冗談キツい

昨日は年末の事案の追跡調査。secureログにもsshにアクセスしようとした形跡を発見し、いよいよヤバい状況であることを覚悟しました。

iptablesでグローバルIPに対してsshをacceptしてある行を発見、相棒に持ち主を調べてもらったら、中国企業だったので緊張感MAX。これは調べるときにIPアドレスを入力ミスしたせいで、本当は保守業者さんのものでした。今の時期、冗談キツすぎます。

攻撃を受けたサーバ以外にはアクセスの形跡なし、さらに調査したところ一連のスキャニングにAvast!Antivirusが絡んでいるらしいところまで確認できました。年末に発生端末を見に行ったとき、デスクトップにAvast!Chestのアイコンがあったのを覚えています。

Avastを調べると、ホームネットワークセキュリティという機能があり、自分のネットワークの脆弱性を調査することができるようです。つまり、自分のルータをスキャンしてセキュリティに問題がないかを調査する機能です。

通常、家庭用ではルータがデフォルトゲートウェイになっていることが多いですが、うちの構成では、内部用WebサーバがNATボックスを兼ねており、Avastがこのサーバに向かって脆弱性を調査するというハッキングまがいの動作を行っていたことが判明しました。今回の動作はAvastの機能の一部ですが、病院のサーバに対してスキャンされたら攻撃と看做さざるをえません。

一応、ネットワークは安全であったという結論に達しましたが、発生端末所有者の気軽な気持ちから大迷惑という結果になりました。