ポート開放して大丈夫なのか?DMZやポートマッピング、ポート変換設定を追加したらパソコンの調子が悪くなった、勝手に電源がONするようになった。本当に大丈夫なのでしょうかと言う問い合わせを沢山頂きます。そうした疑問点に分かる範囲で管理人kagemaruがまず通信の仕組みからお話しさせて頂いて、納得頂いてから作業頂く事が望ましいです。
インターネットの歴史
まずポート開放等の概念を知っていただくために、家庭向けインターネットの歴史から知っていただきたく存じます。インターネットサービスが一般向けに開始されたのは確かWindows95が登場した辺りからメジャーになりました。当時は電話回線を使ったダイヤルアップと言うサービスが主流でナローバンド環境と言いますが、家庭内では一台のパソコンでアナログモデムを中継して音声をデジタル変換して、プロバイダに繋いでインターネットやメールをやり取りする形でした。
2000年に入り、Windows98終盤かXPに切り替わる頃合いに、CATV会社側が同軸ケーブルにてブロードバンドサービスを開始、併せてNTT側もADSLと言うブロードバンドサービスを提供開始。ナローバンドとは違い最大速度は少なくとも1.5Mbpsの接続速度でインターネットを利用できるようになりました。
ただこの時点ではブロードバンドルータと言う機器は余りメジャーではなく、海外のシスコブランドのリンクシスと言うルータぐらいしか存在していませんでした。
なので、殆ど100%インターネットに直結で利用していた形になります。図的には分り辛いですがポート開放とはの最初の図が通信イメージです。
当時のWindows98には、今では当たり前に実装されているファイヤーウォールサービスも存在しない状態で、グローバルIPアドレスさえわかれば、パス名を次の様に指定して開くだけで相手先のパソコンの中身は丸見えでした。
127.0.0.1をグローバルIPアドレスに置き換えると、ブロードバンドルータ無しファイヤーウォール無し環境だとパソコンの中身が丸見えとする事が可能でした。試しにみなさんも、ファイル名を指定して実行するから\\127.0.0.1を開いてみて下さい。
XP等のNT系OSから、ディレクトリルートアクセス権限(フォルダ/ファイルアクセス権)と言うものが設定されているので、丸見えにこそならないですが、Windows98以下のOSは全部丸見えになります。
こうした問題を改善する為に、流行したのがブロードバンドルータです。ブロードバンドルータのもう一つの利点としては、グローバルIPアドレスが各端末に無くても、ブロードバンドルータ側(ポート開放とはを参照)にグローバルIPアドレスを取得させれば、ルータ側のIPマスカレード、NAT機能により、アドレス変換をしてLAN内に必要な情報をリクエストポート宛にデータを届ける事を可能とし、一つのインターネット契約で複数パソコンを同時にインターネットに繋ぐことが出来る利点があります。なので2005年前後からブロードバンド環境にはブロードバンドルータが必須となっている状況です。
ブロードバンドルータの役割
一言でブロードバンドルータと言ってもその役割を理解していないと、ポート開放=ウイルス/不正アクセスと言う概念の呪縛を解くことが出来ないです。
通常のLAN環境のイメージ図をまず見てみましょう。一般的には、ブロードバンドルータを設置して、パソコン/PS3/スマートフォン等を同時にインターネットに繋ぐことが出来ます。インターネット側ブロードバンドルータより左側はWAN(ワイドエリアネットワーク、グローバルIPアドレス必須の通信網です)、ブロードバンドルータよりも右側はLAN(ローカルエリアネットワーク)で、グローバルIPアドレスが無くても、プライベートIPアドレスがあれば各種端末はLAN内で通信は可能です。
LANにはインターネットに繋げない、それを可能とするのがブロードバンドルータの役割です。また次の様な特徴を持ってます。役割は、以下の様な感じです。LANのプライベートIPアドレスではWANにはつながらないと上記で申し上げましたが、ブロードバンドルータがグローバルIPアドレスを持っていれば、ルータに例えばhttp://www.yotubecomを開いて、動画を開くと図の様にルータがYOUTUBEサーバにアクセスして、動画データをリクエストのあったパソコン等に届けてくれます。
間違ってもリクエストがあった、サーバへの接続したデータを他のパソコンや端末に届けるということもありません。
しかしながら、ルータの特徴、LAN側から、http://www.youtube.com http://www.yahoo.co.jp
簡単なところでサーバ見たいとリクエストすれば、データを取ってきて、リクエストのあったパソコンに届けてくれるのですが、リクエストしていないデータはブロードバンドルータは間違えてもデータをLAN内の他の端末に届ける事はありません。なので、図の様に第三者が間違えたのか故意なのかはわかりませんが、自宅のブロードバンドルータが持つグローバルIPアドレスを開こうとしても、ブロードバンドルータ側はそれを拒否します。(内部への宛先情報がないので)。
上記が皆様の気にしている部分ですよね、通信リクエストが無いのに外部からアクセスしてもルータに拒否されるわけですので、これを例えば、第三者がだれでもアクセス出来るようにするのがポート開放設定やDMZ設定と言うことになります。例えば自宅サーバを置いて、誰にでも見てもらいたいWEBページをサーバに置いても、上記の状態ではアクセスすることが出来ないので。以下の様にポート転送(通称、ポート開放)設定をブロードバンドルータに追加して、サーバアプリケーションを起動し、htmlファイルをサーバアプリケーション側で許可したディレクトリに置くことで、第三者誰でもそのhtmlファイル(いま見ていただいているウェブページ)を閲覧、参照、ダウンロードすることが出来るようになるわけです。
なので、特定のポートを開放しても、結論的にはそれを待ち受けるポート番号を使うアプリケーションやサーバツールそれにオンラインゲーム本体に脆弱(バグがある、裏コード的なものが使える)と言う部分を除けば、仮に80番ポートにアタックされても、通常許可した範囲以外にアクセス、閲覧、ファイル盗難、パスワード盗難等、被害をうけることはありません。また80番ポートを例にしましたが、仮に1-65535番のポートへ全てアタックされても、ルータ側では80番しか転送命令を受けていないので80番以外の通信ポート以外で中に入ることは出来ません。
例えば、いたずらしてやろうと22番へアクセスを試みたとしてもルータに22番の通り道転送設定が無いので、内部にアクセスすることは出来ない。ルータによって拒否される事になります。
外部アタックではなく自らパソコンウイルスを取り込んだ場合
この場合はルータあるなし別です。パソコンウイルスに感染させようとするサイトへ行ってしまった。何か意図不明なファイルをダブルクリックしてしまった結果、パソコンウイルスだった。以下の様にパソコンにウイルスを取り込んでしまった場合はブロードバンドルータは内側からの通信は自由にWANへ出られると説明したように、以下の事例ではルータあるなし関係なく、悪意ある通信リクエストを防ぐことは出来ません。これはポート開放とは全く関係ありませんので誤解のないように。
LAN側からのデータ通信はルータは受け付ける仕組みになっているので、パソコンウイルスがウイルス製作者の方に自動的にパソコンに保存しているパソコンのデータ類を送ってしまう事は防止出来ません。またトロイの木馬にはUPnPでポートを自動的に開くものもあります。そうなるとルータはファイヤーウォールの役割を果たさなくなります。これも当サイトの説明とはまったく関連性はありません。自己による責任です。
DMZは危険ですか?
DMZはパソコンに適用すると危険です。汎用性の高いOSを搭載しているので脆弱だらけなので、DMZによるポート全開状態は危険です。しかしながら、PS3に限っては別です。理由は組み込み系OSを採用しているので。改ざんされるとすればPSNからの不正のみとなります。また大手ゲームサイトEA等ではオンラインゲームはDMZを推奨しています。理由はコンテンツ別で使うポート番号が様々になるため。またゲームサーバも重複ポートではサーバを開始出来ない事が原因となります。同じポート番号を参照。
EAゲームFIFA12フォーラムや、UBISOFTサポートページを見てもらえればわかる通り公式でDMZを推奨しています。なので基本的にはPS3、PSP、PSVITA、WII、DS、DS3等は組み込み系OSですし、外部から何かされる事は皆無と言えます。あれば大問題となってます。問題があるとすればPSNソニープレイステーションネットワークから不正アップデートプログラムの大量配信などの懸念はあります。
DMZの仕組み、これは韓国と北朝鮮の非武装地帯DMZからの引用語となり、実質何も持たない状態と言う意味です。意味合い的には仮想グローバルIPアドレス通信とすることが出来、1-65535番までのポートを全てルータが優先的に転送するサービスになります。何度も言いますが組み込み系OSで改ざんされる事はありません。可能ならもうすでに問題となっています。
イメージ的には、DMZを適用したPS3はWAN側に置く形になります。DMZを適用したPS3だけWAN側仮想グローバルIPアドレス通信となり、その他設定をしていないパソコンやDSそれにスマートフォンなどはブロードバンドルータのファイヤーウォール内なので不正アタックを受けることはありません。
説明は以上です。もしDMZを適用してパソコンが調子悪くなった、ポート開放してウイルス感染した。そうした事は上記の流れを見てもらえれば、まったくの誤解だと言うことをご理解頂けると思います。御疑いでしたらPS3のIPアドレスを調べて、パソコンから\\PS3のIPアドレス、を開いて見て下さい。何も見えないはずです。何か見えれば問題はありますが、互換性がない組み込み系OSなので外部から何かハッキングされると言うこともありません。
もし気になるようでしたら、セキュリティの専門家とご契約してアドバイスを受けて下さい。SAAS型サービスが適当だと思います。マカフィーSAAS、F-Secure SAAS。何度も申し上げてますが、ルータは内側からの通信はデフォルトだと制限出来ません。通信の事で素人判断は最悪の結果を招きます。
よくある質問一覧に戻る
コメント