INFORMATION Security特約記事 「SECURING Linux」 第1回「Linuxのセキュリティホール」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.04.24(火)
コンテンツ
注目検索ワード
記事

INFORMATION Security特約記事 「SECURING Linux」 第1回「Linuxのセキュリティホール」

国際 海外情報

 最近、いたる所でLinuxが販売されている。ほとんどと言っていいほどのWebサイトや書店、コンピュータショップで小さくてかわいいペンギン(Linuxのシンボル)を目にする。Staplesのような事務用品大型ストアでさえもLinuxを在庫するようになっている。今月Windows2000がリリースされたにもかかわらず、最近のIDCの研究では、Linuxの販売数は、他のどのクライアント/サーバOSよりも急速に増加していくだろうということだ。

これは、プライベートネットワーク上でLinuxを動作させてみようとするエンドユーザが増加していくことを意味している。彼らは、無料でLinuxやオープンソースソフトウェアを実行できるのに、なぜWindowsやOfficeに我慢しなければならないのかと考える。こちらの方が、安いし、優れているし、高速なのだ。少なくとも、支持者達はそう主張している。

本当だろうか。たしかにエンドユーザにとってはLinuxはWindowsよりも優れたプラットフォームなのだろう。より堅固で、より信頼でき、明らかに費用が安いのだから。しかし、Linuxの方が安全なのだろうか。そうではない。新しいRed Hat Linuxのインストールは比較的安全だ。しかし、Linuxの初心者がアプリケーションやサービスのインストールや設定を始めると企業内通信網の基盤にセキュリティホールが広がることは間違いない。

LinuxはWinsowsデスクトップよりも遥かに安全であるように作られているが、Linuxが主流になるにつれ、考慮しなければならない重要なセキュリティ上の問題点がある。ユーザが旧式の386デスクトップをプリントサーバにする場
合、Apacheを用いてインターネットサーバをセットアップする場合、または全社レベルのアプリケーションについてオペレーティングシステムを評価しようとする場合、管理者はLinuxセキュリティに関してリスクとそれを除去する方法を理解しておく必要がある。

1.セキュリティホール

 Linuxのセキュリティ問題がほとんどUNIXに関してと同じであり、UNIXに対して機能する多くのオープンソース・セキュリティソリューションはLinuxに対しても機能することは周知の事実である。しかし、ベンダーやユーザは
Linuxのセキュリティを別のものとして扱うことが多いようだ。誇大広告されるマシンが原因でLinuxへの注目が高くなるに連れ、典型的なLinuxユーザが、UNIXの知識があるユーザからWindowsの知識がありLinuxとWindowsを同じPCで動かすユーザへと移り変わっている。その結果、Linuxは少なくともWindowsと同程度の安全性を保つことが可能であるにもかかわらず、ハッカーの格好の攻撃対象となったのである。

Linux(またはUNIX)には、一般的に3つのクラスのセキュリティホールがある。それらは、(1)未知のセキュリティホール、(2)既知のセキュリティホール、そして(3)アプリケーション/配置セキュリティホールだ。未知のセキュリティホールは、現時点で発見されていない欠陥や弱点である。Bastille
LinuxプロジェクトのJon Lasserは「オープンソースモデルのソフトウェア開発では厳密なレビューが行なわれるため、Linuxは他の大部分のオペレーティングシステムよりも未知のセキュリティホールは少ない」と主張している。
未知のセキュリティホールは問題ではない─少なくとも、まだ問題にはなっていない。それらは発見された時にのみ脅威を与える。ただし、その時点で、それらは既知のセキュリティホールとなる。セキュリティホールを発見すると、それを修正するか、パッチをあてなければならない。しかし、この後、すべてのLinuxボックスについて、修正版の配布とインストールが熱心に行われるのに比べて、何が問題だったのかの割り出しはそれほど熱心には行われていない。

アプリケーション/配置脆弱点は、セキュリティシステムが何らかの手順で誤って設定された時、またはアプリケーションが不適切に使われた時に発生する。こうしたセキュリティホールは、inetd.confファイル中でネットワークサービスを使用可能な設定のままにしておくことのように単純なものである場合も、アタッカーがアプリケーションからコマンド行を攻撃し破壊をもたらせるようにしたスクリプトファイルのように巧妙に仕掛けられたものである場合もある。

Lasserによれば、これらは最も致命的なクラスのセキュリティホールだ。彼は次のように続ける。不適切な設定のアプリケーションやバグのあるスクリプトはすべてのUNIX亜種に存在する可能性がある。しかし、実際の問題は、Web
サーバが、システムのそれ以外の部分へのアクセスが多すぎる状態で動作している時や、不要な機能のCGIスクリプトが多すぎる場合、パーミッションの規制が緩すぎる時に発生する。Lasserによると、これらのセキュリティホールはおそらく一般的なものであるが、システムによって違いがあるため、悪用することは相当に難しいそうだ。一方、既知のセキュリティホールについては、単純にシステムを順に調べていきパッチがあたっていないシステムがあれば攻撃するスクリプトを作成することができる。

次回は、「システム管理とセキュリティツール」。

※今回掲載された「SECURING Linux」の日本語訳は、5月下旬に刊行される
「Scan Security Handbook Vol.3」(Linuxセキュリティ専門資料)から抜粋したものです。

詳しくは下記URLをご覧下さい
http://www.vagabond.ne.jp/scan/ssh3.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像

Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
「Drupal」の脆弱性を狙う攻撃が急増、注意を呼びかけ(サイバーセキュリティクラウド) 画像

「Drupal」の脆弱性を狙う攻撃が急増、注意を呼びかけ(サイバーセキュリティクラウド)
長期休暇における対策を紹介、偽セキュリティソフトなどの相談事例も(IPA) 画像

長期休暇における対策を紹介、偽セキュリティソフトなどの相談事例も(IPA)
マインクラフトユーザーを狙ったマルウェア問題への対策を実施(Mojang) 画像

マインクラフトユーザーを狙ったマルウェア問題への対策を実施(Mojang)
Oracleが複数製品のクリティカルパッチアップデートを公開(JPCERT/CC、IPA) 画像

Oracleが複数製品のクリティカルパッチアップデートを公開(JPCERT/CC、IPA)
「不正アクセスで支払い方法を変更された」ソフトバンク騙るフィッシング(フィッシング対策協議会) 画像

「不正アクセスで支払い方法を変更された」ソフトバンク騙るフィッシング(フィッシング対策協議会)

インシデント・事故 記事一覧へ

10代職員がマイナンバー事務で得た情報悪用し懲戒(横浜市) 画像

10代職員がマイナンバー事務で得た情報悪用し懲戒(横浜市)
体力測定値他48人分の個人情報が記録されたUSBメモリ紛失(京都橘大学) 画像

体力測定値他48人分の個人情報が記録されたUSBメモリ紛失(京都橘大学)
教育情報ネットワークへの不正アクセス、新たに22,613人分が流出の可能性(前橋市) 画像

教育情報ネットワークへの不正アクセス、新たに22,613人分が流出の可能性(前橋市)
ホームタウン活動の資料と個人情報を記録したUSBメモリを紛失(水戸ホーリーホック) 画像

ホームタウン活動の資料と個人情報を記録したUSBメモリを紛失(水戸ホーリーホック)
1年生40人分の生徒の個人情報確認用紙を紛失(大阪府) 画像

1年生40人分の生徒の個人情報確認用紙を紛失(大阪府)
2年生35人分の高校生活支援カードを紛失(大阪府) 画像

2年生35人分の高校生活支援カードを紛失(大阪府)

調査・レポート・白書 記事一覧へ

脅威の発生前の対策を重視する日本、レスポンスへの投資は最下位(ServiceNow) 画像

脅威の発生前の対策を重視する日本、レスポンスへの投資は最下位(ServiceNow)
2017年のDDoS攻撃、ビットコイン投資家増の韓国が標的に(CDNetworks) 画像

2017年のDDoS攻撃、ビットコイン投資家増の韓国が標的に(CDNetworks)
子どものスマートフォン利用、16.2%は何らかのトラブルに遭遇(東京都) 画像

子どものスマートフォン利用、16.2%は何らかのトラブルに遭遇(東京都)
WebサーバやCMSの脆弱性を悪用する、送信元を秘匿した攻撃が一時的に増加(ラック) 画像

WebサーバやCMSの脆弱性を悪用する、送信元を秘匿した攻撃が一時的に増加(ラック)
2017年に盗難・漏えいしたデータ数は前年比89%増加の26億件(ジェムアルト) 画像

2017年に盗難・漏えいしたデータ数は前年比89%増加の26億件(ジェムアルト)
Spring Frameworkにおける、リモートOSコマンド実行の脆弱性を検証(NTTデータ先端技術) 画像

Spring Frameworkにおける、リモートOSコマンド実行の脆弱性を検証(NTTデータ先端技術)

研修・セミナー・カンファレンス 記事一覧へ

サイバーインテリジェンス入門~マキナレコード軍司氏講演 画像

サイバーインテリジェンス入門~マキナレコード軍司氏講演
初心者向けハッキングハンズオン研修が盛況 画像

初心者向けハッキングハンズオン研修が盛況
エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏 基調講演 画像

エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏 基調講演
トップとビリで売上3倍差!セキュリティへの取り組みが命運を分けた Hardening 2017 Fes 画像

トップとビリで売上3倍差!セキュリティへの取り組みが命運を分けた Hardening 2017 Fes
過去10回の総括、そして未来を見据える「Hardening 2017 Fes」 画像

過去10回の総括、そして未来を見据える「Hardening 2017 Fes」
CASBのダークサイド ~ その誤解と導入後の課題 画像

CASBのダークサイド ~ その誤解と導入後の課題

製品・サービス・業界動向 記事一覧へ

ブロックチェーン技術で改ざんや消失を防ぐ文書管理ソリューション(MKI) 画像

ブロックチェーン技術で改ざんや消失を防ぐ文書管理ソリューション(MKI)
独自の秘密分散技術によりデータを無意味化するエンジンを提供(ZenmuTech) 画像

独自の秘密分散技術によりデータを無意味化するエンジンを提供(ZenmuTech)
コネクテッドカーと安全に情報をやり取りするために高セキュリティのITバックエンドを構築(BMWグループ) 画像

コネクテッドカーと安全に情報をやり取りするために高セキュリティのITバックエンドを構築(BMWグループ)
UTM内蔵ネットワークストレージの新製品、機密データを守る新機能を搭載(村田機械) 画像

UTM内蔵ネットワークストレージの新製品、機密データを守る新機能を搭載(村田機械)
「i-FILTER」と「m-FILTER」をクラウドサービスとして提供(デジタルアーツ) 画像

「i-FILTER」と「m-FILTER」をクラウドサービスとして提供(デジタルアーツ)
認証アプライアンスをクラウドサービス化、私物端末の検出にも対応(ソリトン) 画像

認証アプライアンスをクラウドサービス化、私物端末の検出にも対応(ソリトン)

おしらせ 記事一覧へ

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像

[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像

[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ
[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ 画像

[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ
ScanNetSecurity 創刊 18 周年の御礼 画像

ScanNetSecurity 創刊 18 周年の御礼
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×