付録 B. よくある不正アクセスと攻撃

表B-1 では、侵入者が組織的なネットワークリソースに アクセスするために使用するエントリポイントとよくある不正アクセスをいくつか説明します。 これらの不正アクセスに対する重要ポイントは、どのように不正アクセスが行なわれるか、 そしてこのような攻撃に対してどのように管理者がネットワークを適切に保護するかを よく理解することです。

不正アクセス詳細注記
空白またはデフォルトのパスワード管理用パスワードを空白のままにしたり、製品ベンダー設定のデフォルトパスワードをそのまま使用したりすること。ルーターやファイアウォールなどのハードウェアで最もよく見られますが、Linux 上で動作するサービスにはデフォルトの管理者用パスワードが入っているものがあるかもしれません(Red Hat Enterprise Linux はパスワードをつけたまま出荷していません)。

一般的には、ルータ、ファイアウォール、VPN、ネットワーク接続のストレージ器機(NAS)など、ネットワークハードウェアに関連してよくあります。
特にサービスを搭載するOS (UNIX、Windows) など、多くのレガシーオペレーティングシステム(時代遅れとなった古いシステム)によくあります。
管理者が慌てて特権ユーザーを作成したためパスワードが空白のままになっていることがあり、このユーザーを発見した悪意あるユーザーにとっては、絶好のエントリポイントとなってしまいます。

デフォルトの共有鍵安全なサービスは開発や査定テストの目的でデフォルトのセキュリティ鍵をパッケージにしていることがときどきあります。これらの鍵を変更せずにインターネット上の実稼働環境で作動した場合、同じデフォルトの鍵を持つユーザーは誰でもその共有鍵のリソースや、そこにあるすべての機密情報にアクセス権を有することになります。

ワイヤレスアクセスポイントや事前設定済み セキュアサーバー機器に最も多く見られます。
CIPE (章6章を参照)にはサンプルの静的鍵が含まれていますが、 実稼働環境に配備する前に変更する必要があります。

IP スプーフィングリモートマシンがローカルネットワーク上でノードとして動作し、サーバーに脆弱性を見つけて、ネットワークリソース全体に渡って制御を獲得するためにバックドアプログラムあるいはトロイの木馬をインストールしてしまいます。

「なりすまし(spoofing)」は、攻撃者側が標的となるシステムへの接続を調整するために TCP/IP SYNーACK 番号を予測する必要があるので非常に難しいですが、クラッカーがこのような脆弱性を攻撃するのに役立つツールも入手可能です。
標的となるシステムが実行しているソースベース認証技術 を使用したサービス(rshtelnet、FTP、その他など) によります。このようなサービスは、ssh あるいは SSL/TLSで使用されるPKIや他形式の暗号化認証 に比べて推奨できません。

盗聴2つのノード間接続を盗聴することによりネットワーク上でそのアクティブなノード間が交わすデータを収集することです。

このタイプの攻撃はほぼ、telnet転送、FTP転送、HTTP転送などプレーンテキスト通信プロトコルで機能します。
この攻撃を仕掛けるためには、リモート攻撃者は LAN 上にある感染したシステムへのアクセス権を持っている必要があります。大概、そのクラッカーは LAN 上にあるシステムを感染させるために活発な攻撃(IPスプーフィング、Man-in-the-middle など)を行なっています。
パスワードの「なりすまし(spoofing)」を防ぐための予防対策としては、暗号化鍵交換、ワンタイムパスワード、暗号化された認証を用いるサービスなどがあります。通信中は強力な暗号化をおすすめします。

サービスの脆弱性攻撃者はインターネット上で実行するサービスの弱点や盲点を発見します。 この脆弱性を利用して、攻撃者はそのシステム全体そして格納されている データをすべて感染させ、ネットワーク上の他のシステムをも感染させる可能性が あります。

CGIなどHTTPベースのサービスはリモートのコマンド実行に対して攻撃を受けやすく、またインテラクティブなシェルアクセスにも脆弱です。HTTPサービスが"nobody"などの非特権ユーザーとして実行しても、設定ファイルやネットワークマップなどの情報を読み込むことができます。また、攻撃者がサービス停止攻撃を開始して、システムリソースを流出、他のユーザーが使用できないようにしてしまうことができます。
開発中及びテスト中には気づかない脆弱性がサービスにあることがあります。これらの脆弱性(バッファのオーバーフローなど、アプリケーションのメモリバッファを溢れさせる任意の値を使ってサービスをクラッシュさせ、攻撃者に任意のコマンドを実行できるようインテラクティブコマンドプロンプトを与える)は完全に管理コントロールを攻撃者に与えることができます。
管理者は、サービスが root ユーザーとして実行しないよう注意し、CERT や CVEなどベンダーやセキュリティ団体などからのアプリケーション用パッチやエラータ更新がないか常に注意してください。

アプリケーションの脆弱性攻撃者はデスクトップやワークステーションのアプリケーション(電子メールクライアントなど)に欠点を見つけだし、任意のコードを実行して今後のシステム感染・破壊活動のためトロイの木馬を移植します。感染したワークステーションがネットワークのその他のシステムに対して管理用の特権を持っていた場合、さらなる不正アクセスが進められてしまう恐れがあります。

ワークステーションとデスクトップは、作業をする人に 感染を防止、 検出する専門知識や経験がないために不正アクセスを受けやすため、許可のないソフトウェアをインストールしたり、不必要にメールの添付ファイルを開けるときは、 個々人が危険を犯しているということを知らせなければなりません。
電子メールクライアントソフトウェアが添付ファイルを自動的に開いたり、 実行しないように設定するなどの予防手段がとれます。また、 Red Hat Networkや他のシステム管理サービスなどからワークステーションソフトウェアを自動更新すると セキュリティ配備の負担を軽減することができます。

サービス停止攻撃 (DoS=Denial of Service)単独攻撃者または複数人数によるグループ攻撃は、目標のホスト(サーバー、ルーター、 ワークステーション いずれか)に許可のないパケットを送ることによって企業や組織の ネットワークやサーバーリソースに対して攻撃を仕掛けます。 これにより正当なユーザーに対してリソースが強制的に利用不能となります。

2000年に発生した米国内でのDoS(サービス停止)事件で最も多く報告されたケースとして、通信量が非常に高い商業サイト及び行政機関のサイトのいくつかが利用不能になりました。高バンド幅接続対応の感染システム数台を使いゾンビや、リダイレクトされたブロードキャストノードとして動作させる ping flood attack が行われたためです。
大概、ソースパケットが偽造(同様に再ブロードキャスト)されるので、攻撃の本当の出処を調べるのは困難です。
iptablesを使用したイングレスフィルタリング (IETF rfc2267)や snort などのネットワーク IDS の高度な技術は、管理者にとって配信された DoS (サービス停止)攻撃を追跡、防止するのに役立ちます。

表 B-1. よくある不正アクセス