2002年10月16日,WPC EXPO 2002内で開催している「セキュリティ・スタジアム2002」において,セキュリティ競技の成果が公表された。セキュリティ・スタジアム2002は,セキュリティの怖さと対策の必要性を訴求するためのセキュリティ・イベントで,10月16~19日の4日間,仮想的なセキュリティの競技を繰り広げる。この競技では,有効な防御策や深刻なセキュリティ・ホールを実地に検証し,その成果を毎日公表する。
 2002年10月16日に報告された成果は二つ。
 一つは,デフォルト・インストールしたRed Hat Linux 7.3に対しての不正侵入に成功した事例である。デフォルト設定がいかに危険かを再認識させるものであった。
 侵入には,2002年7月に発見されたOpenSSLのバッファ・オーバフローのぜい弱性が利用された。OpenSSLは,主にWebサーバであるApacheの暗号化通信(SSL:Secure Socket Layer)で使う。
 OpenSSLのぜい弱性とは,OpenSSL 0.9.6e/0.9.7b以前のバージョンに存在するもので,プログラムがパラメータ格納用に用意したメモリ領域を超えるデータを送りこむことで,不正なプログラムを実行できる。これを突いて,Linuxのサーバに不正なユーザを作成した。
 今回の不正侵入は,2002年9月に猛威を振るった「Apache/mod_ssl Worm(通称Slapperワーム)」を改良して利用した。つまり,プログラミングの知識があり,ソース・コードを手に入れれば,労せず簡単に不正侵入プログラムを作ることができるわけだ。これは危険である。
 もう一つは,Apacheの持つ入力パラメータのチェックの甘さを突き,クロスサイト・スクリプティング攻撃が成功した事例である。入力情報を本人に気づかれずに,別のサーバにリダイレクトすることができた。この攻撃をコマース・サイトなどに仕掛ければ,名前,住所,カード番号など個人情報が流出する危険性がある。
 これも,Linuxのデフォルト・インストールの弱点を突いたもので,パッチやセキュリティ設定を十分に施していないサーバがいかに危険かを示す結果となった。

(中道 理=日経バイト)