INFORMATION Security特約記事 「SECURING Linux」 第1回「Linuxのセキュリティホール」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.24(日)

INFORMATION Security特約記事 「SECURING Linux」 第1回「Linuxのセキュリティホール」

国際 海外情報

 最近、いたる所でLinuxが販売されている。ほとんどと言っていいほどのWebサイトや書店、コンピュータショップで小さくてかわいいペンギン(Linuxのシンボル)を目にする。Staplesのような事務用品大型ストアでさえもLinuxを在庫するようになっている。今月Windows2000がリリースされたにもかかわらず、最近のIDCの研究では、Linuxの販売数は、他のどのクライアント/サーバOSよりも急速に増加していくだろうということだ。

これは、プライベートネットワーク上でLinuxを動作させてみようとするエンドユーザが増加していくことを意味している。彼らは、無料でLinuxやオープンソースソフトウェアを実行できるのに、なぜWindowsやOfficeに我慢しなければならないのかと考える。こちらの方が、安いし、優れているし、高速なのだ。少なくとも、支持者達はそう主張している。

本当だろうか。たしかにエンドユーザにとってはLinuxはWindowsよりも優れたプラットフォームなのだろう。より堅固で、より信頼でき、明らかに費用が安いのだから。しかし、Linuxの方が安全なのだろうか。そうではない。新しいRed Hat Linuxのインストールは比較的安全だ。しかし、Linuxの初心者がアプリケーションやサービスのインストールや設定を始めると企業内通信網の基盤にセキュリティホールが広がることは間違いない。

LinuxはWinsowsデスクトップよりも遥かに安全であるように作られているが、Linuxが主流になるにつれ、考慮しなければならない重要なセキュリティ上の問題点がある。ユーザが旧式の386デスクトップをプリントサーバにする場
合、Apacheを用いてインターネットサーバをセットアップする場合、または全社レベルのアプリケーションについてオペレーティングシステムを評価しようとする場合、管理者はLinuxセキュリティに関してリスクとそれを除去する方法を理解しておく必要がある。

1.セキュリティホール

 Linuxのセキュリティ問題がほとんどUNIXに関してと同じであり、UNIXに対して機能する多くのオープンソース・セキュリティソリューションはLinuxに対しても機能することは周知の事実である。しかし、ベンダーやユーザは
Linuxのセキュリティを別のものとして扱うことが多いようだ。誇大広告されるマシンが原因でLinuxへの注目が高くなるに連れ、典型的なLinuxユーザが、UNIXの知識があるユーザからWindowsの知識がありLinuxとWindowsを同じPCで動かすユーザへと移り変わっている。その結果、Linuxは少なくともWindowsと同程度の安全性を保つことが可能であるにもかかわらず、ハッカーの格好の攻撃対象となったのである。

Linux(またはUNIX)には、一般的に3つのクラスのセキュリティホールがある。それらは、(1)未知のセキュリティホール、(2)既知のセキュリティホール、そして(3)アプリケーション/配置セキュリティホールだ。未知のセキュリティホールは、現時点で発見されていない欠陥や弱点である。Bastille
LinuxプロジェクトのJon Lasserは「オープンソースモデルのソフトウェア開発では厳密なレビューが行なわれるため、Linuxは他の大部分のオペレーティングシステムよりも未知のセキュリティホールは少ない」と主張している。
未知のセキュリティホールは問題ではない─少なくとも、まだ問題にはなっていない。それらは発見された時にのみ脅威を与える。ただし、その時点で、それらは既知のセキュリティホールとなる。セキュリティホールを発見すると、それを修正するか、パッチをあてなければならない。しかし、この後、すべてのLinuxボックスについて、修正版の配布とインストールが熱心に行われるのに比べて、何が問題だったのかの割り出しはそれほど熱心には行われていない。

アプリケーション/配置脆弱点は、セキュリティシステムが何らかの手順で誤って設定された時、またはアプリケーションが不適切に使われた時に発生する。こうしたセキュリティホールは、inetd.confファイル中でネットワークサービスを使用可能な設定のままにしておくことのように単純なものである場合も、アタッカーがアプリケーションからコマンド行を攻撃し破壊をもたらせるようにしたスクリプトファイルのように巧妙に仕掛けられたものである場合もある。

Lasserによれば、これらは最も致命的なクラスのセキュリティホールだ。彼は次のように続ける。不適切な設定のアプリケーションやバグのあるスクリプトはすべてのUNIX亜種に存在する可能性がある。しかし、実際の問題は、Web
サーバが、システムのそれ以外の部分へのアクセスが多すぎる状態で動作している時や、不要な機能のCGIスクリプトが多すぎる場合、パーミッションの規制が緩すぎる時に発生する。Lasserによると、これらのセキュリティホールはおそらく一般的なものであるが、システムによって違いがあるため、悪用することは相当に難しいそうだ。一方、既知のセキュリティホールについては、単純にシステムを順に調べていきパッチがあたっていないシステムがあれば攻撃するスクリプトを作成することができる。

次回は、「システム管理とセキュリティツール」。

※今回掲載された「SECURING Linux」の日本語訳は、5月下旬に刊行される
「Scan Security Handbook Vol.3」(Linuxセキュリティ専門資料)から抜粋したものです。

詳しくは下記URLをご覧下さい
http://www.vagabond.ne.jp/scan/ssh3.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

    Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  2. フィッシング詐欺支援サービスの価格表(The Register)

    フィッシング詐欺支援サービスの価格表(The Register)

  3. 豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

    豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  6. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  7. 「ゴリラズ・アプリ」の暗号解読で求人の一次審査を免除(英ジャガー・ランドローバー)

  8. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  9. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  10. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×