【AOLクライアントがファイアウォールの穴になる危険性】(執筆:林檎大王) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.19(火)

【AOLクライアントがファイアウォールの穴になる危険性】(執筆:林檎大王)

特集 特集

 チャットやインスタントメッセージで人気の高いAOLのクライアントアプリケーションに重大なセキュリティホールとなりうる危険性が指摘されている。
問題となるのはいわゆる「AOL接続ソフト」でAIM(AOL Instant Messenger)には問題はないと考えられる(理由は後述)。ちなみに以下の記述は国内でドコモAOLが行っているサービスに対するもので、海外のAOLが同じような問題を抱えているのかどうかまでは確認していない。

◆1.問題の概要

 問題は「AOL接続ソフトを起動してAOLにサインオン(ログイン)すると、たとえそのコンピュータがファイアウォールの内側にあったとしてもAOL接続ソフトを介してインターネット上の各種攻撃にさらされる」というもの。現在AOLでは主に2種類の接続方法が利用されている。一つはPPPによるダイアルアップ接続、もう一つはドコモAOLがTCP/IP接続もしくはISP/LAN接続と呼んでいるもので、企業や学校のLANなど、既存のTCP/IPネットワークを利用してAOLに接続する方法である。PPPによるアクセスポイントへのダイアルアップ接続ではグローバルIPアドレスが割り当てられるため、インターネット上の各種攻撃にさらされるという危険性も容易に認識できると思う。おそらく市販のアプリケーション形式のファイアウォールツールなどで自衛している人も少なくないはず。問題となるのは後者のTCP/IP接続で、具体的に内部でどのような通信をしているのかが見えにくいため盲点となりやすい。

 そもそもこの問題を提起するきっかけになったのは、とあるAOLユーザの以下のような報告である。大筋は、
「PC/AT互換機にLinuxをインストールしダイアルアップルータ兼サーバとして常時接続で利用している。Linuxマシン上ではApacheが動いていて80番ポートへのアクセスは全部そこで受け付けている。またipchainsによるIPマスカレードを行っていて、家庭内LANはインターネットからきちんと隔離されている。スタティックマスカレードの設定は一切行っていない。なのにプライベートアドレスしか割り当てていないLAN上のMac OS Xが動くMacintoshでApacheの設定をしていたところ、ApacheのログにNimdaワームによる攻撃が記録されているのを見つけた。ちなみにLAN内にNimdaワームに感染しているマシンはない。」というもの。その後本人の調べで、
「攻撃元はすべてaol.comドメインを持つグローバルIPが割り当てられたコンピュータであること、AOL接続ソフトを起動中にのみNimdaによる攻撃が記録されること、Mac OS X上でAOL接続ソフトを起動しAOLにサインオンするとppp0というネットワークインターフェースが現れること、ppp0にはグローバルIPアドレスとドメインネームが割り振られること、ppp0に割り振られるIPが番号的に攻撃元のIPと近いこと、PPPによる各種ポート(HTTP、FTPなど)での通信がトンネリングされて単一ポートでの通信に置き換わっていること、aol.comドメインを持つ攻撃元のコンピュータはppp0に割り振られているドメインネームとドメインネームのパターンが同じことからサインオン中の一般ユーザが使用するコンピュータだと考えられること」

 などが確認されている。ちなみにMac OS X用のAOL接続ソフトは現在ベータ版が開発されている段階だが、AOL会員なら誰でもがダウンロードして使用することができる状況にある。

◆2.PPPのトンネリングについて

 PPPのトンネリングというのは一般にはなじみが薄いと思うのでわかりにくいかと思うが、PPP over TCPなどをキーワードに解説を探してもらえると良いと思う。特定のIP間での通信の中に、全く別のIP間でのPPP通信を埋め込むことができるようになる。このPPPトンネリングの一番の問題点は、PPP接続したコンピュータ間で例えばHTTPポートやFTPポートなどを介して通信が行われていたとしても、それらがHTTPやFTPとは全く関係のないポートを介した通信に置き換わってしまうということである。つまり、もしファイアウォールで各種ポートを閉じる設定をしていたとしても、この場合AOLで使用されるポートが空いていさえすれば、ファイアウォール内でAOLを利用中のコンピュータにはPPPを経由して各種ポートを通った攻撃が届く可能性があるということである。

◆3.検証

 実際に上記の報告を元に各プラットフォームで問題が起きるのかどうかをあらためて検証してみたところ、WindowsとMac OS Xで問題を確認することができた。現在AOL接続ソフトが動くプラットフォームはWindows(95/98/Me/2000/XP)、Mac OS(9.2.1以前)、Mac OS Xの3種類だが、バージョン9.2.1以前のMacOSではデフォルトでは同時に複数のネットワークインターフェースが扱えないというOS上の制限があるために問題は起きないと考えられる。おそらくPPPのトンネリングなどの処理もアプリケーションレベルで処理しているだろうし、アプリケーション内に何らかの攻撃が届いたとしても、その攻撃がOSに到達する手段がないと考えられる。

(執筆:林檎大王)

(詳しくはScan本誌をご覧ください)

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. [数字でわかるサイバーセキュリティ] FormBook、圧縮ファイル添付攻撃で日本も上位10位内の標的国に

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×