| エンタープライズ:ニュース | 2003/09/25 09:40:00 更新 |
ラックの川口氏が指摘する今後の課題は「攻撃を受けたときどうするか」
9月24日から25日にかけて「Linux World C&E/Tokyo 2003」が行われている。初日にはセッションの1つとして「攻撃から見る最近のLinuxのセキュリティ事情」と題し、ラックの川口洋氏が講演を行った。
「ファイアウォールを導入し、念のため不正侵入検知システム(IDS)を入れ、パッチを当てるという今までのLinuxのセキュリティ対策は、攻撃を受けないための対処だった。これに対し、攻撃を受けたとき、侵入を受けたときにどのように対処するかとなると、まだあまり知られていない。そもそもどのログを確認すべきかも分からない」――ラックJSOC事業本部IRT部の川口洋氏はこのように指摘する。
9月24日から25日にかけて、IDGジャパンの主催で「Linux World C&E/Tokyo 2003」が都内で開催されている。川口氏は「攻撃から見る最近のLinuxのセキュリティ事情」と題したセッションを通じて、攻撃を受けてしまうことを前提にしたレスポンス体制作りの重要性を訴えた。
同氏によれば、攻撃者が侵入してから、rootkitをインストールしたりプロキシサーバを仕掛けたりといった目的を完了するまでに要する時間は5分以内。わずか1分のうちに完了することもあるという。こうなると、「侵入されてからでは遅い」(川口氏)ことになる。
状況は現在、さらに悪化しつつある。たとえば、最新の例で言えばOpenSSHのセキュリティホール(9月24日の記事参照)のように、発見される脆弱性は後を絶たない。結果として、パッチの検証と適用に要する手間も増大することになる。
また、Linux導入・利用の障壁が下がってきたことにともない、これまで良くも悪くもLinuxユーザーの大半を占めていたマニア層に代わり、新たなクライアント層が増加してきた。それが、セキュリティ意識の差を拡大させている。「先日話題になったBlaster(MSBlast)はWindowsプラットフォームでまん延したものだが、もしLinuxが同じだけのシェアを持っていれば、似たような事態が生じているだろう」(川口氏)。
攻撃ツールもますます進化しており、中にはスキャンから侵入までを自動化した「Autorooter」と呼ばれるツールまで登場しているという。「攻撃側は常に先手、先手を取っている」と同氏は指摘し、ファイアウォールやIDSの導入、パッチの適用といった基本的な対策に加え、常にアンテナを高くし、情報を収集しておくことが重要だと述べた。というのも、GNUサイトへの侵入事件(8月18日の記事参照)が示すように、パッチそのものに何らかの仕掛けが施されてしまう可能性もあるからだ。
もう1つ留意すべき事柄が、いわゆる「0-day攻撃」(ゼロデイ攻撃、0-day状態での攻撃)だ。脆弱性そのもの、あるいはそれを修正するためのパッチが公開されないうちに仕掛けられる攻撃だが、川口氏が設定していたハニーポット(おとり用サーバ)では、この1年のうちに少なくとも2回の0-day攻撃を記録していたという。
パッチという根本的な対処策が存在しない以上、0-day攻撃に対抗するには基本的なセキュリティ対策を積み重ねていくしかない。同氏は、Trusted OSの導入も視野に入れた適切なアクセス制御、不必要なサービスの停止という基本項目に加え、さらに3つの事柄を提示した。
まずは、IDSが出す「誤検知」と思われるアラートへの対応だ。この中には本当の誤検知もあるだろうが、中には未知の、新しい攻撃コード(exploit)が引っかかっているケースもあると思われる。そのアラートが何を意味しているのかを理解しないと、適切な対処も難しいと同氏は言う。さらに、TripwireやSamhainといった整合性チェックツールの導入、StackGuardやlibsafeといったバッファオーバーフロー防止ツールの導入もお勧めだという。
いずれにしても今後の対策としては、パッチの適用はもちろん、アクセス制御にはじまる基本的な対策を取るとともに、攻撃に備えたインシデントレスポンス体制をどう作り上げるかが課題になると川口氏はまとめている。
関連リンク
Linux World C&E/Tokyo 2003ラック[高橋睦美,ITmedia]
