皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

Windowsの遠隔操作に使われる『RDS（Remote Desktop Services / リモートデスクトップサービス）』、何も変更していなければ『3389/TCP』というポートが使われますが、変更していればその限りではありません。

そんな『RDS（Remote Desktop Services / リモートデスクトップサービス）』に対して『警察庁』は『＠police』にて注意喚起を促しています。

3389番ポートとRDSへの対策など

＜3389番ポートとRDS＞

まず、警察庁が注意喚起を促しているRDSに関しては以下のセキュリティ対策を推奨しています。

・Windows OSを最新の状態にする

・RDSを使用しない場合はサービスを無効にする

・RDSをインターネット経由で接続する場合はアクセス制限を行う

・リモートアクセス可能なユーザーは必要最小限に限定する

・ユーザー名、パスワードは推測されにくいものにする

＜その他のポート番号＞

確かに『3389/TCP』へのパケット数は増加していますが、それよりも注意すべきものがあるように感じます。

１．telnet/23ポート

以前から変わらず一番多いもので、不要であれば閉じておくべきです。

２．microsoft-ds/445ポート

Windowsでファイルやプリンタの共有に使われますが、これは少なくともWAN側の内向きは閉じてしまうべきです。

３．5555番ポート

Android端末のコマンドラインツール（ADB / Android Debug Bridge）などでも使われているポート番号ですが、昨今、攻撃にもよく使われています。

この辺りにも注意をされた方が良いと思われます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ウェブサイト（ホームページ）を公開している会社や店舗であれば、自社や自店のウェブサイト（ホームページ）にどれくらいのアクセスがあるのかが気になるところです。

しかし、その中に自社や自店からアクセスしたものも含めていては正確なアクセス数に大きな誤差が生じる場合があります。

WAN側のIPを定期的に見直す必要性

ウェブサイト（ホームページ）のアクセス解析を行う場合、多くはGoogleのAnalytics（アナリティクス）が使われていますが、それに何も設定をしなければ全てのアクセスが含まれてしまうため正確なアクセス数とは言えないことが多いのも事実です。

つまり、自社や自店の従業員・スタッフがアクセスした数まで含まれてしまうため、大幅にアクセス数が増えてしまっていることも考えられます。

これはAnalytics（アナリティクス）の管理上でフィルタリング設定を行うことで除外できますが、問題なのは自社や自店で契約しているインターネット回線のWAN側IPアドレスです。

どういうことかと言うと、中小・零細企業、小規模事業者の多くは固定IPアドレスの契約をすることは少なく、OCNやauなどのプロバイダから割り当てられる動的なIPアドレスを使用することになります。

これが今日の本題です。

プロバイダから割り当てられる動的なIPアドレスはある日突然変わることがあります。

例えば、プロバイダ側で設備メンテナンスがあったとか、影響する部分において障害が発生したとか、自社や自店付近などにおいて停電があったとかによる影響を受けます。

このような場合、自社や自店に設置されているルータはIPアドレスを取得し直すため、WAN側のIPアドレスが変わってしまうことがあるのです。

それ以外にも、セキュリティ的な観点から一定期間を経過すると割り当てているIPアドレスの割り当て直しを行うこともあり、WAN側のIPアドレスが変わってしまうのです。

これを把握しないまま放置していると当然ながらアクセス解析に影響しますので、定期的にWAN側のIPアドレスを確認し、変わっていたのであればAnalytics（アナリティクス）のフィルタ設定にて除外しているIPアドレスを変更してあげる必要性があります。

しかし、この機能は時には障害の影響を受ける可能性があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、パソコン周辺機器で有名なバッファローがこんな発表をしました。

『無線LANルーター製品の一部でインターネットに接続できない障害が発生した。』と。

さて、これは何が影響してそのような事態になったのでしょうか？

回線自動判別機能が影響した障害

インターネットに接続できなくなった原因は、2018年12月29日から2019年1月3日の間に発生していた『buffalo.jpサーバーの障害』にありました。

これ、一見何の関係が？と思えてしまいますが、バッファローの無線LANルーターに搭載されている『インターネット＠スタート』という回線自動判別機能が障害の起きたサーバーを使っているために起きたものです。

バッファローの無線LAｎルーターは非常に多く使われていますが、簡単に設定ができるように出荷時の初期状態において『インターネット＠スタート』を使うようになっています。

この状態でサーバー障害の発生期間に無線LANルーターの再起動やWANポートのケーブルの抜き差しを行ってしまうとインターネット接続ができなくなってしまい、上流のネットワーク機器の設定変更や再起動などによっても同じ障害が発生した可能性があるとされています。

ただし、この現象が起きた無線LANルーターは以下の機種に限定されているようです。

・WSR-1166DHPシリーズ

・WCR-1166DS

・WXR-1900DHP2（ファームウエアVer2.49以前）

・WXR-1750DHP（同Ver2.48以前）

・WXR-1900DHP

上記の機種においてインターネットに接続できない回線であると誤判定されていたようです。

このインターネット接続判定は機種のグループによってサーバーが異なるようで、対象機種以外の無線LANルーターにおいては問題は発生しなかったとされています。

このように、回線自動判別機能を使って無線LANルーターを設定している場合、メーカーのサーバー障害による影響を受ける可能性がありますので、できればそれを使わずに設定を行いたいものです。

ちなみに、現在サーバーは復旧しているとのことで、現在でもインターネット接続ができない場合は無線LANルーターを再起動するか、WANポートのケーブルを抜き差しすることでインターネット接続が復旧するようです。

日本にも、とんでもない数のサイバー攻撃を日々受けています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前にも、『インターネットはサイバー戦争』という記事にて触れましたが、インターネットの世界をリアルタイムでモニタリングすると、すさまじい勢いで世界的にサイバー攻撃がなされています。

当然、日本に向けられたサイバー攻撃もとんでもない数になっています。

さて、ここで注目したいのは、一番攻撃を受けているのは何か？というところです。

23番ポートへの攻撃はNo.1

NICT（国立開発研究法人情報通信研究機構）のサイバーセキュリティ研究所が公開しているデータを見ると、昨年のダークネット観測パケット数の年間統計では、約1,281億ものパケットが観測されています。

そして、昨日のパケット数に目を向けると、No.1は23番ポートに対する8,108,510パケットで全体の37%も占めていました。

この23番ポートというのは、リモートメンテナンスなどの遠隔操作で使われる『telnet』用のポート番号で、暗号化されていない平文ベースの通信を行うものになります。

そこが一番狙われいているということです。

この『telnet:23番ポート』は、未だ多くのネットワーク機器においてメンテナンス用として残っていることが多いのですが、これは必要がなければ閉じてしまうべきです。

ただし、外部業者などから遠隔操作におけるメンテナンスを受けている場合は業者と協議せざるを得ません。

昨今のセキュリティソフトには、ネットワークに危険性があるのか否かを調査するツールがあったりもしますが、これはツールによって検知の仕方が異なりますので、それで問題がなかったからと言って絶対とは言えません。

現に、とあるメーカーのルータを確認したところ、A社のソフトでは問題が出ず、B社のソフトでは問題が発見されました。

このような場合においては、WAN側、LAN側、ともに23番ポートを内向きにすべてを拒否（廃棄）する設定を加えてあげなければポートは開いたままになりますので、万が一狙われてしまった場合においては被害を受ける可能性があるということになります。

そういったことにならないためにも今すぐ確認をし、やむを得ない理由がないのであればすぐに閉じてしまうことをお勧めします。

しかし、このセグメント分割に対して間違った認識をしている人もいます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日は、企業間の担当者同士にあった会話の中で耳を疑うような内容のものをご紹介します。

それはこんな内容です。

TCP/IP印刷に対する間違った認識

A氏：『新しく別のセグメントでネットワークを追加したのですが、そちらのセグメントにあるプリンタに印刷させてもらって良いでしょうか。』

B氏：『プリンタを使う分には構いませんが、TCP/IP印刷は同一セグメント内でしか印刷できないですよ。』

A氏：『いえ、別のセグメントに対しても印刷はできます。念のため社内でもテストをしてきましたので。』

B氏：『そんなことはあり得ませんよ。それは間違っていますね。』

A氏：『では、印刷の許可だけもらえれば結構です。』

こんな感じの会話なのですが、これはどちらが正解かというと、Aさんは正しくBさんは間違いです。

ちなみに、とあるプリンタを製造しているメーカーのサポートセンターのオペレーターもB氏と同じことを言っていたようなので驚きです。

別セグメントへのTCP/IP印刷

この会話が行われたところのネットワーク構成は下記のような構成です。

B氏構築のネットワークセグメント：192.168.1.0/24

同ルータLAN側IP：192.168.1.1（デフォルトゲートウェイ）

同セグメント内のプリンタIP：192.168.1.100

A氏構築のネットワークセグメント：192.168.2.0/24

同ルータWAN側IP：192.168.1.200、デフォルトゲートウェイとDNS IP：192.168.1.1

同ルータLAN側IP：192.168.11.1

同クライアント：DHCP自動取得

こんな感じのネットワーク構成になっているのですが、A氏が構築したネットワーククライアントからは下記のようにプリンタを設定します。

プリンタポートをStandard TCP/IPとし、プリンタのIPアドレスに192.168.1.100を設定します。

それ以外は、プロトコルでLPRを選択してLPRのキュー名を入れるか、Rawを選択してポート番号に9100などを設定するかです。

この設定で基本的には192.168.2.0のセグメントにあるクライアントから192.168.1.0のセグメントにあるプリンタ192.168.1.100に印刷を行うことができます。

もしこれで印刷できないとすれば、プリンタの置かれているセグメントにあるルータの設定としてプライバシーセパレート（ネットワーク分離）をしている可能性があります。

その場合はその機能をOFFにしないと印刷することができません。

ご参考までに。

さて、この真意は？

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭にお書きした内容は実際に起きた内容なのですが、こういった話しはよくあると言えばよくある話しです。

では、何故業者はこういった対応になるのでしょうか？

別セグメントのネットワーク

今回の事例では、元々A社が構築されていた業務システムネットワークに配慮し、別のセグメントにて構築するというものでした。

＜業務システム側のネットワーク＞

ルータ：192.168.10.1
サーバ：192.168.10.2（GW-192.168.10.1）
業務システムクライアント：192.168.10.3～5（GW-192.168.10.1）
事務クライアント：192.168.20.3～5（GW-192.168.20.1）

＜B社追加構築のネットワーク＞

無線LANルータ：WAN側-192.168.20.100（GW-192.168.20.1）/LAN側-192.168.30.1
クライアント：DHCP自動取得

簡単にはこんな感じなのですが、事務クライアントはアドレス変換にてルータを経由してインターネット回線に出ます。

また、B社追加構築のクライアントは、無線LANルータのWAN側である192.168.20.100からゲートウェイを通じて事務クライアントと同じ経路を経由してインターネット回線に出ます。

つまり、構成上から業務システムに与える影響はないのです。

もし可能性があるとしたら、事務クライアントも業務システムに影響を与える可能性を秘めていることになりますので、A社が主張したことは少々矛盾を感じます。

（A社も一般的には問題がないはずであることは認めていた。）

業者は自社以外のものを避けたがる

では、何故A社は業務システムへの責任を回避したかったのか？

よく、システム業者同士がサーバを分けて欲しい旨をクライアントに依頼することはあります。

単純に、どちらのシステムが問題で不具合が生じたのかの切り分けが難しく、相手方のシステムの問題であっても自社も調査をしなければいけない可能性を秘めているからです。

しかし、ネットワークの場合、別々に分断されたネットワークでは片方がインターネット回線を使用することができなくなってしまいますので、どこかでつなげておくしかありません。

そのためにセグメントを分け、影響が出ないようにしてつなげているわけです。

となると何故なのか？

私からすると、業務システム全体を把握できていないような気がします。

もし新しいネットワークの一部である無線LANルータを懸念しているのであれば、既に事務クライアントでも近い可能性はもっていますので、結局のところは全体を把握しきれていないと考えざるを得ないです。

もしくは、自分達が携わったもの以外による影響の可能性を残し、インシデント発生時の盾にしたいのではないかと思われます。

平たく言えば、問題が起きたら調査費用を請求したいということなのでしょう。

いずれにせよ、もう少しクライアントファーストである必要性があるのではないでしょうか。