座談会 テーマ:Linuxセキュリティ(第2回) 〜パッチの提供〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

座談会 テーマ:Linuxセキュリティ(第2回) 〜パッチの提供〜

特集 特集

〜[前号より]〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
吉田:「事実として、クラックされているのはどちらが多いのかといえば、明らかに Windows のほうが多いのは確かです。しかし、普及数の違いが出ているという要素もあって、そこもやっぱり比較対照にはなりえない。」

園田:「でも最近書き換えサイトを見ていると、結構近い数かとも思います。書き換えられている量を見ると、ですけどね。」

中村:「Linux は素人管理者が運営しているケースが多い気がします。」

園田:「ああ・・・傾向的にそうですね。そもそも閉じるべきポートを閉じてないなど、初心者っぽいサーバもあります。技術的に初歩的な対策ができていないせいでやられてしまったケースは多いようですから、それを OS そのもののせいにしていいのか? という疑問はあります。」

 比較のための条件が違うということだ。パッチの数でも、アドバイザリの数でも、クラックされた数でも成立しない。重要なのはいかに安全に運用するかということだ。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

 安全な運用にはメンテナンスが重要になる。話題はメンテナンス、その中でもパッチの提供に移った。

園田:「どんな情報でも、出したとたんに悪用されてしまう恐れがあります。ですから、セキュリティ情報をどのように公開するか? というのは、情報を公開する側の悩みの種ですね。」

中村:「Linux の場合では、解る人には解るように情報が出てしまいます。この部分を直しました、といった詳細が、プログラムを理解できる人には全て解ってしまう。」

園田:「Windows の場合でもゼロデイアタックに対する意識は結構強く、パッチのバイナリも公開した途端にそれを解析されてしまったり、DLL から追跡されてしまう。そういうことを危惧して、まとめて出すようにしている節もあります。」

園田:「カモフラージュっていう意味もあるらしい。」

中村:「そうなんですか。」

園田:「情報の出し方って難しいんですよね。ソースコードを出すと、おっしゃるようにすぐ解ってしまう。」

中村:「出し方のタイミングも何も無い。」

園田:「うーん、難しいですよね。でも、情報を出さないと直してるということが誰にもわからない。」

吉田:「情報を出さないことで、低レベルないたずらは防止できるんですよ。例えば、知識レベルが、問題個所のコードを見てすぐに攻撃ツールを作れる人を100だとしたら、少なくとも80以下の技術レベルの人はそれだけで防げている。しかし、大部分は情報を公開しないだけで防げますけど、あとの高度な技術を持っている人は防ぎきれない。そういう人にやられてしまった場合というのは、確かに防ぐ手段っていうのは難しい。」

 ディストリビュータならではの発言だ。セキュリティフィックスのためのパッチを提供することは、特にソースコードが公開されているソリューションでは修正の前後を比較することで問題の詳細を知ることができる。つまり、攻撃手法の一歩手前までの情報も同時に公開することになるのだ。ソースコードを公開していないマイクロソフトの製品でさえ、パッチを解析して攻撃に繋げる事ができるクラッカーもいるという。セキュリティ情報は提供する側も細心の注意を払って扱っているのだ。


 パッチの公開から、話題は問題の解決へと移る。Windows と Linux では問題の解決にどのような差があるのだろうか。

川田:「アプリケーションの脆弱性であれば、そのアプリケーション、例えば Apache なら Apache の開発チームに報告して、Apache が直せばいいだけですが、Apache が使っているライブラリに脆弱性があったとしたらどうでしょうか。例えば OpenSSL でしたら、基本的に Apache や OpenSSL のチームに連絡すればいいのですが、実際には他の、例えばマイクロソフトの製品にしてもルータにしても、同様のライブラリを使っている可能性がありますから、同様の脆弱性があるかも知れません。問題が一つの製品に見つかったとしても、他の同種の製品にも押さえなくてはならないポイントがあると思うんです。一例として、先日の TCP/IP の脆弱性の場合では影響が広範囲に渡りましたよね。」

協力:ターボリナックス株式会社
http://www.turbolinux.co.jp/


他力本願堂本舗
http://tarikihongandou.shadowpenguin.org
Mailto: tarikihongandou@shadowpenguin.org
tarikihongandou@hotmail.com

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec


◇参考:座談会【第1回】
 テーマ:Linuxセキュリティ 〜オープンソースの弱点〜(2004.6.10)
https://www.netsecurity.ne.jp/article/3/13264.html

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×