INFORMATION Security特約記事 「SECURING Linux」 第1回「Linuxのセキュリティホール」 | ScanNetSecurity
2021.12.05(日)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

INFORMATION Security特約記事 「SECURING Linux」 第1回「Linuxのセキュリティホール」

 最近、いたる所でLinuxが販売されている。ほとんどと言っていいほどのWebサイトや書店、コンピュータショップで小さくてかわいいペンギン(Linuxのシンボル)を目にする。Staplesのような事務用品大型ストアでさえもLinuxを在庫するようになっている。今月Windows2000

国際 海外情報
 最近、いたる所でLinuxが販売されている。ほとんどと言っていいほどのWebサイトや書店、コンピュータショップで小さくてかわいいペンギン(Linuxのシンボル)を目にする。Staplesのような事務用品大型ストアでさえもLinuxを在庫するようになっている。今月Windows2000がリリースされたにもかかわらず、最近のIDCの研究では、Linuxの販売数は、他のどのクライアント/サーバOSよりも急速に増加していくだろうということだ。

これは、プライベートネットワーク上でLinuxを動作させてみようとするエンドユーザが増加していくことを意味している。彼らは、無料でLinuxやオープンソースソフトウェアを実行できるのに、なぜWindowsやOfficeに我慢しなければならないのかと考える。こちらの方が、安いし、優れているし、高速なのだ。少なくとも、支持者達はそう主張している。

本当だろうか。たしかにエンドユーザにとってはLinuxはWindowsよりも優れたプラットフォームなのだろう。より堅固で、より信頼でき、明らかに費用が安いのだから。しかし、Linuxの方が安全なのだろうか。そうではない。新しいRed Hat Linuxのインストールは比較的安全だ。しかし、Linuxの初心者がアプリケーションやサービスのインストールや設定を始めると企業内通信網の基盤にセキュリティホールが広がることは間違いない。

LinuxはWinsowsデスクトップよりも遥かに安全であるように作られているが、Linuxが主流になるにつれ、考慮しなければならない重要なセキュリティ上の問題点がある。ユーザが旧式の386デスクトップをプリントサーバにする場
合、Apacheを用いてインターネットサーバをセットアップする場合、または全社レベルのアプリケーションについてオペレーティングシステムを評価しようとする場合、管理者はLinuxセキュリティに関してリスクとそれを除去する方法を理解しておく必要がある。

1.セキュリティホール

 Linuxのセキュリティ問題がほとんどUNIXに関してと同じであり、UNIXに対して機能する多くのオープンソース・セキュリティソリューションはLinuxに対しても機能することは周知の事実である。しかし、ベンダーやユーザは
Linuxのセキュリティを別のものとして扱うことが多いようだ。誇大広告されるマシンが原因でLinuxへの注目が高くなるに連れ、典型的なLinuxユーザが、UNIXの知識があるユーザからWindowsの知識がありLinuxとWindowsを同じPCで動かすユーザへと移り変わっている。その結果、Linuxは少なくともWindowsと同程度の安全性を保つことが可能であるにもかかわらず、ハッカーの格好の攻撃対象となったのである。

Linux(またはUNIX)には、一般的に3つのクラスのセキュリティホールがある。それらは、(1)未知のセキュリティホール、(2)既知のセキュリティホール、そして(3)アプリケーション/配置セキュリティホールだ。未知のセキュリティホールは、現時点で発見されていない欠陥や弱点である。Bastille
LinuxプロジェクトのJon Lasserは「オープンソースモデルのソフトウェア開発では厳密なレビューが行なわれるため、Linuxは他の大部分のオペレーティングシステムよりも未知のセキュリティホールは少ない」と主張している。
未知のセキュリティホールは問題ではない─少なくとも、まだ問題にはなっていない。それらは発見された時にのみ脅威を与える。ただし、その時点で、それらは既知のセキュリティホールとなる。セキュリティホールを発見すると、それを修正するか、パッチをあてなければならない。しかし、この後、すべてのLinuxボックスについて、修正版の配布とインストールが熱心に行われるのに比べて、何が問題だったのかの割り出しはそれほど熱心には行われていない。

アプリケーション/配置脆弱点は、セキュリティシステムが何らかの手順で誤って設定された時、またはアプリケーションが不適切に使われた時に発生する。こうしたセキュリティホールは、inetd.confファイル中でネットワークサービスを使用可能な設定のままにしておくことのように単純なものである場合も、アタッカーがアプリケーションからコマンド行を攻撃し破壊をもたらせるようにしたスクリプトファイルのように巧妙に仕掛けられたものである場合もある。

Lasserによれば、これらは最も致命的なクラスのセキュリティホールだ。彼は次のように続ける。不適切な設定のアプリケーションやバグのあるスクリプトはすべてのUNIX亜種に存在する可能性がある。しかし、実際の問題は、Web
サーバが、システムのそれ以外の部分へのアクセスが多すぎる状態で動作している時や、不要な機能のCGIスクリプトが多すぎる場合、パーミッションの規制が緩すぎる時に発生する。Lasserによると、これらのセキュリティホールはおそらく一般的なものであるが、システムによって違いがあるため、悪用することは相当に難しいそうだ。一方、既知のセキュリティホールについては、単純にシステムを順に調べていきパッチがあたっていないシステムがあれば攻撃するスクリプトを作成することができる。

次回は、「システム管理とセキュリティツール」。

※今回掲載された「SECURING Linux」の日本語訳は、5月下旬に刊行される
「Scan Security Handbook Vol.3」(Linuxセキュリティ専門資料)から抜粋したものです。

詳しくは下記URLをご覧下さい
http://www.vagabond.ne.jp/scan/ssh3.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

複数のエレコム製 LAN ルーターに複数の脆弱性 画像

複数のエレコム製 LAN ルーターに複数の脆弱性
エレコム製ルータに複数の脆弱性 画像

エレコム製ルータに複数の脆弱性
CrowdStrike Blog:SMTPの悪用に対抗するためのクラウド強化 画像

CrowdStrike Blog:SMTPの悪用に対抗するためのクラウド強化
Coincheck を騙るフィッシングを確認、注意呼びかけ 画像

Coincheck を騙るフィッシングを確認、注意呼びかけ
Movable Type及びPowerCMSのXMLRPC APIにおける脆弱性を標的としたアクセスを観測 画像

Movable Type及びPowerCMSのXMLRPC APIにおける脆弱性を標的としたアクセスを観測
iPhone 構成プロファイル悪用し不正アプリインストール、JC3 注意喚起 画像

iPhone 構成プロファイル悪用し不正アプリインストール、JC3 注意喚起

インシデント・事故 記事一覧へ

ロイヤルホームセンター公式サイトに不正アクセス、サーバ入れ替え 12/1 復旧 画像

ロイヤルホームセンター公式サイトに不正アクセス、サーバ入れ替え 12/1 復旧
滋賀県のスーパー平和堂のショップサイトで最大4,774件の個人情報が閲覧可能に 画像

滋賀県のスーパー平和堂のショップサイトで最大4,774件の個人情報が閲覧可能に
ジーアールへの不正アクセス、「芝寿しオンラインショップ」のカード情報と個人情報が流出 画像

ジーアールへの不正アクセス、「芝寿しオンラインショップ」のカード情報と個人情報が流出
日本政策投資銀行のシンガポールグループ会社にサイバー攻撃 画像

日本政策投資銀行のシンガポールグループ会社にサイバー攻撃
「EVANGELION STORE」に不正アクセス、17,828名分のカード情報流出 画像

「EVANGELION STORE」に不正アクセス、17,828名分のカード情報流出
みずほ銀行の度重なる障害に業務改善命令、IT現場の実態を軽視 画像

みずほ銀行の度重なる障害に業務改善命令、IT現場の実態を軽視

調査・レポート・白書 記事一覧へ

CrowdStrike Adversary Calender 2021 年 12 月 画像

CrowdStrike Adversary Calender 2021 年 12 月
DX時代のセキュリティ人材の条件 ~ トレンドマイクロ調査 画像

DX時代のセキュリティ人材の条件 ~ トレンドマイクロ調査
オンライン診療 5つの問題点、カスペルスキー解説 画像

オンライン診療 5つの問題点、カスペルスキー解説
警察庁、活動再開したEmotet解析 新たにThunderbirdも情報窃取対象に 画像

警察庁、活動再開したEmotet解析 新たにThunderbirdも情報窃取対象に
Kubernetes や etcd、クラウドネイティブアプリの脆弱性の現状をトレンドマイクロ解説 画像

Kubernetes や etcd、クラウドネイティブアプリの脆弱性の現状をトレンドマイクロ解説
日本語話者を標的としたインフルエンスオペレーションほか解説、J-CRAT 2021年度上半期活動状況 公開 画像

日本語話者を標的としたインフルエンスオペレーションほか解説、J-CRAT 2021年度上半期活動状況 公開

研修・セミナー・カンファレンス 記事一覧へ

2つのテイクダウン作戦~民間と法執行機関の連携、欧州 ESET 事例 画像

2つのテイクダウン作戦~民間と法執行機関の連携、欧州 ESET 事例
ITエンジニア限定eスポーツ大会「LogStare eSports Series」第2回終了、役員チームと若手チーム対決も 画像

ITエンジニア限定eスポーツ大会「LogStare eSports Series」第2回終了、役員チームと若手チーム対決も
ほんとうに「セキュリティにはお金がかかる」のか? 中小企業の適切なセキュリティ投資とは ~ JP-RISSA 屈指の三人の“講演巧者”登壇 画像

ほんとうに「セキュリティにはお金がかかる」のか? 中小企業の適切なセキュリティ投資とは ~ JP-RISSA 屈指の三人の“講演巧者”登壇
CDIがOTシステムのサイバー攻撃体験研修受付開始、申込はFAX 画像

CDIがOTシステムのサイバー攻撃体験研修受付開始、申込はFAX
「餅は餅屋」に真っ向勝負、医療 ISAC の役割と支援機能 画像

「餅は餅屋」に真っ向勝負、医療 ISAC の役割と支援機能
中小企業等を対象にオンラインで「サイバーインシデント演習in関東」開催 画像

中小企業等を対象にオンラインで「サイバーインシデント演習in関東」開催

製品・サービス・業界動向 記事一覧へ

メール誤送信対策ソフトウェア「WISE Alert」が脱PPAPとして新たにBox対応 画像

メール誤送信対策ソフトウェア「WISE Alert」が脱PPAPとして新たにBox対応
ユーロポール「Operation In Our Sites」、オンライン詐欺師12名を逮捕 画像

ユーロポール「Operation In Our Sites」、オンライン詐欺師12名を逮捕
アメリカでBOTを使った買い占めが違法となる可能性、民主党の議員グループが法案提出 画像

アメリカでBOTを使った買い占めが違法となる可能性、民主党の議員グループが法案提出
論文募集「量子時代をみすえたコンピュータセキュリティ技術」12月8日まで締切延長 画像

論文募集「量子時代をみすえたコンピュータセキュリティ技術」12月8日まで締切延長
CrowdStrike、エンドポイントのデータへゼロトラストセキュリティを提供するSecureCircleを買収 画像

CrowdStrike、エンドポイントのデータへゼロトラストセキュリティを提供するSecureCircleを買収
Apple、人権抑圧国家御用達のソフトウェア開発企業を提訴 画像

Apple、人権抑圧国家御用達のソフトウェア開発企業を提訴

おしらせ 記事一覧へ

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Scan PREMIUM 創刊23周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊23周年記念キャンペーン実施中
ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×