タイトルの件ですが、一つ下のスレッドで田辺さんがおっしゃってた、「業者同士のルーティング」ですが、
先日より被害を受けていました。iTSCOM社から警告まで来てしまってそれまで気がつかなかったのですが...。

設定さえしっかりしていれば大丈夫...と半分タカをくくっていたのですが、
どうもヘドが出てしまったようです。

DSL側から、家庭内の通信を束ねるproxyサーバーに侵入され、
そこからiTSCOM回線を通り抜けて掲示板荒らしに使われてしまったようです。
ログを見て不正接続を発見しました。

最大の問題はproxyがグローバルIPでも接続できるような設定になっていた上、
設定をいじくっているうちにDSL側に用意していたNATからproxyに抜けてしまうような
穴を自分で作ってしまっていたようです。

全設定を洗いざらいしてみてヒヤヒヤものでした。
ログも接続IPアドレスだけは残っていたのですが、まぁ色々なところから使われてしまっていたようです。
スキャニングされて穴を見つけられていたのでしょうね。

こういったものへの対策ですが...
・無用なproxyを建てない
・そもそも物理的に2つの回線を接続しない
この2点に尽きると思います。

バックアップなどの用途でどうしても2回線必要な場合は、原始的かもしれませんが、
ルーターの線をその都度入れ替えるといった、そうしたことが必要なのでしょう。

今日は回線やルーターの設定変更などで大忙しでした。
皆様もお気を付け下さい。

　こんにちは。

　このような事が実際に起こるという事がわかり、大変参考になりま
した。また、対策作業でお疲れ様でした。

　我が家ではバックアップとしてダイアルアップ回線が接続されてい
ますが、あまり詳細は書けませんがモデムの自動着信機能をオフにし、
ケーブルインターネット側にも外部からはそう簡単には接続できない
ようにし、かつＰＣのＯＳ内部のルーティング機能はオフにしてある
つもりなのですが、甘いでしょうか。昨今ではトロイとか色々な物が
あって、内部から悪意を持ったプログラムで荒らされる可能性もあり
ますし．．．。

　確かに不要な接続は物理的に切るのが、最も安全だとは思うのです
が、便利さとのトレードオフでしょうか。

　また、同一ＰＣや同一ＬＡＮへの複数回線の接続なのですが、やは
り通信事業者に申告をして、確認を受けるべきでしょうか。どこの通
信事業者でも、契約約款の中で「回線の相互接続」についての規定を
定めていると思うのですが、私の理解では家庭内ＬＡＮやＰＣの内部
でルーティング機能を有効にしない限り、物理的に線がつながってい
るだけでは「回線の相互接続」には該当しないと考えていたのですが、
こういう解釈は誤りでしょうか。（実際、設定誤りとか外部の誰かが
不正にルーティング機能をオンにする可能性が有ると思いますし。違
法アクスセス防止法などの、別の歯止めは一応は有るとは思うのです
が。）

　竹内＠ふじみ野.東上

竹内さん

> 　確かに不要な接続は物理的に切るのが、最も安全だとは思うのです
> が、便利さとのトレードオフでしょうか。

私はこれを実践していますが、アンチウィルスのパターン更新がナローバンドでは出来ないと言って良いので困っています。

５月に毎年のことですが、コンピュータ犯罪に関する白浜シンポジウムに参加してきました。
　　　http://www.sccs-jp.org/SCCS2003/

ここで出た話題として、基本的に大企業むけなのですが、例えばファイアーウォールの内側に
大規模イントラネットを作るようなことをすると、同一セキュリティ・レベルに何千・万というターミナルがあることになって
調査に手間取るし、その間に全社が通信不能になったりして、結局は金がかかりすぎる。
という判断になったそうで、部署ごとに分離する方式に変更したそうです。
（基本的にサーバ単位らしい）
しかもこの背景には「ウイルスなどは回線からだけ来るのではない」というビジネス上の事実がある
とのことでした。確かに、現状はＦＤでデータのやり取りが出来なくなった代わりに
「CD-ROMで持ってきてくれ」などと気楽に言っているのでその危険は大きくなったとも言えます。

結局、こういうことを知った上で、セキュリティ・ポリシーを個人も考える必要があるし、
それは最終的には費用対効果で考えるより手がないだろう。
ということのようです。

大規模企業になればなるほど頭の痛い問題かもしれません。
中小プロバイダ、もしくはそれ以上の規模となる可能性もありますから、
企業全体でのセキュリティ・ポリシーを考えることも一苦労でしょうね。
ナレッジ・マネジメントの観点から考えますと企業内のイントラネットによる高度情報化は不可欠だと思いますし、
それだけを考えますとおっしゃるようにセキュリティが脆弱になります。

私が聞いた事例ですと、それを解決する方法として、「外部に繋がっているルーター単位は極力小さくする」...ということで、
やはりほぼ部署単位の小さなイントラネットを構成し、部署を越えた通信はわざわざVPNを使って行っているようです。
同じビルでも別のセグメントへの通信にVPN経由、
またメールサーバーも別のセグメントであったりしてVPN経由、
というものが一番費用がかからないようです。
（この会社は元々支社間の通信に早期からVPNを導入していたようで、わりと簡単に導入出来たようです。）

こういったものは会社毎に事情は異なってくるでしょうが、セキュリティに対するリスク・マネジメントを考える上では
こういった方法も有効な手段なのではないでしょうか。

（どんどん話題が総合掲示板向けのものになってきますね。
　これ以上は移動したほうが良いかも知れません...）

> どこの通信事業者でも、契約約款の中で「回線の相互接続」について
> の規定を定めていると思うのですが、私の理解では家庭内ＬＡＮや
> ＰＣの内部でルーティング機能を有効にしない限り、物理的に線がつ
> ながっているだけでは「回線の相互接続」には該当しないと考えてい
> たのですが、こういう解釈は誤りでしょうか。（実際、設定誤りとか
> 外部の誰かが不正にルーティング機能をオンにする可能性が有ると思
> いますし。違法アクスセス防止法などの、別の歯止めは一応は有ると
> は思うのですが。）

事業者さんの中で見解が別れるでしょうね。
「常時接続環境の回線の相互接続」は嫌われるものが多いでしょうが、
「ダイヤルアップ回線との相互接続」はどうでしょうか。
極端な例を申し上げてしまいますと、
「NICが刺さっているPCにダイヤルアップモデムやISDNのTAが繋がっている」
こういった状態でも「回線の相互接続」になってしまう可能性があります。
現在の我が家がこれに近い状態になっていますが、竹内さんと同じようにTA側は完全にデジタル着信を拒否にしてあります。
これは設定さえしっかりしていれば万全（トロイ問題は別にして）だと思っておりますが、
もう少しレベルを上げて、家を外からのダイヤルアップ拠点にしているような事例はどうでしょうか。
もちろん、PPPサーバーによる認証などはこの場合当然設けるはずでしょうから、
有る程度のセキュリティは守られると思いますが、
これを事業者さんがどう思うかはまた別問題です。

こう意見を述べ立ててもキリがないのですが、私の事例から鑑みるに、
「常時接続回線同士」は極力避けた方が良いのかも知れません。

　こんにちは。

> もう少しレベルを上げて、家を外からのダイヤルアップ拠点にしているような事例はどうでしょうか。

　この利用方法なのですが、セキュリティ・ホールになりやすいと
思いますので、注意した方が良いのではないでしょうか。企業内Ｌ
ＡＮの場合には、情報処理部門が承認していないＴＡやモデムの接
続を禁止している例が、良くあると思います。あと、ダイヤルアッ
プ接続中なのですが、ブロードバンド・ルーターのファイアーウォ
ール機能を使えないという問題があると思いますので、ダイヤルア
ップ接続に対して有効性のあるパーソナル・ファイアーウォ−ルを
ＰＣ側にも導入する必要があるのではないでしょうか。

　あと契約約款の観点からは、常時接続回線を不特定多数の者に利
用させること（有償・無償の別を問わず）を禁止している例も多い
と思いますので、ダイヤルアップ回線の利用形態によっては問題に
なるかも知れません。

　竹内＠ふじみ野.東上