企業にダメージを与えるExploitコードの存在

呉井嬢次(Johji Kurei) 2005-06-29 10:42:00

 クレジットカードの悪用、企業が管理している個人情報の漏えい事件が続いている。国としての取り組みも本格的に動き出した。しかし、インターネット上には、情報システムに対する攻撃を可能にする悪意のあるソフトウエア(海外では、ウイルスなどを称してマルウェアと呼ばれている)が公開されている。セキュリティー更新プログラムを適用していないシステムを狙い撃ちできるExploitコードには注意したい。なぜなら、Exploitコードが知られるようになれば、セキュリティー更新プログラムを適用していないシステムは脅威にさらされ、最後に待っているのは、情報漏えい、改ざん、システムダウンや乗っ取りで、企業に大きなダメージを与えるからだ。

Exploitコードの例<OSの脆弱性からのExploitコード>

 一言にExploitコードと言っても、色々な種類が存在する。今年2月に公開されたOSの脆弱性に対するExploitコードを取上げよう。下記URLをご覧の通り、OSやアプリケーションに脆弱性が発見された場合、該当する脆弱性を修正するプログラムを利用者に対して提供する。このようなプログラムには、修正ソフト、パッチ、サービスパック、更新プログラムなど呼ばれる(厳密には用いられる用語には、それぞれ定義があるので、正確には意味が異なる)。

(A) セキュリティー更新プログラム(日本語:2005年2月9日公開)
(B) セキュリティー更新プログラム(英語:2005年2月8日公開)

 (A)(B)は同じOSの脆弱性に対して説明している。日本語で説明しているホームページは、英語サイトより公開日が1日遅れている。この差が大きければ、それだけ最新のセキュリティー情報を入手することが遅れる。セキュリティー担当者はシステムの脆弱情報を真っ先に把握することが求められる。なぜなら、Exploitコードは、公開された脆弱性情報を元にして、脆弱性を攻撃するExploitコードを作り出すからだ(一部のExploitコードは、公開前に開発され、検証(?)として使われることがある)。
実際にExploitコードのサンプルはこのように公開されている。

Exploitコードの例
 http://www.livejournal.com/users/cybertronic/2005/06/23/
 (将来閉鎖される可能性があるので、閲覧できなくなることがあります)

 このようなExploitコードはソースプログラムが公開されている。プログラムのサイズも非常に短く、一部の機能は、他のExploitコードからの使い回しが行われている。つまり、短期間に作成可能であることを意味する。Eメールも書かれているので、もし作成者に興味があれば、情報交換することもできる。インターネットでシステムに不正アクセスを試みる者達は、最新の裏情報をやりとりしている(もちろん、一例に過ぎない)。

Exploitコードを作成する時に必要になる情報

 Exploitコードを作成するには、OSやアプリケーションで発見されている脆弱情報を知っただけでは作り出すことができない。その為には、プログラミングに関するスキル、セキュリティー対策の知識が必要となる。また、不正アクセスの攻撃対象となるOS製品のタイプ、バージョンによってシステム管理者権限を奪取に必要なシステムコールのような情報を探さなければならない。もちろん、下記URLのようにインターネットを使って入手できる。

ウインドウズのシステムコール表
 http://www.metasploit.com/users/opcode/syscalls.html

 ここで書かれているExploit情報だけでは、秘密裏に不正アクセスに成功することはできない。成功してしまえば不正アクセスを助長する行為になるからである。言いたいことは、ベンダーから提供されているセキュリティーの脆弱情報には、早急に対応が必要ということである。

Exploitコードを探す行為は避けること

 素人は、Exploitコードを探すことはお勧めしない。Exploitコードはインターネット上に多数存在し、販売もされている(コンピューターウイルスは、数千単位でCD-ROMに収められて販売されている)。最新の脆弱情報に対応したExploitコードを探すには、検索エンジン、セキュリティー情報を提供するホームページを利用しても、手間がかかる。また、アクセスすればアクセス記録が残り、逆に攻撃されるキッカケにもなる。最近は、閲覧するホームページを監視するシステム、不正アクセスを検知するシステム等が導入されている。そのような条件下でExploitコードを探す行為は、不正行為と誤解されることがある。

Exploitコードが実行されると

 Exploitコードが攻撃対象システムに対して実行されると、そのシステムに対するアクセス権限(管理者権限を含む場合がある)を手に入れることができる。その後は、乗っ取ったシステムを自由に利用できるので、改ざん、消去されていくことになる。まだピントこなければ、乗っ取ったシステムからインターネットを経由して別な企業X(または政府)に不正アクセスする。企業Xから乗っ取られたシステムの企業に問合わせがあるかもしれないのである。被害者は加害者となり、更なる被害者を増やす片棒を担ぐことになるのである。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR