付録 B. よくある不正アクセスと攻撃

表B-1 では、侵入者が組織的なネットワークリソースに アクセスするために使用するエントリポイントとよくある不正アクセスをいくつか説明します。 これらの不正アクセスに対する重要ポイントは、どのように不正アクセスが行なわれるか、 そしてこのような攻撃に対してどのように管理者がネットワークを適切に保護するかを よく理解することです。

不正アクセス詳細注記
空白またはデフォルトのパスワード管理用パスワードを空白のままにしたり、製品販売会社が仮設定したデフォルトの パスワードをそのまま使用したりすること。これはルーターやBIOSなどのハードウェアで最もよく見られますが、Linux上で動作するサービスにはデフォルトの管理者用パスワードが入っているものがあるかもしれません(Red Hat Enterprise Linux はパスワードをつけたまま出荷していません)。

主に、ルーター、ファイアウォール、VPN、ネットワークに 接続する形式のストレージ器機(NAS)など、ネットワークハードウェアに関連して よくあります。
特にUNIXやWindowsなどサービスを搭載するOSなど、多くのレガシー オペレーティングシステム(時代遅れとなった古いシステム)によくあります。
管理者が慌てて特権ユーザーを作成したためパスワードが空白のままになっていることがあり、このユーザーを発見した悪意あるユーザーにとっては、絶好のエントリポイントとなってしまいます。

デフォルトの共有鍵安全なサービスは開発や査定テストの目的でデフォルトのセキュリティ鍵をパッケージにしていることがあります。これらの鍵を変更せずにインターネット上の実稼働環境で 作動した場合、同じデフォルトの鍵を持つユーザーは誰でもその共有鍵のリソースや、そこにあるすべての機密情報にアクセス権を有することになります。

ワイヤレスアクセスポイントや事前設定済み セキュアサーバー機器に最も多く見られます。
CIPE (第6章を参照)にはサンプルの静的鍵が含まれていますが、 実稼働環境に配備する前に変更する必要があります。

IP スプーフィングリモートマシンがローカルネットワーク上でノードのようにふるまい、サーバーに脆弱性を見つけて、バックドアプログラムあるいはトロイの木馬をインストールし ネットワークリソース全体に渡って制御を獲得してしまいます。

「なりすまし(spoofing)」は、攻撃者側が標的となるシステムへの接続を調整するために TCP/IP SYNーACK 番号を予測する必要があるので非常に難しいですが、クラッカーがこのような脆弱性を攻撃するのに役立つツールも入手可能です。
標的となるシステムが実行しているソースベース認証技術 を使用したサービス(rshtelnet、FTP、その他など) によります。このようなサービスは、ssh あるいは SSL/TLSで使用されるPKIや他形式の暗号化認証 に比べて推奨できません。

盗聴2つのノード間接続を盗聴することによりネットワーク上でそのアクティブなノード間が交わすデータを収集することです。

このタイプの攻撃はほぼ、telnet転送、FTP転送、HTTP転送など プレーンテキスト通信プロトコールで機能します。
この攻撃を仕掛けるためには、リモート攻撃者がLAN上で感染したシステムへの アクセス権を持っている必要があります。大概、そのクラッカーはLAN上にあるシステムを 感染させるために活発な攻撃(IPスプーフィング、Man-in-the-middle など)を行なっています。
パスワードの「なりすまし(spoofing)」を防ぐための 予防対策としては、暗号化鍵交換、ワンタイムパスワード、暗号化された認証を用いるサービスなどがあります。通信中は強力な暗号化をおすすめします。

サービスの脆弱性攻撃者はインターネット上で実行するサービスの弱点や盲点を発見します。 この脆弱性を利用して、攻撃者はそのシステム全体そして格納されている データをすべて感染させ、ネットワーク上の他のシステムをも感染させる可能性が あります。

CGIなどHTTPベースのサービスはリモートのコマンド実行に対して攻撃を受けやすく、またインテラクティブなシェルアクセスにも脆弱です。 HTTPサービスが"nobody" などの非特権ユーザーとして実行しても、 設定ファイルやネットワークマップなどの情報を読み込むことができます。 あるいは攻撃者はサービス停止攻撃を開始し、システムリソースを流出、 他のユーザーが使用できないようにしてしまいます。
開発中及びテスト中には気づかない脆弱性がサービスにあることがあります。 これらの脆弱性(バッファのオーバーフローなどサービスの許容範囲を超える数量でアドレス指定できるメモリを溢れさせ、 サービスをクラッシュさせて、勝手にコマンドを実行できるインテラクティブな コマンドプロンプトを与えることにより攻撃者がアクセス権を得る) は完全な管理コントロールを攻撃者に与えることができます。
管理者は、サービスがルートユーザーとして実行しないよう注意をし、 販売会社やCERT、CVEなどセキュリティ機構からのアプリケーション用パッチや エラータ更新がないか常に注意してください。

アプリケーションの脆弱性攻撃者は電子メールクライアントなどのデスクトップやワークステーションのアプリケーションに 欠点を見つけだし、不定のコードを実行して今後のシステム感染・破壊活動のためトロイの木馬を 移植します。感染したワークステーションがネットワークのその他のシステムに対して管理用の特権 を持っていた場合、さらなる不正アクセスが進められてしまう恐れがあります。

ワークステーションとデスクトップは、作業をする人に 感染を防止、 検出する専門知識や経験がないために不正アクセスを受けやすため、許可のないソフトウェアをインストールしたり、不必要にメールの添付ファイルを開けるときは、 個々人が危険を犯しているということを知らせなければなりません。
電子メールクライアントソフトウェアが添付ファイルを自動的に開いたり、 実行しないように設定するなどの予防手段がとれます。また、 Red Hat Networkや他のシステム管理サービスなどからワークステーションソフトウェアを自動更新すると セキュリティ配備の負担を軽減することができます。

サービス停止攻撃 (DoS=Denial of Service)単独攻撃者または複数人数によるグループ攻撃は、目標のホスト(サーバー、ルーター、 ワークステーション いずれか)に許可のないパケットを送ることによって企業や組織の ネットワークやサーバーリソースに対して攻撃を仕掛けます。 これにより正当なユーザーに対してリソースが強制的に利用不能となります。

2000年に発生した米国内でのDoS(サービス停止)事件で 最も多く報告されたケースとして、 高バンド幅接続対応のシステムで感染している数台を使い、ゾンビや リダイレクトされたブロードキャストノードなどのふりをさせて仕掛けた ping flood attack で 交信量が非常に多いいくつかの商業サイト及び行政機関のサイトが利用不能にさせられました。
大概、ソースパケットが偽造(同様に再ブロードキャスト)されるので、 攻撃の本当の出処を調査するのは困難です。
iptablesを使用した先進の高度イングレスフィルタリング (IETF rfc2267)と、snortなどのネットワークIDS技術は、 管理者にとって配信されたDoS(サービス停止)攻撃を追跡、防止するのに役立ちます。

表 B-1. よくある不正アクセス