弊社は自社サーバーで運用しているのですが、ログを見ると、ひっきりなしに不正アクセスがおこなわれています。

以下は、とある日のSSH不正ログイン時のログです。

$ sudo grep -r "Jul 6" /var/log/secure.2 | grep "Invalid user" | wc -l
236

1日で236件の不正アクセスがあります。多いときは1,000件を超えます。

以下は、とある日のメール不正ログイン時のログです。

$ sudo grep -r "Jun 28" /var/log/secure.3 | grep "authentication failure" | wc -l
925

1日で925件の不正アクセスがあります。多いときは2,000件を超えます。

うちのような零細ドメインでもこれですから、少し大きなドメインになると、びっくりするくらいの膨大な不正アクセスにさらされています。

弊社のサーバーは、SSHは平文パスワードのログインは不可として、鍵認証ログインのみに制限しています。

メールサーバーもTLSで暗号化して外部から傍受できないようにして、逆引きできないIPもブロックしたり、中継サーバーに利用されないよう、IPの制限をおこなったりしています。

また、ファイアウォールで特定のポート以外はすべて閉じて、不正アクセスを自動でブロックするツール(Fail2ban)を導入する等の対策をしています。

だからといって安心できるわけではなく、「FREAK」や「HeartBreed」などの新しい攻撃手法により、日々セキュリティホールが発覚するため、サーバー管理者は常日頃からの脆弱性対策が求められます。

最近は不正アクセスによる情報漏えいも多いので、しっかりと予防していくことが重要ですね。