【AOLクライアントがファイアウォールの穴になる危険性】(執筆:林檎大王) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

【AOLクライアントがファイアウォールの穴になる危険性】(執筆:林檎大王)

特集 特集

 チャットやインスタントメッセージで人気の高いAOLのクライアントアプリケーションに重大なセキュリティホールとなりうる危険性が指摘されている。
問題となるのはいわゆる「AOL接続ソフト」でAIM(AOL Instant Messenger)には問題はないと考えられる(理由は後述)。ちなみに以下の記述は国内でドコモAOLが行っているサービスに対するもので、海外のAOLが同じような問題を抱えているのかどうかまでは確認していない。

◆1.問題の概要

 問題は「AOL接続ソフトを起動してAOLにサインオン(ログイン)すると、たとえそのコンピュータがファイアウォールの内側にあったとしてもAOL接続ソフトを介してインターネット上の各種攻撃にさらされる」というもの。現在AOLでは主に2種類の接続方法が利用されている。一つはPPPによるダイアルアップ接続、もう一つはドコモAOLがTCP/IP接続もしくはISP/LAN接続と呼んでいるもので、企業や学校のLANなど、既存のTCP/IPネットワークを利用してAOLに接続する方法である。PPPによるアクセスポイントへのダイアルアップ接続ではグローバルIPアドレスが割り当てられるため、インターネット上の各種攻撃にさらされるという危険性も容易に認識できると思う。おそらく市販のアプリケーション形式のファイアウォールツールなどで自衛している人も少なくないはず。問題となるのは後者のTCP/IP接続で、具体的に内部でどのような通信をしているのかが見えにくいため盲点となりやすい。

 そもそもこの問題を提起するきっかけになったのは、とあるAOLユーザの以下のような報告である。大筋は、
「PC/AT互換機にLinuxをインストールしダイアルアップルータ兼サーバとして常時接続で利用している。Linuxマシン上ではApacheが動いていて80番ポートへのアクセスは全部そこで受け付けている。またipchainsによるIPマスカレードを行っていて、家庭内LANはインターネットからきちんと隔離されている。スタティックマスカレードの設定は一切行っていない。なのにプライベートアドレスしか割り当てていないLAN上のMac OS Xが動くMacintoshでApacheの設定をしていたところ、ApacheのログにNimdaワームによる攻撃が記録されているのを見つけた。ちなみにLAN内にNimdaワームに感染しているマシンはない。」というもの。その後本人の調べで、
「攻撃元はすべてaol.comドメインを持つグローバルIPが割り当てられたコンピュータであること、AOL接続ソフトを起動中にのみNimdaによる攻撃が記録されること、Mac OS X上でAOL接続ソフトを起動しAOLにサインオンするとppp0というネットワークインターフェースが現れること、ppp0にはグローバルIPアドレスとドメインネームが割り振られること、ppp0に割り振られるIPが番号的に攻撃元のIPと近いこと、PPPによる各種ポート(HTTP、FTPなど)での通信がトンネリングされて単一ポートでの通信に置き換わっていること、aol.comドメインを持つ攻撃元のコンピュータはppp0に割り振られているドメインネームとドメインネームのパターンが同じことからサインオン中の一般ユーザが使用するコンピュータだと考えられること」

 などが確認されている。ちなみにMac OS X用のAOL接続ソフトは現在ベータ版が開発されている段階だが、AOL会員なら誰でもがダウンロードして使用することができる状況にある。

◆2.PPPのトンネリングについて

 PPPのトンネリングというのは一般にはなじみが薄いと思うのでわかりにくいかと思うが、PPP over TCPなどをキーワードに解説を探してもらえると良いと思う。特定のIP間での通信の中に、全く別のIP間でのPPP通信を埋め込むことができるようになる。このPPPトンネリングの一番の問題点は、PPP接続したコンピュータ間で例えばHTTPポートやFTPポートなどを介して通信が行われていたとしても、それらがHTTPやFTPとは全く関係のないポートを介した通信に置き換わってしまうということである。つまり、もしファイアウォールで各種ポートを閉じる設定をしていたとしても、この場合AOLで使用されるポートが空いていさえすれば、ファイアウォール内でAOLを利用中のコンピュータにはPPPを経由して各種ポートを通った攻撃が届く可能性があるということである。

◆3.検証

 実際に上記の報告を元に各プラットフォームで問題が起きるのかどうかをあらためて検証してみたところ、WindowsとMac OS Xで問題を確認することができた。現在AOL接続ソフトが動くプラットフォームはWindows(95/98/Me/2000/XP)、Mac OS(9.2.1以前)、Mac OS Xの3種類だが、バージョン9.2.1以前のMacOSではデフォルトでは同時に複数のネットワークインターフェースが扱えないというOS上の制限があるために問題は起きないと考えられる。おそらくPPPのトンネリングなどの処理もアプリケーションレベルで処理しているだろうし、アプリケーション内に何らかの攻撃が届いたとしても、その攻撃がOSに到達する手段がないと考えられる。

(執筆:林檎大王)

(詳しくはScan本誌をご覧ください)

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×