メディア等でご存じの方もおられるとは思いますが、先日、SANS Institutesから、10大セキュリティホールが発表されました。
もちろん、原文は英語ですし、テクニカルタームも多く、読みたくなくなる方も多いと思います。そこで、私(鹿田)がざっと「意訳」してみました。だいたいの雰囲気でも伝われば、と思います。間違いを発見できた方はご一報ください。
また、備考として、ちょっとした解説や私見も添えてあります。参考になれば幸いです。
| タイトル | 内容 | 対象システム | 備考 | |
|---|---|---|---|---|
| 1 | BINDの脆弱性 | 古いバージョンのBINDのセキュリティホールをねらう | 大抵のUNIX系システム | 使わないサービス、デーモンは極力止めて、プログラムそのものも消してしまうことが重要だ、と言う好例だと思う。 |
| 2 | 脆弱性のあるCGIのインストールされたWebサーバ | phfなどの問題のあるCGIプログラム、サンプル・プログラムを悪用する | すべてのWebサーバ | そもそもWebサーバが動いている必要があるかどうか考えて対応すべき。しかも、止めるとむしろメモリがその分増える。一石二鳥。 |
| 3 | RPC(リモートプロシジャコール)の脆弱性 | RPCサービスの脆弱性を悪用する | 大抵のUNIXシステム | あると便利なサービスだが、RPCの最大の難点は、コンピュータ同士の接続のため、相手コンピュータが信頼できるかどうかはIPアドレスにかかっている。が、これはいくらでも詐称可能。 |
| 4 | IISのRDSセキュリティの脆弱性 | 上記脆弱性を利用し、リモートからadmin権限でコマンドを実行する | IISを動かしているWindowsNT/2000 | 2番と同様。 |
| 5 | sendmailのバッファオーバーフロー | 上記脆弱性を利用し、パスワードファイルを盗み出す | 大抵のUNIXシステム | Webサーバーと同様。ほんとに必要か、再考してもいいんじゃないですか? |
| 6 | sadmins(SUN-OSのリモート管理ツール)とmountd | バッファオーバーフローを狙い、root権限を奪取する | 大抵のUNIXシステム(sadmindはSUN-OSのみ) | ちなみにNFSもRPCの一種である。便利なんですけどね。3番と同様。 |
| 7 | ファイル共有の設定ミスや問題のあるファイルの共有 | ファイルの盗みだし、改竄などを行う | UNIX、Windows、Macintoshなど | rwでNFS使っていると結構問題。もちろん、Sambaやnetatalkなども。設定は大丈夫? |
| 8 | ユーザーID、とりわけシステム権限用ユーザのパスワード脆弱性 | 簡単に破ることのできるパスワードを使って侵入 | すべてのシステム | ユーザが認識すべき内容である。蛇足だが、個人でLinux動かしているならもう常識の範囲と思う。 |
| 9 | IMAP、POPの不適切な設定やバッファオーバーフロー | 設定ミスにつけ込むか、バッファオーバーフローを利用してシステムに侵入 | 大抵のUNIXシステム | IMAPやPOPなどのサーバは便利かも知れぬが、きっちり設定し、バージョンアップをサボるなかれ、って事ですね。 |
| 10 | SNMPがデフォルトコミュニティのまま | 設定ミスにつけ込み、ネットワーク全体を再設定したり、ダウンさせたりする | すべてのシステム、ネットワーク機器 | ネットワーク管理者にとっては、便利な機能である。ちなみに私はいまだ設定できず(涙) |
| 番外 | スクリプトによる攻撃 | スクリプト機能を用い、攻撃を行う | IE、Outlook、Office9X/2000 | 「便利な機能は危険な機能」の好例。 |
というわけで、雰囲気だけでも伝われば幸いです。ところで、「ダイアルアップだから安心」とか思っていませんか?多くの場合、つながっている最中は、常時接続と何ら変わりません。唯一違うのは、いつも繋がっているわけではないことだけです。つまり、セキュリティをないがしろにした場合の安全、危険の差はあくまで確立の問題なのです。
すべてつぶしていくのは困難ですが、上記のような、メジャーな(言い換えれば対策して当然の)部分から対策をしてはいかがでしょうか?
原文の最後には気をつける必要のあるポートが列記されています。参考にしてみてください。