こんにちは。えむえすです。
前回、
【自鯖始めるなら必須!】マイクラサーバーの基礎知識 - mesninfの日記
という記事を書いたのですがその際IPを外部に公開することについての危険性に少しふれました。
しかし!!すごく難しいことなので初心者向けの記事に書く内容でもなく書ききれる内容でもなかったのでもう一つ記事に書くことにしました。(今回も長くなりそうなので目次付きです。)
基本
まずここでいうIPアドレス(IPと省略)はグローバルIPアドレスのことを言います。(グローバルIPアドレスは参加時に必要となるIPなので公開することになります。)
一番外側、世界に一つしかないIPのあれです。
ではIPを教えることの危険性について理解していきましょう。
IPを公開するとはどういうことなのか
「IPを公開するってどういうことなの!!」という疑問に答えていきます。
まず前回も触れたとおりグローバルIPアドレスは上でいうところの住所です。
ネットワーク上で住所を公開するということはそこに何かを送り付けたりそこに入り込むことが技術的に可能になってしまいます。
IPを公開する危険性
皆さんはTwitterで住所ばれした結果....などというツイートを見たことがないでしょうか。
例えば人気Youtuberの「はじめしゃちょーさん」などは家の前に人が来て出待ちされたりなどということが起こっています。
その他にもピザを送り付けられたり家の鍵穴をアロンアルファでふさがれたりということが起こっています。
では、ネットワーク上で送り付けられたりということが起こるとどうなるのか。
回線の帯域と呼ばれるものが使い切られてしまいサービスを停止せざるを得なくなったりデータを勝手に取られたりします。これが次に紹介するネットワーク攻撃です。
攻撃
ネットワークに対してのピザ送り付けを攻撃といいます。
攻撃にもいろいろな種類があります。
DoS攻撃
DoS攻撃は最も典型的なサイバー攻撃です。
単純にパケットを送り付けまくることによるサーバー処理の落ち、回線落ちを狙うものです。
身近なものでいえばネットを見ていると一度は耳にしたことがあるであろう「田代砲」だったりF5連打もこれに当たります。
DDoS攻撃
DDoSはDoSを一斉に複数端末で行うものです。
一部ではウイルスなどに感染したPCを利用して行われたりという感じです。
先ほどの田代砲の話でいうと2ch民が全員リモートデスクトップ(遠隔操作)接続し一斉に田代砲を打つとDDoSになります。
EDoS攻撃
DDoS,DoSの目的がサーバー負荷やデータ漏洩などではなく従量課金制システムに対する金銭的なものである場合の攻撃です。
いろいろDDoS対策だったりなんだったりで従量課金制(使えば使うほどお金かかるやつ)は多いので接続され過ぎて払えねえ!!みたいなことは起こりえるのかもしれません。
ゼロデイ攻撃
プログラム内の脆弱性(侵入できる穴)を突いてシステム内に攻撃者が侵入する攻撃です。
例えばたまにニュースで見かける「○○社の利用者データ○○人漏洩か」みたいなあれです。
あれはMicrosoftサーバーでも起こりえます。
しかし大体の人が「マインクラフトサーバーって....別に大事なデータなくない?」と思うことでしょう。確かに通常のマップデータであれば問題ありません。
しかし、問題あるのはプラグインやコンソールログです。
例えばプラグインにはディスコードSRVなどといったディスコードと連携できるものがあります。その中でBOTトークンというパスワード的なものが必要になりますがこれをプラグインの設定ファイル内に書き込む必要があります。結果としてトークンがばれてしまうとディスコードサーバーに対する攻撃が容易になってしまいます。
また、それのみであればマインクラフトサーバーコミュニティー内の一部被害で収まりますがサーバーコンソールには接続者のIPアドレスなど貴重な情報が多くあります。
これら情報が流出すると利用者からの信頼度の低下などだけでなく法的な側面でもかなりグレーとなってしまいます。(運営側も管理体制を整えておかなければ罰せられることがあります。)
現にJavaの脆弱性、Log4jの時のように致命的な問題が発生することはプログラムの性質上仕方ないこととも言えます。そのようなことを防ぐためにも日ごろから最新の情報を見続けるのは大事なのかもしれません。
ランサムウェア
ランサムウェアは所謂「ウイルスソフト」の一種です。
ファイルを暗号化し解除する代わりに金銭を要求します。
一時期WannaCry(あの赤い画面のやつ)がはやりましたよね。
メールやソフトウェアから添付ファイルなどに付属し一度感染するとLan内の端末すべてに飛び火します。
とはいえ私的には相当ネットに慣れてない人でないとかからないのではないかな....と思います。怪しいメールなどには触れないことが一番です。そもそもサーバー(管理端末を含め)ではDLなどを行わず自分用のpcでプラグインなどをDLし事前にpcで動作を確認したうえでUSBメモリなどに入れてサーバーに実装したほうがメンテナンスの時間も少なくなりますよね。
相当おかしなことをしない限りは感染しませんしLinuxなどでメールを使うなどちょっと変わっている方でない限りは心配する必要はないです。
あ、自分のpcで....という場合は注意してください。
法律
危険性危険性と言い続けましたがそんな危険性から守ってくれる法律も当然存在します。(専門家ではないので少し間違えてるかもしれません)
発信者情報開示請求
まず、これが大事になります。
先ほど話したIPアドレスですが当然1つしかありませんのでIPについて調べれば誰かが分かってしまうわけです。(一般人が特定するのは難しいですが。)
裁判所を通して発信者情報開示請求と提供命令の申し立てを行うとサーバー側などがあーだこーだしIP→IPの利用者情報を認められれば提供します。
つまりたまに匿名掲示板だけど犯罪行為したら捕まるぜっていうのは匿名(IPは匿名じゃない)からなんですね。一般的には匿名ですが適切な手順を踏めば犯罪行為を取り締まることができます。
サイバーセキュリティ基本法
2015年から施行されている法律です。
大体○○防止!や○○推進!といったことをする法律です。直接的には関係ない....(?)と思います。
電子計算機損壊等業務妨害罪
長いです。長い長い。
まず、いや電子計算機て。と思うかもしれませんが一応pcやスマホを際しているので関係あります。なにも電卓を取り締まっているわけではありません。
これはDDoS攻撃(DoS攻撃)を行いサービスを妨害した際に適応されます。
要するにDDoSを取り締まる法律です。
不正アクセス禁止法
これは勝手に他人のアカウントに侵入したらだめだよっていう法律です。
当然自分から教えるのは論外としても総当たり攻撃などをしてアカウントに侵入しようとする人は少なからず存在します。
例えばPayPayなどに侵入できれば現実の通貨を得るに等しい価値を手に入れれますしYoutubeアカウントなども一時期話題になったように売買でそれなりの金額を入手できますしネット上のものがそこまで来ているということでしょう。
プロバイダー責任法
最後に紹介するのがプロバイダー責任法です。
これはSNSの運営側に誹謗中傷などに対して適切な措置を講じるように求める法律です。
マインクラフトサーバー内でもチャットや看板が存在する以上、一定数のルールやマナーを制定しておく必要があります。
某論破系の方が損害賠償30億円くらい(?)を踏み倒したという話がありますがこれもプロバイダー責任法によるもので2ch内の書き込みを消去しなかったためだそうです。
つまり法律はサーバー側のみの見方ではなく利用者側の見方でもあり私たちサーバー運営者はいくら無償であれ一定以上のサービスを提供する必要があるということです。
対策
では、「攻撃をされっぱなしなのか」と言うと、そういうわけでもなくて、それぞれの攻撃に対して、有効な対策をとればある程度の被害軽減はできます。
プロキシーサーバー
DDoS/Dosについてはプロキシーサーバーを設置することである程度の対策が可能です。
WebサイトではCDNというものがあり、CDNもプロキシーサーバーの一種です。
CDNは決してWebサイトに限ったものではないですがWebサイトでの使用が最も適しています。クラウドフレアのCDNには無料枠などもあります。
ファイヤーウォール
ファイヤーウォールを用いることでポートへのアクセスを制限し攻撃者の侵入経路を減らすことができます。
簡単な対策なのでもししていない場合はしておくことをお勧めします。
基本的にサービスに関係のないポートはすべて閉じるということを徹底しましょう。
定期的なアップデート
OSやソフトウェアから配信されるアップデートは相性問題が発生する場合以外は基本、即アップデートを行うようにしてください。
様々な問題でダウングレードをすることもあるかもしれませんが、その場合はセキュリティーホールのあるシステムをどこかの段階でカバーする必要があります。先に挙げたファイアーウォールなどもそうですが例えばA通路のA-2の部屋の玄関の鍵が壊れていて侵入が容易なのであればA通路全体を封鎖する=ファイヤーウォールで閉じるなどなど、とにかく上層のセキュリティーを変更したりカバーをするようにしてください。
犯罪としての処理の難しさ
ネットワークを介した犯罪はいくつかの要因により逮捕まで辿り着かないことが多いです。
例えば
匿名性が高い→攻撃者を特定しずらい
証拠が残りずらい→適切な容疑での処理が難しい
などなど色々と難しいです。
例えばTorやプロキシーを介しての操作など発信者を特定できなくする方法は多くあります。
先に挙げた通り不正アクセス禁止法、電子計算機損壊等業務妨害罪など法律が存在するのは確かです。ですが、実際攻撃を受けた際に警察が逮捕までしてくれるのか、損害賠償などの請求が可能かと言われると犯人すら特定できない場合が多いです。
(語弊がないように言っておきますが警察の怠慢などではなくそもそも技術的に難しいという話です。)
過去の攻撃の実例
実際に企業レベルの資金力をもってしても情報流出などは起こっています。
とはいえ個人が持つデータの価値よりも企業が持つデータの価値は高いものが多いですから同レベルの攻撃を受けるとも言い切れませんが以下のような実例があります。
エディオン:不正アクセスにより7万件の保管されていた情報が削除され、流出した可能性もあると発表されました。
森永製菓株式会社:森永ダイレクトストアへの不正アクセスにより、約164万件の顧客情報が流出した可能性があることが発表されました。
全日本空輸株式会社:ANAマイレージクラブの会員情報およそ100万件がサイバー攻撃により流出したと発表されました。
これらの情報はごく一部で犯人逮捕に至っていないものも多いですし攻撃対象がこうした企業ではなく個人となっているものもあります。
まとめ
自宅サーバーは多くのリスクを含みます。
とは言え、スキルアップの手段として、やはり実機を触るに越したことはないですし紹介したリスクに対する対処も勉強の一つとなります。
ですが、流出やDDoSを受けた際のリスクについてしっかりと理解し、対策をしておくということはサービスの継続という意味でも自らの身を守るという意味でも必要だと思います。
しっかりと自分の知識に合ったサービスを展開していく必要があると思います。
最後までお読みいただきありがとうございました。
良ければ他関連記事もご確認ください!
参考サイト
攻撃に関する危険性や手段など
ゼロデイ攻撃についてわかりやすく解説|手口から被害事例・対策まで|サービス|法人のお客さま|NTT東日本 (ntt-east.co.jp)
サイバー攻撃とは?その種類・事例・対策を把握しよう|サイバーセキュリティ.com (cybersecurity-jp.com)
ゼロデイ攻撃とは?事例や対策方法を解説 - カゴヤのサーバー研究室 (kagoya.jp)
F5アタックとは?F5攻撃・連打は犯罪?その対策方法など解説|サイバーセキュリティ.com (cybersecurity-jp.com)
DoS攻撃 - Wikipedia
ランサムウェアとは?意味・定義 | ITトレンド用語 | NTTコミュニケーションズ
法律に関する処罰など
サイバーセキュリティ基本法|情報セキュリティ関連の法律・ガイドライン|基礎知識|国民のための情報セキュリティサイト (soumu.go.jp)
サイバーセキュリティ基本法 | e-Gov法令検索
「サイバーセキュリティ基本法」とは?背景や内容を分かりやすく解説 | お役立ちブログ | 情報セキュリティ対策に関するお役立ち情報 | 企業の情報セキュリティ対策・ITシステム運用のJBS JBサービス株式会社 JBサービス株式会社 (jbsvc.co.jp)
DoSは犯罪か?電子計算機損壊等業務妨害罪について弁護士が解説 | モノリス法律事務所 (monolith-law.jp)
令和4年10月1日開始の「発信者情報開示命令事件」を解説 投稿者特定が迅速化される | モノリス法律事務所 (monolith-law.jp)
DoSは犯罪か?電子計算機損壊等業務妨害罪について弁護士が解説 | モノリス法律事務所 (monolith-law.jp)
他のシステムへの攻撃の踏み台に|不正アクセスとは?|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト (soumu.go.jp)
不正アクセス行為の禁止等に関する法律|情報セキュリティ関連の法律・ガイドライン|基礎知識|国民のための情報セキュリティサイト (soumu.go.jp)
不正アクセス行為の禁止等に関する法律 | e-Gov法令検索
不正アクセス禁止法とは?規制対象となる行為・改正の概要・違反事例も解説 | TSL MAGAZINE (tokyo-startup-law.or.jp)
プロバイダ責任法(プロバイダ責任制限法)とは - 意味をわかりやすく - IT用語辞典 e-Words
ひろゆき氏、「2ちゃんねる」の賠償金“30億円”踏み倒しは「全く悪いと思ってない。悪いのは法律」― スポニチ Sponichi Annex 芸能
※注意
当記事の内容を引用したり使用したりした場合に発生した問題に関してえむえすは一切の責任を負いません。
