Security Incident Response

大規模ブルートフォース攻撃への緊急遮断と分析

短期間に 4,400 回を超えるブルートフォース攻撃を検知。Google Cloud ボットネットを含む分散的な攻撃であり、従来の fail2ban 設定では検知・遮断が不十分な状況でした。

ログ分析により、特定のサブネット (213.209.157.0/24) からの集中攻撃と、分散的なプロトコル違反攻撃を同時に受けていることを特定。単一IPの遮断ではなく、ネットワーク層での戦略的遮断が必要な状況であると判断しました。

即時性を確保するため iptables でサブネット全体を DROP し、その後 Postfix の接続制限パラメータを強化することで、攻撃耐性の高い構成に再設計しました。

Emergency Response (CLI) Immediate Block

# 攻撃サブネット全体を即座に遮断
iptables -I INPUT 1 -s 213.209.157.0/24 -j DROP

# 設定の永続化
iptables-save > /etc/sysconfig/iptables

最も活発な攻撃者を完全に排除し、サーバーの CPU 負荷を大幅に低減。同時に fail2ban の設定を再構築し、プロトコル違反（非SMTPアクセス）も検知可能な体制へと強化しました。