前回はインターネットにおけるセキュリティと国内のセキュリティ事情に関して述べたが、今回は、実際にどのようにしてクラックされるかについて述べていく。 まず、クラック対象のサーバに載っているOSの種類やWWWサーバアプリケーションのバージョンを知りたい。これらはNetcraft(www.netcraft.com)のWhat's that site running? で調べることができる。 さらに詳しくサーバOSのバージョンを知りたければ、nmapというツールがある。このツールは本来スキャン・ツールとして非常に有名である。nmapに-Oオプションをつけて実行すると、サーバをポートスキャンしたあとOSのバージョン情報を表示してくれる。Linuxが相手なら、カーネルのバージョンを答えてくれる。 さて、これでサーバOS、WWWサーバアプリケーションのバージョン、開いているポート番号がわかった。ここまでわかれば、セキュリティ関連のポータルサイトでそのOS、アプリケーションの各バージョン固有のセキュリティホール情報が手に入る。例えば、ポートスキャンしたサーバはWWWサーバとして外部に公開されているサーバであるが、sshのポート番号22が開いていることがわかる。CERT Advisoryによると、一部の sshd にバッファオーバーフローの可能性があることが警告されている。具体的には、RSAREF2 ライブラリをリンクした ssh サーバや SSL 拡張を施した WWWサーバに、セキュリティ上の問題が発見されている。 このセキュリティホールを利用すれば、リモートから任意のコードを実行することができる。昔ならば、このようなセキュリティホールが判明しても、スキルのあるクラッカーでなければそのセキュリティホールを利用するのは困難であったが、最近ではセキュリティホールが報告されると同時にそのセキュリティホールを利用してクラックするためのツールが出回るようになり、ゲーム感覚でクラッキングする人が増加している。 ちなみに、バッファ・オーバーフローを防ぐ方法として、それ専用のツールを使う方法や、OSがLinuxならばカーネルにパッチを当てる方法などがある。 それでは不幸にもクラックされてしまい、root権限を奪取されてしまったサーバはその後どうなってしまうのか? ハードディスクをフォーマットされたり、データを消されるなど物理的損害を受けるケースはまれである。(もっとも、ログなどは消すが。)そのようなことをされるのは、クラッカーが本当にターゲットにしているサーバ数台だけである。はじめにクラックしたサーバは、目的とするサーバにアタックするための踏み台目的にクラックされることが大半である。実際、中央省庁や公的機関がクラックされ一部のファイルが改竄されたときにも、中国にあるサーバや国内の某大学のサーバを経由してクラッキングされている。株式会社ホライズン・デジタル・エンタープライズhttp://www.hde.co.jp開発部 三谷 洋司マーケティング部 川下 真(詳しくはScan本誌をご覧下さい)http://www.vagabond.co.jp/scan/
