連載
» 2004年01月15日 00時00分 公開

にわか管理者奮闘記(2):社内ネットワークの恐るべき実態 (2/2)

[根津研介, 園田道夫, 宮本久仁男,@IT]
前のページへ 1|2       

ファイアウォールはどこだ?

 小野さんは確かにサーバは3台といったが、いままで見たところではファイアウォールというのはそこにはなさそうだ。ファイアウォールについてインターネットで調べると、どうもインターネットとの接点に置かれるもので、いくつかのネットワークを分けて管理するものらしい。小野さんの言葉を思い出した。

小野さん 「インターネットへはNTサーバで接続しているんだよ」

 メール担当のNTサーバから出ている線を見てみると、1本はネットワーク機器につながれていたが、もう1本はモデムらしき機械につながっているようだ。このモデムがインターネット接続を行っているという話だし、NTサーバとつながっているネットワーク機器はいろいろ線がのびて床に消えているようなので、どうやら社内のネットワークに接続されているらしい。

 とすると、もしかしてこのNTサーバがファイアウォールなのか? とにかく、ここまで分かった事実を基に中村君は図を描いてみた(図1)。

図1 中村君が整理した社内ネットワーク構成図(ファイアウォールはどこ?) 図1 中村君が整理した社内ネットワーク構成図(ファイアウォールはどこ?)

 何が何だか分からない図だが、それが現状だった。もちろんファイアウォールがどこにあるのか見当もつかない。

一体どれだけのPCがあるのか?

 中村君は気を取り直して、今度はIPアドレスを調べてみることにした。というよりも、手掛かりになりそうなのはその辺りしかないのだ。

 しかし、さすがにワーム騒ぎのときは、全PCのIPアドレスまでは調べきれていない。インターネットでいろいろ調査した中村君は、ポートスキャン*2を行うツールnmap(http://www.insecure.org/)を見つけた。相手のコンピュータの通信ポートは何が開いているのかを調べるツールだが、便利なものでこれはIPアドレスをざっくり大量に指定できるみたいなのだ。

*2
TCP/IPではアプリケーションごとにポート番号が用意されていて、クライアントは当該ポート番号を通じてサーバのアプリケーションと接続する。このポートを外部から順番にアクセスして、応答の有無を検査することをポートスキャンと呼ぶ。


 試しに中村君はそのツールを使ってちょっと少なめのIPアドレスレンジを指定して、起動してみた。すると、ゆっくりではあるもののIPアドレスがどんどんリストアップされていく。見ていると反応しているIPアドレスがリストアップされているようだ。

 ……しかし、あるPCから戻ってきた結果を見て中村君はビビった。というのも、訳が分からないが異様にたくさんのポートが開いているようで、ということはつまり、それだけたくさんのPCと通信しながらスキャンしている、ということか!と気付いたからだ。いくら何でも仕事で社員が使っているPCにそんなにたくさんのポートスキャンを仕掛けていいものなのだろうか?

 中村君は慌ててスキャンをやめて、ポートスキャナのオプションを調べてみた。すると存在確認オプションというのがあるようだ。ご丁寧に「このオプションを使えば少ない通信量でスキャンできる」などと書いてある。中村君はそのオプションを指定してあらためてPCのスキャンを行った。調べ上げたIPアドレスを並べてみると、

10.1
10.2
10.4
10.10

という数字で始まるIPアドレスが多数。ほかに、

172.16
192.168

というものもあった。これらはすべてプライベートアドレスというやつだが、どうにも腑(ふ)に落ちない。というのも小野さんは「うちは10というIPアドレスしか使ってない」といっていたような気がするからだ。

中村君 「何で小野さんが知らないIPアドレスが存在するのだろうか?」

 もう1つ気になったのは10.1という数字で始まるIPアドレスが異様に多かったことだ。10.2、10.4、10.10はそれぞれ数台ずつしかないのに、10.1だけ100台を超えている。そういえばワーム騒ぎのときにメモしていたIPアドレスは、そのほとんどが10.1だった。

中村君 「こんなにバランスが悪くていいのだろうか?」

 疑問はあるものの、それでも中村君はとことん調べ尽くすしかない。もう一度中村君は社内を調べることにした。

※補足
これらのことからどんなことが問題となるのか問題点を詳細に挙げておいてもらいたい。考えれば考えるほど沢山あるはずだ。回答は、後日解説編として解説する予定だ。


めちゃくちゃな構成?

 社内に通達を出して、電源を落とさず、ログアウトせずに帰ってもらい、週末休日出勤してきた中村君は、社内のPCを片っ端から調べてみることにした。

 通達を出していたのに電源が入っていなかったり、ログアウトされているPCもあったが、取りあえず分かるものだけ、ipconfigコマンド*3を打ちまくった。すると、同じ部署にあるのに10.1.1と10.1.12とか、あるいは10.1と10.4とか、どうみてもバラバラなIPアドレスが振られていることが分かってきた。

*3
ipconfigコマンドとは、IPアドレス関連情報を得るためのコマンド。ipconfigを利用すると、IPアドレスやDNSサーバ、デフォルトゲートウェイなどTCP/IP関連の情報を表示できるほか、DHCPクライアントならIPアドレスの解放や更新も可能である。


中村君 「何か法則があるのかなあ?」

 中村君はひたすら調べた。その結果分かったことは、どうもその法則とやらはなさそうだ、ということだった。というよりも、アドレスはめちゃくちゃに振られているようにしか見えなかった。

 調べている間にまたしても気になったのは、無線LANの装置みたいなものが見つかったことだ。小野さんに聞いていた話では無線LANは使われていないはずだった。ずいぶん迷ったが、中村君は腹を据えてその装置の電源を切っておいた。

 週明けの月曜日、中村君が出社すると、技術部の小笠原さんが怒鳴り込んできた。

小笠原さん 「オレの無線LANのアクセスポイントの電源を切ったのはお前か?」

中村君 「はい、そうですが何か?」

小笠原さん 「おかげでネットワークにつながらず、午前中無駄にしちまったよ。人のネットワーク機器を勝手にいじるんじゃない!」

中村君 「しかし、無線LAN装置が入ってるという話は事前に聞いておりませんでしたので……」

小笠原さん 「そりゃそうだろう。自分の仕事をやりやすくするために自腹切って機器を買って設置してるんだから」

中村君 「ハァ……(それっていいのかな?)」

小笠原さん 「とにかく、勝手に電源をどうこうしないように!」

 中村君は納得がいかなかったが、「仕事の便」とかいわれると反論もできずに、「すいません」と謝るほかなかった。リストアップしたIPアドレスと場所の整理を行っていると、今度は技術部の高原さんが怒鳴り込んできた。

高原さん 「オレのPCをネットワークから切り離したのはお前か?」

中村君 「はい、そうです。別の部署ですが、先日ワーム感染があったので、高原さんのPCがカリカリ動いているようでしたし、用心のために切り離しておきました」

高原さん 「帰宅時にファイルのダウンロードを仕掛けて帰っていったんだ!」

中村君 「すみません……それは気が付きませんでした」

高原さん 「(しばらく黙って)以後気を付けるように」

中村君 「ハァ……(それっていいのかな?)」

高原さん 「とにかく、勝手に人のPCをネットワークから切断しないように!」

 何をやっても怒鳴られてしまうようだ。何となく2人のいい分はおかしいような気がした。でもそれ以上追及・反論する材料はない。

 中村君はともかくIPアドレスのリストを整理し続けるしかなかった。しかし、ここで怒鳴り込んできた2人を放置しておいたことを、中村君は後で悔やむことになるのだった。

【今回の教訓】

博士アイコン

1. アカウントとパスワード管理

アカウントとパスワード、基本的な情報だが忘れがちである。文字の間違いが命取りになるので、くどいほど確認し、必要であればメモも残しておこう。

2. 物理ネットワークの構成の把握をしておこう

物理的なネットワークの状態が分かっていないと、何か問題が発生したときにその問題個所が「物理的に」どこに存在するかの特定ができない。セキュリティ管理の第一歩である。可能な限り把握できるようにしておこう。泥縄的に構築されたネットワークなんて、もちろん「×」。問題外である。



 次回予告:だんだん社内ネットワークの恐るべき実態が明らかになってきた。中村君は目の前に次々に立ちふさがるハードルをやっとのことでクリアし続けるが、またしてもとんでもない事態が起きてしまう。突然お客さんへのメールが全然届かなくなってしまったのだ……。

※ご注意
本記事はフィクションであり、実在の人物・組織などとは一切関係ありません。


基礎解説記事

  • 5分で絶対に分かるシリーズ
  • 管理者のためのセキュリティ推進室
  • 情報セキュリティ運用の基礎知識
  • Security&Trustウォッチ

全記事一覧から各連載にアクセスできます。



前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。