ニュース
2004/02/28 23:37:00 更新
Qualysのエシェルベック氏が予測、「2004年はRPCの脆弱性に注目」
RSA Conference 2004の最終日のセッションに、米QualysのCTO、ゲハード・エシェルベック氏が登場し、今後来襲するであろう新たな脅威について語った。
サンフランシスコで開催されているRSA Conference 2004の最終日に、先日セキュリティパッチの適用に関するディスカッションにも参加した米QualysのCTO、ゲハード・エシェルベック氏が登場。今後来襲するであろう新たな脅威の姿について語った。
エシェルベック氏はまず、4年前にSan Diego Supercomputer Centerで行われたおとりサーバプロジェクトの結果を引き合いに出し、デフォルト状態に置かれたホストがいかに容易に攻撃されるかという点を強調した。この試みでは、ホストを設置してからわずか8時間後には最初のプローブが観測され、数日のうちに20以上の攻撃コードが仕掛けられたと言う。
攻撃の糸口となる境界線の入り口が増え、システムやアプリケーションの複雑さが増している今や、「数週間から数日、数時間へと、攻撃が仕掛けられるまでの時間はどんどん短くなっている」(同氏)。
この数年のうちに、ネットワーク全体に影響を及ぼす大規模な被害がたびたび発生した。その背景には、大きく5つの要素があるとエシェルベック氏は言う。
TelnetやFTPをはじめ、多くのプロトコルやサービスが安全ではないこと、脆弱なデフォルト設定の内容が広く知られるようになったこと。それに「大きな部分を占めている」というシステムデザイン上のミスや人的ミス。入力チェック漏れに代表されるソフトウェア実装上のミスも問題だ。さらに、「ユーザーがターゲットになっている」ことも要因の1つという。攻撃者はユーザーをそそのかしてメールを開かせたり、特定の(悪意ある)Webサイトをブラウズさせようと試みる。
エシェルベック氏によると、このようにユーザーを狙って感染を広めようとするワームが「第一世代の脅威」だという。Mellisa、そして最近ではMyDoomがその例だ。
これが第二世代になると、OSやプラットフォームに存在する脆弱性を悪用して、ユーザーが何もしなくとも自動的に感染してしまう。幸いにしてこれら第二世代の脅威のペイロードはそれほど破壊的なものではないが、特定の脆弱性を悪用してネットワークに侵食しようと試みる。対策するには脆弱性そのものを修正するしかない。
では、次にくる第三世代の脅威とは、どんなものになるだろう? エシェルベック氏は、「既知の脆弱性だけでなく未知の脆弱性をもターゲットにし、より高い感染力を備えたものになる」と予測する。ペイロードの中身にも何か仕掛けが加わるかもしれない。「ファイアウォールやVPN、IDSといった既存のセキュリティシステムでは、こういった脅威を防ぐことはできない」(同氏)。
エシェルベック氏は2年前より、顧客ネットワークの監視を通じて収集したデータを分析し、脆弱性に関するいくつかの法則を明らかにしている(昨年8月の記事参照)。今なおアップデートが続いているその調査を踏まえ、同氏は今年登場するであろう脅威を次のように予測した。
「われわれがアップデートしている脆弱性トップ10リストには、現在、RPC関連のものが3つ含まれている。2004年は、RPCの脆弱性にさらなる注目が集まるだろう。RPCは何もマイクロソフトだけの問題ではなく、多くのOSやアプリケーションに関連してくる」(エシェルベック氏)。複数のOSをターゲットにしたワームが登場する可能性もある、という。
では、われわれはどう備えればいいのだろう。エシェルベック氏の答えは、「ごく単純なことを行えばいい」というものだ。
つまり、自社ネットワークの構成や機器の状態を知り、そこで動作しているOSやアプリケーションサービスを把握しておく。らさに、深刻な脆弱性が見つかれば、それを特定するだけでなく、自社のビジネスへの影響を加味しながら優先順位を付ける。そして、できることならば被害が生じ始める前にパッチを適用し、問題を修復しておくことだ、という。
同氏はまた、最近多くのベンダーが提唱し始めているように、ネットワークに新たに接続する機器はすべていったん「ゲスト用」ネットワークに接続させ、適切な状態にあることを確認してからはじめてメインのネットワークに接続させる、というアプローチも有効だろうと述べている。
関連記事
専門家がセキュリティパッチ方式の問題を指摘「脆弱性対策に王道なし」――Qualysの調査が導き出した法則関連リンク
RSA Conference 2004[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
