多発する不正アクセス。インターネットなどには多くの情報やツールなどが出回り,攻撃手段は年々多種多様になっている。これに対抗するには,防御側もスキルを高める必要がある。そのためには,どういった攻撃が可能で,どのように防御できるのかなどを,実際に実験してみることが非常に有効である。しかしながら,通常利用しているネットワーク環境では,このような実験は行えない。そこで,システム管理者などの有志から成る任意団体「Firewall Defenders(通称『電脳火消隊』)」は,10月23,24日に「秋の運動会」を開催した。今回のコラムでは,その模様を簡単に紹介しよう。

攻撃側と防御側に分かれて腕試し

 この運動会の参加対象は上級ネットワーク管理者。参加者数は当初の予定を大幅に上回り,総勢100名近くであった。運動会の内容は,通常のネットワーク環境下では実施が困難な,(1)システム防御技術の腕試し,(2)サーバーに対する攻撃手法の研究,(3)IDS(侵入検知システム)の検証,(4)要塞化済みサーバーの冗長性や可用性の実地試験などである。これらを通して,ネットワークに関するスキルを習得し,磨くことが目的だ。

写真提供:日経オープンシステム

 運動会は,クローズなネットワーク内で,参加者を「防衛側」,「攻撃側」,「侵入検知」に分けて行われた。詳細な参加種別は以下の5種類。参加者は自身のスキルや興味,得意な技術範囲に合わせて,これらから少なくとも1種類を選択した。

(1)防御側(for Script Kiddies)
(2)防御側(for Professional)
(3)防御側 (Perfect)
(4)攻撃側
(5)侵入検知

 運動会といっても,「攻撃側が破れば,勝利」というわけではない。あくまでもスキルを磨くことが目的であり,防御側には複数のカテゴリを用意して,参加者を募った。参加者は,自分が応募したカテゴリに合わせて設定したサーバーを持ち込んだ。カテゴリは,(1)“for Script Kiddies”(非常にぜい弱なサーバー),(2)“for Professional”(堅牢性にかなり自信があるサーバー),(3)“Perfect”(セキュリティが完璧なサーバー)の3種類である。

 防御側の参加者が持ち込んだサーバーは,(1)最新のOSバージョン,かつ修正パッチをインストールしたサーバー,(2)デフォルトのままのサーバー,(3)ファイアウオールやフィルタで防御したサーバー(ただし,防御されているサーバー本体をわざとデフォルトのままにしている参加者もいた),(4)ハニーポット,(5)スイッチでプロトコル別に処理を分散させるようにしたサーバー群など,非常に多種多様だった。

 実際のインターネット環境においては,「デフォルト状態のOSをそのままネットワークへ接続する」という事はまずありえないが,中にはわざわざこのようなサーバーを用意した参加者もいた。

参加者は多様,気合い十分のチームも

 参加者は様々であった。(1)企業や大学などのネットワークあるいはシステムの管理者や,(2)情報システム企業に勤務する技術者やシステム開発者,(3)セキュリティ・ベンダーの技術者,(4)任意のセキュリティ団体に所属している人,そして(5)学生など,多様な職種の人が参加した。

 参加者のスキルや意気込みも様々であった。攻撃側として参加した,あるシステム管理者からは,「日ごろはシステムを守る立場なので,攻撃側としてシステムと対面することはありえない。そのため攻撃手法については詳しくなく,色々な侵入方法があることをイベント会場で初めて知った」という感想が寄せられた。

 その一方で,攻撃手法についての情報収集を怠らず,普段から侵入方法の検証や研究を続けている参加者は,「侵入に至るまでの手順は一通り押さえている。ぜい弱なサーバーの探索やターゲットの絞り込み,既知のセキュリティ・ホールの検索作業をチーム体制で実施する」と気合い十分。役割分担も事前に打ち合わせの上,運動会に臨んだという。

2日がかりの運動会,侵入成功は7件

 日程は1日目が準備,2日目が運動会というスケジュールで実施された。1日目のほとんどは会場内のネットワーク架設や防御側サーバーの搬入,設置に費やされた。続々と搬入される防御側サーバーのOSは,SolarisやLinux,FreeBSD,Windowsなどと,多種多様であった。中には,MacOS X(Public Beta)を持ち込むチームもあり,Macが机の上に広げられると,会場にはどよめきが生じるという一幕もあった。

 2日目の午前10時,運動会の幕は切って落とされた。本来ならば,会場は十分な照明で照らされる予定であったが,参加者が予定を大きく上回ったため,電力量が足りなくなってしまった。そこで,節電のために窓から日光を取り入れ,自然光の元での開会となった。

 しばらく静まりかえっていた会場の中で,午後1時を回った頃,会場内に控えている審判員に手を挙げ,侵入行為に成功したとの初めての報告がなされた。侵入されたサーバーは,Windows NT4.0+IIS 4.0のWebサーバーである。今月中旬にBugtraqメーリング・リストでも話題になった「Unicode 表記バグのセキュリティ・ホール」を利用して,侵入に成功したのである。

 その後,侵入に成功したという報告は合計7件あったが,公式には報告されなかった件数を含めると,実際はそれ以上であろう。運動会が終了した現在でも,侵入報告は受け付けているので,今後の報告を待ちたい。

 報告があった侵入手法の一例は次のようなものである。まず,fingerコマンドを利用して,サーバー上のユーザー情報を取得。その後,そのユーザーになりすまして,FTPでログインし,あるプログラムを送りつける。そして,Telnetでログインし,仕掛けたプログラムを実行して,root権限を奪取する。

 以上は古典的な手法のひとつであるが,そのほか,バッファ・オーバーフロー系の攻撃手法や,未公開のセキュリティ・ホールを利用する攻撃など多岐にわたっていた。中には,限られた時間で,新しい攻撃プログラムを作成する“つわもの”までいた。

 “for Script Kiddies”のような,“大甘な”設定のサーバーは,ほぼ侵入された。それに対して,少しでも要塞化したサーバーには,攻撃者は近寄らない傾向が見られた。

 しかしながら,「完璧に要塞化した」と自慢のサーバーからパスワード・ファイルを盗み出した攻撃者もおり,盗まれた参加者はショックを隠し切れない様子だった。また,要塞化したサーバーが,設定ミスにより踏み台になってしまったという笑えない話も聞かれた。

課題を残すも,貴重な経験に

 盛況のうちに幕を閉じた運動会ではあったが,いくつかの課題を残した。会場環境や時間の制限および準備不足などである。

 例えば,会場内ネットワークは,クラスAという現実的にはありえない,広いアドレス空間だったため,ターゲットとなるサーバーを絞り込めないという不満が生じた(サーバーのIPアドレスは事前に知らされていない)。そのため,午後後半になると,防御側からは,「私のサーバを攻撃して」というアナウンスが続々と出された。ついには攻撃されずに時間切れとなり,せっかく準備した防御の細工が試せなかったと,残念がる参加者もいた。

 また,実際は攻撃や侵入が行われていたにもかかわらず,IDS自体の設定不備などで,侵入に気付かなかったというケースもあった。

 とはいえ,参加者の多くが自分の技術力不足を実感し,技術力向上のためのモティベーションが上がった,とコメントしている。その点では,今回の運動会は成功だったといえる。

 なお,今回の運動会のレポートは,Firewall DefendersのWebサイトからも公開予定である。併せて,参加者の感想や報告は,随時,Firewall Defendersが主催するメーリング・リストで行われる予定である。Webサイト内のコンテンツ閲覧にとどまらず,メーリング・リストへも参加してほしい。


株式会社ラック 不正アクセス対策事業本部  柳岡裕美 / yanaoka@lac.co.jp
(「秋の運動会」運営ボランティア)

Firewall Defenders  坂井順行 / sakai@lac.co.jp
(Firewall Defenders 運営スタッフ)


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。