Alibaba Cloud 利用中にNWセキュリティメールを受信した際の対応方法


前書


こんにちは、サポートエンジニアのSです。

Alibaba Cloud 利用中に下記のようなNWセキュリティメールを受信したことありますか。
今回は、該当NWセキュリティメールのポイントと受信した際の対応方法をご紹介します。

Important notice on AliCloud server management

Your assets 1.2.3.4 has been blocked from network connection to port TCP:22 due to security risks, 
expected to end within 2019-09-17 00:34:06 time. Please check the security of your system as soon as possible.

If you have any questions, please contact us by submitting a ticket or by phone.

Thank you for your support.


メールの日本語訳


メールは英文でなかなか理解しつらい部分もあると思います。先にメールの訳文を見ていきましょう。

Alibaba Cloudサーバー管理に関する重要なお知らせ

セキュリティリスクが検出されたため、お客様のリソースが使われているIPアドレス 1.2.3.4 から
外部22番ポートへのTCPアクセスが2019-09-17 00:34:06 までブロックされる予定です。
お客様のリソース内のセキュリティをできるだけ早く確認をお願いします。

ご質問がある場合は、チケットでお問い合わせください。

ご協力ありがとうございます。


セキュリティ制限対象


文面の通りブロック対象は、IPアドレス1.2.3.4ですが、具体的な製品の可能性下記となります。

  • ・ECSのパブリックIP
  • ・SLBのパブリックIP
  • ・EIP(ECS、SLB、NATGatewayバインドする可能性がある)


まず、該当IPアドレスを利用するインスタンスを特定しましょう。


制限内容


ここはもっとも誤解されやすいポイントです。IPアドレス1.2.3.4はECSのパブリックIPを仮定して説明しますが、22番ポートがブロックされたということは、SSH(遠隔操作)はできなったと思いませんか。

実際は違います。インバウンド22番ポートブロックされていません。SSH(遠隔操作)は通常通り使えます。では、ブロックされたのは何でしょうか。

正解はアウトバウンドの22番ポートです。つまり、該当ECSを踏み台として、更に別のLinuxサーバーへSSH(遠隔操作)の利用は制限されています。

OP25B(メール送信規制)はアウトバウンド25番ポート利用不可ということで、それをイメージして、Alibaba Cloud での制限はOP22Bのようなものを理解していただければと思います。


制限期間


こちらはわかりやすいと思いますが、制限期間はおおよそ、該当メールを受信する直前から、文面にある2019-09-17 00:34:06 までとなります。 ブロック時間に達つと自動解除となります。


仕組み解読


NWセキュリティメールの真意は、該当IPアドレス1.2.3.4からポートスキャンなど、セキュリティ違反行為が検出されたためです。

したがって、事象を単純化して説明しますと、該当ECSが「攻撃を受けた(被害)」のではなく、何らかのセキュリティ違反行為を「行った(加害)」ことを通知するメールでした。

もし心当たりがある場合、例えば:セキュリティチェックを行うために、他のサーバーに対し、ポートスキャンのような操作を意図して行ったであれば、中止していきましょう。特な心配は要りません。

しかし、意図してない場合、何をやった覚えがない場合、該当ECSに侵入/ウィルス感染された可能性がありますので、被害を最低限にするため、できるだけ早くECSを確認しましょう。

ECSにセキュリティグループを活用することで、インバウンドIPを絞ってからECS中身を確認することをおすすめします。

なお、どのような振る舞いを検知して遮断が実施されたか、というお問い合わせは頂いておりますが、AlibabaCloud側はセキュリティ上の観点からご回答を差し上げることができません。

ECS内のセキュリティ管理(防御ツール/製品を設定/利用)はお客様の判断でご実施いただければと思います。


調査手法


受信したのに、調査しても原因わからない、調査手法わからないお問合せは寄せられていますので、今回は「tcpdumpツール」を利用したパケット調査手法をご紹介します。


1. 該当ECSのホストネームを取得します。

# hostname
iZ6we4a6fhkx18z38kok5oZ

※ホストネームが表示されます。iZ6we4a6fhkx18z38kok5oZは一例です。

2. 宛先ポートが22番、かつ送信元が該当ECSのパケットレコードをファイルに保存します。

※ホストネームのところは、1で取得したホストネームに入れ替えます

# tcpdump dst port 22 and src host iZ6we4a6fhkx18z38kok5oZ > /tmp/tcp.txt

3. 約5分間コマンドを実行し続けます。その後、Ctrl-Cでキャプチャを停止させて、ファイル内容を確認します。

# cat /tmp/tcp.txt
08:46:38.783375 IP iZ6we4a6fhkx18z38kok5oZ.52290 > 47.74.0.207.ssh: Flags [F.], seq 2681, ack 3314, win 329, options [nop,nop,TS val 50594811 ecr 33859], length 0
08:46:38.787565 IP iZ6we4a6fhkx18z38kok5oZ.52290 > 47.74.0.207.ssh: Flags [.], ack 3315, win 329, options [nop,nop,TS val 50594815 ecr 33863], length 0

※このログからお客様が意図していない通信先がないか確認を進めます。

※上記データは一例です。上記からは以下のようなことが読み取れます。

  • ECS(iZ6we4a6fhkx18z38kok5oZ.52290)の52290番ポートから 47.74.0.207(47.74.0.207.ssh) の22番ポートにアクセスしている

※対象(宛先)IPアドレスへのアクセスは意図的ではない場合、アクセス元のプロセスを特定し、更に分析する必要があります。

4. 手順3でレコードが記録されなかった場合、複数回実行してみましょう。

5. 特にアラートメール受信直後の試行は有効です。


最後に


NWセキュリティメールのポイントと調査手法を紹介させていただきました。

Alibaba Cloudの利用中、該当メールを受信した際の対策に、少しでも役にたっていただければ嬉しいです。

最後まで読んでいただき、ありがとうございました。