セキュリティ・ベンダーである米Internet Security Systems(ISS)の不正アクセス研究チーム「X-Force」ディレクタ Chris Rouland氏は2月15日,NTTコミュニケーションズが主催したセミナーにおいて,最近のセキュリティ動向について講演した(写真)。特に,2月12日に公開されたSNMPのセキュリティ・ホールについて警告した(関連記事)。講演要旨は以下の通り。
パケット1つでサブネットすべてをダウン
SNMPの実装に関するセキュリティ・ホールについては,以前から分かっていたが,影響があまりにも大きいために今まで公開しなかった。このセキュリティ・ホールを悪用すれば,対象ホストをダウンさせるだけではなく,root権限(管理者権限)を奪うことも可能だ。
さらに,セキュリティ・ホールを悪用するようなパケットがブロードキャスト・モードで送信された場合,より大きな被害が起こり得る。企業のLANなどに送信された場合,パケット1つで,サブネットすべてのコンピュータをダウンさせることが可能となる。
セキュリティ・ホールは,SNMPエージェントだけではなく,SNMPマネージャーの実装にも存在する。そのため,Tivoliや米HPの「OpenView」といったネットワーク管理ツールも攻撃対象となる。
広く使用されている米Cisco Systems製品の多くが影響を受けることも深刻である。同社のIPテレフォニ製品以外はすべて影響を受けると考えられる。また,同社製品に限らず,非常に多くのネットワーク製品が影響を受ける。ユーザーや管理者は,深刻なセキュリティ・ホールだと認識しなければならない。
続々出現する新たな脅威
インターネット上には,新たな脅威が続々出現している。例えば,2001年に出現した「Nimda」や「Sadmind/IIS」ワームは,初めての自動化されたクラッキング・ツールといえる。これらは,ウイルス(ワーム)と不正アクセスが組み合わさっており,また,複数の感染および攻撃手法を持つので,「Blended Threat(複合型の脅威)」と呼ばれる。Nimdaは 11 種類の感染および攻撃手法を備える。Sadmind/IIS は,Solarisマシンに感染を広げ,同時にWindowsマシンを攻撃することから,初めての「Windows/UNIX 互換ワーム」といえる。
「ゼロ・デイ・ウエア(zero day ware)」も脅威である。これは,公開されていないセキュリティ・ホールを突くクラッキング・ツールのことである。当然,修正パッチは公開されていないため,大きな被害をもたらす恐れがある。
ウイルスばかりではない
確かに,ウイルスやワームは脅威だ。しかし,日々発見されるセキュリティ・ホールも,大きな脅威であることを忘れてはならない。現在,いろいろな製品のセキュリティ・ホールは月に150件ほど見つかっている。それに対して,ウイルスは月に15件程度。新たなセキュリティ・ホールに対応していくことは,新ウイルスに対応するのと同様,あるいはそれ以上に重要なことである。
