトに搭載しているものが出てきています。

その設定の一部が、セキュリティソフトのバージョンアップ時に『アクセス禁止』となってしまっていたことによって正常な動作をしなかったというものです。

しかし、これは『アクセス許可』の状態にしてあげることであっさり直ってしまいます。

もちろん、Webカメラが動作しなくなる原因はこれだけではありませんが、今回のケースはセキュリティソフトのバージョンアップによるものでした。

ネットワーク保護機能への推察

Webカメラへのアクセス制御とは別に、昨今のボットネットなどへの踏み台対策としてネットワーク保護機能を新たに機能追加しているセキュリティソフトもあります。

これらに対しても想定できるのは、ネットワークにつながっているデバイスへのアクセス制御が設定されてしまっていることでアクセス不可になることが考えられます。

このような場合、前述のWebカメラへのアクセス制御同様、セキュリティソフトの設定を見直し、アクセスを許可してあげることによってあっさり解決してしまうこともありますので、焦らず一度設定を見直してみてください。

ボットネットとは、ウイルスなどによって多くのパソコンやサーバに遠隔操作できる攻撃用プログラム（ボット）を送り込み、外部からの指令で一斉に攻撃を行わせるネットワークのこと。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日はかなり遅くなってしまったため、少々短めにお届けします。

昨日掲載した記事、スパムデータベースへの誤登録は、お客様が契約されている共有型レンタルサーバに契約されている他のユーザーが不注意によって起きてしまったものでした。

しかし、ブロックしたCBLの説明によると、ボットネットに利用された可能性を示唆していました。

ボットネットと言っても、大量のトラフィックで占拠するDDoS攻撃だけではなく、迷惑メールを送信するためにそれが使われることもあります。

つまり、迷惑メールを大量に送信するためにボットネットが使われるということです。

このお客様にて起きた詳細がわかれば注意喚起にもなりますのでお伝えしたいのですが、まだ契約のレンタルサーバ会社から開示されていないとのことで、詳細がわかればその段階でお伝えできればと思います。