ここがポイント!不正アクセスされているとわかるポイント


短時間での頻繁なアクセスに要注意

ネットワークを監視しているとわかる、不正アクセスの特徴にはどのようなものがあるでしょうか。まず、海外からの頻繁な間隔でのアクセスというのが挙げられます。不正アクセスはサーバーにインストールされているプログラムに直接アタックをかけますが、一分に一回、十分に一回などという間隔で攻撃していたらいつまでも完了しません。そのため一秒に一回ぐらいの間隔でアクセスをしてくるのです。そして、アクセス元として、IPアドレスで拒否されることを回避するために、海外にある複数のサーバーを利用します。

サーバーに存在しないファイルへのアクセス

次に存在していないプログラムへのアクセスがあります。攻撃者は、どのサーバーにどのプログラムがインストールされているのかということについて、まったくわかっていません。しかし、どのプログラムに脆弱性があるかということはわかっています。そのため、特定のプログラムがインストールされているという仮定に基づいて、すべてのサーバーにアタックを行うのです。ネットワークを監視していて、サーバーが404エラー、つまり、存在しないファイルへのアクセスを短時間でたくさん警告するようになったら、攻撃を受けている最中といえます。

ログインを試みて失敗を繰り返す

サーバーでウェブサービスを運営している場合、そのサービスへのログインページに短時間で膨大なアクセスがあった場合も、ほぼ間違いなく不正アクセスです。どこかで入手したIDとパスワードのリストを使い、ログインを試みるのです。もしログインできた場合は、クレジットカード番号を盗んだり、ポイントを不正利用するといった金銭的な被害をもたらすことになります。基本的に、ログインページに攻撃が行われているときにネットワークを監視していると、ログインできなかったというエラーが大量に発生するのですぐにわかります。ただ、攻撃者が使っているリストによってはほとんどログインに成功して、不正に気づかないことがあるので注意しなければなりません。

ネットワーク監視の意義とは、近年増えつつあるサイバー犯罪を未然に防ぐという意味において、とても重要な役割を持っています。