ニュース
2004/04/08 12:00 更新
第1回
Microsoftネットワークの監視で見えてくる、Windowsの裏側 (2/2)
共有フォルダの自動検索機能で無差別アクセス?
先にも触れたが、Windowsの共有フォルダの自動検索機能は、ユーザーが「マイ ネットワーク」を開いたタイミングなどでネットワーク上の共有フォルダを検索し、見つかったフォルダを画面に表示してくれる、とてもありがたい機能だ。
ただ、検索の仕方が少々荒っぽい。具体的には、ネットワーク上のコンピュータに対し、片っ端からユーザー名とパスワードを送信して接続を試みているのである。そして、接続できたコンピュータから共有フォルダの一覧情報を取得し、画面に表示している。
PC上に共有フォルダが検索、表示されている裏では、周囲のコンピュータに対して接続を試み、失敗しているというわけだ。しかもこのとき、ログオンしているユーザー名をそのまま認証に使うので、まるで自分がネットワーク上のコンピュータにアタックしているかのように見えてしまうのだ。
認証に使われないパスワードも送信
Windows XPでは、簡易ファイルの共有機能も追加された。この機能もデフォルトで有効になっている。設定画面を見てもらえば分かるが、この機能は有効のままにしておくことが推奨されている。
この機能を有効にしていた場合、共有フォルダに接続してきたすべてのユーザーに対して、「GUEST権限」でのアクセスを許可することになっている。だが実際のところは、どんなユーザー名とパスワードを送信したとしても共有フォルダに接続されるのだ。しかし接続元のコンピュータは、この機能が有効になっているコンピュータの共有フォルダに接続するたびに、自分のユーザー名とパスワードを送信してしまう。
他人からフォルダが丸見え?
別のコンピュータからファイルを移動させたり、コピーしたいといったときに、フォルダを一時的に共有することがあるだろう。だが、そのまま共有を解除し忘れて、いつの間にか、他人からそのフォルダが自由にアクセスできるようになっている……などということはないだろうか。簡易ファイルの共有機能が有効になっている場合、これもありえない話ではない。
簡易ファイルの共有機能が有効になっていると、誰でもそのコンピュータに接続できることは先ほど述べたとおりだ。
共有フォルダを見られてしまうのを防ぐには、フォルダへのアクセス制御を設定し、アクセスを制限するしかない。しかしこれも、デフォルトでは誰にでもアクセス可能なように設定される。つまり、誰もがそのフォルダの中身を見ることができるのである。
たとえ、フォルダを共有したことを誰にも知らせなくとも、自動検索機能で簡単に見つけられてしまう。共有フォルダの所在を教えていないユーザーからも、勝手にアクセスされている可能性がある。
ドメイン環境ならば大丈夫?
Windows 2000から導入されたActiveDirectoryのドメイン環境の場合、事情は、これまで述べてきたものと若干異なる。Kerberos認証という、パスワードが送信されない認証方式が使われているからだ。またドメインに所属するコンピュータでは、簡易ファイルの共有機能を有効にすることもできない。
ただし、ネットワーク上にWindows NTやWindows 98のコンピュータが混在したり、ドメインに所属していないコンピュータが混在していると、それらのコンピュータに対しては、やはりパスワードが送信されてしまう。
便利さとのトレードオフ
ここまで、MSネットワークで起こる現象をいくつか紹介してきた。MSネットワークは便利な機能を提供してくれる反面、それを実現するために、自動的に余計な情報を漏らしてしてしまっているのである。
自社のMSネットワークで何が行われているかを知るためには、実際にネットワークを監視してみるとよいだろう。思いがけず、ファイルサーバへの不審なアクセスやパスワードの盗用といった行為が見つかるかもしれない。
次回は、MSネットワークを監視する具体的な方法とツールについて紹介したい。
関連リンクセキュリティフライデー
[有元伯治(セキュリティフライデー),ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.