INFORMATION Security特約記事 「SECURING Linux」 第1回「Linuxのセキュリティホール」 | ScanNetSecurity
2021.01.23(土)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

INFORMATION Security特約記事 「SECURING Linux」 第1回「Linuxのセキュリティホール」

 最近、いたる所でLinuxが販売されている。ほとんどと言っていいほどのWebサイトや書店、コンピュータショップで小さくてかわいいペンギン(Linuxのシンボル)を目にする。Staplesのような事務用品大型ストアでさえもLinuxを在庫するようになっている。今月Windows2000

国際 海外情報
 最近、いたる所でLinuxが販売されている。ほとんどと言っていいほどのWebサイトや書店、コンピュータショップで小さくてかわいいペンギン(Linuxのシンボル)を目にする。Staplesのような事務用品大型ストアでさえもLinuxを在庫するようになっている。今月Windows2000がリリースされたにもかかわらず、最近のIDCの研究では、Linuxの販売数は、他のどのクライアント/サーバOSよりも急速に増加していくだろうということだ。

これは、プライベートネットワーク上でLinuxを動作させてみようとするエンドユーザが増加していくことを意味している。彼らは、無料でLinuxやオープンソースソフトウェアを実行できるのに、なぜWindowsやOfficeに我慢しなければならないのかと考える。こちらの方が、安いし、優れているし、高速なのだ。少なくとも、支持者達はそう主張している。

本当だろうか。たしかにエンドユーザにとってはLinuxはWindowsよりも優れたプラットフォームなのだろう。より堅固で、より信頼でき、明らかに費用が安いのだから。しかし、Linuxの方が安全なのだろうか。そうではない。新しいRed Hat Linuxのインストールは比較的安全だ。しかし、Linuxの初心者がアプリケーションやサービスのインストールや設定を始めると企業内通信網の基盤にセキュリティホールが広がることは間違いない。

LinuxはWinsowsデスクトップよりも遥かに安全であるように作られているが、Linuxが主流になるにつれ、考慮しなければならない重要なセキュリティ上の問題点がある。ユーザが旧式の386デスクトップをプリントサーバにする場
合、Apacheを用いてインターネットサーバをセットアップする場合、または全社レベルのアプリケーションについてオペレーティングシステムを評価しようとする場合、管理者はLinuxセキュリティに関してリスクとそれを除去する方法を理解しておく必要がある。

1.セキュリティホール

 Linuxのセキュリティ問題がほとんどUNIXに関してと同じであり、UNIXに対して機能する多くのオープンソース・セキュリティソリューションはLinuxに対しても機能することは周知の事実である。しかし、ベンダーやユーザは
Linuxのセキュリティを別のものとして扱うことが多いようだ。誇大広告されるマシンが原因でLinuxへの注目が高くなるに連れ、典型的なLinuxユーザが、UNIXの知識があるユーザからWindowsの知識がありLinuxとWindowsを同じPCで動かすユーザへと移り変わっている。その結果、Linuxは少なくともWindowsと同程度の安全性を保つことが可能であるにもかかわらず、ハッカーの格好の攻撃対象となったのである。

Linux(またはUNIX)には、一般的に3つのクラスのセキュリティホールがある。それらは、(1)未知のセキュリティホール、(2)既知のセキュリティホール、そして(3)アプリケーション/配置セキュリティホールだ。未知のセキュリティホールは、現時点で発見されていない欠陥や弱点である。Bastille
LinuxプロジェクトのJon Lasserは「オープンソースモデルのソフトウェア開発では厳密なレビューが行なわれるため、Linuxは他の大部分のオペレーティングシステムよりも未知のセキュリティホールは少ない」と主張している。
未知のセキュリティホールは問題ではない─少なくとも、まだ問題にはなっていない。それらは発見された時にのみ脅威を与える。ただし、その時点で、それらは既知のセキュリティホールとなる。セキュリティホールを発見すると、それを修正するか、パッチをあてなければならない。しかし、この後、すべてのLinuxボックスについて、修正版の配布とインストールが熱心に行われるのに比べて、何が問題だったのかの割り出しはそれほど熱心には行われていない。

アプリケーション/配置脆弱点は、セキュリティシステムが何らかの手順で誤って設定された時、またはアプリケーションが不適切に使われた時に発生する。こうしたセキュリティホールは、inetd.confファイル中でネットワークサービスを使用可能な設定のままにしておくことのように単純なものである場合も、アタッカーがアプリケーションからコマンド行を攻撃し破壊をもたらせるようにしたスクリプトファイルのように巧妙に仕掛けられたものである場合もある。

Lasserによれば、これらは最も致命的なクラスのセキュリティホールだ。彼は次のように続ける。不適切な設定のアプリケーションやバグのあるスクリプトはすべてのUNIX亜種に存在する可能性がある。しかし、実際の問題は、Web
サーバが、システムのそれ以外の部分へのアクセスが多すぎる状態で動作している時や、不要な機能のCGIスクリプトが多すぎる場合、パーミッションの規制が緩すぎる時に発生する。Lasserによると、これらのセキュリティホールはおそらく一般的なものであるが、システムによって違いがあるため、悪用することは相当に難しいそうだ。一方、既知のセキュリティホールについては、単純にシステムを順に調べていきパッチがあたっていないシステムがあれば攻撃するスクリプトを作成することができる。

次回は、「システム管理とセキュリティツール」。

※今回掲載された「SECURING Linux」の日本語訳は、5月下旬に刊行される
「Scan Security Handbook Vol.3」(Linuxセキュリティ専門資料)から抜粋したものです。

詳しくは下記URLをご覧下さい
http://www.vagabond.ne.jp/scan/ssh3.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Oracle製品のクリティカルパッチアップデートに関する注意喚起 画像

Oracle製品のクリティカルパッチアップデートに関する注意喚起
GROWIにXSSの脆弱性、最新版へのアップデートを呼びかけ 画像

GROWIにXSSの脆弱性、最新版へのアップデートを呼びかけ
無料メール配信システム acmailer にアクセス制限不備、権限昇格の脆弱性 画像

無料メール配信システム acmailer にアクセス制限不備、権限昇格の脆弱性
ウイルスバスタービジネスセキュリティシリーズ他に複数の脆弱性 画像

ウイルスバスタービジネスセキュリティシリーズ他に複数の脆弱性
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性 画像

Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み 画像

マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み

インシデント・事故 記事一覧へ

仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認 画像

仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認
ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載 画像

ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載
「IVYCS FEE PAYMENT」へ不正アクセスでカード情報流出の可能性、東京女子大購買センターや青学購買サイトも被害に 画像

「IVYCS FEE PAYMENT」へ不正アクセスでカード情報流出の可能性、東京女子大購買センターや青学購買サイトも被害に
イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」 画像

イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」
ワンオペで編集も承認も、奈良県Webサイト コロナ感染者情報誤掲載 画像

ワンオペで編集も承認も、奈良県Webサイト コロナ感染者情報誤掲載
「東京女子大学購買センター Web Shop」に不正アクセス、カード情報含む個人情報流出の可能性 画像

「東京女子大学購買センター Web Shop」に不正アクセス、カード情報含む個人情報流出の可能性

調査・レポート・白書 記事一覧へ

VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める 画像

VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める
売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業 画像

売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業
トレンドマイクロが考えるインシデント対応の基本、NISTとSANSのフレームワークをもとに 画像

トレンドマイクロが考えるインシデント対応の基本、NISTとSANSのフレームワークをもとに
2021年の 5 つのセキュリティ脅威、CrowdStrike 予測 画像

2021年の 5 つのセキュリティ脅威、CrowdStrike 予測
2020年度版「CrowdStrike グローバルセキュリティ意識調査」発表、ランサムウェアが世界的懸念に 画像

2020年度版「CrowdStrike グローバルセキュリティ意識調査」発表、ランサムウェアが世界的懸念に
CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima ) 画像

CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima )

研修・セミナー・カンファレンス 記事一覧へ

我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法 画像

我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法
SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策 画像

SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策
CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信 画像

CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信
NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催 画像

NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催
セキュリティインシデントの当事者になったその後 画像

セキュリティインシデントの当事者になったその後
セキュリスト(SecuriST)認定脆弱性診断士のプレ開講、7名の受講者インタビュー公開 画像

セキュリスト(SecuriST)認定脆弱性診断士のプレ開講、7名の受講者インタビュー公開

製品・サービス・業界動向 記事一覧へ

カスペルスキーがインテリジェンスサービス拡充、APT や ICS 情報 画像

カスペルスキーがインテリジェンスサービス拡充、APT や ICS 情報
国立情報学研究所、NII-SOCS の蓄積データを研究者向けに提供 画像

国立情報学研究所、NII-SOCS の蓄積データを研究者向けに提供
先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件 画像

先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件
SHIFT SECURITYがSOCサービス提供開始、1デバイス月額9万円から 画像

SHIFT SECURITYがSOCサービス提供開始、1デバイス月額9万円から
みずほ銀行が「eKYC」採用、なりすまし防止強化 画像

みずほ銀行が「eKYC」採用、なりすまし防止強化
LogStare に Active Directory 監査テンプレートを追加 画像

LogStare に Active Directory 監査テンプレートを追加

おしらせ 記事一覧へ

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×