うちは安全?
セキュリティーを考える上で。一部では「そんな古い考えかたしてる人なんてもういないでしょう」といわれているような思想が、しかし、現実にはまだまだ少なからず現場では残っています。
よくある誤解
問題定義と、結論を。
「うちは小さいから、うちのサーバなんかクラックしにくる人はいないから大丈夫だよ」
「うちみたいに小さいところにアタックかけても意味ないし。だから、セキュリティーなんてそんなに気にしなくても大丈夫だよ」
危険です。ある意味、大手以上に危険にさらされています。
そのあたりを少しまじめに検証してみましょう。
クラック(一般的にはハッキング、とかいうのかな?)の目標
クラッカー達にはそれはそれで色々な理由や目的があります。
例えば、以下のような感じです。
- 自分用の作業環境がほしい
- 脆弱性への理論を思いついたので、試してみたい
- たまたま脆弱性への知識を得たので、試してみたい
- たまたま脆弱性へアタックできる簡単なプログラムが入手できたので、試してみたい
- 政治的宗教的個人的その他思想によるある特定の相手(嫌っている相手であることが多い)への攻撃
- 匿名でSPAMを(えてして大量に)送りたい
- 各種クラックのための踏み台
- 愉快犯
- 趣味として
無論、これ以外の目的や目標を持っている人もなかにはいることでしょう。
クラックの対象を考えてみよう
上記の目標を踏まえて。
ここでポイントなのは、結構なパターンで「別に大手である必要性はどこにもない」事です。例えば「脆弱税があるらしいからってことで試してみよう」という人の場合、対象サーバが大手だろうが弱小だろうが関係ありません。
もう少し踏み込むと「しっかりガードされていることが予想される大手」よりも「ガードが甘い可能性が残っている中小」の方が、場合によっては「クラックに適している」ことになります。
もう一つ。最終的に大手にクラックする場合でも、「身元隠し」「DoS用の攻撃端末」としての「どーでもいいサーバのクラック」は、ある意味必須です。
というわけで、ちと視点を変えて。クラッカーとしての視点から、ざっくりと考察をしてみましょう。
視点を変えて:脆弱性を実験してみたい場合
単純にネットから「クラック用のプログラム」を入手して実行するだけのクラッカーを「スクリプトキディ」とか呼んだりするのですが。
そんな「スクリプトキディ」の気分で考えてみましょう。
あなたの目的は「とりあえず脆弱性があるんだ、って事を自分のPCで再現して、知的満足を得ること」です。別名「ただの好奇心」とも呼びますが。
さて。
大手サイトを狙うのは、ここではちょっとしたためらいがあります。なにせ、相手は大手。セキュリティーにもそれなりにお金をかけているでしょうし、もし万が一ばれたときに訴えられたりとかされても怖いですし。
所詮ただの好奇心。そこまでのリスクはワリに合いません。
一方、中小のサイトはどうでしょう。無論硬いところもあるでしょうが、一方でセキュリティーが甘いところがたくさんあるかもしれません。
たくさんのサイトから自力でチェックするのは手間ですが、幸い、プログラムには「広範囲にわたって調査してクラックしやすいサーバを見つける」機能がついています。ボタン1ClickでOKです。
なら、どこを狙うかは言うまでもないでしょう。目指すは中小サイトです。
視点を変えて2:大手サイトにアタック
あなたはそこそこ実力のあるクラッカーです。実力があるからには、やはり大手サイトにクラックの一つも仕掛けてみたくなるのが人情です。
大体、大手のセキュリティーにろくなものはありません。自分がアタックすれば簡単に落とせるはずです。そんな、社会的な警告の意味でも、あなたはクラックを成功させなくてはいけません。
比較的ホットな(というには古い手段ですが)、DoSをつかってみましょう。ただのDoSだとさすがにガードされる可能性が高いので、DDoSを使いましょう。これなら完璧です。
DDoSのためには、いくつもの「攻撃用端末」が必要です。たくさんあればあるほど、アタックは成功しやすくなります。
攻撃用端末は「広範囲に」いくつものサーバがあることが理想ですので、まずはそんなカモサーバを見つける必要があります。
大手サーバ自体をカモるのは、ここではちと面倒です。幸い、世間には「ろくにパッチも当てていない」サーバが転がっています。そんなところのサーバなら、アタックも簡単、足跡を消すのも朝飯前です。
大手サイトへの攻撃がばれても、足がつかめるのはカモサーバまで。それ以降は探しようがないので、万が一裁判沙汰になっても、迷惑をこうむるのはカモサーバを運営しているやつらだけです。
まとめ
「うちは小さいからセキュリティーなんてしなくても大丈夫」というのは甘い幻想に過ぎません。
小さいところだからこそ、現在は狙われやすくなっているのです。
そんなに高いコストを払う必要は、あるいはないかもしれません。しかし、せめて「ある程度認知されている」程度のセキュリティー対策を行うことは、現状必須である、といえるのです。
しかし、一つだけ安心できることもあります。絶対、ではないのですが、大抵のクラッカーの攻撃は、適切なセキュリティーパッチによって防ぐことが出来るのです。
まずはそのあたりのニュースに耳を傾けて。あるいは責任者を置き、あるいは技術者を雇い、そのあたりの対策をきちんとしておきましょう。
追伸:UNIX系(含むLinux)の場合
「うちはUNIX系だから安全だ」と考えるのはあまりにも大きな間違いです。セキュリティ対策をほとんどしていないUNIX系(含むLinux)は、どこまでも限りなく危険です。
UNIX系が安全だといわれているのは「頑張れば安全性が追求しやすい」というだけなのです。間違っても「何もしなくても安全」なわけではありません。
そのあたりを肝に銘じて、しっかりした管理を心がけるようにしてください。
追伸:Windows系の場合
パッチが出る速度が非常に遅いこと、そのパッチへの信頼性が低いこと(UNIXでも「パッチを当てたらかえっておかしくなった」という事例はあります。ただ、Windows系の方がその確率が高いだけです)。結構ドキドキな事が多いのですが。
それでも最近は「とりあえずの回避方法」がサイトに乗っかっていることが少なくありません。パッチがある程度「信頼できる」とわかるまでは、とりあえずの回避方法で回避しておきましょう。
もし回避法がない場合は…とりあえず監視を強化してみてください。
戻る
Copyright 2003 M-Fr Net All Right Reserved
E-Mail:info@m-fr.net